信息安全的管理概述.ppt

三、信息安全管理课程安排 Sub Text “信息安全管理”课程采用的教材是普通高等教育“十一五”国家级规划教材，人民邮电出版社出版的《信息安全管理》： 教材存在的不足： 教材中信息安全管理解决方法和技术方面讲解的比较粗； 教材中案例讲解不够丰富。 三、信息安全管理课程安排 Sub Text 辅助教材： Sub Text 信息安全管理的思想如何在信息安全保障中运用？ Sub Text 构建一套信息安全管理体系 四、信息安全管理体系与管理模型 Sub Text 管理体系（Management System） 是组织用来保证其完成任务，实现目标的过程集的框架。ISO 9000：2000中将其定义为建立方针和目标并实现目标的体系。 四、信息安全管理体系与管理模型 Sub Text 信息安全管理体系 Information Security Management System，ISMS 是基于业务风险方法，建立、实施、运行、监视、评审、保持和改进信息安全的管理体系，即一套过程集框架。 Sub Text 四、信息安全管理体系与管理模型 Sub Text 如何构建信息安全管理体系？ Sub Text 五、信息安全管理发展与相关标准 五、信息安全管理发展及相关标准 Sub Text 　　信息安全的发展大体经历了“零星追加时期”和“标准化时期”两个阶段，九十年代中期可以看作这两个阶段的分界。 五、信息安全管理发展及相关标准 Sub Text 一、技术浪潮 二、管理浪潮 三、制度浪潮 信息安全实践发展的三个标志阶段 五、信息安全管理发展及相关标准 Sub Text 没有完善的信息安全标准，信息化建设中的产品、系统和工程就不能实现安全的互联、互通、互操作，就不能形成我国自主的信息安全产业，就不能构造出一个自主可控的信息安全保障体系。 五、信息安全管理发展及相关标准 Sub Text 　　1993年，英国贸易工业部制定了世界上第一个ISMS实施标准，即 BS7799-1:1995《信息安全管理实施规则》，其提供了一套综合的、由信息安全最佳惯例组成的实施细则，其目的是作为确定企业信息系统所需控制范围的参考基准，适用于大、中、小型组织。 1、信息安全管理类标准的提出与发展 五、信息安全管理发展及相关标准 Sub Text 　　由于BS7799-1:1995《信息安全管理实施规则》标准采用指导和建议的方式编写，因而不宜作为认证标准使用。 　　1998年，为了适应第三方认证的需求，英国又制定了世界上第一个ISMS认证标准BS7799-2:1998《信息安全管理体系规范》，它规定了ISMS要求与信息安全控制要求，可以作为对一个组织的全面或部分ISMS进行评审认证的标准。 1、信息安全管理类标准的提出与发展 五、信息安全管理发展及相关标准 Sub Text 1、信息安全管理类标准的提出与发展 BS7799-1:《信息安全管理实施规则》 主要是给负责开发的人员作为参考文档使用，从而 在机构内部实施和维护信息安全。 BS7799-2:《信息安全管理体系规范》 详细说明了建立、实施和维护信息安全管理体系的要求，指出实施组织需要通过风险评估来鉴定最适宜的 控制对象，并根据自己的需求采取适当的安全控制。 五、信息安全管理发展及相关标准 Sub Text BS7799的目的：是为信息安全管理提供建议，供那些在其机构中负有安全责任的人使用，它旨在为一个机构提供用来制定安全标准、实施有效安全管理的通用要素，并不涉及“怎么做”的细节，它是制订一个机构自己标准的出发点。 1、信息安全管理类标准的提出与发展 Sub Text Sub Text ISO/IEC 2700X 系列国际标准 ISO/IEC 27000 信息安全管理体系基础和术语 ISO/IEC 27001 信息技术—安全技术—信息安全管理体系—要求 ISO/IEC 27002 信息技术—安全技术—信息安全管理实践规则 ISO/IEC 27003 信息安全管理体系实施指南 ISO/IEC 27004 信息安全管理测量 ISO/IEC 27005 信息安全风险管理 ISO/IEC 27006 信息安全体系认证机构的认可要求 …… 五、信息安全管理发展及相关标准 Sub Text ISO/IEC13335-1:1996《IT安全的概念与模型》 ISO/IEC13335-2:1997《IT安全管理与策划》 ISO/IEC13335-3:1998《IT安全管理技术》 ISO/IEC13335-4:2000《防护措施的选择》 ISO/IEC13335-5:2001《网络安全管理指南》 ２、信息安全管理实施建议与指导类标准 五、信息安全管理发展及相关标准 Sub Text