还有一些新来的同学 大家听声音 现在有问题吗 都能听到吗 可以了是吧 那我们就正式开始上课了 那么首先呢也欢迎大家 在经过了一天的忙碌的工作之后 那么晚上就投入到 SHARP SP的保障班的学习当中 那么今天呢是我们这期保障班的第二次称奖 那么也相当于是我们第二轮的复习 那么我们第一轮呢是先经过了一个五天的公开课 那么在这五天的公开课里呢 把我们 双SP这八个域的这个主要的内容呢 跟大家做了一个讲解 那么大家对于这些知识呢 也是有了一个初步的印象啊 初步的了解啊 那么经过这五周的这个串讲之后呢 那么我们会把一些重点的 那么每一个域 每一个章节的重点的知识呢 那么我们会在串讲里面 那么再把知识点给大家强调一下 那么这五天 这五次课结束之后呢 那么我们还会有 做习题的课 那么习题的课呢 就相当于我们把知识点要运用了 那么我们运用知识点 然后去做题 那么在做题的过程中呢 那么我们又返回去去加 加深我们的知识点 那么我们每一个 每一个预 那么都对应一天章节的练习 对应一次章节的练习 那么最后呢 我们还会有这个 这个总体的一个模拟的 模拟的练习 就相当于大家要综合的去 去学习去掌握知识去运用知识 那么我相信通过那么这十几次课的 这个保障班的学习 那么大家一定都会有过 有一个好的收获 通过这种进套式的这种训练 大家也一定能够顺利的通过考试 那么我们今天讲的是这个新天权治理和管理 风险管理和新天权治理 那么这一章这个这个域的知识 那么我们看一下这个图 我们先总的来看一下 那么我们在这个领域里面 那么这个知识域里面 新天权治理与风险管理这个域里面 一共是有五大部分的内容 那么这五大部分的内容呢 和我们公开课里面的那个讲义 那么也是一致的 一共是五个部分 那么这个章节的内容呢 那么其实是偏管理的 那么基本上是把我们 双SP的这个知识领域里面覆盖到的 和管理相关的这些知识 都拿到这个域来讲的 那么包括第一部分 那么有一些安全和风险管理的基础知识 那么第二个部分呢 就是JRC就是治理 那么主要是讲了这个JRC的概念 那么先重于这个治理和管理 那么第三部分呢就是风险管理 那么第四部分呢就是JRC的这个合规 有法律法规道德合规 那么第五部分呢 那么就是业务连续性的这个管理的这部分 那么这一节呢 就是基本上涵盖了我们金钱权工作的一些管理的内容 那么第六部分呢 对于我们一些可能想从技术转管理的同学来说呢 那么这张内容也是很重要的 那么也是除了我们去应付考试之外 通过考试拿到证书之外 那么其实也是我们在进行新先宣管理工作中的 一些非常良好的实践 那么我们下面看 只看第一个部分的内容 因为是这样的 就是在我讲课的过程中呢 我可能是没有 没有那么 那么频繁的能够看到大家的 那个QQ留言 如果实在是在讲课的过程中 大家发现如果有声音中断了 或者听不到了 如果是我这边的问题 可以让嘉义老师 这边给我打一个电话 那我可能没有那么多的精力去关注我们的群 还有关于这个思维导图 那么这个思维导图呢 我刚才看见嘉义他也在群里发了 那么这个呢就是 大部分的内容和我今天讲的是一样的 那么我在每次备课之前呢 我就会把导图再梳理一下 那么也有一些小的更改 那么没关系 等我讲完课之后呢 我会把我这次讲课的这个思维导图 给大家再传到群里面去 好 那么我首先看第一个部分 信息安全与中线管理的基础 一些基础的知识 首先看第一个 基本概念了 就是信息 那什么是信息 那么信息是什么呢 信息就是可以理解为 就是有一定含义的 经过加工处理的 有一些用途的 对于我们的决策 是有价值的这样的一些数据 那么简单的说 就有价值的数据 或者是有意义 或有用途的数据 那么我们一提到这个信息 它有价值 那么会形成信息资产 那么我们在第三个大部分讲风险评估的时候 那么也会着重讲和信息资产相关的风险评估 那么我们信息资产要有分类有分级 因为我们的信息是有价值的 我们的资产是有价值的 所以就会面临着威胁 就需要我们进行保护 那么引出的第二个概念 就是我们在信息的全寿命周期内 要对信息进行安全防护 那么这个我们就回忆一下 那么我们的信息的全寿命周期是哪一些 那么首先就创建 信息从无到有 那么创建 那么创建之后我们就要对它进行保护 那么我们怎么样就要进行保护呢 那么在创建之初 那么我们就要有一个标识 就要有一个分类分级 也就是说我们后面也会讲 我们的数据所有者要去确定 我们的数据需要保护的级别 要有一个 分级 那么创建之后呢 那么就有一个使用 那么在使用的过程中呢 那么我们要严格授权 严格管理 要进行相应的访问控制 那么还有存储 那么在存储这个环节呢 我们要保存在一个安全的环境当中 那么根据级别要有保护 那么在传对的过程中呢 那么无论是通过网络的也好 那么通过线下的也好 那么我们都是专人专网 那么我们线下叫专人 那么线上呢就是要进行加密 好 相应的进行安全防护 那么在如果要是信息需要更改 那么我们也是需要严格的授权的 那保证我们的信息的这个完整性 最后在这个信在这个信息的这个生命周期结束的时候 那么我们要确认我们的信息是采用一种安全的方式进行销毁 要不可以被恢复 那么这个呢是这个信息的这个全生命周期都要对它进行安全的防护 就是每个环节每个流程都要严格的这个控制流程还要保护 那么第二个概念就是信息安全的基本安全原则 那么这个呢就是很简单的了啊 大家都应该是知道的 那么在这个PPT里面 在这个词汇导图里面呢 会有一些标了红旗的这样的一些知识点啊 那么这些呢就是重点大家一定要必须知道的 那么我们先看一下我们新鲜钱的基本原则啊 三性 CIA三性 那么这三性呢 那我就 就是对于大家来说 肯定就是一些比较基础的知识了 那么第一就是机密性 那么机密性呢 就是说我的信息只能够让授权的用户去看 授权用户也好 包括我的进程也好 主要指的是主体 只能是授权的主体去看 去存储使用 那么这个是保证机密性 那么第二呢 就是完整性 那么完整性呢 就是保证 它不会被非授权的篡改 那么在这里面呢 完整性的有三个目标 那么这三个目标呢 也给大家再回顾一下 我们上一周安全工程里面也讲到了 那么我们那些安全模型 有的呢只能实现一个安全目标 有完整性目标 有的安全模型呢 可以实现三个完整性目标 大家也思考一下 哪个模型可以实现三个完整性目标 那么这三个完整性目标都是什么 那么第一个呢 就是不会被非授权的篡改 好 那么第二个呢 就是授权的用户 不能进行不恰当的修改 那么第三呢 就保持信息的内部和外部的一致性 就要有内部一致性 外部一致性 那么第三呢就是可用性 那么这个至于可用性呢 就是说我要使用到它的时候 能够用到 不会被异常的拒绝 要可靠的能够访问到 那么这个呢是可用性 那么我们除了知道这个三要素 就是三性之外 那么我们还要知道这个相反的这个三性 相反的三元组 那么就是和CIA 所相对应的有一个DAD 就是有泄露 就机密呢就是泄露 完整呢就是被篡改 那么可用呢就是被破坏 那么我们还要知道 这个相反的三元组 所代表的这个三个属性 那么这个是信息安全的这个基本原则 那么我们的讲义里面呢 还有一些扩展的原则 大家在课后的时候 那么也结合讲义 结合我们今天的这个篡讲 那么再把我们可能没有重点强调的一些概念 我们再回去看一看 那么下一个概念呢 就是我们CIA所相关的这些安全技术 那也就是说我要实现机密性 我有哪些技术可以实现机密性 那么其实就包括有加密 就最主要的其实就是加密 那么包括有这种静态的 静态的数据的加密 包括有这种传输中的数据的加密 那么还有对它进行 将用的访问控制 进行权限管理 就保证我只有这个授权的人 才能够访问到我这个信息 那么对于完整性啊 那么完整性呢就是有通过一些完整性技术 比如说我们的这个哈希啊 那么我们这种消息摘要 那么我们是来计算出哈希之后啊 那么我进行进行这种摘要的对比 能够确定我的这个信息的完整性啊 那么还有呢进行配置管理啊 那保证我的系统的配置的完整性啊 那么还有对于变更进行控制啊 保证我这个过程的完整性 那么实际上我通过访问控制 那么也可以保证 那么我不会对它进行未授权的篡改 那么还要包括有些软件的数字签名 还有一个CRC的脚印功能 那么这些都是完整性的技术 那么还有呢 就是可用的技术 那么可用性呢 就基本上就是一些 高可用的技术啦 或者说我一些 备份恢复的这样的一些技术啊 那比如说 这个锐的集群 负载均衡 还有冗余的这个 电源线路 备份等等啊 包括出了故障之后 要回滚 回滚 要故障切换 那么这些呢 就是保证我的这个系统 能够持续的高可用 那么这个呢 是可用性 那么这些呢就是我们CIA三星所对应的安全技术 那么这些呢也没有什么难的啊 也都是比较好理解和掌握的 那我们再看下面一个重点的知识 安全控制 那么这个知识呢 就是对于我们对应我们这个中文版的第六版的这个all in one 那么讲的是很详细的 那么重点讲了安全 安全这个控制包括三种类别 一种是管理性的控制 一种是技术性的控制 还有一种呢是物理性的控制 那么管理性的控制呢 也叫软性控制 那么一般也是我们指的就是一些 通过一些管理性的手段 比如说制定策略啊 编标准啊 对于一些进行安全培训啊 意识教育啊 那么这样的一些 那么就叫管理性控制 也叫软性控制 那么下面那个叫做逻辑性控制 那么其实也是叫技术性控制 实际上是通过一些技术性的这种手段 来进行控制的 那么比如说一些逻辑性的访问控制机制 比如说其实防火墙 这些都属于逻辑性的访问控制机制 包括对于一些加密的技术 一些入侵防御的系统 一些防病的系统 那么 等等的这样的一些安全设备 那么这些呢都是技术性控制 那么还有呢就是物理性控制 那么物理性控制呢 其实就对应了我们上周讲到物理安全 物理环境安全里面的一些物理 物理性的控制措施 那比如说对于环境设施周边的这样的一些控制 比如说栅栏围墙 那么对于我的物理的一些访问控制 物理的访问控制措施 我的门禁保安所 包括有这些呢 还有一些就是对于物理上的一些监控 一些入侵检测 还有就是我的对于物理环境的这些控制 比如说温湿度控制 我的消防等等 通风空调啊 那么那么这些呢 就是物理性的控制啊 那么物理性控制呢 其实也是分有管理性的 也有也有也有技术性的 还有物理性的啊 那么这个呢 就是为了保证我们的物理和环境设施安全啊 那么它的控制措施 那么在安全控制里面呢 还有一个概念叫深度防御 那么这个深度防御的概念呢 就是也是多年前提出的 就说我们作为一个组织来说 我们有我们的 核心的资产 那么对于我们的核心资产呢 要以一种分层的方式去综合的防范 那么实现 如果要是有一层 那么我们把我们把我的核心资产放在中间 那么有层层的防护 有通过物理的手段的 那么从管理性的手段的 还有一些各种的这种技术防护措施的 那么我们的目的呢 实现于对我们的这个核心资产能够进行安全控制 能够实现这种 如果一层的这个防御控制措施失效之后 那么其他层还可以继续发挥作用 那么希望达到这样的一个目标 那么但是实际上呢 就是按照现在 现在我们的这个安全的这个理念来说的 那么其实安全它 因为它是有最短板的 那么我们可以举个例子 比如说我们 前去年吧有一個前年了啊 有非常著名的電影就長城 那麼那個長城裡面就有嘛 就是我對於他們修建了那麼那麼那麼長時間的長城 有那麼好的那個防護各種樣的啊 那實際上他那個饕餮還是沒有防住 为什么呢 因为他从地下打了一个洞 包括我们这个马其诺防线 那么实际上我们并没有 我们并就是他并没有起到作用 那么只是 如果要是你的安全防护措施被旁录了 那么其实他就完全 你的层层防御 那么其实是没有起到作用的 那么所以对于现在来说呢 我们有另外有一个思想 就是以检测为中心的 那么希望我们能够实时的发现 那么发现 发现 发现风险啊 那么然后再进行防御 然后进行恢复啊 进行响应啊 这个呢是深度防御的这么一个概念 那么对于安全控制措施呢 那么可以从它的一个功能角度来说 也可以这样分类 包括有威慑的 有预防的 有矫正的 有恢复的 检测的和补偿性的 那么像这一些呢 包括前面讲的这个管理性的 这个逻辑性的 还有这个物理性的 他们这些呢只是 他从不同的角度对于安全控制措施进行分类 他们之间肯定是有交叉的 那但是对于我们来说呢 那么我们要掌握到这个知识点的时候呢 我们要去 首先书上讲特别详细啊 我们要再去看看书 要能知道哪一个哪一个控制措施 对应的是哪一类啊 按照功能分我们知道是哪一类 按照上面的这个管理技术物理来分啊 也知道是哪一类 那么我们再稍微把这五大功能 六大功能再稍微再回顾一下 那么首先说威慑 那威慑呢 比如说像一些围墙啊 标语啊 那么这些就威慑型的 那么就是说去这个震慑一些潜在的攻击者 那么希望攻击没有 就是能够被阻止在萌芽状态 那么第二呢 就预防 就通过一些措施避免一些意外的事情的发生 那比如说我们呢 防火墙啊 然后它会把有一些攻击给拦截掉 一些防空的措施 就预防型的 还有呢就纠正型的 那么纠正型呢 就是说我的系统如果出现了问题之后 能够快速的修补 然后快速的恢复 那么这个呢 比如说我的服务器的这个影像 那么还有恢复型的 恢复型就是说 能够使我的发生一些非常严重的 比如灾难性的事件之后 能够使我的环境 恢复到正常的这样的一个操作状态 比如我的灾备系统 那么还有呢就是检测型的 比如说像IBS啊 一些监控系统啊 还有一些日志啊 它就可以检测到我的一些异常的行为 一些攻击的行为 检测型 还有补偿型 那么补偿型呢就是说我按照正常的一些防护 的一些措施呢 我可能没有办法 没有办法去做到 那么所以呢就采用另外的一些 那么就要进行补偿 那么比如说 就是一些替代的一些控制措施 那比如说我按照正常来说 那么我是要职责分离的 比如说我某两样的这个人 这个职位我是不能够 不能够由同样一个人去承担的 要做职责分离 但是实际上呢 就是对于一些小的组织来说 他的职责分离是不可能 每一个这种充足的岗位都能够分开的 因为它没有那么多人 那么我做不到这样的控制措施呢 那么我们需要去部署一些补偿性控制措施 比如说我加强一些事后的一些审计 对于一些行为进行记录 事后进行检查 那么这个呢我们就称为是补偿措施 就是我不能够做一种控制措施 那么我们就通过另外的一些可以替代的控制措施去替代它 那么这个呢就是 嗯 补膛型控制措施 比如说我有些系统不能打补丁 那么打了补丁之后 可能和我的系统的功能 我的业务就冲突了 那么我们不能打补丁 那么我们怎么防控风险呢 那么我们可以看一下它的攻击的方式 那么我们可以从外围进行安全的控制 比如防火墙把墙的窗口封掉 像这样的一些方法 那么下面呢我们就再讲一下这个治理风险管理和合规 就JRC这个概念 那么这个呢就分着说吧 首先说治理是什么呢 那么治理呢其实是一个非常综合的一个概念 那么可能会涉及到这个一个企业或者一个组织的方方面面 包括高级管理人员中层管理人员以及普通员工 那么它可能会涉及到一个企业 有关于比如说信息系统啦 一些相当的技术的处理呀 一些业务啊 一些法律法规相关的一些事务啊 那么治理呢 它通常呢就是 现在我们要说信息安全治理 那么我们信息安全治理呢 它实际上是希望 它使我们的信息安全 和我们的IT目标和业务目标 能够保持 保持一致 那么所以呢 它这里其实是一个高层的概念 那么它通常会包括 那么包括要和业务目标相一致 包括它需要在战略呀 在一些控制措施啊 和一些监管呀 一些方面能够体现管理层的这种安全意图 体现管理层的意图 那么同时呢 它需要 制定这个相应的一个策略 相应的标准 要确保每一个人员 都按照这种相应的控制措施去执行 要建立这种新先宣的组织架构 建立这种新先宣的职责 这种问责机制 那么同时呢 也要提供这种 已经指标化的这种监控这种流程 那么要确保我的这种控制措施能够执行 并且能够有有效的反馈 那么 嗯 那么这治理呢 它其实我们就可以理解为 那么我们要有一个总体的目标 那么这种总体的目标呢 就是我们可以理解为 就是我们希望我们的安全达到一个什么样的样子 然后进行相应的分派指责 就是相应的控制机制 那么然后要确保我的这个有充足的资源 那么确保我的这种控制措施能够执行 那么希望能够通过 好 通过这种组织啊制度啊流程啊 技术控制措施啊 去实现我们企业的这种安全目标 那么这个呢就是治理 那么还有呢就是 就是风险啊风险管理 还有一个就是合规 那么我们其实还可以这么理解 就是我们治理所提出的这些控制措施 其实是来源于两个方面的 那么第一个方面呢就是来源于风险 因为我要控制风险 那么另外一个方面呢就是 我要源于我的合规要求 那么有一些呢 就合规可能是一种强制性的 就是如果你要是不按照这样的去做呢 可能就是和我们的一些监管呀 和我们的法律法规相违背了 那么这些呢 其实也可以理解为另外一样的风险 就是不合规风险 那么我们按照合规去 去部署我们的控制措施 所以我们可以理解为 那么我们的控制措施 就是我们的治理 里面的控制措施来源于风险管理和合规要求 那么我们做风险管理 那么我们在第三个部分内容里面会详细讲风险管理 那么风险管理其实就是希望 把我们的风险控制在一个可接受的范围内 那么就是不是说把风险全部消除 就是在控制在一个可接受的范围内 那么我们要根据我们的业务目标 我们的确定我们的风险的优先级 对 那么我们这个风险评估 进行风险评估 那么我们的风险评估的结果呢 就是我们的这个建设的这个需求 那么我们管理层通常会定义一下 那么我们对于组织的风险容忍度是什么样子的 我们的可最低可接受的这个安全水平是什么样子的 那么通过这个风险评估 风险分级以及我们的这个安全 风险评估的这个准则 风险接受准则 那么去进行风险的控制 那么这是风险管理 那么还有呢就是合规 那么合规呢其实就是要确保 就是我们那个 就是各项的合规要求得到遵守 那么合规呢就是一般是来源于外部的压力了 那么我们也就是说我们一个组织 它需要遵守的各种法律法规 还有这个标准 一些来自于国家呀行业呀 这样的一些监管要求 那么其实呢就是 嗯 比如说我们按照合规 那么去做了 比如说等保 那么我们等保其实 从国家层面来说 是一个合规的要求 那么如果我要 现在大家如果要是不做等保 那有可能就面临法律的风险了 可能会被通报 会被问责 那么我们换一个角度考虑 那么我们按照等保的要求去做了 那么我们可能会防御了大部分的风险 好 也能就是这样的一个关系 其实在我们做这个 建这种治理机制的时候 我们要去把握我们这个治理 风险管理和合规 这三部分的这个关系 那么这第一部分呢就是这些内容 那么第一部分呢也主要就是讲的信息 信息安全的基本原则 那么信息安全的属性 信息安全相关的这个属性相关的技术 那么以及这个比较重要的内容 就是信息安全相关的安全控制措施 那么还有一个引出的这个治理风险管理 还有合规这么一个概念 这是第一部分的内容 那么接下来我们看第二部分 那么第二部分呢 就是新前线的治理和管理的这个体系框架 那么在这里面呢 我们首先啊 那么把这一个领域里面所涉及到的一些安全管控的参考框架 跟大家复习一下 那么对于这些框架呢 我们可能不需要去了解到特别细的细节 但是我们要知道哪个是干什么的 嗯 那么第一个呢就是copy它 那么copy它我们需要掌握的呢 它是Isaac发布的 那么它是和IT控制相关的 IT的内部控制相关的 那么其实知道这些就行了 那么我们可以对比 这个Cowbeat和下面这个Costal 那么Costal它是做企业内部控制的 那么Costal有的出口会问 一些企业为了应对这个三番四的法案 那么它会对企业进行这种内部的控制 那么哪一个是 他为了应对三八四法案 他所按照的内控的模型去做的 那么就是Costal 那么Costal呢 它是企业治理的模型 那么它在这个进行企业的那个控制的时候呢 它包括了其他的很多方面 就是很多非IT的一些领域的事情啊 一些战略层的层面 比如财务啊或者其他的运营啊 等等这方面的 那么在其中呢 就是对于IT的控制 那么IT的控制呢 我们一般是遵守COPY的 所以COSMO呢 它是一个全面的企业的那个控制 就是 在我们企业要应对这个美国上市公司的这个塞班斯法案的要求的时候 那么我们通常会按照这个Costal的模型 那么它进行治理 那么我们也看一下 那么对于Costal这个模型呢 它也是定义了五个方面 那么对于要有进行五类的内控要素 那么第一个呢就是控制环境 那么它实际上这个控制环境呢 就指的是对于一些管理方面的 运营方面的 还有些企业文化方面的 那么第二呢就是风险评估 那么风险评估呢 它就是要管理内外部的一些 一些一些建立风险目标 那么进行内外部的一些一些这种风险的这种管理 那么第三呢就是控制活动 那么控制活动呢就是我要为了应对风险 降低风险要制定了相当的策略规程 还有一些实践活动 那么还有呢就是信息和通信 那么这个呢就是要求人在 在我在开展工作的时候啊 能够能够去获得这种正确的这种信息啊 那么还有呢 像检测或者监控啊 监控就是说啊 我要能够检测并且能够应对到对于控制不足的这些影 这些响应啊 就是我如果我能够监测到这种控制不足的时候 那么我能够啊 能够进行积极的响应 那么这个呢就是counsel 那么我们其实就知道 第一点呢 它是应对塞班斯法案的 那么第二呢 还是企业全面的那个控制的 那么COPIT呢 就是IT方面的这个控制 在下面是ITIL ITIL是IT服务管理的最佳实践 我们有一个国标 就是ISO2万 这个2万是我们做IT服务管理的 要通过资质认证 它是一个我们需要遵循的国标 是我们要遵循的标准 我们在进行IT服务管理设计的时候 我们可以遵循的ITIL 它实际上是一个实践 是一个指南 好 ITIL呢 它实际上就是 为了要弥补这个业务人员和IT人员之间 没有办法对话的这么一个问题 就是说我的这个IT的目标 没有办法有效的和企业或者组织的业务目标相融合 那么所以这里面呢 就是产生了这个IT服务 这个ITIL的这个最佳实践 好 那么现在呢 这个ITO呢是到了V3的这个版本 那么对于ITO呢 我们就知道它有公共式五本书 那么包括服务战略 服务设计 服务交付 服务运营 还有这个持续改进 那么这个呢是ITO 那我们知道ITO呢 它实际上就是 就是IT服务管理的这个最佳世界 那下面是这个Zackman Zackman和这个Togaf 那么Zackman是他是 做这个企业架构的 那么我们掌握Zackman的时候 那么我们就可以回忆 我们出现那个表 就是一共是36个格的那个表 那么它相当于是 对于我们企业的业务 那么从不同的角度 那么去看待的 那么从哪些角色的角度呢 那我们可能会从规划 规划者的角度 从这个拥有者的角度 从这个设计者的角度 构造者的角度 还有这个运行者的角度啊 那么从这些角度去看待我们的数据啊 看待功能啊 看待网络呀 看待人员呀 啊等等啊 那么嗯 这个呢就是我们这个这个Zackman的这个框架啊 那么这个Togglef的框架呢 就是要开放群组的这个框架 那么这个开放群组 这个托克安姆框架呢 也是我们现在 在很多的这种咨询公司 去给大型企业去进行信息化 规划的时候所用到的方法论 那也就是说我们要先去分析它的业务架构 那么从业务架构到它的应用架构 包括它的数据架构 还有这个技术架构 还有这个安全架构 那么这个呢是特别toe graph的企业框架 那么下面就是SABSA 那么这个呢 也是一个企业安全架构的 这个框架的方法论 那么这个呢 是这个和这个Zigman的框架非常相似 它也是一个分层的模型 那么它也是从最开始的时候 从安全的这个角度去定义这种业务的需求 那么上面呢就偏抽象 那么下面就偏具体 那么它也是希望能够 能够这个 遵循战略战略的这个一致性 能够使我们的安全架构 能够满足企业业务的驱动 能够满足这种监管和法律的要求 那么这个呢 是这个SA BSA 这个安全框架 那么下面还有这个就是NIST SP800-53 这个SP800-53呢 就是我们要知道它就是 告诉我们怎么做安全控制 那么就是比如说我们会 会说我们要让我们系统更安全 那么实际上很多时候 我们不知道怎么去提需求 让我们的系统更安全 那么这SP800-53呢 它就是从这种 游击的操作层面上 那么对于联邦政府 它的这个对象 主要是针对于这个 美国的联邦政府的信息系统的 那么就告诉这个 联邦政府的信息系统 那么怎么样可以更安全 怎么样提出安全的需求 那么这个就是说 反过来说呢 就是说我的系统 如果达到了这个标准里面 提到的这些 安全的控制 那么它一定是可以处于一种 相对来说比较安全的一种状态 那么也可以有效的抵御一些 大部分的风险 下面这个呢 就是也是NIST 就是叫 关键基础设施安全控制框架 那么在这里面呢 就提到了一个IPDRR的 这么的一个概念吧 那么也是我前面讲的 以检测为中心 那么I呢就是要识别 P呢就是保护 D呢就是检测 R就是一个恢复一个响应 那么它这个主要是针对于 关键基础设施的 那么这个是14年2月份提出的 那么美国也提出了 这美国它一直以来都是对于关键基础设施的这种安全防护是非常重视的 那么它也是最早就是把网络安全能上升到一个非常高的层面 从网络空间为第五大空间 那么是这种国家层面的一个指导 其实早在1998年的时候 那么在克林顿政府的那个期间 是 其实就已经提出了对于关键基础设施保护这样的一个政策了 那么其实我们国家的很多的安全政策 其实也是去参考他们的一些概念吧 那么在下面那个是CMMI CMMI其实就是软件程式度模型了 一共五级 那么这个就不再说了 那么上面这些就集中 跟大家把这一张 涉及到的一些安全的一些参考框架 其实也不一定都是安全的 那么其实就是一些 跟企业治理相关的一些框架 比如说我会包括有安全相关的 包括有核心信息 IT服务相关的和IT内部控制相关的啊 等等和这种安全控制相关的 那么大家知道 其实知道这是每一个 不用讲了解细节啊 知道他们是是什么 能够跟其他的区分开来 其实就可以了 那么下面讲这个安全管理 那么安全管理呢 就是提到的一个概念 其实大家可能也一直都会被灌输 那么就是三分技术七分管理 那么技术呢 就认为是这个新鲜安全的这个构筑材料 建筑材料 那么管理呢 就是这个粘合剂和催化剂 其实很多安全问题呢 它可能是由于管理不善导致的 或者说是绝大部分的安全问题 或者说是技术 只靠技术可能是没有办法 没有办法解决 这个大部分的这个安全问题的 那么在这里面呢 大家声音没问题吧 那么在这里面呢 就讲到了第一个概念 就是两万七 两万七 27000是信息安全的国际标准 也是一个最佳实践 那么我们在进行体系化的 这种安全建设的过程中 那么我们都会去参照27000的标准要求 按照27000区去构建我们的体系 那么对于2700呢 它的历史呢 那我就不再多讲了 那它也是从最早的BS7799 那么一直发展 那么包括到了这个2005年的时候 那么我们国家也把这个标准引入了 那么我们之前 我们一直在过认证过的是05版的 那么13年之后标准升级了 那么从这个ISO组织来说呢 它也是 是去弥补了对于一些热点的一些技术的缺失 还有一些 控制的这个标准里所涉及到的一些控制点的这种控制颗粒度 还有一些逻辑性不太不太充分的这么一些一些缺陷吧 那么他也是每过几年他会把他的标准进行升级 那么在2013年的时候那也是时隔八年 那么两段期的标准从055版那么升级到13版 那么现在我们所看到的都是13版的这个两段期的标准了 那么对于这个13版来说呢 那么他也是增加了一些 对于新的技术或者新的热点所带来的这种风险的挑战 比如说我们从轻松家的一个第15个月 供应关系这个月 因为他也意识到了 那么我们现在对于外包安全也是非常重视的 那么意识到了很多安全问题 可能不是因为本单位的一些安全管理不到位造成的 可能会由于外包商的这种安全缺陷所引发的 那么这个是27000 21 2700就是我们信息安全管理的最佳实践 那么我们要建体系 那么我们都会去参考2700的一个标准 那么在两关系里面呢 就有一个非常重要的思想呢 就是PTC模型 就是PTC呢 它是这个在明环的这个质量控制模型 那么它是整个是一个迭代的过程 那么就是P就是计划 B呢就是实施 C呢就是检查 那么D就是行动 那么就是说我在建体系的时候 那么我首先要进行P这个阶段 那么我要开展风险评估 好 那么我要通过风险评估 通过我识别法律法规的要求 去识别我的这个组织的这个业务背景 我的这个内外部的这种形式 那我要去看我新相续到底要怎么做 那么我要去做这个P 那么我这个规划 那就是根据我这些结果呢 那我要看看哪些先做 因为我需求识别出来了 根据紧迫程度啊重要性啊 那我要风险的这种严重程度啊 那我就要看看我先做什么 就P P 这个P之后呢 那我就要去实施了 因为我规划好了 那我就要去实施 那么我实施之后呢 就是我还会定期的需要去做风险评估 那么我这个是优化我的这个整个体系的一个非常重要的一个 措施啊 因为我这个到了这个度的阶段 我只要这个体系一建好了啊 那么以后都是这个度的这个阶段啊 那我要定期去做风险评估啊 那么第三个呢就是检查啊 那么检查呢就是我要依照我这个体系建立的要求啊 要去看看我到底有没有按照要求去执行啊 然后在同样呢我还要去看一看 我如果按照要求去执行了 那我的效果怎么样啊 那么是不是就可以有效的抵御大部分的风险啊 那么我c这个阶段啊 那我要对于 有效性对于符合性对于有效性 那我要进行相应的检查 可以通过安全检查呀 通过这个内审啊 通过这种测评啊 通过这样的一些的手段 那么第四个呢 就是C 那么我根据我的检查结果 那我要采取相应的这种应对措施 那我就是已经发现了 我有一些不符合 或者是有效性不足的 这样的一些问题了 那就要进行相应的改进嘛 那么这个呢是PTC的这个模型 那么我们前面也讲了 那么我们建体系 按照体系去运行 我们去做控制 我们的安全也花钱了 那么管理成本也有 那么我们就需要看一看 我们的安全到底有没有什么效果 那么在这里面呢 就有一个安全绩效 那么我们要怎么样去做度量 有两个标准 一个呢就是国际化的标准 ISO 27004 就27000系列的27004 那么还有呢就是NIST它的标准 就是ICT800-55 这两个呢都是和安全度量所相关的 那么对于SP500钢55呢 我们书上也有也讲了啊 那么这个里面呢 包括有几个方面的这个度量啊 那么一个是对于执行过程啊 那么我看看我的过程啊 有没有按照要求啊 那么还有呢 我执行之后呢 那么我对于我的执行效果和效率啊 那么那么还有呢 就是因为我要做我的安全 就我的安全是不能和我的业务相相脱节的啊 我们安全战略是 和我们的一个 依据于我们的业务战略 安全是保障业务的 那要看一看 那么我的安全实施之后 那么对于我业务影响的度量 那么这个呢是和新鲜权度量相关的两个标准 一个是国际化标准 还有一个是NIST SP系列的 那么下面进入一个比较重要的一块内容 就是讲安全策略 下面的安全策略、安全组织 还有这个人员安全这块 都有一些比较重要的概念 那么我们首先看安全策略 那么安全策略呢 首先第一个呢 就是安全策略是要有层次性的 那什么是要有层次性的呢 那么第一个呢 就是我们安全策略是分层的 如果大家还 有印象的话 那么我们那个书上就有一个四层的 或者三层的 那么最顶层的就是方针 我们可以看一下 那么对于方针来说 那么方针它的变化频率是比较低的 那么方针是顶层的 策略中最顶层的 是一个比较宏观的 那么它是信息安全的一个最一般的声明 那么是表明的是对于管理层 对于信息安全承担的一种承诺 那么它实际上是表明了 一个组织对于信息安全的一个态度 那么它会有一些总体的安全的目标 好 我的工作原则呀 还有一些大的 安全的控制要求啊 那么在这里 都是在方针里面都会有 就是会提到我的安全目标是什么 我要保护什么 那么这个呢是 是这个 那么同时呢就是我整个的这个 方针是要管理层要进行审批的 它也是代表了这种管理层的意图 那么同时呢这个 员工是需要知晓的 嗯 那么这个呢是方针 那么对于 可能会问到 那么对于一套体系文件来说 那么方针呢 它解决的是大方向的问题 就大的于安全原则问题 以及方向性的问题 所以它呢 如果你的组织文化没有什么变化 架构没有什么变化 它的业务没有什么变化 方针一般 它是很少变化的 那么所以方针它的变化频率是最低的 这是方针 那么第二呢就是标准 那么我在标准呢 我们是和指南我们两个放在一块去对比的记忆的 那么标准呢 其实就是 就是对于一些管理活动啊 或者一些技术对象啊 他就是怎么样去做 他是会有这种标准 那么这个标准呢就是 对于具体的实现方针啊 方针的一些具体的办法啊 那么标准呢就是强制性的啊 那么他这个和指南是有嗯 有区别的地方啊 这个我们要记下来啊 那么标准的是强制性的 那么指南呢就是建议性的啊 那么这两个呢是 是这个需要对比的啊 对比的就记的啊 他俩的这个差别 那么第三呢就是基线 那么基线呢就是 我要去满足这个安全要求的一个最低级别的安全 安全的这个配置安全的标准 那比如说我会有系统的这种安全配置基线 也就是说我按照我这个去配 可以满足最低的安全要求 就是说 就是已经不能够再低了 就是已经是一个基线了 那么这个呢是这个基线 有的时候题会问到 大家就是最低的安全要求是什么 那就是基线 那么还有一个呢就是程序 那么前面也讲了 那么对于方针来说呢 它的变化频率是最低的 那么对于程序来说 它可能变化频率是比较高的 那么可能会由于我的一些技术改进呀 或者说一些其他的 上了一些比如说技术支撑的一些工具呀 那可能会让我的一些工作的这个流程发生变化 那么这些呢可能是非常常见的 那么所以程序的变化频率是 最高的 那么我们这点也要记下来 那么程序呢 就是我执行特定任务的一些详细的步骤 比如说一些操作手册呀 比如说我们要做备份 那么我们要备份手册 要巡检手册 它就是一些具体执行工作的 那么我们怎样去做一些操作 那么我们一步一步会非常详细的讲解 怎么去做 好 那么我们前面讲的这些 那么我们就要能够区分出来 那么我们的策略确实是分层的 那么我们每一层都有什么 那么他们的特点是什么 那么之间的区别是什么 那么这些就是我们安全策略的层次性 它所要表达的这些 这只是内容 那么这块呢 就说我有一些按照内容来分啊 会有一些不同的这种安全策略 那么第一个呢就是组织性的策略啊 那么这些呢就是嗯也是高层的啊 高层发发布的 你看这里讲的啊就是管理层发布的啊 要一般是委派新先权的责任啊 那么定义这个新先权的目标啊 那需要这个强调这个关注的这种新先权问题啊 那么也是适用于整个组织的啊 组织性的啊 那么通常来说他也是比较比较高 比较高层的啊这样的策略啊 那么还有呢就是功能性的 那么功能性的可能会针对于一些特定的问题 或者说针对于特定的领域 那么这些呢就是一些功能性的策略 那比如说我对于特定的问题呢 可能就是比如说我怎么做访问控制 那么我们怎么做业务连续性 那么怎么做职责分离 那比如说对于特定的技术领域 比如说我的无线怎么管邮件或者互联网安全 这是特定领域的 那么还有呢 就是对于特定系统 那么就可能就是更细化了 那么对于特定的技术 或者是特定的这种领域里面 更细化的一些策略 比如说某某应用 或某某平台的一些策略 其实我觉得到这个层可能会是一些 要么就是一些操作手册方面的 要么就是一些技术标准 那么下面还有一个比较 比较重要的一个概念 那叫采购安全策略与实践 那么这个里面呢 其实就是第一个内容呢 就是供应链的风险与安全控制 那么在这里面就提出了供应链的安全 那么供应链是什么呢 供应链其实就是我的商品 从购买原材料的那时候开始 然后要设计啊 要加工啊 要生产啊 然后要运输啊 然后最后通过一系列的这种环节 然后到了我们消费者的手里面了 那么这中间的整个这个环节 我们都会称为供应链 那么因为它这个随机整个的环节 那么所以呢 在这个环节中各个方面都有可能会遭受到这种网络的攻击 还有操作 那比如说可能会在你的设计 就是设计层面 那么可能最开始设计的时候 你的产品就被植入后门了 那么包括我的制造啊运输啊 那么在运输的过程中 如果我选择了不安全的快递 那么也有可能会对于我的完整性造成了这种损失 那么还有安装啊 维修啊 升级啊 稍后的服务啊 那么像这一些环节 那么都有可能会存在风险 我们都需要进行安全的控制 那么需要 那么就需要我们的组织 对于供应链中的每一个要素 每一个环节都要进行持续的客观的检查 那么进行持续的监控 那么并且对于检查的结果 我们要进行相应的分析 那么确保我们整个供应链的安全 那么在这里面呢 提到的是供应链的这个风险和安全 安全控制这个概念 那么在这里面呢 就说了对于我们的供应商 那么对于我们的供应商 包括我的软硬件的采购的 或者我的服务采购的供应商 那么我们在供应商管理的过程中呢 那么我们都是 也要进行安全的控制 那么对于工资商 那么我们要分成两个 分成三个阶段吧 那么第一呢 就是我在这个工资商的这个任用 就是选择之前 那么我们需要有相应的一些标准 那么我们除了有技术标准之外 那么可能还有对他的内控能力 新鲜血的水平 那么以往有没有在服务的用户中 发生新鲜血的事件 那么增加这样的一些筛选的指标 好 那么在工程商签合同的时候 那么我们可以把第二个和第三个 我们放在一块说 那么我们在工程商签合同的时候 我们一定要签署SLA 那么SLA里面呢 那么一定要有安全的要求 那么包括我的 就是对我进行服务的过程中 要遵守我的这个组织的安全要求啊 包括我的这个 对于我的这个信息的这种保密啊 知识产权的这种防护啊 那么这些安全要求啊 那么一定要在合同里面明确写出来的 那么还有呢 我在合同里面一定要提出 要有保留对于他们检查和审计的权利 那么这些都是我在合同里面 合同里面要约定的 那么然后呢 我要对工资商人员进行安全培训 那么这相当于是我这个合同都已经签署了 我要入场实施了 要进行安全的培训 那么同时呢 我还是要求这些 这些人啊 就是给我服务的一些供应商人员 能够按照我合同的要求啊 满足合同的要求啊 去开展工作啊 那么这个时候呢 我要强调的就是 就是要对他们的行为进行监控啊 就确保他能够按照他们签署的这些要求啊 满足安全要求 那么相当于是我在合同里面 我要把各种安全的要求要写明啊 那么我要把审计的这个权限啊 审计的这种权利啊 要明确 那么在 实施的过程中 那么在我提供服务的过程中 那么我要对他的行为进行监控 那么确保他满足了安全的要求 那包括我的这个服务结束之后 那么我要对他进行相应的这个评价 主要指安全方面评价 那么我的看看他有没有发生过 违反我的安全要求 有没有发生过相应的新现象事件的 这样的一些行为 好 那么这些呢就是我们要避免来自于供应商给我们带来的风险啊 那么我们要对供应商的这个管理啊 包括我的供应链的管理 我的供应商的管理啊 要要进行这个安全的控制啊 那么我除了对于供应商管理之外 那么还要对比如OEM厂商或者是我的供应商下面的这个分销商啊 那么分包商 那么都是要采用相应的这种安全控制措施的 那么在这里面呢 还有一个概念就是这个服务级别 服务级别就是SLA 那我们在签SLA的时候 我们要确保明确了服务水平要求 那么同时呢 我还要提供的就是 比如我的技术是一个什么样的要求 比如我的享用时间 我的备品备件率 我的到场率 那么实际上这些呢 就是技术方面的要求 那么同时呢 我们也要去签订安全的要求 嗯 那么这个里面呢 就是也是一个比较重要的概念啊 就是我们公用链公用商 公用链公用商的安全管理 那么下面呢 我们讲这新鲜权组织 那么新鲜权组织呢 嗯 在这个里面呢 就实际上是讲的是我们一些大的啊 就是大的一个组织框架的主要 主要人主要的这种组成部分 组成成员啊 他们的职责是什么 那么对于一些大的组织框架 那么 包括有高级管理层 那么高级管理层可能包括有董事会啊 那么这些属于高级管理层 那么还有呢就是一些 执行管理层 就是比如说我的CIO啊CSO啊 那么像这样的一些 和我的安全相关的 那么可能还有一些比如说隐私官 有些地方可能还有隐私官 那么还有呢就是一些委员会 那么比如说安全执照委员会 那么其实安全执照委员会呢 其实也可以理解为是我们信心安全的最高的 最高最高决策层啊 最高层啊 那么还有呢就是审计委员会 那么还有呢就是风险管理委员会 那么这些呢就是我的这个新全权组织啊 组织里面的一些比较高层的这些呃 这些成员啊 他都是谁啊 那么他都有什么相应的职责啊 那么我们就分开分别来看 好 那么第一个呢就是说这高级管理层啊 那么高级管理层里面有有几个非常重要的啊概念 有几个非常重要的概念 那么第一个呢就是 全面负责心理安全 是心理安全的最终责任人 那我们有时候可能会做到提问 什么是最终责任人 我们只要最终这个词的时候 我们可以看嘛 有董事会选董事会 要么选高管 要么选安全指导委员会 那么其实呢 比如说对于数据 那么数据我们后面也会讲 那么数据呢 其实是由数据的所有者 他确定数据的级别呀 去把数据进行安全防护了呀 那么只要是提到有这个最终这个词 那么一定是高管的职责 所以呢第一个呢也是标上了红旗 那么就是全面负责新鲜权 是新鲜权的最终责任人 那么下面就是还有一些呢 就是说就是委派新鲜权 責任 其實新鮮權嘛 人人有責 可能每個人身上都有新鮮權的職責 比如你建設有建設的安全職責 運維有運維的安全職責 包括我的資產管理 我的外包管理 工商管理 可能都有安全的職責 那麼這些呢 可能在組織的方方面面 那麼 就是所以说呢 对于全组织的安全责任的委派 那么肯定是高级管理层的 那么还有明确目标方针 那么对于我的这个安全提供相应的资源 包括有人呢 提供人的资源啊 钱的资源啊 那么提供资源 还有呢就是 重大的事项做出决策 那就是一些比如大的新鲜圈事件怎么处理 大的安全方案 那么这些呢都是主于重大的事项 那么都是由高级管理层他要去进行决策的 那么高级管理层呢一般其实就包括比如说 你的董事会成员啊 一些企业的高管啊 这些是高级管理层啊 那么它其实和下面那个委员会 它区别在什么地方呢 它可能还是那拨人 那只不过下面这个呢 可能是它的一个虚拟的组织 比如说我进行安全管理的时候 那我可能就安全管理委员会 那我做全面风险的时候呢 可能是全面风险委员会 上面我们可以认为是实体的 下面这些委员会可以认为是虚拟的 那么这个呢首席信息官CIO 那么CIO呢它就是公司日常的这个技术运营 这是CIO 那么还有呢就是这个CSO 那么CSO呢它就是 其实呢它是 嗯 管的是大安全 比如说除了信息安全之外 可能还有一些人身的安全 什么物理的安全 一些什么消防 什么这些 其实就是大安全的范畴 包括我的什么员工上下班的路上的安全 这大安全的范畴 那么其实还有一个CISO 就是我们的首席信息安全官 我们的信息安全官 那么在这里面呢 我们其实也提到的是一个首席信息安全官 他的一个职责 那么他实际上就是说 对于我的安全的这个领域 那么他需要进到他 他一些职责 可能就包括要保证我的这个业务资产 得到妥善保管 是一个内部的这个安全协调的这个责任 这个角色 那么要理解组织业务目标 引导风险管理过程 要确保这种业务和这个可接受风险之间达到平衡 那么这些呢都是首席安全官 他首席安全官呢 他可能在公司的地位比较高 那么可以进行内部的这种协调和促进 他的具体的一些工作 那么就是比如做预算 然后开发一些相应的标准 新鲜血意识的这个程序 参与管理会议 然后协调内外部审计 那么这个呢是CISO 啊 在下面看的就是安全指导委员会 那么安全指导委员会呢 其实我们如果要是服务于央企 或者说是在央企工作的 那么我们就知道 那么我们都会成立这种新先权管理委员会 或新先权领导小组 那么一般成员呢 就是包括我的公司领导 就是主管领导 那么还有呢 就是各个部门的这种主要负责人 嗯 那么还有呢需要你定期开会议 其实也不一定是每个季度啊 可能我们的书上要求的严格一点啊 那么其实定期开会议 其实就是要对于我们的新先权的这种事项啊 要定期进行审议 那么还有呢就是就是我的这个 开指导委员会的这个职责 那么其实就是其实就是新先权决策层的职责啊 比如确定目标啊 然后确定我的利用风险可接受级别 然后就是审议重大的这种安全违规和事故 然后审批安全的策略 那么审查风险评估审计报告 那么这些呢就是我们一般定义的新前缺决策层 新前缺决策层他的这个工作 他的这个工作职责 那么还有呢就是审计委员会 那么审计委员会呢 其实就是公司的这种全面审计 那实际上是以这种财务啊 什么运营啊 什么采购啊 像这些为主的 那么现在呢就是 对于因为很多的业务呢 都是由IT系统进行支撑的 那么所以我们在进行审计的时候 也包括有IT的审计 那么这些呢就是审计委员会 那么还有呢就是风险委员会 那么风险委员会呢 其实我们无论是央企也好 银行也好 那么银行可能是更突出的 那么它都会有一个部门是主管全面风险的 那么这里的风险管理委员会呢 它也是强调的是这个全面风险管理 那么全面风险管理呢就包括有一些 比如说技术风险呀 运营风险呀 财务风险呀 啊 然后包括有一些呃组织的架构的规划的等等啊 就全面的企业全面的风险啊 那么其中呢 也包括it的风险啊 那么我们新前选的风险也属于it风险的其中的一个领域啊 那么这个呢 就是我们在进行啊 全面风险管理啊 管理会有一个风险管理委员会啊 那么其中呢 新前选的风险也是属于全面风险的其中的一个部分啊 那么我们 嗯 在做风险管理的时候 那么我们也是要把我们新鲜群的风险降到可接受的范围的 那么这个风险管理委员会 它是不仅仅是管IT的 那么是全面的 下面讲的安全计划 那么安全计划其实我们可以理解 如果长期的话呢 就是安全规划 那么可能我也有一些年度计划 那么实际上提到这个概念呢 就是说我们在做新天权工作 或者我们在做新天权建设的时候 那么我们是要按计划行事的 那么实际上我们这个计划来源于什么呢 实际上就是比如说我们要做整体的规划 整体的规划呢 一般会涉及到比如三到五年的时间 嗯 那么这三到五年的时间 我们应该去想一想 那么我们的安全怎么做 那么 那么这个呢就是可以理解为一个长期的 那么可以来源于我们的这个未来的发展呀 根据我们的这个目前的问题呀 那么导出我们的建设需求 那么根据难易度啊 根据一些任务的偶合性啊 根据一些紧迫程度啊 那么我们会看看今年做什么 明年做什么 那么我们的安全规划一般是从上而下这么驱动的 那么我们可以看一下 那么我们会包括有一些 我刚才说的啊 就战略计划 会是长期的 那么在组织的一定的这种组织的这种 它的这个使命和这个目标业务方面的确定之后 那么我们会 就是根据它的这个业务目标 制定我们的这个IT和新鲜权的这种目标和规划 那么是战略规划 那么还有呢就是战术规划 那么战术规划呢 就是中期的啊 比如说我们明年啊 2018年啊 那我的我的安全计划是什么 那么这这些啊 就是中期的 那么还有呢 就是短期的啊 那么可能就是一切样具体的工作 或者说是呃 就是时间非常短的啊 频率需要更新的非常快的啊 比如说每月的安全计划啊 系统部署计划 或者是安全培训计划 啊 那么这个呢就是 就是实际上就说无论是长期的 中期的或者说是短期的 那都是说我们要按计划行事 我们要根据我们事先确定的工作 按部就班的进行 那么在这里面也提到 就是说我这些不同的这些计划 那么它是由不同的人 他去定的 那比如说我的高层 那么可能会定一些比较高层的 比如方针这样的 那么中层的 他是来负责去这个完成 就是 就是把我的这些安全策略啊 要变成啊 要变成这种标准呀 下面可可供执行的啊 这样的这样的一些一些一些内容啊 那么还有业务经理和安全专家啊 他要是要负责实施啊 那么最终用户呢 他是要去遵守的啊 那么实际上也是说明了啊 那么我们新鲜权 他是人有责的啊 即便是你只是一个 系统的使用者啊 那他也是有使用者的责任的啊 那么我确保我使用的这个系统 我使用的这种设备终端啊 确保他们的安全啊 那么这个呢是这个安全计划 那么下面一部分呢 讲的是这个人员啊 人员安全啊 那么这里面呢 也有一些非常重要的这个知识点啊 那么第一个呢 就是这些人员的职责啊 那么这个 嗯 首先我们就提到这个数据所有者的这个概念 那么数据所有者的这个概念呢 第一呢我们要知道 我们IT 咱们可能作为IT部门的人员 他们可能日常的工作就是要进行 数据的这种安全的这种防护 但是我们不是数据的所有者 我们要知道 它是业务部门 就是比如说 对于 嗯 对于这个综合办公系统 那么综合办公系统 它的所有者是谁 里面的数据所有者是谁 那它就是一般央企的那种办公厅 或者综合部门 就是它是业务部门 比如说我的财务管理系统 那么它里面的数据就是财务部门 那么所以呢 它这里面有几个 有一个概念就提到的 就是说它是一个业务角色 而不是技术角色 那么数据所有者 它所 对应的就是管理这个 那么对于自己部门的信息 他的保护是负最终责任的 就是如果没有高管 是谁对他负最终责任 如果有董事会 有什么管理委员会 但是我觉得可能一般不会混淆大家 让两个放在一块去选的 但是对于信息安全的最终责任 那我们可以去到处去看一看 再过几周吧 我们开始做题的时候 大家一定是可以看到这样的题的 那么对于数据所有者 那他的职责是什么呢 他的职责就是第一决定数据的分类 其实这里说的主要还是分级 就是根据级别的不同 我要去定义不同的安全需求 备份需求 那么所以呢他又是我数据要怎么防护 防护到什么级别 那么这些呢就数据所有者他去定义的 那么还有呢就是说谁能访问谁不能访问 对于授权 那么权限的管理 那么我可能真正去授权的这件事 可能不是数据所有者去做 但他要去定义 他要来决定 那么我的这些业务功能 谁可以访问 谁是不可以访问的 那么这个数据所有者的概念 那么这个概念是非常重要的 下面呢是数据管理员 那么数据管理员就是讲到了啊 那前面数据所有者已经对数据进行分级了 每一个级别的安全需求都已经定义出来了 那么数据管理员呢就要按照这个数据所有者 他提出来的安全需求 那么他要去实施 那么这个呢是数据管理员 他是一个IP部门的角色 那么这是他的这个职责 比如说定期进行备份呢 那么定期进行 验证啊 定期要还原恢复数据啊 那么他呢 要具体实现的 那么具体实现公司 关于新鲜权数据保护的策略标准 和指导原则 这个数据管理员 他是一个IT部门的 这么一个角色 那么还有呢就是系统所有者 那么在这里面讲到的这种系统所有者呢 他就是负责维护的 负责将一个或多个系统 就是要保证每个系统 对于里面的那种安全 安全的这个性 他要去保障的 然后确保这种系统脆弱性得到评估 确保实施了足够的安全控制措施 那么他应该也是一个IT的这个角色 嗯 就他是负责应该是负责维护 负责维护确保他的安全性的 那么还有呢就是新鲜权管理员 那么新鲜权管理员呢 他就是要实施监控执行这种安全的规定和安全的制度 那么这安全管理员 那么他呢就要向安全委员会或者是新鲜权官进行安全相关的这样的一个汇报 这是安全管理员 那么审计 那么审计呢 其实从这个审计的这个角色来说呢 它实际上是可以理解为是一个 就新鲜权体系的体系外的这么一个角色 那么它其实呢 就是站在体系外 要去看这个体系 它有没有按照要求去执行 就它的符合性够不够 那么还有呢 就是以体系外的这么一个 这个眼光去审视整个这个体系的建设 那么它的安全控制措施 对 部署的是不是充分 是不是有效 那么它就是一个审计 就审计相当于是 以体系外的这么一个角度 去看待我们体系的建设 去看看它的这个执行性怎么样 有效性怎么样 可以理解为是一个独立的 独立的这么一个部门 对于一个大型的企业来说 或者银行 比如说你的审计师 就有可能是审计部门 那么审计部门的人员 他来去承担 那么还有呢就是说我们建体系啊 那我们的体系可能有内审啊 我们有内审 但实际上我们在做体系的内审的时候啊 那么我们也是要保证它独立性的啊 比如说我们不同的部门可能都是内审员啊 那么可能可能我们在审核的时候 我们要交叉审核 就是你自己不能审自己的工作啊 他们目标其实也是以一种啊 就是第三方的这么一个角度啊 那么去审审视我们的安全体系啊 安全分析员 安全分析员其实就是 就是我们要进行安全数据的分析 就是我们有很多的安全设备 安全设备安全事件 那么我们需要有这种安全分析的这么一个角色 那么他还有就是要帮助的管理者 制定策略标准和指南 那么他实际上是在一个设计层面的 安全分析员 那么还有呢就是最终用户了 那么最终用户呢 他是应该 我刚才也提到了 那么他仅仅是一个用户 他应该有安全意识 遵守安全的制度要求 那么要恰当的使用系统 那么满足我的相应的密码强度 保证我的使用设备的安全 遇到安全事件之后呢 我就要上报 那么这些呢 就是我的人员相应的职责 那么其中对于数据所有者 这个角色 那么大家在 仔细的看一下 那么在人员的录用 那么人员录用呢 就是包括有背景检查 包括有签署 签署保密协议 那么人员在职 那么在职过程中 那么这几个都很重要 第一呢就职责分离 那么职责分离呢 就是说医会有一些敏感的工作 那么需要有同志人来承担 那么就是 比如说会计和出纳 那么再有一些是一个负责录录 一个负责检查 一个负责最终确认交易 比如说安全操作和审计 这些都是需要职责分离的 那么在这里面还是会提到 比如说一些小型的系统 比如说真的数据库管理员和 操作系统的管理员 如果是一个人承担 那也没有办法 因为他没有那么多的人 但是一定要加成事后的审计 第二呢就最小特权 最小特权就是说分配给这个人 他的工作所需要的最小权限 那么还有呢就是工作轮换 那么工作轮换呢就是说 一个岗位这个人只工作一段时间 那么工作一段时间之后就轮换到另外一个岗位 那么他的这个好处呢就是有利于发现这个欺诈的行为 还有呢就是强制休假 那么强制休假和工作 就是工作轮换有一点类似啊 就是他也是敏感部门的人 他要定期要进行休假的啊 因为他休假之后呢 就会有其他的人去顶其他的工作岗位去工作 那么这个时候呢 就是有可以有效的啊 就发现欺诈 出去修改一些资源滥用的一些行为啊 那么还有一个呢 比如说说到职责分离啊 那么职责分离呢就是 就是它是解决了一个问题 那么就是敏感的工作 由不同的人去完成 那么同时呢 它又引发了另外一个风险 就是合谋的风险 那比如说一个单位 这会计和这个出纳 就已经熟得不得了了 他们俩就显然都是好朋友 那他一定是可以合谋的 那么所以呢 也会有这个 就存在这种工作轮换 就是不允许你有机会进行合谋 对于在职人员的控制 那么人员离职的控制 那么这些就是说 很重要的一点 就是访问权限的禁用 那么还有呢 这里面没有提到的 就是我在在职的过程中 可能会涉及到岗位的变化 那么我在岗位变化的过程中呢 那么我一定也要强调 就是我在岗位变了 我的权限一定要变 这样会防止这个权限蔓延 那么不能说是我的 我到新岗位 我的新的权限 给我了 但是我以前的权限也没有取消掉啊 那么我换了几次岗位之后 那估计我们公司的所有的权限我们都有了 啊那这是不对的啊 那我在岗位变动的时候 我要有资产的变动啊 你要有账号和这个权限的变动 那么还有呢就是对于第三方人员的控制 那么第三方人员啊 其实也是按照我们员工来对待的 那么大家可以看一下 就是要有保密协议 要有监控 要这个不在场的时候 要接入我们的系统 一定要进行身份验证 那如果在场的话 在场的话呢 其实就等同于员工 可能会比员工的控制还要严格 也要做背景调查 如果离场的时候 也要收回相应的权限 要增加这种相应的保密条款 要签保密协议 那么对于人员安全这块呢 还有一个重要的内容 就是我要做意识培训和教育 那么在这里面呢 我们就知道教育 教育其实就是一些更高一些层次的 然后培训呢就针对一些具体的技能 就是对一些具体的工作怎么样去做 那么这是培训 那么还有意识 意识就是针对于应对于社会工程学 那么需要有泉源 都需要有的这样的一些安全意识 就是一般 就是安全意识提升 也是会有效的防范风险 比如说那些钓鱼游舰啊什么的 那么他们的 他们的这个 就是要靠这个安全意识 提升安全意识才能够解决的 那么这个呢是第二个大部分 那么第二个大部分呢 主要就是 重要的内容其实就是策略啊 包括有策略就策略这块啊 然后包括组织啊 就组织里面的这些角色 这些角色里面的一些职责啊 还有呢就是人员啊 那么人员这块也是有啊 包括人员人员不同的这些角色啊 数据所有者呀 管理者呀 系统所有者呀啊 他的一些职责啊 包括人员在使用的过程 就是在录用的过或者工作的过程中 一些安全控制 主要是在职过程中的这些安全控制 职责分离工作轮换强势休假 像这样的 我们先休息一会儿 休息十分钟 我们 九点吧 九点回来 我们九点回来讲后面的 部分