信息安全风险及分析.pptVIP

信息安全的成败取决于两个因素：技术和管理。 技术是信息安全的构筑材料，管理是真正的粘合剂和催化剂。 人们常说，三分技术，七分管理，可见管理对信息安全的重要性。 信息安全管理（Information Security Management）作为组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。 现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。 什么是信息安全管理？ 根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。 实施所选的安全控制措施。 针对检查结果采取应对措施，改进安全状况。 依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。 信息安全管理模型 信息安全必须从整体考虑，必须做到“有计划有目标、发现问题、分析问题、采取措施解决问题、后续监督避免再现”这样全程管理的思路，这就要求建立的是一套完整的信息安全管理体系，这样的系统工程，只有处于组织最高管理者领导和支持之下，才可能成功 最高管理层通过明确信息安全目标和方针为信息安全活动指引方向 最高管理层能够为信息安全活动提供必要的资源支持 最高管理层能够在重大问题上做出决策 最高管理层可以协调组织不同单位不同环节的关系，提升促动力 说到底，最高管理者是组织信息安全的最终责任人 组织高管全面负责信息安全管理 制定有效的安全管理计划，可以确保信息安全策略得到恰当执行 进行有效安全管理的途径，应该是自上而下的（Top-Down）： 最高管理层负责启动并定义组织的安全方针 管理中层负责将安全策略充实成标准、基线、指南和程序，并监督执行 业务经理或安全专家负责实施安全管理文件中的指定配置 最终用户负责遵守组织所有的安全策略 安全管理计划小组应该开发三类计划： 战略计划（strategic plan）是长期计划（例如5年），相对稳定，定义了组织的目标和使命 战术计划（tactical plan）是中期计划（例如1年），是对实现战略计划中既定目标的任务和进度的细节描述，例如雇用计划、预算计划、维护计划、系统开发计划等 操作计划（operational plan）是短期的高度细化的计划，须经常更新（每月或每季度），例如培训计划、系统部署计划、产品设计计划等 按计划行事 数据收集者（Data Collector）对数据主体（Data Subject）：准确（Accuracy）、隐私（Privacy）； 数据保管者（Data Custodian）对数据拥有者（Data Owner）：可用性（Availability）、完整性（Integrity）、必威体育官网网址性（Confidentiality）； 数据用户（Data Users）对拥有者/主体（Owner/Subject）：必威体育官网网址性（Confidentiality）和完整性； 系统用户（System Users）对系统拥有者（System Owner）：可用性（Availability）和软件完整性（Software Integrity）； 系统管理者（System Manager）对用户（Users），可用性（Integrity）、完整性（Integrity）； 用户（Users）对其它用户（Other Users）：可用性（Availability）。 重要角色和职责 信息安全管风险管理 风险 风险管理（Risk Management）就是识别风险、评估风险、采取措施将风险减少到可接受水平，并维持这个风险水平的过程。风险管理是信息安全管理的核心内容。 在信息安全领域，风险（Risk）就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性。 风险管理 风险管理概述 资产（Asset）—— 对组织具有价值的信息资产，包括计算机硬件、通信设施、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。 威胁（Threat）—— 可能对资产或组织造成损害的某种安全事件发生的潜在原因，需要识别出威胁源（Threat source）或威胁代理（Threat agent）。 弱点（Vulnerability）—— 也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。 风险（Risk）—— 特定威胁利用资产弱点给资产或资产组带来损害的