《信息安全工程与管理(第二版)》 课件 第5章_信息安全管理概述.ppt

*/21Edityourcompanyslogan信息安全工程与管理第5章、信息安全管理概述本章目录5.1信息安全管理相关概念5.2信息安全管理标准5.3信息安全管理的实施要点5.1信息安全管理相关概念仅依靠产品和技术，即使采购和使用了足够先进、数量够多的信息安全产品，仍无法避免一些安全事件。计算机安全事件原因分析:5.1.1什么是信息安全管理5.1信息安全管理相关概念总之，信息安全管理是组织中用于指导和管理各种控制信息安全风险、一组相互协调的活动，有效的信息安全管理应该是在有限的成本下，尽量做到安全“滴水不漏”。5.1.1什么是信息安全管理5.1信息安全管理相关概念由于计算机的开放性和标准化等结构特点，使计算机信息具有高度共享和易于扩散等特性，从而导致计算机信息在处理、存储、传输和应用过程中很容易被泄露、窃取、篡改和破坏，或者受到计算机病毒的感染。国外相关信息安全事件：2014年雅虎被黑客窃取5亿账户的数据2019年4月，Facebook两个数据集被暴露在互联网上2020年微软长达14年2.5亿条客户记录泄露2022年6月美国得克萨斯州圣安东尼奥的BaptistMedicalCenter医疗中心和德克萨斯州新布朗费尔斯的ResoluteHealthHospital附属医院发生涉及124万用户的数据泄漏5.1.2信息安全管理现状5.1信息安全管理相关概念我国信息安全管理现状：2011年12月，CSDN的安全系统遭到黑客攻击，超过600万个注册邮箱账号和对应明文密码被黑客盗取并泄露，部分用户账号面临风险，网站将因此临时关闭用户登录，涉及用户600万。随后，多玩、人人、天涯等也被指责存在用户数据泄露问题。尽管有部分网站否认，但还是即刻引起互联网用户的关注。用户数据大规模集中泄露对中国互联网的信息安全漏洞敲响了警钟据国家网信办通报，滴滴公司违反《网络安全法》、《数据安全法》、《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。经查明，滴滴公司共存在16项违法事实。根据国家网信办通报，滴滴公司还存在严重影响国家安全的数据处理活动，拒不履行监管要求，给国家关键信息基础设施安全带来严重安全风险隐患。2022年7月21日，国家互联网信息办公室对滴滴处以人民币80.26亿元罚款。5.1.2信息安全管理现状5.1信息安全管理相关概念5.1.2信息安全管理现状我国信息安全管理当前的成绩：初步建成了国家信息安全组织保障体系。制定了一系列必须的信息安全管理法律法规。制定和引进了一批重要的信息安全管理标准。信息安全风险评估工作已经得到重视和开展。5.1信息安全管理相关概念5.1.3信息安全管理意义信息已经成为维持社会经济活动和生产活动的重要基础资源，成为政治、经济、文化、军事乃至社会任何领域的基础。信息安全管理是保护国家、组织和个人等各个层面上信息安全的重要基础。在一个有效的信息安全管理体系上，通过完善信息安全管理结构，综合应用信息安全管理策略和信息安全技术产品，才有可能建立起一个真正意义上的信息安全保障体系。5.1信息安全管理相关概念5.1.4信息安全管理的内容和原则内容：（1）落实安全管理机构及安全管理人员，明确职责，制定安全规划。（2）开发安全策略。（3）实施风险管理。（4）制定业务持续性计划和灾难恢复计划。（5）选择与实施安全措施。（6）保证配置、变更的正确与安全。（7）进行安全审计。（8）保证维护支持。（9）进行监控、检查，处理安全事件。（10）安全意识与安全教育。（11）人员安全管理等。5.1信息安全管理相关概念5.1.4信息安全管理的内容和原则原则：（1）基于安全需求原则。（2）主要领导负责原则。（3）全员参与原则。（4）系统方法原则。（5）持续改进原则。（6）依法管理原则。（7）分权和授权原则。（8）选用成熟技术原则。（9）分级保护原则。（10）管理与技术并重原则。（11）自保护和国家监管结合原则。5.1信息安全管理相关概念5.1.5信息系统的安全因素5.1信息安全管理相关概念5.1.6信息安全管理模型本章目录5.1信息安全管理相关概念5.2信息安全管理标准5.3信息安全管理的实施要点5.2信息安全管理标准5.2.1信息安全管理标准的发展5.2信息安全管理标准5.2.2BS7799的内容BS7799-1控制方面控制目标控制措施安全方针（1，2）为信息安全提供管理方向和支持建立安全方针文档，并评审与评价方针安全组织（3，10）建立组织内的管理体