信息安全管理普通高等教育“十一五”国家级规划教材张红旗王新昌杨英杰唐慧林2第1次课-概述上课用课件.ppt

信 息 安 全 管 理 Information security management 本节内容 第一章 概述 第一章 概述 第一章 概述 第一章 概述 第一章 概述 第一章 概述 第一章 概述 第一章 概述 第一章 概述 第一章 概述 管理的内容研究管理的概念、行为、职能、本质、性质和特征等，其中管理的各种行为和职能既体现管理的基本任务，又反映了管理的全过程。 第一章 概述 管理原理、原则是一个具有层次结构的理论体系，是实施管理职能的理论依据，是人们进行管理活动的行动指南，是管理学研究的重要部分。 第一章 概述 管理方法，宗旨在于运用有限的人力、物力和财力取得最佳经济效益和社会效益，而管理这一功能的执行和完成，是靠管理方法来实现的，管理的这一功能的充分发挥和管理目标的顺利达到，也都是正确运用各种有效的管理方法来实现的。因此，对管理方法的研究是现代管理学中最引人注目的领域。 第一章 概述 管理是一门科学。 管理通常被解释为主持或负责某项工作。 “管理理论丛林”现象。 第一章 概述 第一章 概述 第一章 概述 第一章 概述 第一章 概述 第一章 概述 第一章 概述 第一章 概述 第一章 概述 安全威胁 第一章 概述 第一章 概述 第一章 概述 国外现状 第一章 概述 国内现状 第一章 概述 存在的问题 第一章 概述 存在的问题 第一章 概述 存在的问题 第一章 概述 存在的问题 第一章 概述 国际标准 第一章 概述 国际标准 第一章 概述 国际标准 第一章 概述 国际标准 第一章 概述 国内标准 第一章 概述 国际： 国际信息系统审计与控制协会 (ISACA) COBIT-Control Objectives for Information and related Technology（直译为信息及相关技术的控制目标） IT Governance Institute（1998） 国际会计师联合会 分布式管理任务组（DMTF ） …… 第一章 概述 国内： 公安部 1110工程 金融标准化委员会 银行和相关金融业信息安全管理规范 …… 第一章 概述 关于管理标准 需要什么样的路线图 什么样的结构更合理 管理能力分级是否应该反映在标准之中 对国际相应标准如何代表国家提出见解，表示态度 管理标准中有那些代表国家利益的方面，对它们应该把握什么原则才能保护国家利益 第一章 概述 关于管理认证 BS 7799认证在国内已经有所开展 （截至到2004年2月24日，全球已经有563个组织获得了信息安全管理体系认证证书，其中包括我国的5家企业。） 这些业务还都处在自发状态，我国还没有对应的制度对其进行有效的监督和规范。 信息安全保障的管理认证依据BS7799是否足够？ 第一章 概述 关于管理认证 管理认证是否存在敏感性？ 我国应该如何开展信息安全管理认证，应该依据什么规范？ 如何避免认证工作的形式主义？ 如何避免发生过度的成本？ 第一章 概述 着眼点越来越高 国际 国家 企业 包括的范围越来越大 时间：生命周期全过程 空间：系统和网络 手段：人和系统来执行行政和技术的安全策略 目标：信息和内容安全 目的：信息化应用服务的效率和效益 第一章 概述 管理思想越来越科学化 没放弃追求最高境界：从保护提高到保障 没要求绝对安全：风险分析，风险管理 强调管理责任落实：角色和责任 从IT管理发展到IT+应用服务管理： 如 CoBIT和US Sarbanes-Oxley Act of 2002 的出现 强调过程控制：落实到生命周期各个环节上 第一章 概述 定性定量结合： “头脑风暴” 信息收集 信息分析 科学决策 重视发展管理技术手段： 信息获取工具 信息交换手段 信息分析工具 测试评估工具 实验演练平台 第一章 概述 人的因素第一 重视队伍建设 重视人员成长 意识 培训 教育 重视队伍的战斗力 第一章 概述 第一章 概述 第一章 概述 深化讨论在继续 P（计划），D（实施），C（检查），A（改进）（BS7799，ISO17799） R（风险评估），P（规划），D（实施），C（检查），A（持续监控）（美国联邦IT系统认证认可指南） 第一章 概述 信息保障的三大要素（人员、技术、管理）中，管理要素的作用和地位越来越得到重视; 信息安全管理的内涵； 三分技术,七分管理； 信息安全管理现状； 信息安全管理标准日渐完善。 第一章 概述 什么是信息安全管理？为什么要引入信息安全管理？ 叙述信息安全管理的内容。 第一章 概述 如何理解 “三分技术,七分管理 ”？ tanghuilin81@ 5、信息安全管理的国内外现状 怎么管 IT技术