信息安全意识培训课件.pptVIP

  1. 1、本文档共77页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * CERT/CC:CERT Coordination Center是属于Carnegie Mellon University的一个服务注册商标,CERT代表computer security incident response team,最早源于美国国防部对软件工程协会(Software Engineering Institute SEI)的资助项目 迄今为止,统计在案的安全事件已经达到297,318起(从1988年到现在) 2003年的统计数字只是前三个季度的 * * Computer Security Institute(CSI)是致力于服务和培训信息、计算机及网络安全专家的全球领先的组织 CSI/FBI Computer Crime and Security Survey,是CSI协同FBI一起举办的权威的安全调查。 2003年的调查对象是530家公司,牵涉到高科技、制造业、通信、运输、金融、政府等行业。 调查显示,有56%的响应者承认自己公司发生过非法使用的事件,所有事件造成的损失总量达到$201,797,340(前一年度,这个数字是$455Million) * * 人员威胁:故意破坏和无意失误,内部人员和外部人员 系统威胁:系统、网络或服务出现的故障 环境威胁:电源故障、污染、液体泄漏、火灾等 自然威胁:洪水、地震、台风、雷电等 * * * * * * * * * * * * * * 但关键还要看整体的信息安全管理 技术是信息安全的构筑材料,管理是真正的粘合剂和催化剂 信息安全管理构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动 现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的 理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标尤其重要 三分技术,七分管理! * 务必重视信息安全管理 加强信息安全建设工作 * PDCA信息安全管理模型 根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。 实施所选的安全控制措施。 针对检查结果采取应对措施,改进安全状况。 依据策略、程序、标准和法律法规,对安全措施的实施情况进行符合性检查。 * 可以参考的标准规范和最佳惯例 ISO27001 * 安全性与方便性的平衡问题 在方便性(convenience,即易用性)和安全性(security)之间是一种相反的关系 提高了安全性,相应地就降低了方便性 而要提高安全性,又势必增大成本 管理者应在二者之间达成一种可接受的平衡 * 计算机安全领域一句格言: “真正安全的计算机是拔下网线,断掉电源,放在地下掩体的保险柜中,并在掩体内充满毒气,在掩体外安排士兵守卫。” 这样的计算机是没法用了。 绝对的安全是不存在的! * 正确认识信息安全 安全不是产品的简单堆积,也不是一次性的静态过程,它是人员、技术、操作三者紧密结合的系统工程,是不断演进、循环发展的动态过程 * 整体管理思路 信息安全管理体系 第4部分 * 英国标准协会(British Standards Institute,BSI)制定的信息安全标准。 由信息安全方面的最佳惯例组成的一套全面的控制集。 信息安全管理方面最受推崇的国际标准。 ISO27001是关于信息安全管理的标准 * ISO27001 标准包含两个部分 ISO17799:2005:信息安全管理实施细则(Code of Practice for Information Security Management),相当于一个工具包,体现了三分技术七分管理 ISO27001:是建立信息安全管理系统(ISMS)的一套规范(Specification for Information Security Management Systems),详细说明了建立、实施和维护信息安全管理系统的要求,指出实施机构应该遵循的风险评估标准 安全策略 Security policy 安全组织 Security organisation 资产分类与控制 Asset classification control 人员安全 Personnel security 物理与环境安全 Physical environmental security 通信与操作管理 Communications operations managemen

文档评论(0)

celkhn5460 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档