信息安全管理 普通高等教育“十一五”国家级规划教材 作者 张红旗 王新昌 杨英杰 唐慧林2 第4次课-信息安全管理体系3.pptVIP

信 息 安 全 管 理 Information security management 上节回顾 测评的广度和深度落实在具体的测评方法――访谈、检查和测试上，体现出访谈、检查和测试的 　努力程度不同。 本节内容 本节内容 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 第二章 信息安全管理体系3 不同的组织在建立与完善信息安全管理体系时，可根据自己的特点和具体情况采取不同的步骤和方法。但总体来说，建立信息安全管理体系一般要经过五个基本步骤 。 第二章 信息安全管理体系3 建立信息安全管理体系一般要经过哪些基本步骤？ tanghuilin81@ 7、 BS7799信息安全管理体系的管理评审 管理评审的步骤 编制评审计划 准备评审材料 召开评审会议 评审报告分发与保存 8、 BS7799信息安全管理体系的检查与持续改进 对信息安全管理体系的审查 日常检查 自治程序 学习其他组织的经验 内部信息安全管理体系审核 管理评审 趋势分析 8、 BS7799信息安全管理体系的检查与持续改进 对信息管理体系的持续改进 纠正性控制 预防性控制 组织应采取措施，以消除不合格的、与实施和运 行信息安全管理体系有关的原因，防止问题的再次发 生。 组织应针对未来的不合格事件确定预防措施以防 止其发生。预防措施应与潜在问题的影响程度相适应。 小结 习题 LOGO 授课内容：信息安全管理体系3 授课对象： 主讲教员：唐慧林 在线教务辅导网： 教材其余课件及动画素材请查阅在线教务辅导网 QQ:349134187 或者直接输入下面地址： 三种基本测评方法： 　访谈Interview 　检查Examine 　测试Test 信息安全管理体系建立步骤 1 BS7799信息安全管理体系的准备 2 建立BS7799信息安全管理框架 3 编写BS7799信息安全管理体系文件 4 BS7799信息安全管理体系的运行 5 BS7799信息安全管理体系的审核 6 BS7799信息安全管理体系的检查与持续改进 8 BS7799信息安全管理体系的管理评审 7 BS7799的内容 *BS7799-1:《信息安全管理实施规则》 主要是给负责开发的人员作为参考文档使用，从而 在他们的机构内部实施和维护信息安全。 *BS7799-2:《信息安全管理体系规范》 详细说明了建立、实施和维护信息安全管理体系的 要求，指出实施组织需要通过风险评估来鉴定最适宜的 控制对象，并根据自己的需求采取适当的安全控制。 1、信息安全管理体系建立步骤 信息安全管理体系的策划与准备 信息安全管理体系文件的编制 建立信息安全管理框架 信息安全管理体系的运行 信息安全管理体系的审核与评审 2、BS7799信息安全管理体系的准备 管理承诺 组织与人员建设 编制工作计划 能力要求与教育培训 3、建立BS7799信息安全管理框架 3、建立BS7799信息安全管理框架 信息安全策略（Information Security Policy）本质上 来说是描述组织具有哪些重要信息资产，并说明这些信息 资产如何被保护的一个计划。 *定义安全策略 3、建立BS7799信息安全管理框架 信息安全策略可以分为两个层次： 信息安全方针 具体的信息安全策略 *定义安全策略 3、建立BS7799信息安全管理框架 *定义ISMS的范围 组织现有部门 办公场所 资产状况 所采用技术 3、建立BS7799信息安全管理框架 *实施信息安全风险评估 对ISMS范围内的信息资产进行鉴定和估价 对信息资产面对的各种威胁和脆弱性进行评估 对已