信息安全与IT运维.pptVIP

Continuous Controls Monitoring Continuous Controls Monitoring * 信息平安与IT运维 ——我们不能消除风险，却可以管理风险 ? 王朝阳 2021年1月20日 提纲 什么是信息平安 什么是IT运维 信息平安与IT运维的关系 怎样开展信息平安工作 信息平安最正确实践 信息平安工作模型 什么是信息平安？〔1〕 关于信息平安的定义很多，国内外、不同组织给出不同的定义，但我们可以找出其中共性的局部… 国内学者的定义：“信息平安必威体育官网网址内容分为：实体平安、运行平安、数据平安和管理平安四个方面。〞 我国“计算机信息系统平安专用产品分类原那么〞中的定义是：“涉及实体平安、 运行平安和信息平安三个方面。〞 我国相关立法给出的定义是：“保障计算机及其相关的和配套的设备、设施〔网络〕的平安，运行环境的平安，保障信息平安，保障计算机功能的正常发挥，以维护计算机信息系统的平安〞。这里面涉及了物理平安、运行平安与信息平安三个层面。 什么是信息平安？〔2〕 国家信息平安重点实验室给出的定义是：“信息平安涉及到信息的机密性、完整性、可用性、可控性。综合起来说，就是要保障电子信息的有效性。〞 英国BS7799信息平安管理标准给出的定义是：“信息平安是使信息防止一系列威胁，保障商务的连续性，最大限度地减少商务的损失，最大限度地获取投资和商务的回报，涉及的是机密性、完整性、可用性。〞 什么是信息平安？〔3〕 美国国家平安局信息保障主任给出的定义是：“因为术语‘信息平安’一直仅表示信息的机密性，在国防部我们用‘信息保障’来描述信息平安，也叫‘IA’。它包含5种平安效劳，包括机密性、完整性、可用性、真实性和不可抵赖性。〞 国际标准化委员会给出的定义是：“为数据处理系统而采取的技术的和管理的平安保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露〞。 什么是信息平安——信息平安目标总结 信息平安的目标 机密性 Confidentiality 完整性 Integrity 可用性 Availability 可控性 controllability 真实性 Authenticity 不可否认性 Non-repudiation 什么是信息平安——涵盖内容总结 信息平安的涵盖内容 物理平安 网络平安 主机平安 应用平安 数据平安 平安管理 提纲 什么是信息平安 什么是IT运维 信息平安与IT运维的关系 怎样开展信息平安工作 信息平安最正确实践 信息平安工作模型 什么是IT运维？——互联网定义 IT运维是IT管理的核心和重点局部，也是内容最多、最繁杂的局部，该阶段主要用于IT部门内部日常运营管理，涉及的对象分成两大局部，即IT业务系统和运维人员，可细分为七个子系统： 设备管理：对网络设备、效劳器备、操作系统运行状况进行监控 应用/效劳管理：各种应用软件与效劳 数据/存储/容灾管理：对系统和业务数据进行统一存储、备份和恢复 业务管理：对组织业务系统的监控与管理，CSF/KPI 目录/内容管理：组织的对内、外信息的管理 资产管理：包括物理与逻辑资产 信息平安管理： 日常工作管理：职责分工，绩效考核，知识平台整理等 什么是IT运维——我的定义 组织为实现业务目标而针对IT系统所采取的一切管理的总和，可以分为两类：效劳支持管理与效劳交付管理。 效劳支持包括： 事故管理 问题管理 配置管理 变更管理 发布管理 效劳交付包括： 可用性管理 能力管理 效劳水平管理 外包管理 什么是IT运维——总结 IT运维的目标 支撑组织业务目标 IT运维的内容 效劳交付 效劳支持 IT运维 ≈ ITIL + Cobit + CISA + ISO20000 提纲 什么是信息平安 什么是IT运维 信息平安与IT运维的关系 怎样开展信息平安工作 信息平安最正确实践 信息平安工作模型 信息平安与IT运维的关系〔1〕 平安是IT运维的重要组成模块，对于某些行业是关键模块 IT运维旨在谋求平安性与方便性 平安保障着价值 平安正在创造价值... 网上银行的平安性吸引了更多的消费者 商业秘密的平安措施使得组织更具竞争力 电子签名法的出台消除了使用者的平安疑虑 具有平安认证与强大容灾能力的邮件系统才能拥有海量的用户 信息平安与IT运维的关系〔2〕 平安与IT运维共有一个衡量标尺：组织业务目标 业务需求驱动信息平安与IT运维需求 信息平安与IT运维方案要适应业务流程 信息平安与IT运维方案要支撑业务的可持续开展 业务目标的调整驱使平安与IT运维的调整 投资与企业战略、风险状况密切相关 信息平安与IT运维的关系〔3〕 平安贯穿了IT运维整个生命周期