第一章-信息安全治理与风险管理

信息安全治理与风险管理分为以下几个部分：

1、 信息安全管理基础

2、 安全管控框架与体系

3、 安全策略

4、 安全计划

5、 信息分类

6、 风险管理

7、 责任分层

8、 人员控制

9、 安全意识、培训和教育

10、 BCP 业务连续性

11、 法律、道德、合规

信息安全管理基础

1. 信息安全基本原则

机密性(confidentiality）：确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体

完整性(integrity)：1. 确保信息在存储、使用、传输过程中不会被非授权篡改；2. 防止授权用户或实体不恰当修改信息；3. 保持信息内部和外部的一致性

可用性(availability)：确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息。

相反三元组DAD ：泄漏(Disclosure)；篡改(Alteration)；破坏(Destruction)

信息安全CIA 控制措施：

机密性：数据加密（整个磁盘、数据库加密）；传输数据加密（IPSec 、SSL 、PPTP 、SSH ）；访问控制（物理和技术控制）

完整性：哈希（数据完整）；配置管理（系统完整）；变更控制（过程完整）；访问控制（物理和技术控制）；软件数字签名；传输CRC 检验功能

可用性：冗余磁盘阵列（RAID ）；集群；负载均衡；冗余的数据和电源线路；软件和数据备份磁盘映像；位置和场外设施；回滚功能；故障转移配置

2. 安全管理和支持控制：

管理性控制

开发和发布策略、标准、措施和指导原则

风险管理

人员的筛选

指导安全意识培训

实现变更控制措施

逻辑性控制（技术性控制）

实现和维护访问控制机制

密码和资源管理

身份标识和身份验证方法

安全设备

基础设施配置

物理性控制

控制个人对设施和不同部门的访问

锁定系统

去除必要的软驱和光驱

保护设施的周边

检测入侵

环境控制

3. 信息安全管理:

技术

信息安全的构建材料

管理

真正的粘合剂和催化剂

三分技术，七分管理

4. 信息安全管理模型:PDCA

计划，Plan

根据风险评估结果，法律法规要求、组织业务，运作自身需要来确定控制目标与控制措施

实施，Do

实施所选的安全控制措施。提升人员安全意识

检查，Check

依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查

措施，Action

针对检查结果采取应对措施，改进安全状况

5. GRC-治理、风险与合规

安全管控框架与体系

1. 信息及相关技术控制目标 IT 内部控制，Cobit

Cobit 解决“实现什么”，ITIL 解决“如何实现”

源于COSO 框架，Cobit 是IT 治理框架

Subtopic

《内部控制-整体框架》，COSO 企业内控管理框架

定义了满足财务报告和披露目标的五类内控要素

控制环境

风险评估

控制活动

信息与沟通

检测

很多组织应对SOX404法案合规性的框架

公司治理模型

2. IT 服务管理，ITIL

ITIL 是可定制IT 服务管理框架

信息技术服务管理标准和最佳实践框架

五大过程

服务战略

服务设计

服务交付

服务运营

持续改进过程

3. 信息安全管理，

ISO27001

源于BS7799，BS7799-1对应ISO27002，BS7799-2对应ISO27001

信息安全方面的最佳惯例组成的一套全面的控制集

2013版，14个域

4.

5.

6.

7.

8.

9.

10.

11.

12. Zachman ，TOGAF 企业框架 SABSA 安全机构框架 安全控制参考，NIST SP800-53r4 2014年关键基础设施安全控制框架：NIST CyberSecurity Framework CMMI 软件开发管理 PMBOK ，Prince2项目管理 Six Sigma，业务流程管理 ISO38500，IT 治理 ISO22301 业务连续性管理

安全策略

1. 类型

规章性策略

1) 用于确保组织机构遵守特定的行业规章建立的标准

2) 一般比较详细，针对专门的行业

3) 适用于包厢机构、卫生保健机构、公共设施和其他政府性控制的行业

建议性策略

1) 用户强烈推荐雇员在组织机构中应该采取的某些行为和活动

2) 对于不遵守的行为进行了相关规定

3) 用户医疗信息处理、金融事务或机密信息处理中

指示性策略

1) 告知雇员的相关信息

2) 非强制性策略，指导个人与公司相关的特定问题

3) 适用于如何与合伙人打交道、公司的目标和任务。

2. 内容侧重点

组织性策略

1) 由高级管理层发布，描述并委派信息安全责任，定义CIA 的目标，强调需要关注的信息安全问题

2) 适用于范围是整个组织

功能性策略

1) 特定问题策略，针对特定安全领域或关注点，例如访问控制、持续性计划、职责分离等

2) 针对特定的技术领域，如互联网、电子邮件、无线访问、远程访问等

3.

4.

5.

6.

7.

8.

3) 依赖于业务需要和可接受的风险水平 4) 内容包括特定问题的阐述，组织针对该问题的态度、适用范围、符合性要求，惩戒措施 特定系统策略 针对特定技术或操作领域制定的更细化的策略，如应用或平台 方针 信息安全最一般性的声明 最高管理层对信息安全承担责任的一种承诺 说明要保护的对象和目标 标准 建立方针执行的强制机制 指南 类似于标准，加强系统安全的方法，他是建议性的 基线 满足方针要求的最低级别的安全需求 程序 执行特定任务的详细步骤 程序则是对执行保护任务时具体步骤的详细描述（HOW ） 采购安全策略与实践 供应链风险与安全控制 硬件、软件与服务采购 1) 制定安全基线，明确采购的产品和服务的最低安全要求 2) 对供应商人员进行安全培训 3) 制定供应商安全管理策略，定义通用的安全控制方法 4) 增加对OEM 厂商、分销商和集成商的控制 5) 对供应商网络安全风险进行审计 最低安全要求与服务级别需求 通过SLA 明确服务水平要求和最低安全要求 全管理计划应该自上而下 类型 战略计划， strategic plan 长期计划，例如5年，相对稳定，定义了组织的目标和使命 战术计划， tactical plan

中期计划，例如1年

对实现战略计划中既定目标的任务和进度的细节描述，例如雇佣计划，预算计划等

操作计划， operational plan

短期的高度细化的计划，经常更新

每月或每季度更新，例如培训计划，系统部署计划等 ● 安全计划

● 信息分类

目的：说明需要为每种数据集设定的机密性、完整性和可用性保护等级

根据信息敏感程度，公司采取不同的安全控制措施，确保信息受到适当的保护，指明安全保护的优先顺序

商业公司

公开

敏感

私有

机密

军事机构

非机密

1.

2.

3. 敏感但非机密 秘密 机密 绝密 风险管理 概念 识别并评估风险、将风险降低至可接受水平、执行适当机制来维护这种级别的过程 100%安全的环境是不存在的，风险管理是收益/成本，安全性/可用性之间的平衡 相关要素 1) 资产：对组织具有价值的信息资产 2) 威胁，可能对资产或组织造成损害的某种安全事件发生的潜在原因，找到威胁源 3) 脆弱性 也成漏洞或弱点，即资产或资产组中存在的可被威胁利用的弱点，弱点一旦被利用可能对资产造成损害 4) 风险 特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性 5) 可能性 对威胁发生频率的定性描述 6) 影响 后果，意外事件给组织带来的直接或间接的损害或伤害 7) 安全措施 控制或对策，即通过防范威胁、较少弱点，限制意外事件带来影响等途径来削尖风险的机制、方法和措施 8) 残留风险 在实施措施之后仍然存在的风险 风险分析

1) 目标

标识资产和他们对组织机构的价值

识别脆弱性和威胁

量化潜在威胁的可能性及其对业务的影响

在威胁的影响和对策的成本之间达到预算的平衡

2) 方法

NIST SP800-30和 SP800-66

定性RA 方法

1，系统分类；2，弱点识别；3，威胁识别； 4，对策识别；5，可能性评估；6，影

响评估； 7，风险评估；8，新对策推荐；9，文件报告

OCTAVE

一种基于信息资产风险的自主式信息安全风险评估规范，强调以资产为驱动，由3

各阶段、8个过程构成

CRAMM

基本过程：资产识别和评价；威胁和弱点评估；对策选择和建议

FRAP

一种定性的风险评估过程，以对风险评估方法的各个方面和变化形式进行测试

STA

创建一个系统可能面临的所有威胁的树，树枝可以代表诸如网络威胁、物理威胁、组

件失效等类别，进行RA 时，需要剪除不用的树枝

FEMA

源自硬件分析。考察每个部件或模块的潜在失效，并考察失效影响

对比：NIST 和OCTAVE 方法关注IT 威胁和信息安全风险分析， AS/NZS4360则采取了一种

更为广泛的方式进行风险管理。 AS/NZS适用于公司的财政、资本、人员安全和业务决策风险。也可以用于风险安全分析，但并非专门为针对这个目标设计。

3) 定量风险分析

定量风险分析会尝试为风险分析过程的所有元素都赋予具体的和有意义的数字

包括：防护措施的成本、资产价值、业务影响、威胁频率、护措施的有效性、漏洞利用的可能性等。

风险分析步骤

为资产赋予价值

估计每种威胁的潜在损失

针对每种资产和威胁计算的单一损失期望（SLE ）

执行威胁分析

计算年发生比率（ARO ）

计算每种威胁的潜在年度损失

每种威胁计算年度损失期望（ALE ）

减轻、转移、避免和接受风险

风险计算

事件发生的频率：ARO （年发生比率）

威胁事件可能引起的损失：EF （暴露因子）

定量计算过程

识别资产并为资产赋值

评估威胁和弱点，评价特定威胁作用于特定资产所造成的影响，即EF （0%～100%）

计算特定威胁发生的次数（频率），即ARO

计算资产的SLE

SLE （单一损失期望）=（资产价值）×EF （暴露因子）

计算资产的ALE

ALE （年度损失期望）=SLE（单一损失期望）×年度发生率（ARO ）

4) 定性风险分析

考虑各种风险可能发生的场景，并基于不同的观点对各种威胁的严重程度和各种对策的有效性进行等级排列

定性分析技术

判断、最佳实践、直觉和经验

收集数据的定性分析技术

群体决策方法，delphi

调查问题卷

检查

访谈

5) 定性和定量方法对比

定性方法及结果相对主观

定性方法无法为成本/效益分析建立货币价值

定量方法需要大量的计算，实施比较困难

4. 风险分析过程

识别信息资产

识别每项资产的拥有者、保管者和使用者

建立资产清单，根据业务流程来识别信息资产

信息资产存在的形式

电子数据：数据库和数据文件、用户手册等

书面合同：合同，策略方针，归档文件，重要商业结果

软件资产：应用软件、系统软件、开发工具、软件程序

实物资产：磁介质、电源和空调、网络基础设施、服务器等

人员：承担特定只能和责任的人员或角色

服务：计算和通信服务、外包服务，其他技术性服务

组织形象与声誉：无形资产

评价信息资产

评价因素

受损后造成的直接损失

资产恢复需要的代价，包括检测、控制、修复的人力和物理

组织公众形象和名誉损失，竞争优势损失

其他损失，如保险费用的增加

根据重要性（影响或后果）来划分资产等级，同时考虑保密性、性和可用性的受损可

能引发的后果

识别和评价威胁

一项资产可能面临多个威胁，一个威胁也可能对多个资产造成影响

识别威胁源

人员威胁

系统威胁

环境威胁

自然威胁

评估威胁可能性是要考虑威胁源的动机和能力因素

识别和评估弱点

针对每个资产可能被利用的弱点

技术性弱点

操作系统弱点

管理型弱点

识别途径

审计报告、实践报告、安全检查报告、系统测试和评估报告、自动化漏洞扫描工具和

渗透测试

资产、威胁及弱点关系

风险评价

风险影响（Risk impact）

风险可能性（probability ）

现有控制措施的考虑

从针对性和实施方式来看

管理性

安全策略、风险管理程序

技术性

包括操作性和技术性措施

逻辑访问控制、日志审计、加密、身份识别、物理和环境安全策略等

物理上

基础环境控制，视频监控、CCTV 等

从功能上看

威慑性 (Deterrent)

防止威胁的发生

预防性 (preventive)

保护系统较少弱点

检测性 (Detective)

即使发现安全弱点

纠正性 (corrective)

减小造成的影响

风险处置策略

风险处置方法

减低风险 (Reduce Risk)

减少威胁：实施恶意代码控制措施

减少弱点：通过安全意识培训，强化安全操作能力，降低影响：灾难恢

复计划和业务连续性计划，做好备份

规避风险 (Avoid Risk)

转移风险 (Transfer Risk)

接受风险 (Accept Risk)

风险控制措施选择对策

成本/效益分析

基本原则：实施安全措施跌代价不应该大于所要保护资产的价值

对策成本：购买费用，对业务效率的影响，额外人力物力，培训费用，

维护成本费用等

控制价值：实施控制之前的ALE-控制的年成本-实施控制后的ALE

约束条件

时间约束，技术约束，环境约束

法律约束，社会约束

防护措施基本功能和有效性

评价残留风险

实施安全控制后残留或残存的风险

残留风险Rr=原有风险R0-控制效力R

残留风险

计算方法1

威胁×脆弱性×资产价值=总风险

计算方法2

总风险-对策=剩余风险

责任分层

1. 高级管理层

决策层或高级管理层全面负责信息安全，是信息安全的最终负责人。

规划信息安全，确定目标优先次序，委派信息安全责任

职责：

明确信息安全目标和方针为信息安全活动指引方向

为信息安全活动提供资源

重大问题做出决策

协调组织不同单位不同环节的关系

最终责任人

2. 信息安全专家

即信息安全官或CSO ，受高级管理层委派（通常向CIO ）负责实施和维护安全

设计、实施、管理和复查组织的安全策略、标准、指南和程序

协调组织内部各单位之间所有的与安全相互的交互

3. 首席信息管，CIO

监督和负责公司的日常技术运营

4. 首席信息安全官，CSO

确保业务信息资产得到妥善保管

扮演内部信息安全协调和促动的角色

需要理解组织的业务目标，引导风险管理过程，确保业务操作和可接受风险之间达成恰当的平衡

职责：

为信息安全活动做预算

开发策略、程序、基线、标准和指南的开发

开发安全意识程序

参与管理会议

协助内部和外部的审计

5. 信息系统安全指导委员会

企业内部的战术和战略安全问题做出总体据测，不可以与业务部门有联系

至少每季度召开一次会议

职责：

定义组织机构的可接受风险级别

确定安全目标和找略

根绝业务需求决定安全活动的优先级

审查风险评估和审计报告

监控安全风险的业务影响

审查重大的安全违规核事故

批准安全策略和计划的任何重要变更

6. 安全审计委员会

由董事会任命，帮助其审查和评估公司的内部运作、内部审计系统以及财务报表的透明度和准确性。

职责：

公司财务报表以及前天财务信息的完整性

公司的内部控制系统

独立审计元的雇佣和表现

内部审计功能的表现

7. 安全策略委员会

由高级管理层选择出的负责制定安全策略的组织

通常由高层管理者承担这个责任

可以针对整个组织，也可以是针对具体问题或具体系统而制定

8. 风险管理委员会

从整体上了解该组织索面的的风险并且协助高层管理者把风险降到可接受的程度。

研究整体的业务风险，而不仅仅是IT 安全风险

9. 安全委员会

成员来自：高级管理层代表、IT 管理者、业务和职能部门负责人、信息安全官等

决策并批准安全相关事务、策略、标准和指南

人员安全控制

1. 人员职责分层

数据所有者

负责管理某个业务部门，对特定信息自己的保护和应用负最终责任

具有“适当关注”责任

职责：

决定数据的分类

定义每种分类的安全需求和备份需求

定义用户访问准则

业务角色而非技术角色

数据管理员

IT 或安全部门的角色

职责

执行数据的常规备份

定期验证数据的完整性

备份截至还原数据

实现公司关于信息安全和数据保护的信息安全策略、标准和指导原则

系统所有者

负责一个或多个系统，每个系统可能保存并处理由不同数据所有者拥有的数据

负责将安全因素集成到应用程序和系统中

评估系统脆弱性

采用足够的安全措施保证系统安全

安全管理员

负责实施、监视和执行安全规定和策略

向安全委员会和信息安全官报告

信息系统审计师

检查系统，判断是否满足安全需求以及安全控制是否有效

数据分析员

2. 人员录用控制

背景检查

减少风险、减少招聘成本、减低员工的流动率

技能考核

保密协议

保护公司敏感信息

3. 人员在职控制

职责分离

不应该有人从头到尾的完全控制一项敏感、有价值、或关键的任务

目的：较少欺诈或事务的机会

最小特权

分配职责所需的最小权限

知所必需

工作轮换

不允许某个人过长时间担任某个固定职位，避免个人获得过多的控制

设置人员备份，有利于交叉培训，有利于发现欺诈行为

Subtopic

强制休假

强迫敏感部门人员休假，可以有效发现欺诈、数据修改和资源滥用等

4. 人员离岗控制

离职人员访问权限的禁用

回收具有身份识别的物件

5. 供应商与第三方人员控制

1) 如果第三方人员不驻场，但拥有管理员权限，应当与第三方组织和个人均签订保密协议；

2) 监控第三方的所有工作行为

3) 在接入时，确保对第三方人员的身份进行验证

4) 如果第三方人员驻场，并拥有管理员权限，应当在上述措施的基础上，增加人员背景调

查

5) 第三方人员离场，需要收回相关的权限

6) 在与第三方的合同条款上，增加保密要求，和相关的商务条款

安全意识培训和教育

必须自上而下驱动

雇员必须意识到保护组织的信息资产；操作者必须经过培训，以便掌握安全履行职责的技能；安全实践者应该接受教育，以便实时和维护必要的安全控制。

意识，Awareness

组织员工对安全和安全控制重要性的一般行的集体的意识

方式：视频，媒体，海报等

“是什么”

传递信息

培训，Training

传授安全相关工作技能，主要对象为信息系统管理和维护人员

方式：实践性指导，讲座，个案研究，实验

获取知识

“如何做”

教育，Education

为安全专业认识提供工作所需的专业技技术。

方式：理论性指导，研讨会、阅读和学习，研究

安全见解

“为什么”

业务连续性

BCP/DRP概述

什么是灾难

突发的，导致重大损失的不幸意外事件。

包括：

突发的，导致重大损失的不幸意外事件。

自然灾害，如地震、洪水、自然火灾，火山爆发、强对流天气

系统/技术的，如硬件、软件中断，系统/编程错误

供应系统，通讯中断，配电系统故障，管道破裂

人为的，爆炸，火灾、故意破坏、化学污染、有害代码

政治的，恐怖活动，骚乱、罢工

机构的灾难：

对于机构来说，任何导致关键业务功能在一定时间内无法进行的事件都被视为灾难。

特点：

计划之外的服务中断

长时间的服务中断

中断无法通过正常的问题管理规程得到解决

中断造成重大的损失

2个要素：

中断所影响的业务功能的关键程度

中断的时间长度

灾难恢复计划，DRP

往往更加关注IT 信息技术

灾难恢复目标

将灾难造成的损失减低到最低程度

采取必要的步骤保证资源、人员和业务流程尽快恢复运作

业务连续性计划，BCP

从更加长远的角度来解决问题，主要为长期停产和灾难事件提供方法和措施

BCP 应该与是机构的业务目标一致，是整体决策的一部分

BCP 应该是机构安全项目的一部分，并与安全项目的其他内容相协调，规模较小的机构，可以是机构安全计划的一部分，在大型机构安全架构可能会包含BCP 的概要，详细内容包含在文档中记录。

业务连续性目标

内容：

针对紧急情况采取快速、准确和可度量的响应

既定时间范围内回复机构的关键功能

减少事件造成的损失

记录明确的恢复规程

提供恢复所需的资源和联络清单

实现对恢复规程进行测试、培训恢复团队

记录关键记录和信息的存储、保护和获取规程

遵循法律、法规和行业的规范要求

NIST 业务连续性步骤

制定连续性规划策略声明

执行业务影响分析（Business impact analysis，BIA ）

确定预防性控制方法

制定恢复战略

制定应急计划，进行培训和演练

测试业务连续性计划

维护业务连续性计划

BCP 项目规划

BCP 相关标准

《信息安全技术信息系统灾难恢复规范》GB/T20988-2007

《信息技术(IT)系统应急计划指南》NISTSP800-34

新加坡金融管理局业务应急计划指导方针

BCP 项目规划关键活动

1) 确定BCP 需求，可以包括有针对性的风险分析以识别关键系统可能的中断

2) 想管理层推销BCp 理念，获得管理层支持

3) 了解相关法律、法规、行业规范以及机构的业务和技术规划的要求，以确保BCP

与其一致

4) 任命BCP 项目负责人，建立BCP 团队，包括业务和技术部门的代表

5) 制定项目管理计划书，其中应明确项目范围、目标、方法、责任、任务以及进度

6) 确定手机数据所需的自动化工具

7) 向管理层提交项目规划和状态报告

BCP 项目负责人

业务连续性协调人作为BCP 项目负责人全面负责项目的规划、准备、培训等各项工作

工作任务：

1) 计划的开发团队与管理层的沟通和联络

2) 有权与计划相关所有人进行直接接触和沟通

3) 充分了解业务中断对机构业务的影响

4) 熟悉机构的需求和运作，有能力平衡机构相关部门的不同需求

5) 比较容易接触到高级管理层

6) 了解机构业务方向和高管理层的意图

7) 有能力影响高级管理层的决策

BCP 项目的关键角色

1) 恢复团队，灾难后进行评估、恢复、复原等相关工作的多个团队

2) 业务部门代表，识别机构的关键业务功能，协助恢复策略的选择和制定

3) 危机管理团队，在灾难发生时进行充要决策和组织协调

4) 用户，应了解丧失服务时各自的责任

5) 系统和网络专家，提供专业指导和建议

6) 信息安全部门

BCP 策略条款

策略条款应得到高级管理层的正式批准，并公布成为机构的政策，指导业务连续性的相关工作。

BCP 规划最终应该形成业务连续性策略条框，该条款记录的BCP 的如下内容：

目标、范围、需求

基本原则和指导方针

职责和责任

关键环节的基本要求

业务影响分析BIA

业务影响性分析概述

业务影响分析属于一种功能分析；

采用采访和文档资料收集数据，记录业务功能、活动和事务处理，制定一个业务功能等级，最终应用一个分类方案来说明每个功能的关键级别。

对应特征：

最大可容忍故障时间（MTD ）

运作中断和生产力

财务因素

法规责任

声誉

BIA 分析方法：

定性分析以划分严重程的方式得出灾难或中断事件造成的影响

定量分析以货币的方式得出灾难或中断事件造成的影响

BIA 目的

协助管理员了解潜在的中断影响

识别关键业务功能以及支持这些功能的IT 资源

协助管理人员识别机构功能支持方面的不足

排定IT 资源的恢复顺序

分析中断的影响

•收入的损失（Loss in revenue）

•延迟收入的损失（Delayed income costs）

•生产力的损失（Loss in productivity）

•营运成本的增加（Increase in operational expenses）

•声誉和公众信任的损失（Loss in reputation and publicconfidence）

•竞争力的损失（Loss of competitive advantages）

•违约责任（Violations of contract agreements）

•违背法律法规（Violations of legal and regulatoryrequirements）

确定每项业务功能的恢复

BIA 过程

确定信息收集技术

查勘检测(surveys)、调查问卷(questionnaires)

定性(qualitative)、定量(quantitative)

选择受访者

定制收集经济和运作影响信息的问卷

分析信息

识别关键业务功能(critical business functions)及其支持资源

确定最大允许中断时间（MTD ）

识别弱点和威胁，风险分析

基于MTDs 排定关键业务功能的恢复顺序

存在的问题以及应对建议

BIA 问卷设计

根据企业文化管理风格自身特点设计适合于受访者的BIA 问卷，问卷内容可包括：基本信息（受访者姓名、部门、职位、联络方式、受访时间等）

业务功能概况（名称、规模、运行时间、员工数量、客户数量、重要的时间段、高峰业务量、法规要求、与其它业务或支持系统的关系

（Interdependencies ）、以及运行方式及其关键方法、应用程序和网络的简单描述等） 业务中断对业务成本或收入的影响（增加开支租用额外设备或人员等）

业务中断可能承担的法律责任（合同违约、违反相关规定等）

业务中断对业务运作的影响（无法提供服务等）

业务中断对声誉的影响（失去客户信任、客户流失等）

依赖于哪些技术系统（如硬件、软件、数据、网络等）

存在哪些弱点和威胁（火灾、地震、罢工等）

现有的应对措施（应急预案等）

BIA 的信息分析

整理（Organize ）归纳（Correlate ）分析（Analyses ）、和确认（Confirm ）

定性和定量的自动化工具辅助进行信息的整体和分析

业务的代表检查和确认信息分析的结果

识别业务功能和支持这些功能的IT 资源

识别业务功能之间以及IT 资源之间的依赖关系（Interdependencies ）

确定业务功能的恢复窗口（Recovery Windows）

识别其中的弱点和面临的威胁

支持资源的确定

确定关键功能的所有支持资源（包括非计算机资源）、资源的使用时间段、缺少该资源对功能的影响以及资源之间的相互依赖。

确定重大允许中断时间MTD

业务影响分析的核心业务是确定关键业务功能及其支持资源的最大允许中断时间MTDs ； 业务功能之间的依赖关系（InterDependencies ）支持多个业务功能的资源其关键程度较高； 资源需求计划用于确定业务单位在备用站点重建业务功能所需的资源，该计划虽然不是BIA 的主要工作，不过有助于更好的确定关键的IT 资源；

中断时间超过最大允许中断时间（Maximum Tolerable Downtime ）将造成业务难以恢复，越是关键的功能或资源， MTD 应该越短–关键： 1小时之内–紧急： 24小时–重要： 72小时–一般： 7天–非必要：30天；

根据MTDs 排定关键业务功能及其支持资源的恢复顺序；

BCP 策略选择

BCP 原则

预防为主

通过遏制（Deter ）、探测（Detect ）或降低（Reduce ）对系统影响的防御性措施Preventive

Measures ）予以消减（Mitigate ）或清除（Eliminate ）风险

达不到灾难级别的风险，采取预防措施规避或降低风险

灾难级别的风险难级别的风险，采取预防措施降低风险

恢复为后

对于不可忍受的灾难，采取恢复措施于不可忍受的灾难取恢复措施

灾难恢复的度量

工作复原时间， Work Recovery Time，WRT

工作复原时间相对固定

恢复时间目标，Recovery Time Object，RTO

RTO

恢复点目标，Recovery Point Objectives ，RPO

数据必须被恢以便继续进行处理的点。也就是所允许的最大数据损失量

RTO+WRT

预防性措施

通过遏制（Deter ）、探测（Detect ）或降低（Reduce ）对系统影响的防御性措施Preventive Measures ）予以消减（Mitigate ）或清除（Eliminate ）风险。

常见措施：

UPS 或备用发电机

空调系统预留富裕空间

火灾、烟感探测器

水害探测器

紧急断路器

备份和离站存储

恢复策略

紧急响应阶段

实际发生初期为保护生命和较少财产损失所采取的行动

恢复阶段

事件发生后为了继续支持关键功能所采取的行动

复原阶段

事件发生后为了恢复到正常运行状态所采取的行动

预防性和恢复性措施的区别：

预防性措施目的是降低公司经理灾难的可能性，如果发生灾难，那么就减轻灾难造成的破坏程度；

恢复战略是指灾难发生后用户保护公司的方法，这些方法将集成一些机制，如为摄氏提供备用场所，实现仅仅相应措施以及启动已经准备好的预防机制

不同层次的恢复技术

业务流程恢复

确定关键业务功能及其支持资源的恢复顺序

设施恢复和供应恢复

确定备用设施的恢复规程，包括配套的设施，如电力设施、场地设施等

技术恢复

确定数据中心和网络的恢复策略

终端用户环境

确定人工作操作规程及其下过关的关键记录的管理、人员的通知等

数据恢复

确定关键软件、数据的备份、存储和取回的方法

BCP 计划文档及实战

• BCP 团队成员的联络信息队成员的联络信息

•系统恢复的标准操作规程和检查列表（Checklist ）

•支持系统所需的硬件、持系统所需的硬件软件、件固件和其它资源的设备和系统件和其它资源的设备和系统需求清单。每个条目应该包含详细内容，包括型号或版本号、规格说明和数量

•供应商SLA 、与其它机构的互惠协议

•备用站点的描述和说明

•BIA 报告，包含系统各部分相互关系、风险、优先级别和影响的有价值的信息

支持信息

目的，阐述制定计划的原因和目标

适用性，使用领域以及其他计划的关系

范围，规划设计设计的系统及其位置，应对的事件类型及其特点，设定启用计划的条件 参考/需求，描述制定计划的背景和法规需求

变化记录，记录计划的变动情况

支持信息的运行概要部分

系统描述，对系统哦你的体系结构和功能一般性的描述，包括物理环境，运行环境 继任序列，缺席情况下，计划执行负责人

职责，表述BCp 团队的整体结构、角色和职责

通知/启动

损害评估

紧急情况的原因、损失情况、影响范围、需更换的项目、预计恢复所需的时间等

启动标准

预警级别、触发条件

启动通知

工作时间和非工作时间的通知方法

呼叫树（Call Tree）

通知中所传递的信息类型应该在计划中载明

通知不应该发给会因为不知情而受到负面影响的外部机构或互联的或伙伴系统

恢复阶段

恢复顺序（Sequence of Recovery Activities）

系统允许的中断时间（Allowable Outage Time）

系统之间的依赖关系

恢复规程（Recovery Procedures）

按照直接（Straightforward ）和逐步的（Step-by-step ）风格书写

不能假定规程的步骤

不能忽略规程的步骤

准备检查列表

重建阶段

恢复原站点

确保充足的基础设施支持，如电源、供水、电信、安全、环境控制、办公设备和用品

（Supplies ）

安装系统硬件、软件和固件（Firmware ）

准备和使用恢复阶段类似的详细恢复规程

测试系统

对系统进行测试

备份和上载应急系统中的运行数据–份和上载应急系统中的运行数据

终止操作

关闭应急系统、终止应急操作闭应急系统止应急操作

保护、清除或重新配置应急站点

恢复人员（Recovery Personnel）回到原设施

成员选择

技能

知识

团队建设

充分的培训，至少一年一次

新员工上岗之前应该接受BCP 培训

能够随时开展工作

小组应该具有足够规模，不存在单点故障

继任序列（Line of Succession Planning）

BCP 团队培训

培训至少每年一次

损害评估小组

BCP 负责人

恢复小组

重建小组

BCP 测试和更新

演练类型

核对性检查

结构化的排练性测试

模拟测试

并行测试

全中断测试

制定演练计划

明确的演练目标（Test Objectives）

成功标准（Standard for Success）

演练总结

演练结果和学习到的经验应该记录到文档

在演练中和演练后收集到的有助于提高计划效率的信息应该修订BCP 计划

BCP 维护

BCP 计划应该改根据业务重心的转移、技术的发展、人员的变动都会影响到应急计划

应急计划应该纳入到变更管理中

法律、道德、合规

计算机犯罪

计算机辅助犯罪

计算机在犯罪中并非必要因素，只是作为工具协助犯罪分子。

使用计算机作为工具来帮助实施犯罪

示例：

攻击金融系统，盗窃资金与敏感信息

通过攻击军事系统获取军事和情报材料

通过攻击竞争对手，从事工业间谍活动，收集机密的商业数据

通过攻击国家基础设施系统来开展信息战

通过攻击政府或公司的系统和修改网站来抗议的行为

针对计算机的犯罪

是指计算机成为专门针对它们（及其所有者）进行攻击的受害者

针对计算机、网络以及这些系统中所存储的信息的犯罪

示例：

拒绝服务攻击

安装恶意软件造成破坏 安装rookit 和嗅探器以达到恶意目的 实施缓冲区溢出攻击 计算机牵涉型犯罪 计算机不一定是攻击者或被攻击者，只是在攻击的发生时碰巧涉及其中。 在犯罪活动中只是偶然出现的附带因素 示例： 犯罪分子的客户列表等

计算机犯罪特点

调查取证比较困难，证据容易遭到破坏

相关法律不完善

跨地域的特征

欧洲理事会网络犯罪公约，是针对网络犯罪而尝试创建的一个国际性标准

经济合作和发展组织，OECD

从统计来看，内部人员实施犯罪几率比较高

受害机构有时不报告，担心影响机构的正常运作和损害用户对机构的信任 计算机犯罪类型

萨拉米香肠：通过积少成多的方式窃取资金的行为

数据篡改：通过篡改数据的方式进行欺诈

过度特权：由于管理不到位等原因造成一些员工具有较多的权限，造成权限滥用 垃圾搜寻：虽然不道德，但是不违法

电磁泄漏捕获：通过捕捉计算机系统的泄漏的电磁信号获取有价值的信息的目的 搭线窃听

社会工程学

冒充

常见internet 骗局

拍卖欺诈

伪造出纳员的支票

清除

包裹快递电子邮件阴谋

就业/商业阴谋

信托付款服务欺诈

投资欺诈

彩票中奖

庞氏骗局

第三方资金骗局

计算机犯罪要素

动机

何人以及为何实施犯罪

内因：寻求刺激、挑战；外因：经济、政治

机会

何时以及何地实施犯罪

利用系统技术、管理和操作弱点

手段

成功实施犯罪所需要的方法和能力

需要对运行机制等比较了解

计算机相关法律

知识产权法

与公司的竞争或市场能力至关重要 不是众所周知的，公司付出了相关的资源和努力开发的 收到公司适当保护以防止泄漏或非授权使用 示例： 产品配发，序源代码，加密算法 著作权 最作品公开发表、复制、展示和修改的法律保护的权利 并不保护作品的创意，保护创意的表现形式 示例 程序代码，源代码和可执行文件，甚至是用户界面 文学作品 绘画 歌曲旋律 商标 它保护代表公司形象的单词、名称、符号、形状、声音、颜色 商标通常在商标注册机构进行注册 商标是公司在市场运作过程中建立起来的质量和信誉标志 专利 对专利注册人或公司专利拥有权的法律认可，禁止他人或公司未经授权使用 专利有效期20年 保护方法 结合公司数据分类制度 公司资源有适当级别的访问控制保护、审计启用及适当的存储环境 以细粒度方法定义访问级别 访问和操作资源应被适当审计 隐私 主动寻求保护公民的个人可标识信息（PII ） 在政府和业务的需求与银安全问题而考虑收集和使用PII 之间，主动寻求平衡 个人隐私 类型： 独处权利 免受对个人不合理权利 决定何种个人信息可以被传播以及传播给何人的权利 注意的问题： 防止不合理侵犯，底线是知情同意，采取适当的保护措施

防止缺乏适当的方法，底线是“公平公正”，有纠错机制

个人信息使用原则

个人数据控制者的义务

收集个人数据需要征得数据主体的同意并告知用途

只收集与用途有关的数据，只在用途所需期限内使用和保存

数据收集的方法数据的用途迎合法

采取合理措施，技术、管理和操作措施，防止个人信息遭到恶意侵犯，保证数据的完整性和保密性，并清除过时数据，防止无用途相关工作需要的人访问

个人数据主体的义务和权利

查看所收集的信息，更正错误信息

软件盗版

免费软件

开源软件

商业软件

法律、法规

商业软件萨班斯法案，SOX

Gramm-Leach-Bliley 法案

健康保险便利及责任法案，HIPPA

Equipment Replacement 2012

Core Business XXX System Replacement 2012

Telephone System Upgrade 2012

计算机欺诈与滥用法案

联邦隐私法

巴塞尔II

支付卡行业数据安全标准

联邦信息安全法案

经济间谍法案

Subtopic

Other IT

道德规范

ISC2道德规范

计算机道德协会

Internet 体系结构研究委员会

计算机犯罪谬论