信息系统的安全策略课件.pptVIP

第10章信息系统的安全策略10.1信息系统安全策略的内涵10.2信息系统安全策略的方案10.3信息系统安全管理的实施10.4系统备份和恢复10.5审计与评估

10.1信息系统安全策略的内涵10.1.1安全策略是安全管理的指导原则10.1.2安全策略的目的与内容10.1.3安全策略的基本流程10.1.4安全策略的特征10.1.5与信息安全策略有关的名词简介

10.1信息系统安全策略的内涵?信息安全策略（InformationSecurityPolicies）是对信息安全管理系统（informationsecuritymanagementsystemISMS）的目的和意图的高层次描述。?安全策略应符合业务需求和相关法律、法规，应能提供管理的方向和支持。安全策略形成的文件应获得管理层的批准，应与内外部相关的团体、部门沟通并向所有员工发布，应按计划或变化进行评审和改进，确保策略的持续性、稳定性、充分性与有效性。?概括地讲，安全策略为确保ISMS的“安全”，提供ISMS“资源与现状”的“需求”、提出ISMS“目标与原则”的“要求”。?实际上的安全管理都是分级、分层次的，所以可以有各级、各层次的安全策略。

10.1.1安全策略是安全管理的指导原则?信息安全策略是组织对信息系统安全进行管理、保护的指导原则。在安全策略的指导下开展安全技术项目、订立安全管理制度、组织协调实施、监督、检查与改进，并形成为对系统安全的要求和目标进行详细描述的高层的管理文档。信息安全策略陈述信息安全系统应该做什么以及如何去做。信息系统的安全策略是信息安全管理的重要组成部分。没有一个好的安全策略，就可能对信息安全的指挥发生漏洞与混乱，对安全造成极大的危害，对社会与经济带来极大的损失。

10．1．2安全策略的目的与内容?安全策略的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系（ISMS）的规范，实现信息安全的机密性、完整性和可用性。?制定安全策略的目的，是为了保证网络安全保护工作的整体、计划性及规范性，保证各项措施和管理手段的正确实施，使网络系统信息数据的机密性、完整性及可使用性受到全面、可靠的保护。内容主要是确定所保护的对象是什么、要防范的对象是什么、在安全防范上能投入多少等。

10．1．3安全策略的基本流程?1、进行安全需求分析?2、对网络系统资源进行评估、?3、对可能存在的风险进行分析?4、确定内部信息对外开放的种类?5、明确网络系统管理人员的责任与义务?6、确定针对潜在风险才去的安全保护措施的主要构成方面

10．1．4安全策略的特征?网络的安全问题不是单纯的技术问题，安全管理在整个网络安全保护工作中的地位十分重要。任何先进的网络安全技术都必须在有效、正确的管理控制下才能得到较好的实施。?安全策略具有下列一些基本特征：?1.全面性：安全策略的全面性是指它能够适用于系统的所有情况，具有不用修改就可以适用于出现的新情况。?2.持久性：安全策略的持久性是指它能够较长时间地适用于系统不断发展变化的情况。为了保持持久性，在制定安全策略时可将可能发生变化的部分单列，允许有权限的人员在将来系统变化时修改。

10．1．4安全策略的特征?3.现实性：安全策略的现实性是指它能够适用于系统所采用的现有技术实现。?4.预见性：安全策略的预见性是指它能够适用于系统的?5.有效性：安全策略的有效性是指对于系统的有关人员都是可用的。

10．1．5与信息安全策略有关的名词简介?1.资产(asset)：具有价值的信息与相关财产；?2.必威体育官网网址性(confidentiality)：资产不能被未授权的个人、实体、流程访问披露。?3.完整性(integrity)：资产的真实、可靠、准确、可确认和不可否认性。?4.可用性(availability)：信息与相关资产可保证被授权的使用者访问。?5.信息安全(informationsecurity)：信息的必威体育官网网址性、完整性、可用性及其他属性受到安全保护；?6.管理系统(managementsystem)：包括组织结构、策略、指导、职责、实践、程序、流程和资源的整体。?7.信息安全管理系统（informationsecuritymanagementsystemISMS）：建立在信息安全的基础上，以开发、实施、运行、评审、维护和改进信息安全的管理系统。?8.风险分析(riskanalysis)：系统化地使用信息识别来源和估计风险。

10．2信息系统安全策略的方案10.2.1制定信息系统安全策略方案的参考标准10.2.2信息系统安全策略需要考虑的范围10.2.3制定信息系统安全策略方案的重点和原则10.2.4信息系统安全策略