- 1、本文档共117页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
信息安全管理(三);第二章、信息安全管理基础;信息安全管理体系ISMS:是组织在整体或特定范围内建立信息安全的方针和目标,以及完成这些目标所用的方法的体系。包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动,并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。
ISO27001是建立和维护信息安全管理体系的标准,是信息安全管理领域的权威标准。
信息安全管理的基本原则
主要领导负责
规范定??
一人为本
适度安全;党的十五届五中全会和第九届人大第六次会议决定建立国家信息安全保障体系
性质:国家以国家意志和国家行为的方式,在信息技术方面所形成的用于保护其安全利益的资源和能力,这种资源和能力体现为特定形态和过程的技术结构、社会结构和人才结构
内容
技术资源
管理资源
人力资源;信息安全管理的层次与内容;信息安全管理的发展;管理基础
安全产品分类编码
信息技术安全管理指南(ISO/IEC TR 13335)
信息安全管理(ISO/IEC TR 17799)
系统管理
安全报警报告功能(GB 17143.7-1997 idt 10164.7-1992)
安全审计跟踪功能(GB 17143.8-1997 idt 10164.8-1993)
访问控制对象和属性(GB 17143.9-1997 idt 10164.9-1993
风险管理
测评认证
信息技术安全性评估准则(ISO/IEC 15408:1999)(CC)
计算机信息系统安全保护等级划分准则(GB 17859:1999)
通用测评方法(SC27 N2722|CEM)
系统安全工程能力成熟模型(SSE-CMM)
;英国标准协会(BSI)于1995年制定BS7799《信息安全管理体系标准》,1999年修订改版:
7799-1 : 《信息安全管理操作规则》
7799-2 : 《信息安全管理系统规范》
7799-1已经在2000年末被采纳为国际标准,即:ISO/TEC17799《信息安全管理操作规则》,香港、台湾等都采用BS7799标准。;ISO/IEC 17799( BS7799-1 );BS 7799-2;BS 7799-2;BS 7799-2;通用准则(CC );CC的结构以及目标读者;安全管理指南:ISO/IEC TR 13335;SSE-CMM项目;NIST SP 800 (Special Publication 800-series)
SP 800-12, 《计算机安全手册》(Computer Security Handbook)
SP 800-14, 《公认【安全】原则与操作》(Generally Accepted [Security] Principles Practices)
SP 800-18, 《安全计划开发指南》(Guide for Developing Security Plans)
SP 800-23,《联邦机构安全保障和采购指南/使用可信或经评估的产品指南》(Guide to Federal Organizations on Security Assurance and Acquisition/ Use of Tested/Evaluated Products)
SP 800-26,《IT系统自我评估指南》 (Self-Assessment Guide for IT Systems);我国信息安全标准工作;信息安全标委会工作组设置 ;三、信息安全策略;信息安全涉及的主要问题
网络攻击与攻击检测、防范问题
安全漏洞与安全对策问题
信息安全必威体育官网网址问题
系统内部安全防范问题
防病毒问题
数据备份与恢复问题、灾难恢复问题
主要的信息安全策略
物理安全
网络安全
数据安全
软件安全
系统管理
灾难恢复;1、口令策略
所有系统都需要口令,以拥有易于实现的第一级别的访问安全性。为确保网络安全运行,保护所拥有的权益不受侵害,可以制定如下管理策略:
☆网络服务器口令的管理:
(1)服务器的口令,由部门负责人和系统管理员商议确定,必须两人同时在场设定。
(2)服务器的口令需部门负责人在场时,由系统管理员记录封存。
(3)口令要定期更换(视网络具体情况),更换后系统管理员要销毁原记录,将新口令记录封存。
(4)如发现口令有泄密迹象,系统管理员要立刻报告部门负责人,有关部门负责人报告安全部门,同时,要尽量保护好现场并记录,须接到上一级主管部门批示后再更换口令。
☆用户口令的管理:
(1)对于要求设定口令的用户,由用户方指定负责人与系统管理员商定口令,由系统管理员登记并请
您可能关注的文档
- 供应链管理供应链结构模型.pptx
- 供应链管理培训讲义.pptx
- 供应链管理培训课件.pptx
- 供应链管理基本概念及其战略选择.pptx
- 供应链管理基本知识培训.pptx
- 供应链管理实务教材.pptx
- 供应链管理环境下的企业库存控制.pptx
- 供应链管理环境下的物流概述.pptx
- 供应链管理规划企业物流体系再造部分.pptx
- 供应链管理设计的原则.pptx
- 第18讲 第17课 西晋的短暂统一和北方各族的内迁.docx
- 第15讲 第14课 沟通中外文明的“丝绸之路”.docx
- 第13课时 中东 欧洲西部.doc
- 第17讲 第16 课三国鼎立.docx
- 第17讲 第16课 三国鼎立 带解析.docx
- 2024_2025年新教材高中历史课时检测9近代西方的法律与教化含解析新人教版选择性必修1.doc
- 2024_2025学年高二数学下学期期末备考试卷文含解析.docx
- 山西版2024高考政治一轮复习第二单元生产劳动与经营第5课时企业与劳动者教案.docx
- 第16讲 第15课 两汉的科技和文化 带解析.docx
- 第13课 宋元时期的科技与中外交通.docx
文档评论(0)