信息安全管理期末复习资料.pdf

信息安全管理期末复习资料--第1页

一、信息安全管理

1.信息：信息是通过施加于数据上的某些约定而赋予这些数据的特定含义。

2.信息安全定义：保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵

犯而遭受破坏、更改或泄露，保证信息系统能够连续、可靠、正常地运行。

3.信息安全的主要目标：机密性、完整性、可用性。

4.信息安全的内容：实体安全、运行安全、信息安全、管理安全。

5.信息安全的重要性：

1)解决信息及信息系统的安全问题不能只局限于技术、更重要的还在于管理。

2)安全技术只是信息安全控制的手段、要让安全技术发挥应有的作用，必须要有

适当的管理程序的支持。

6.相关标准

1)BS7799：信息安全管理体系标准，英国标准协会制定，包括BS7799-1和BS7799-2，

BS7799-1于2000年12月纳入ISO。

2)ITIL：IT基础设施库，英国中央计算机与通信机构（CCTA）发布。

3)COBIT：信息及相关技术控制目标，最先进、最权威的信息安全技术管理和控制

标准。

4)ISO13335：IT安全管理指南，必威体育精装版版称作信息和通信技术安全管理（MICTS）。

二、信息安全管理体系

1.信息安全管理体系ISMS定义：组织在整体或特定范围内建立的信息安全方针和目标，

以及完善这些目标所用的方法和手段所构成的体系。

2.ISMS范围：组织所有部分的信息系统、组织的部分信息系统、特定的信息系统。

3.ISMS特点：

1)预防控制为主；

2)遵守法律法规和合同方要求；

3)强调全过程和动态控制，本着控制费用和风险平衡的原则选择安全控制方式；

4)强调保护关键信息资产，而不是全部信息资产。

4.建立ISMS的步骤：

1)策划与准备；

2)文件编制；

3)建立信息安全管理框架；

4)运行；

5)审核；

信息安全管理期末复习资料--第1页

信息安全管理期末复习资料--第2页

6)管理评审。

5.PDCA：P-计划，D-实施，C-检查，A-行动

6.ISMS的PDCA过程：

1)计划阶段：确定信息安全方针、确定ISMS范围、指定风险识别和评估计划、制

定风险控制计划；

2)实施阶段：保证资源，提供培训，提高安全意识、风险治理；

3)检查阶段：进行有关方针、程序、标准和法律法规符合性的检查。

4)行动阶段：对ISMS进行评价、寻求改进的机会。

7.BS7799历史：

1)1993年，英国，BS7799-1:1995；

2)2000年12月，转化为ISO/IEC17799；

8.BS7799-1信息安全管理实施规则内容：

1)安全方针/策略；

2)安全组织；

3)资产分类与控制；

4)人员安全；

5)物理和环境安全；

6)通信与运营管理；

7)访问控制；

8)系统开发和维护；

9)信息安全事故管理；

10)业务持续性管理；

11)法律法规符合