信息安全管理基础.pptx

第二章 信息安全管理基础;本章内容;信息技术/网络技术改变生活方式;信息安全现状;黑客攻击猖獗;安全事件 每年都有上千家政府网站被攻击 安全影响 任何网络都可能遭受入侵;系统的定义：;信息安全管理覆盖的内容非常广泛，涉及到信息和网络系统的各个层面，以及生命周期的各个阶段。不同方面的管理内容彼此之间存在着一定的关联性，它们共同构成一个全面的有机整体，以使管理措施保障达到信息安全的目，这个有机整体被称为信息安全管理体系。;物理层面;定义：信息安全管理体系（Information Security Management System，ISMS）是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和手段所构成的体系；信息安全管理体系是信息安全管理活动的直接结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。 ;建立信息安全管理体系的意义; 强化员工的信息安全意识，规范组织信息安全行为； 促使管理层贯彻信息安全保障体系； 对组织的关键信息资产进行全面系统的保护，维持竞争优势； 在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度； 使组织的生意伙伴和客户对组织充满信心； 如果通过体系认证，表明体系符合标准，证明组织有能力保障重要信息，可以提高组织的知名度与信任度。;ISO27001是建立和维护信息安全管理体系的标准，它要求应该通过这样的过程来建立ISMS框架：确定体系范围，制定信息安全侧率，明确管理职责，通过风险评估确定控制目标和控制方式。 ISO27001非常强调信息安全管理过程中文件化的工作，ISMS的文件体系应该包括安全策略、适用性声明（选择和未选择的控制目标和控制措施）、实施安全控制所需的程序文件、ISMS管理和操作程序，以及组织围绕ISMS开展的所有活动的证明材料。;信息安全管理的基本原则;信息安全保证工作事关大局，企业、组织各级领导应该把信息安全列为其最重要的工作内容之一，并负责成提高、加强内部人员的安全意识，组织有效的技术和管理队伍，调动优化配置必要的资源和经费，协调信息安全管理工作与各部门工作的关系，确保信息安全保障工作的落实和效果。 ;规范定级原则;以人为本原则;适度安全原则;全面防范、突出重点的原则;系统、动态原则;控制社会影响原则;分权制衡策略;最小特权策略;选用成熟技术策略;普遍参与策略;信息安全管理的目标如下：;信息??全管理内容;1、通过信息安全管理过程完成信息安全管理方面的要求。 2、通过信息安全管理过程驱动信息安全技术的实施，达到信息安全在技术方面的要求。;信息安全方针与策略;安全方针和策略;资金投入管理;信息安全规划;信息安全人员和组织;在人员和组织管理方面，最基本的管理包括：;基于信息系统各个层次的安全管理;环境和设备安全;网络和通信安全;主机和系统安全;应用和业务安全;数据安全;基于信息系统生命周期的安全管理;信息系统安全和信息系统本身的三同步;项目工程安全管理;日常运行于维护的安全管理;配置管理和变更管理;文档化和流程规范化;新技术、新方法的跟踪和采用;风险管理;业务连续性管理;符合性审核;信息安全管理体系构成;;方针与策略管理;风险管理;人员与组织管理;环境与设备管理;网络与通信安全;主机与系统管理;应用与业务管理;数据/文档/介质管理;项目工程管理;运行维护管理;业务连续性管理;合规性管理;12项信息安全管理类的作用关系;12项信息安全管理类的作用关系;12项信息安全管理类的作用关系;12项信息安全管理类的作用关系;12项信息安全管理类的作用关系;第二节 信息安全管理标准;BS 7799简介;BS 7799发展历程;BS7799的内容; 信息安全管理实施细则将信息安全管理内容划分为11个方面，39个控制目标，133项控制措施，供信息安全管理体系实施者参考使用，这11个方面包括： 1、安全策略（Security Policy） 2、组织信息安全(Organizing Information Security) 3、资产管理(Asset Mangement) 4、人力资源安全(Human Resources Security) 5、物理与环境安全(Physical and Environmental Security);6、通信与操作管理(Communication and Operation Management) 7、访问控制(Access Control) 8、信息系统获取、开发与维护(Information Systems Acquisition,Development and Maintenance) 9、信息安全事件管理(Information Security Incident Management) 1