信息安全事件管理（信息安全事件管理办法）

本文目录一览：

• 1、关于信息安全管理的定义与解释有哪些？

• 2、信息安全管理体系

• 3、保险公司信息安全管理办法

• 4、信息安全事件有哪几类

• 5、发生信息安全事件对责任人责任网点最高可处以多少罚款

• 6、信息安全风险管理工作的内容有哪些?各工作环节的工作重点是什么?

关于信息安全管理的定义与解释有哪些？

信息安全管理，涉及安全，也涉及管理，从本质来说属于管理范畴，但管理的内容与对象又是安全，所以脱离安全谈管理也没有意义。提到信息安全管理，大部分人甚至很多安全从业者，可能想到是信息安全相关的制度、规范与程序，在国内普遍重技术、轻管理的大环境下，这也导致很多人对信息安全管理有点不屑一顾，其实这是由于没有充分理解管理的内涵所造成的。

信息安全管理中的「管理」英文是Management，如果对其含义进行一个定义，通俗的讲就是:通过某些特定的手段，达到有效的结果。信息安全的目的就是保护信息资产安全，保障业务稳定运行；信息安全手段则包括人（People）、流程（Process）、技术（Technology），俗称PPT。

1、信息安全管理目的从宏观来讲是保护信息资产安全，保障业务稳定运行，这是放之四海而皆准的；具体来讲是保护信息资产的保密性、完整性和可用性，即CIA，也有信息安全等于CIA的说法。今天将信息安全管理的三个手段进行一个简单的解释。

2、人，是三个手段里面最为核心的一个，强调的是信息安全管理过程中人的知识、技能、经验，以及对信息安全的理解与认知。信息安全是一项专业性比较强的工作，想要达到信息安全管理目的，就需要一支职业素养很强的专业团队。同时，信息安全又与每个人都密切相关，任何人疏忽大意都可能导致信息安全事件的发生，提高每个人对信息安全的认知也尤为重要。

3、技术，是三个手段里发展最快、应用最广的一个，技术应用能够大大提高工作效率，将人的主要精力从繁琐的重复性的事务中解放出来，发挥更大的主观能动性，创造更大的价值。同时技术相对而言也更可靠，这里的可靠有两层意思，一个是技术不会疲劳犯错，另外一个是技术不会骗人。所以大部分时候，相对于其它手段，人们对技术更加青睐。

4、流程，是三个手段里实施周期长、见效慢、失败率高的一个，也是一旦积累到一定程度就会发挥巨大威力的一个。流程在信息安全管理中的作用，可以作为其它两个手段的补充，辅助使之应用的更好、发挥的作用更大，提高信息安全管理的效率与效果。另一个方面，流程也可以作为主导，引领信息安全管理的方向，为其它手段应用提供指导。关于流程（Process）手段，以后专门针对过程管理再做详细说明。

总得来讲，这三种手段都有自己的特点与优势，没有哪个好哪不好之说，只要达到管理的具体目的就是好的；同时呢，不同手段之间也可以相互的配合使用，就目前来讲三种手段之间的界线也越来越模糊，相互融合是趋势。

信息安全管理体系

7.2.1　信息安全管理体系概述

我们知道保障信息安全有两大支柱：技术和管理。而我们日常提及信息安全时，多是在技术相关的领域，例如IDS入侵检测技术、Firewall防火墙技术、Anti-Virus防病毒技术、加密技术CA认证技术等。这是因为信息安全技术和产品的采纳，能够快速见到直接效益，同时，技术和产品的发展水平也相对较高。此外，技术厂商对市场的培育，不断提升着人们对信息安全技术和产品的认知度。

伴随着威胁的发展趋势，安全技术部署的种类和数量不断增加，但并不是安全技术、安全产品种类、数量越多越好，只有技术的堆积而不讲究管理，必然会产生很多安全疏漏。虽然大家在面对信息安全事件时总是在叹息：“道高一尺、魔高一丈”，在反思自身技术的不足，实质上人们此时忽视的是另外两个层面的保障。正如沈昌祥院士所指出的：“传统的信息安全措施主要是堵漏洞、做高墙、防外攻等老三样，但最终的结果是防不胜防。”

技术要求与管理要求是确保信息系统安全不可分割的两个部分，两者之间既互相独立，又互相关联，在一些情况下，技术和管理能够发挥它们各自的作用；在另一些情况下，需要同时使用技术和管理两种手段，实现安全控制或更强的安全控制；在大多数情况下，技术和管理要求互相提供支撑以确保各自功能的正确实现。我们通常用水桶效应来描述分布式系统的安全性问题，认为整个系统的安全性取决于水桶中最薄弱的那块木条。平台就像是这个水桶的箍，有了这个箍，水桶就很难崩溃。即使出现个别的漏洞，也不至于对整个体系造成灾难性的破坏。

信息安全管理体系（Information Security Management Systems）是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是直接管理活动的结果，表示为方针、原则、目标、方法、过程、核查表等要素的集合。体系是针对传统管理方式的一种重大变革。它将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、搜集和关联分析，得出全局角度的安全风险事件，并形成统一的安全决策，对安全事件进行响应和处理。

目前，各厂商、各标准化组织都基于各自的角度提出了各种信息安全管理的体系标准，这些基于产品、技术与管理层面的标准在某些领域得到了很好的应用，但从组织信息安全的各个角度和整个生命周期来考察，现有的信息安全管理体系与标准是不够完备的，特别是忽略了组织中最活跃的因素——人的作用。考察国内外的各种信息安全事件，我们不难发现，在信息安全事件表象后面其实都是人的因素在起决定作用。不完备的安全体系是不能保证日趋复杂的组织信息系统安全性的。

7.2.2　信息安全管理体系结构

信息安全的建设是一个系统工程，它需求对信息系统的各个环节进行统一的综合考虑、规划和构架，并要时时兼顾组织内不断发生的变化，任何环节上的安全缺陷都会对系统构成威胁。在这里我们可以引用管理学上的木桶原理加以说明。木桶原理指的是：一个木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么木桶的最大容量不取决于最长的木板，而取决于最短的那块木板。这个原理同样适用于信息安全。一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。信息从产生到销毁的生命周期过程中包括了产生、收集、加工、交换、存储、检索、存档、销毁等多个事件，表现形式和载体会发生各种变化，这些环节中的任何一个都可能影响整体信息安全水平。要实现信息安全目标，一个组织必须使构成安全防范体系这只“木桶”的所有木板都要达到一定的长度。从宏观的角度来看，我们认为信息安全管理体系结构可以由以下 HTP模型来描述：人员与管理（Human and Management）、技术与产品（Technology and Products）、流程与体系（Process and Framework）。

其中人是信息安全最活跃的因素，人的行为是信息安全保障最主要的方面。人特别是内部员工既可以是对信息系统的最大潜在威胁，也可以是最可靠的安全防线。统计结果表明，在所有的信息安全事故中，只有 20%～30%是由于黑客入侵或其他外部原因造成的，70%～80%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题，单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。以往的各种安全模型，其最大的缺陷是忽略了对人的因素的考虑，在信息安全问题上，要以人为本，人的因素比信息安全技术和产品的因素更重要。与人相关的安全问题涉及面很广，从国家的角度考虑有法律、法规、政策问题；从组织角度考虑有安全方针政策程序、安全管理、安全教育与培训、组织文化、应急计划和业务持续性管理等问题；从个人角度来看有职业要求、个人隐私、行为学、心理学等问题。在信息安全的技术防范措施上，可以综合采用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动反击等多种技术与产品来保护信息系统安全，但不应把部署所有安全产品与技术和追求信息安全的零风险为目标，安全成本太高，安全也就失去其意义。组织实现信息安全应采用“适度防范”（Rightsizing）的原则，就是在风险评估的前提下，引入恰当的控制措施，使组织的风险降到可以接受的水平，保证组织业务的连续性和商业价值最大化，就达到了安全的目的。

7.2.3　信息安全管理体系功能

7.2.3.1　安全策略

安全策略管理可以说是整个安全管理平台的中心，它根据组织的安全目标制订和维护组织的各种安全策略以及配置信息。安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。实现网络安全，不但靠先进的技术，而且也得靠严格的安全管理、法律约束和安全教育。

安全策略建立在授权行为的概念上。在安全策略中，一般都包含“未经授权的实体，信息不可给予、不被访问、不允许引用、不得修改”等要求，这是按授权区分不同的策略。按授权性质可分为基于规则的安全策略和基于身份的安全策略。授权服务分为管理强加的和动态选取的两种。安全策略将确定哪些安全措施须强制执行，哪些安全措施可根据用户需要选择。大多数安全策略应该是强制执行的。

（1）基于身份的安全策略。基于身份的安全策略目的是对数据或资源的访问进行筛选。即用户可访问他们的资源的一部分（访问控制表），或由系统授予用户特权标记或权力。两种情况下，数据项的多少会有很大变化。

（2）基于规则的安全策略。基于规则的安全策略是系统给主体（用户、进程）和客体（数据）分别标注相应的安全标记，制定出访问权限，此标记作为数据项的一部分。

两种安全策略都使用了标记。标记的概念在数据通信中是重要的，身份鉴别、管理、访问控制等都需要对主体和客体做出相应的标记并以此进行控制。在通信时，数据项、通信的进程与实体、通信信道和资源都可用它们的属性做出标记。安全策略必须指明属性如何被使用，以提供必要的安全。

根据系统的实际情况和安全要求，合理地确定安全策略是复杂而重要的。因为安全是相对的，安全技术也是不断发展的，安全应有一个合理和明确的要求，这主要体现在安全策略中。网络系统的安全要求主要是完整性、可用性和机密性。其中完整性、可用性是由网络的开放和共享所决定的。按照用户的要求，提供相应的服务，是网络最基本的目的。机密性则对不同的网络有不同的要求，即网络不一定都是保密网。因此，每个内部网要根据自身的要求确定安全策略。现在的问题是硬、软件大多很先进，大而全，而在安全保密方面没有明确的安全策略，一旦投入使用，安全漏洞很多。而在总体设计时，按照安全要求制定出网络的安全策略并逐步实施，则系统的漏洞少、运行效果好。

在工程设计中，按照安全策略构造出一系列安全机制和具体措施，来确保安全第一。多重保护的目的是使各种保护措施相互补充。底层靠安全操作系统本身的安全防护功能，上层有防火墙、访问控制表等措施，防止一层措施攻破后，安全性受到威胁。最少授权原则是指采取制约措施，限制超级用户权力并全部使用一次性口令。综合防护要求从物理上、硬件和软件上、管理上采取各种措施，分层防护，确保系统安全。

7.2.3.2　安全机制

信息的安全管理体系中，安全机制是保证安全策略得以实施的和实现的机制和体制，它通常实现三个方面的功能：预防、检测、恢复。典型的安全机制有以下几种：

（1）数据保密变换。数据保密变换，即密码技术，是许多安全机制和安全服务的基础。密码是实现秘密通讯的主要手段，是隐蔽语言、文字、图像的特种符号。凡是用特种符号按照通讯双方约定的方法把电文的原形隐蔽起来，不为第三者所识别的通讯方式称为密码通讯。在计算机通讯中，采用密码技术将信息隐蔽起来，再将隐蔽后的信息传输出去，使信息在传输过程中即使被窃取或截获，窃取者也不能了解信息的内容，从而保证信息传输的安全。采用密码技术，可有效地防止：信息的未授权观察和修改、抵赖、仿造、通信业务流分析等。

（2）数字签名机制。数字签名机制用于实现抗抵赖、鉴别等特殊安全服务的场合。数字签名（Digital Signature）是公开密钥加密技术的一种应用，是指用发送方的私有密钥加密报文摘要，然后将其与原始的信息附加在一起，合称为数字签名。

（3）访问控制机制。访问控制机制实施是对资源访问加以限制的策略。即规定出不同主体对不同客体对应的操作权限，只允许被授权用户访问敏感资源，拒绝未经授权用户的访问。首先，要访问某个资源的实体应成功通过认证，然后访问控制机制对该实体的访问请求进行处理，查看该实体是否具有访问所请求资源的权限，并做出相应的处理。采用的技术有访问控制矩阵、口令、权能等级、标记等，它们可说明用户的访问权。

（4）数据完整性机制。用于保护数据免受未经授权的修改，该机制可以通过使用一种单向的不可逆函数——散列函数来计算出消息摘要（Message Digest），并对消息摘要进行数字签名来实现。

（5）鉴别交换机制。鉴别交换机制指信息交换双方（如内部网和互联网）之间的相互鉴别。交换鉴别是以交换信息的方式来确认实体身份的机制。用于交换鉴别的技术有：口令，由发送实体提供，接收实体检测；密码技术，即将交换的数据加密，只有合法用户才能解密，得出有意义的明文；利用实体的特征或所有权，如指纹识别和身份卡等。

（6）路由选择控制机制。用来指定数据通过网络的路径。这样就可以选择一条路径，这条路径上的节点都是可信任的，确保发送的信息不会因通过不安全的节点而受到攻击。

（7）公证机制。由通讯各方都信任的第三方提供。由第三方来确保数据完整性以及数据源、时间及目的地的正确。

还有物理环境的安全机制、人员审查与控制机制等。其实防护措施均离不开人的掌握和实施，系统安全最终是由人来控制的。因此，安全离不开人员的审查、控制、培训和管理等，要通过制定、执行各项管理制度等来实现。

7.2.3.3　风险与安全预警管理

风险分析是了解计算机系统安全状况和辨别系统脆弱性并提出对策的科学方法。在进行风险分析时，应首先明确分析的对象。如对象应是整个系统明确范围和安全敏感区，确定分析的内容，找出安全上的脆弱点，并确定重点分析方向。接着仔细分析重点保护目标，分析风险的原因、影响、潜在的威胁、造成的后果等，应有一定的定量评估数据。最后根据分析的结果，提出有效的安全措施和这些措施可能带来的风险，确认资金投入的合理性。

安全预警是一种有效预防措施。结合安全漏洞的跟踪和研究，及时发布有关的安全漏洞信息和解决方案，督促和指导各级安全管理部门及时做好安全防范工作，防患于未然。同时通过安全威胁管理模块所掌握的全网安全动态，有针对性地指导各级安全管理组织，做好安全防范工作，特别是针对当前发生频率较高的攻击做好预警和防范工作。

7.2.4　信息安全管理体系标准和认证

信息安全管理体系标准的制定开始于1995年，经过10多年的修改与完善，形成了现在广泛应用的ISO27001:2005认证标准。英国标准协会（BSI）于1995年2月提出了BS7799，并于1995年和1999年两次修订。BS7799分为两个部分：BS7799-1，信息安全管理实施规则；BS7799-2，信息安全管理体系规范。

第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。

2000年，国际标准化组织（ISO）在 BS7799-1的基础上制定通过了ISO17799标准。ISO/IEC17799:2000(BS7799-1）包含了127个安全控制措施来帮助组织识别在运作过程中对信息安全有影响的元素，组织可以根据适用的法律法规和章程加以选择和使用，或者增加其他附加控制。BS7799-2在2002年也由BSI进行了重新的修订。2005年，ISO组织再次对ISO17799进行了修订，BS7799-2也于2005年被采用为ISO27001:2005，修订后的标准作为ISO27000标准族的第一部分——ISO/IEC 27001，新标准去掉9点控制措施，新增17点控制措施，并重组部分控制措施而新增一章，重组部分控制措施，关联性逻辑性更好，更适合应用；并修改了部分控制措施措辞。

然而，由于ISO17799并非基于认证框架，它不具备关于通过认证所必需的信息安全管理体系的要求。而ISO/IEC27001则包含这些具体详尽的管理体系认证要求。从技术层面来讲，这就表明一个正在独立运用ISO17799的机构组织，完全符合实践指南的要求，但是这并不足以让外界认可其已经达到认证框架所制定的认证要求。不同的是，一个正在同时运用ISO27001和ISO17799标准的机构组织，可以建立一个完全符合认证具体要求的ISMS，同时这个ISMS也符合实践指南的要求，于是，这一组织就可以获得外界的认同，即获得认证。

保险公司信息安全管理办法

以下解答摘自谷安天下咨询顾问发表的相关文章！

一、信息安全管理体系已解决的保险公司信息安全问题

保险行业通过信息安全技术的实施，信息安全管理制度的实施，解决了大量具有普遍性的信息安全问题，并形成了行业在信息安全管理方面的特色和管理优势。概要如下：

建立了比较详尽的在安全策略，并且总公司的各项IT制度会直接下放到各级分支机构。

在安全组织方面，结合保监会建立“网络安全工作小组”的要求，成立的信息安全组织，由公司的主要领导担任组长及副组长，组员由主要业务部门、人力资源部门、稽核部门及信息技术部门等部门组成。

在物理环境方面，机房建设按国家A类机房标准建设，符合国家的有关标准；机房实现授权出入管理，出入计算机机房有严格的审批程序和出入记录，物理环境的防火、防水、空调、电力等基本达到安全要求。

建立了较合理的总公司与分支机构的网络基础架构，网络核心交换机与路由器双机容错；公司重要的广域网接入专用线路都有冗余。

对网站采用了网页防篡改技术并定期进行检查，员工访问互联网进行了分级限制，外来人员访问互联网有专用网段。

对员工PC集中防病毒管理、集中补丁管理，定期对重要主机与网络设备进行安全检查。

在计算机信息系统开发、管理与应用上有相对比较清晰和明确的职责分工的要求，在核心业务系统的设计、开发、测试环境基本能做到主机环境的分离，软件源代码通过版本控制器集中进行管理。

重要业务系统和数据均有良好的备份措施，特别是进行了数据异地存放等工作。

IT人员责任心强，工作勤勉，在超负荷的工作状态下能基本维持系统正常运行。

二、信息安全管理体系正在解决的保险公司信息安全问题

当前保险行业信息安全现状还有许多待改进与提高的地方，与国际标准和最佳信息安全实践相比，还存在着一定的差距，特别是分支机构在资产管理、物理与环境安全、人力资源管理、通信与操作管理、访问控制、软件开发等方面还需付出较大的努力。

以下对信息安全管理体系正在解决的保险行业信息安全方面的主要表现在以下几个方面：

信息安全投入

IT规划

资产管理

人力资源安全

物理与环境安全

通信与操作管理

访问控制

信息系统获得、开发与维护

信息安全事件管理

扩展阅读：【保险】怎么买，哪个好，手把手教你避开保险的这些"坑"

信息安全事件有哪几类

依据《中华人民共和国网络安全法》 、《GBT 24363-2009 信息安全技信息安全应急响应计划规范》、《GB\T 20984-2007 信息安全技术 信息安全风险评估规范》 《GB\Z 20985-2007 信息安全技术 信息网络攻击事件管理指南》 《GB\Z 20986-2007 信息安全技术信息网络攻击事件分类分级指南》等多部法律法规文件，根据信息安全事件发生的原因、表现形式等，将信息安全事件分为网络攻击事件、有害程序事件、信息泄密事件和信息内容安全事件四大类。

网络攻击事件：

通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件，包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件等。

有害程序事件：

蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件等。

信息泄露事件：

通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等，导致的信息安全事件。信息泄露事件包括专利泄露、系统主动监控及异常查单、产品竞价推销、怀疑员工泄露客户资料、员工泄露公司合同等。

信息内容安全事件：

利用信息网络发布、传播危害国家安全、社会稳定、公共利益和公司利益的内容的安全事件。包括违反法律、法规和公司规定的信息安全事件；针对社会事项进行讨论、评论，形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件；组织串连、煽动集会游行的信息安全事件。

发生信息安全事件对责任人责任网点最高可处以多少罚款

并处以3000元以上5000元以下罚款。

针对网络安全1级重大事故，将对所有涉事管理人员进行辞退或待岗处理，并处以3000元以上5000元以下罚款。初次违反规定，且未导致危害网络安全等后果的，责令改正，给予警告。

信息安全风险管理工作的内容有哪些?各工作环节的工作重点是什么?

工作主要包括：

1.根据安全级别定义，为负责信息安全风险识别和安全审计评估；

2.调查和处理信息安全违规行为。

3.安全审计检查技术设计、实施和报告编制；

4.负责监控、分析和报告公司的整体风险信息；

5.负责公司全面风险管理信息系统的建设和实施；

6.负责公司风险数据管理及各类监管数据的统计和报送；

7.开展其他临时技术支持工作，如参与项目产品信息安全政策的集成和应用；

8.配合上级部门开展信息安全内外部审计工作。

拓展资料

①如何落实则需要抓好安全管理

1. 建立健全安全生产管理机构，配备必要的熟悉安全生产管理的人员，明确其权责。

2. 建立健全以安全生产责任制为核心的安全生产规章制度，严格执行，用制度规范行为。

3. 经常开展安全生产宣传教育，提高职工安全素质，建立良好的企业安全文化，倡导安全第一。

4. 开展日常和定期的安全生产检查，及时发现事故隐患，采取纠正措施，消除事故隐患。

②全面落实安全生产责任制，建立严格科学的安全生产责任制 安全生产责任制是保证安全生产最基本、最重要的管理制度。只有明确各单位、各部门、各岗位的安全生产责任，分清责任，各司其职。

③完善安全生产规章制度，促进安全生产管理规范化。 涉及安全生产运行的各单位、各部门、各岗位和各环节之间的关系复杂，且相互关联、相互制约，只有建立制定了相应的安全生产规章制度和操作规程，并有严格的管理措施，堵塞安全管理漏洞，确保生产有序进行。安全生产规章制度不健全或松懈，安全生产管理措施不落实，势必埋下不安全因素和隐患，最终导致事故的发生。因此，建立规章制度就是要搞好安全生产，实现科学管理。