信息安全管理第8讲信息安全组织管理2007年11月19日改进版.ppt

信息安全管理第8讲信息安全组织管理2007年11月19日改进版.ppt

  1. 1、本文档共79页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
维护: 组织应当定期对业务连续性计划和策略进行审核与更新,以反映需求变化。以下因素可能影响业务连续性需求,需要对BCP进行更新: 在过去某一时间点上建立的恢复策略可能已经不能满足组织变更后的新要求。 组织开发或获得了新的资源或应用系统。 业务策略上的变更可能会改变关键应用系统的重要性级别,或者产生了新的关键应用系统。 硬件或软件环境的变更可能会使为恢复而准备的供应物品过时或不再适用。 5操作与物理安全 5.1 操作安全 5.2 物理安全保护范围 5.3 物理安全模型 5.1 操作安全 在信息系统的实际运行过程中,由于操作中用户的无意过失或故意行为,都可能导致严重的安全问题,应对这类威胁措施有: 规范化的操作程序:应制定规范化的信息系统处理和操作程序,并形成文件。例如计算机启动和关机程序、备份、设备维护、介质处理、计算机机房管理、邮件处置和物理安全等。 操作培训:为减少无意错误导致的信息安全问题,实际操作前,应对操作人员进行培训。 职责分割:对责任及职责范围加以分割,可以降低无意的过失导致严重损害,也可阻止用户故意行为对组织资产的损害。通过职责分离,只有若干人勾结在一起才能实施预定的阴谋。 信息备份:应提供足够的备份设施,同时注意备份信息应异地存储,以确保所有必要的信息和软件能在灾难或设备故障后进行恢复。各个系统的备份安排应定期测试以确保他们满足业务连续性计划的要求。对于重要的系统,备份不止应覆盖所有的系统信息、应用,还应包括在灾难事件时恢复整个系统所需的必须信息。 变更管理:由于硬件或软件升级需要,信息处理设施和系统将遇到变更问题,对信息处理设施和系统的变更缺乏控制是导致系统故障的常见原因。组织应制定严格的变更管理控制机制。 安全审计与审计踪迹:为减少无意过失或用户恶意行为,对重要系统的操作应予以安全监控与审计踪迹,通过对审计跟踪记录或日志进行分析,可以检测系统中未授权的活动,并暴露系统存在的脆弱点和面临的威胁,事故发生后,根据监控记录可追究当事人的责任。 5.2 物理安全保护范围 物理安全保护是指对信息处理设施、介质、场所提供物理的安全保护,避免物理介质、设备的物理破坏以及信息处理场所的未授权进入。 安全区域 关键或敏感的信息处理设施要放置在安全区域内,并根据安全级别赋予特定的安全的保护,包括适当的安全屏障和入口控制。避免这些设施要在物理上未授权访问、损坏和干扰。具体实施可使用安全边界(诸如墙、卡控制的入口或有人管理的接待台等屏障)来保护包含信息和信息处理设施所在的区域。 同时,对安全区域,应注意防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难引起的破坏,并采取适当的保护措施。 设备安全 设备安全包含信息处理及存储设备以及支持性设施的安全保护,信息处理及存储设备包括计算机、路由器、交换机、打印机、传真机等;支持性设备是指诸如供电、供水、排污、加热/通风设备和空调等,为保证信息系统正常运行而必须提供必要的条件。 信息处理及存储等设备应安置在适当的区域内,并尽量减少区域对该区域授权或未授权的不必要的访问;应把处理敏感数据的信息处理设施放在适当的限制观测的位置,以减少在其使用期间信息被窥视的风险,还应保护储存设施以防止未授权访问; 应有足够的支持性设施来保证系统正常运行。为减少由于他们的故障或失效带来的风险,应对支持性设施执行定期检查与测试以确保他们的功能。 电缆安全 电缆包括进行信息传输通信电缆,传输电力等支持性服务的电力电缆。应在物理上保证电缆免受无意或故意的损坏。对通信电力,除需防止物理破坏外,还应防止可能的信息窃听导致机密信息的泄漏。 5.3 物理安全模型 层次安全模型 关键路径分析 层次安全模型 物理安全应该是一个层次结构:多个安全控制器在同一层次结构中起作用,比如:栅栏、墙、钥匙卡、门卫、入侵检测、配锁的计算机等。 关键路径分析 必要的保护环境:人员、设备、数据、通信设施、电力供应设施和电缆 保护级别取决于:这些设备中的数据、计算机系统和公司资产的价值。 关键路径分析可以得到该价值 关键路径分析: 列举基础设施中的每一项及保持设施得以正常工作的项目 勾画数据在网络中传输时通过的路径 列举环境中所有元素相互关系 关键路径被定义为对业务功能起关键作用的路径。每条关键路径应该配有冗余路径 图例 6 小结 信息安全管理策略 信息安全组织建设 业务连续性计划 操作和物理安全 思考题: 什么是信息安全策略?其主要包括哪些内容? 如何制定信息安全策略? 必威体育官网网址性协议应考虑哪些因素? 安全角色和职责应包括哪些要求? 雇用前,组织应审查员工的哪些背景资料? 任用终止时,组织应进行哪些处理步骤? 什么是人力防火墙?它的重要性体现在哪里? 什么信息安全教育、培训和意识?它们有什么区别? 简述信息安全教育模型

文档评论(0)

企业资源 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档