信息安全与风险管理-CTEC 7799讲座.ppt

信息安全和风险管理 － 7799标准与实施;概述;Part I什么是信息安全;1-1 看待信息安全的各种思路;对信息安全的各种思路;对信息安全的各种思路;信息安全的三个方面需求 必威体育官网网址性——信息的机密性 完整性——信息的完整性、一致性 可用性——行为完整性、服务连续性;安全需求的多样性;信息安全需求的演变？;最权威的传统评估标准;可信计算机系统安全等级;传统评估标准的演变;Reference Monitor;主要传统安全技术;VRM;RM传统安全理念和技术的局限;UNIX Firewall;1-3 P2DR安全模型;P2DR安全模型;什么是安全？;安全——及时的检测和处理;什么是安全？;P2DR安全模型;P2DR的核心问题是检测 检测是静态防护转化为动态的关键 检测是动态响应的依据 检测是落实、强制执行安全策略的有力工具 最重要的检测技术 漏洞扫描 入侵检测IDS ;PDR理念的不足;PDR的时间计算;PDR的时间计算;PDR的时间计算;PDR的时间计算;1-4 我们应当期待什么效果？;目前普遍应用的信息安全技术;信息安全问题的难点;最成熟的“工程”方法;Part II 什么是风险和风险管理;什么是风险？;什么是风险;ISO15408安全模型;模型的对抗特性;模型的动态性和风险性;模型的资产属性;风险避免 vs 风险管理;风险管理的关系图;ISO13335以风险为核心的安全模型;7799对信息资产的看法;风险管理的核心理念;什么是风险管理？;风险管理的组成要素;风险管理的组成要素;风险管理的组成要素;风险管理的组成要素;风险管理的主要部分;风险评估;风险评估报告;风险体;安全要素关系图;Part III 什么是7799;信息安全管理标准;信息安全管理标准－BS7799/ISO17799;BS7799和ISO17799的区别;BS7799-2:2002;BS7799 / ISO 17799;“Not all the controls described will be relevant to every situation, nor can they take account of local environmental or technological constraints, or be present in a form that suits every potential user in an organisation.” “不是所有描述的控制措施与所有情况有关，这些控制措施也没有考虑地方的环境和技术限制，或以适用于任何一个组织中的潜在的使用者的形式展现。;Key controls关键控制措施;Intellectual property rights 知识产权保护 Safeguarding of organisational records 保护组织的记录 Data protection and privacy of personal information 数据保护和个人信息隐私 ;; Objective –目标 Prevention of loss, destruction and falsification of important records. 防止丢失，破坏和篡改重要的记录 Retention保持 Storage储存 Disposal处置 ;Objective –目标 Compliance with any data or information protection legislation in those countries where applicable. 如果适用，符合所在国家的任何信息保护法律。;Information security policy document 信息安全方针文件 Allocation of information security responsibilities 落实信息安全责任 Information security education and training 信息安全教育与培训 Reporting security incidents 安全事故汇报 Business continuity management 业务连续性管理;Objective –目标 To provide management direction and support for information security. 提供管理方向和支持信息安全。 ;Objective – 目标 To assign responsibilities for security so that security is effectively managed within the