信息系统的资产管理及用人管理

一、信息生命周期的四个阶段

获取阶段：从复制和开始创建开始。

使用阶段：保持内部的一致性；使用过程中受到法律约束。

存档阶段：不再使用的数据的拷贝，目的是在某个时间可能还会使用。一定条件下可以删除，以腾挪存储空间。

备份：当前正在使用的文件的副本，目的是能恢复丢失的原始数据。

处置阶段：不在使用的数据。此过程要求考虑多个副本的问题。

对于信息资产的使用和存档形成一个小循环，在获取、使用、存储会考虑如何保存和保护的问题，而这些问题又会影响信息的分类标准。而信息的分类与角色相关，这些均会影响资产的获取、使用、存储和处置的过程。具体关系如下图所示：

在信息处置阶段，由于备份等其他需求可能会产生多个副本，如何彻底处置数据是一个挑战。

二、信息的分类

1.类别

信息的分类类别根据企业所处国家的法律法规要求和企业性质会有所不同。

隐私信息：人力资源信息、工作经历、医疗信息

绝密信息：新型战争武器设计图、间谍卫星信息、间谍行为资料

敏感信息：财务信息、项目细节、利润及其预测

机密信息：商业秘密、卫生保健信息、程序代码、使公司保持竞争优势的信息

秘密信息：军队驻扎计划、核弹部署

公开：多少人完成某项工作、即将开工的项目

未分类：计算机手册和保修资料

敏感但未分类：医疗信息、测试评分大难

商业信息由高到低：机密、隐私、敏感、公开

军事敏感信息由高到低：绝密、秘密、机密、敏感但未分类、未分类

按照我国等级保护和分级保护的标准要求，从低到高一般分为：公开、普通商秘、核心商秘、内部、秘密、机密、绝密，其中核心商秘等同内部信息管理。

2.分类的控制手段

对于每种分类采取何种控制手段取决于管理团队和安全团队决定的保护级别。一般方法包括：

访问控制
存储和传输加密
审计和监控（确定所需的审计级别以及日志保留时间）
责任分离（确定访问敏感信息是否需要多人，防止欺诈行为）
定期审查（审查分类级别及相关数据集合，从而确保他们仍然与业务需求保持一致；根据实际情况，可能还需要对数据货应用程序进行再分类或解密）
备份与恢复措施
变更控制
物理安全保护
信息流通道
正确的处理动作规定，如何粉碎、消磁等措施
标签和处理步骤

3.分类的步骤

分类的必备步骤包括：

1）定义分类级别

2）指定确定如何分类数据的准则

3）任命数据分类的数据所有者

4）任命维护数据及其安全级别的数据看管员

5）制订每类级别的安全机制和保护机制

6）记录分类问题的例外情况

7）说明可用于将信息报告转交给其他数据所有者的方法

8）建立定期审查机制

9）确定解密措施

10）综合安全意识计划

以上内容总结为：

第一步：确定分类的级别和标准（依据什么进行分类，到底分多少级，一般结合标准要求和企业的实际情况）

第二步：确定谁来管

第三步：采用哪些访问技术，这些技术的采用企业对分类级别定义和标准要求相关，也和企业的战略要求有关

第四步：确定怎么管

三、信息系统中的各种常见角色

1.信息系统中的管理角色

高级管理层的责任包括：

全面负责信息安全，是信息安全的最终负责人
规划信息安全，确定目标和有限次序，委派信息安全责任
明确信息安全目标和方针为信息安全活动指引方向
为信息安全活动提供资源
重大事项做出决策
协调组织不同单位不同环节的关系

具体高级管理角色包括：

首席执行官（CEO)：负责组织机构日常管理工作，确保公司的发展和繁荣
首席财务官（CFO)：管财务，监督公司运营预测和预算
首席信息管（CIO)：负责公司安全计划执行，负责组织内部信息系统和技术的战略使用与管理
首席隐私管（CPO)

确保客户、公司和雇员的数据安全，避免公司陷入诉讼，防止数据泄露出现新闻

由律师担任，直接参与有关数据收集、保护和将数据交付给第三方的策略制订，一般向CSO提交报告

首席安全管（CSO)：

负责了解公司面临的风险和将这些风险缓解到可接受的级别。
要了解公司业务，制定和维护一个安全计划
确保业务不会因为安全问题而出现任何形式的中断
扮演内部信息安全协调和促动的角色
需要理解组织的业务目标，引导风险管理过程，
确保业务操作和可接受风险之间达成恰当的平衡

具体职责：

为信息安全活动做预算

策略、程序、基线、标准和指南的开发

开发安全意识程序

参与管理会议

协助内部和外部的审计

首席信息安全管（CISO)：更加关注技术问题，而且有IT背景。若有CSO，向CSO汇报

2.数据所有者

数据所有者负责管理某个业务部门，对特定信息子集的保护和应用负最终责任，一般为部门领导

具体职责包括：

决定数据的分类
定义每种分类的安全需求和备份需求
定义用户访问准则
批准访问请求
处理与之有关的违法行为

数据所有者角色为业务角色而非技术角色，负责分类、分类的安全需求和备份需求、访问控制及请求处理

一般为部门领导

3.数据看管员

数据看管员负责数据的保护与维护

实施和维护安全控制措施，执行备份，数据恢复，实现安全策略

数据看管员是IT或安全部门的角色

具体职责包括

执行数据的常规备份
定期验证数据的完整性
备份截至还原数据
实现公司关于信息安全和数据保护的信息安全策略、标准和指导原则

根据数据所有者的要求开展相关系统设置工作（不包括访问控制设置），IT部门人员。

一般为系统管理员。

4.系统所有者

负责一个或多个系统，每个系统可能保存并处理由不同数据所有者拥有的数据
负责将安全因素集成到应用程序和系统中
确保系统脆弱性得到评估
采用足够的安全措施保证系统安全

一般为应用系统管理员。

5.安全管理员

侧重维护网络的安全
创建系统用户账户、新安全软件安装、测试补丁、发放新密码
根据公司要求和数据所有者指示对数据进行授权
负责实施、监视和执行安全规定和策略
向安全委员会和信息安全官报告

6.系统操作员：进行主机的日常操作，确保预定的工作有效进行和解决可能出现的问题

操作员具有很高的权限，但低于系统管理员，这些权限可以规避系统的安全策略，应监控这些特权使用并进行日志审计

7.审计员

定期巡查
检查系统，判断是否满足安全需求以及安全控制是否有效
向安全目标管理提供独立保障

8.安全分析员

帮助制订策略、标准和指南，并设立各种基准
主要在设计层面，非实现层面

9.信息安全专家

受高级管理层委派（通常向CIO）负责实施和维护安全
设计、实施、管理和复查组织的安全策略、标准、指南和程序
协调组织内部各单位之间所有的与安全相互的交互

10.用户管理者：负责所有用户活动和由这些用户创建和拥有的所有资产

11.变更控制分析员：分析风险、测试

12.数据分析员：一般由DBA来担任

13.用户：具备应用的安全意识，遵守安全策略，恰当的使用系统，上报安全事件

四、信息系统中各种常见的委员会

1.安全指导委员会

成员由来自组织机构各部门的人员组成，包括CEO、CFO、CIO、各部门经理、首席内审员

至少每季度召开一次会议，并有明确议程

职责：

定义组织机构的可接受风险级别
确定安全目标和找略
根据业务需求决定安全活动的优先级
审查风险评估和审计报告
监控安全风险的业务影响
审查重大的安全违规和事故
批准安全策略和计划的任何重要变更

2.审计委员会

由董事会任命，帮助其审查和评估公司的内部运作、内部审计系统以及财务报表的透明度和准确性。

责任：

公司财务报表以及财务信息的完整性
公司的内部控制系统
独立审计员的雇佣和表现
内部审计功能的表现
遵守与道德有关的法律要求和公司策略

3.风险管理委员会

从整体上了解该组织的风险并且协助高层管理者把风险降到可接受的程度。

研究整体的业务风险，而不仅仅是IT安全风险。减少风险、减少招聘成本、减低员工的流动率

五、信息资产管理

1.信息保留

对于每类数据的策略的确定，一般要回答下面三个问题：

保存什么数据
保存多长时间
在哪里保存：对于在哪里保存，更多的是为了便于使用。

数据保留策略必须考虑法律、法规和操作要求

数据保留策略驱动从存档过度到处置阶段

1）保留什么数据：只保留我们有意决定保留的数据，业务需求与员工或客户隐私保持平衡

2）保留多长时间：根据法定、监管和企业自身特点确定保留时间

一般法律文件一般永久，业务文件一般7年

3）在哪保存的方法

分类法：一种分类数据的方案，例如可以功能（软件开发、综合办公）、按照时间（2019、2020）、按照组织（高层、中层、雇员）等

分级：数据的敏感性分级将决定我们在使用和存档时对其实施的控制措施。

标准化：采用标准的格式，方便共享和搜索

索引：数据要可被搜索

4）电子发现（ESI-Electronically Stored Information)：是由法院或外部律师制定的、与法律程序有关的所有ESI的过程。

2.数据保护

数据三种状态：静止、运动中（传输中）、使用中的

密码的使用可在信息生命周期的所有阶段

介质存储数据，对于介质的管理包括：

追踪（审计日志记录）
有效实现访问控制：物理、技术和行政
追踪（本地或异地）备份版的数量和位置
对介质变更历史做归档
确保环境条件不会危及介质安全
确保介质完整性
定期清查介质
安全处置

介质标签：至少包括创建日期、保存期限、分类级别、创建人、销毁日期、名称和版本

3.数据处置

数据处置主要处理残留的问题。

为了应对数据残留，识别那些用于确保私有数据被正确移除，一般可采用四种方式来清除残留数据：

覆盖：使用随机或固定模式的1或0替换存储介质上的文件。其中美国DoD 5220.22-M 要求覆盖七次，目前已经被消磁取代
消磁：通过磁场破坏磁盘的数据，磁盘会被破坏。
加密：删除加密密钥，使数据不可恢复。
物理损坏：物理方式的破坏。

关于消磁：进行消磁的设备会产生强制性的磁力，将存储介质的磁感应强度减少至0.正是这种磁力适当擦除了介质上的数据。磁性介质以原子极化的方式保存数据。消磁通过使用一个大磁体改变了这种极性（磁性对准），使它恢复到最初的磁感应（磁性对准）。

垃圾搜索：是指搜索家庭或公司的垃圾箱，从中寻找那些被简单丢弃而没有通过粉碎或烧毁进行安全销毁的信息。

垃圾搜索在授权的情况下是合法的，主要是未来对安全情况的判断。

六、关于隐私和法律

1.隐私

隐私法：指个人或群体控制有关自身特定信息的能力。

保护方式

政府法规：FPA、VA ISA 、USA PATRIOT
公司法规：HIPAA、HITECH、GLBA、PIDEDA
自我约束：PCI DSS
个人用户：密码、加密、意识

处理目标

主动寻求保护公民的个人可标识信息（PII）
在政府和业务的需求与安全问题而考虑收集和使用PII之间，主动寻求平衡

个人信息使用原则

个人数据控制者的义务
收集个人数据需要征得数据主体的同意并告知用途
只收集与用途有关的数据，只在用途所需期限内使用和保存
数据收集的方法数据的用途合法
采取合理措施，技术、管理和操作措施，防止个人信息遭到恶意侵犯，保证数据的完整性和保密性，并清除过时数据，防止无用途相关工作需要的人访问

当前数据聚合（大数据）、无边界、全球化、汇聚（人工智能）等增加了法律和监管的需求

Safe Harbor（安全港协议）：是美国与欧盟之间的信息交换达成的协议

2.计算机犯罪法的难题

直接：攻击后直接获取信息

间接：使用计算机间接获得信息

计算机犯罪损失的主要来源是：员工

计算机犯罪特点：

调查取证比较困难，证据容易遭到破坏
相关法律不完善
跨地域的特征
从统计来看，内部人员实施犯罪几率比较高
受害机构有时不报告，担心影响机构的正常运作和损害用户对机构的信任

计算机辅助犯罪：使用计算机作为工具来帮助实施犯罪；计算机在犯罪中并非必要因素，只是作为工具协助犯罪分子。

以计算机为目标的犯罪：针对计算机、网络以及这些系统中所存储的信息的犯罪

计算机牵涉型犯罪：计算机不一定是攻击者或被攻击者，只是在攻击的发生时碰巧涉及其中。

计算风险最大的是内部人员，最大可能导致计算机犯罪或受到攻击的原因是内部人员粗心大意。

计算机犯罪的证据能被采纳的前提是证据是可靠的，同时是相关的。

执法人员在没有获得授权情况下，如果证据正在遭到破坏、危险，可采取紧急状况原则。

3.知识产权

商业秘密：公司保密的、带来竞争优势的信息

资源必须是机密的，应该以某些安全防范和行为进行防护
与公司的竞争或市场能力至关重要
不是众所周知的，公司付出了相关的资源和努力开发的
受到公司适当保护以防止泄漏或非授权使用

示例：产品配发、程序源代码、加密算法

版权

商标

保护代表公司形象的单词、名称、符号、形状、声音、颜色
商标通常在商标注册机构进行注册
商标是公司在市场运作过程中建立起来的质量和信誉标志

专利

对专利注册人或公司专利拥有权的法律认可，禁止他人或公司未经授权使用
专利有效期20年

著作权：作品公开发表、复制、展示和修改的法律保护的权利

软件许可的四种方式

免费软件:免费
学术软件:低于成本出售
共享软件:可以试用商业用途就会收费
商业软件:使用就收费

七、关于用人安全

一个系统所有者应该对系统将根据其规范运行有信心。这个一个过程称为安全保障（Assurance）

1.人员录用控制

背景检查：减少风险、减少招聘成本、减低员工的流动率
技能考核：评估是否满足岗位要求
签署保密协议：保护公司敏感信息

2. 人员在职控制

1）职责分离

不应该有人从头到尾的完全控制一项敏感、有价值、或关键的任务。

目的：减少欺诈或失误的机会，一种防御性措施。例如：三权分立。

示例：金融交易中，一个负责录入、第二个负责检查、第三个负责确认最终交易；开发/生产维护，安全管理/操作/审计；加密密钥管理/密钥更改；知识分割

最小特权：分配职责所需的最小权限

2）工作/岗位轮换

不允许某个人过长时间担任某个固定职位，避免个人获得过多的控制。设置人员备份，有利于发现欺诈行为。检测性控制，当岗位轮换后，可以有时间和空间检测上一任的情况，是减少合谋风险最佳方法。

3）强制休假

强迫敏感部门人员休假，可以有效发现欺诈、数据修改和资源滥用等

4）最小特权：根据需要确定必要访问和应用

3.人员离岗控制

离职人员访问权限的禁用

回收具有身份识别的物件

4.第三方人员控制

如果第三方人员不驻场，但拥有管理员权限应当与第三方组织和个人均签订保密协议监控第三方的所有工作行为。在接入时，确保对第三方人员的身份进行验证

如果第三方人员驻场，并拥有管理员权限在上述措施的基础上，增加人员背景调查第三方人员离场，需要收回相关的权限。在与第三方的合同条款上，增加保密要求，和相关的商务条款

5.安全意识、培训和教育

教育（Education）：为安全专业认识提供工作所需的专业技技术。

培训（Training）：传授安全相关工作技能，主要对象为信息系统管理和维护人员

意识（Awareness）：组织员工对安全和控制重要性的一般性的集体意识

来自为知笔记(Wiz)