信息安全管理总结.doc

信息安全管理基本理论 1、管理：孔茨（美管理过程学派）强调效率、法约尔（法管理学先驱）活动过程、彼得·F·德鲁克（奥地利现代管理学之父）重视结果。 针对特定对象，遵循确定原则，按照规定规定程序，运用恰当方法，为了完成某项任务以及实现既定目标而进行的计划、组织、指导、协调和控制等活动。 三个阶段：通信必威体育官网网址阶段 信息的必威体育官网网址性 信息安全阶段 必威体育官网网址性、完整性和可用性 信息安全保障阶段 信息安全技术与信息安全管理：信息安全技术是实现信息安全要求的方法保障，信息安全技术是实现信息安全产品的技术基础，信息安全产品 是实现组织安全的工具平台，信息安全管理是实现信息安全技术应用的途径，信息安全管理是完成信息安全产品部署的规范，信息安全管理是从事信息安全人员组织的方法。 信息安全管理课程作用：单纯只考虑技术，只能做出功能强大的信息安全产品，并不能对组织机构内部信息的安全保障提供直接支持。单纯只考虑管理，缺少技术产品的支撑，就不能保证信息安全规章制度的实施 信息安全研制者 十分技术。信息安全执行者 三分管理 七分技术 。信息安全管理者 五分管理 五分技术。信息安全决策者 七分管理三分技术信息安全管理： 是通过维护信息的机密性，完整性和可用性等，组织为实现信息安全目标而进行的管理活动，管理和保护信息资产的一项体制，是对安全保障进行指导、规范和指导组织的一系列活动的过程 内容：安全方针和策略 组织安全 资产分类与控制 人员安全 物理与环境安全 通信、运行与操作安全 访问控制 系统获取、开发与维护 安全事故管理 业务挂线性管理 符合性 做什么 明确目标和指导原则 如何做 做得怎样 多方面发扬需求 整体规划长远考虑 建立安全管理体系 课程内容 讲解说明各类安全管理过程——如何运用各类信息安全产品和信息安全知识理论来保证组织机构内信息的安全 讲解说明各类信息安全管理技术——以管理角度讲述，包括谁、风险伍佰、策略管理、审计、监控、容灾等。 全面了解信息安全管理体系 掌握信息安全管理的内涵、体系、内容和实施过程。 掌握信息安全管理的基本理论和手段，体系的构建过程。 信息安全管理发展：零星追加时期，标准化时期，九十年代中期可看作社两个阶段的分界。 国外现状：制订信息安全发展战略和计划，加强信息安全立法实现统一和规范和规范管理步入标准化与系统化管理时代 国内现状：存在问题 客观方面：法律法规不健全，管理方面政出多门，国家信息基础设施建设外国依赖 微观方面：缺乏安全意识与方针，重技术，轻管理岗位不清，职责不分，缺乏系统管理的思想 技术与工程标准 信息安全管理与控制标准：美国信息安全桔皮书TCSEC、信息产品通过测评准则CC、BS7799：控制目标，控制措施、信息基础设施库ITIL、信息有相关技术控制目标COBIT、ISO/IKE 27000系列国际标准 信息安全管理体系：管理体系是组织用来保证其完成任务，实现目标的过程集框架 信息安全管理体系是基于业务风险方法建立，实施，运行监视，评审，保持和改进信息安全的管理体系，即一套过程集框架。 对象范畴： 组织的所有系统、组织部分信息系统、 特定的信息系统 特点：信息安全系统是一个系统化，程序化和文件化管理体系，应具有以下特点：体系建立——预防控制为主、体系的规划——遵守法律法规与要求、体系的建设——动态控制，控制费用与平衡风险、体系的运维——保护关键性信息资产。 建设步骤：信息安全管理体系的策划与准备、信息安全管理体系文件的编制、建立信息安全管理框架、信息安全管理体系的运行、信息安全管理体系的审核与评审。 二、ISO／ＩＥＣ　２７００Ｘ信息安全管理体系：信息安全管理体系（ｉｓｍｓ）系列标准（即２７０００系列）、２７０００－２７００９：ｉｓｍｓ基本标准、２７０１０－２７０１９：ｉｓｍｓ标准族的解释性指南与文档、２７０２０－２７０３１：预留各个行业、ｉｓｏ／ｉｅｃ　２７００１　信息技术－安全技术－信息安全管理体系－要求、ｉｓｏ／ｉｅｃ　２７００２信息技术－安全技术－信息安全管理实践规划 信息安全管理实用规则　：该标准给了一个信息安全管理范围的划分方法，其将信息安全管理范围划分为１１个管理方面，３９个安全控制目标和１３３条控制措施。 管理方面　明确管理的范畴 控制目标　　要实现什么 控制措施　　用于实现控制目标 控制措施实施控制目标的控制措施介绍说明 实施指南为扶持控制措施的实现和满足控制目标而提供的详细信息 其它信息　提供需要进一步考虑的信息 例:管理方面：访问控制。　　控制目标　１。访问控制的业务要求２．用户访问管理３．用户职责４．网络访问控制５．操作系统６．应用和信息７．移动和过程管理 目标解读：确保授权用户访问信息系统，并防止未制空权的访问 控制措施　：　　１。用户注册２．特殊权限管理