网络信息安全管理培训.pptVIP

**************************PDCA又称作“戴明环”，是能使任何一项活动有效进行的工作程序。P：计划，方针和目标的确定，以及活动计划的制定；D：执行，具体运作，实现计划中的内容；C：检查，总结执行计划的结果，分清哪些对了，哪些错了，明确效果，找出问题；A：改进（或处理），对总结检查的结果进行处理，成功的经验加以肯定，并予以标准化，或制定作业指导书，便于以后工作时遵循；对于失败的教训也要总结，以免重现。对于没有解决的问题，应提给下一个PDCA循环去解决。*******1)必威体育官网网址性Confidentiality机密性是指保证信息不能被非授权访问，即使非授权用户得到信息也无法知晓信息内容，因而不能使用。通常通过访问控制阻止非授权用户获得机密信息，通过加密变换阻止非授权用户获知信息内容。2)完整性Integrity完整性是指维护信息的一致性，即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权篡改。一般通过访问控制阻止篡改行为，同时通过消息摘要算法来检验信息是否被篡改。信息的完整性包括两个方面：（1）数据完整性：数据没有被未授权篡改或者损坏；（2）系统完整性：系统未被非法操纵，按既定的目标运行。3)可用性Availability可用性是指保障信息资源随时可提供服务的能力特性，即授权用户根据需要可以随时访问所需信息。可用性是信息资源服务功能和性能可靠性的度量，涉及到物理、网络、系统、数据、应用和用户等多方面的因素，是对信息网络总体可靠性的要求。除了这三方面的要求，信息还要求真实性，即个体身份的认证，适用于用户、进程、系统等；要求可说明性，即确保个体的活动可被跟踪；要求可靠性，即行为和结果的可靠性、一致性。私密性（Privacy）：个人和组织控制私用信息采集、存储和分发的权利；身份识别(Identification)：用户向系统声称其真实身份的方式；身份认证(Authentication)：测试并认证用户的身份；授权(Authorization)：为用户分配并校检资源访问权限的过程;可追溯性(Accountability)：确认系统中个人行为和活动的能力；抗抵赖性(Non-repudiation)：确保信息创建者就是真正的发送者的能力；审计(Audit)：对系统记录和活动进行独立复查和审核，确保遵守性。而与C.I.A.相对的是D.A.D.即泄漏(Disclosure)、篡改(Alteration)和破坏(Destruction)。通俗的信息安全“进不来”使用访问控制机制，阻止非授权用户进入网络，“进不来”“拿不走”使用授权机制，实现对用户的权限控制，即不该拿走的，“拿不走”；“看不懂”使用加密机制，确保信息不暴漏给未授权的实体或进程，即“看不懂”；“改不了”使用数据完整性鉴别机制，保证只有得到允许的人才能修改数据，而其它人“改不了”；“走不脱”使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者走不脱。四、信息安全管理InformationSecurityManagement:作为组织完整的管理体系中的一个重要环节，构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。信息安全管理信息安全的成败取决于两个因素：技术和管理。安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。人们常说，三分技术，七分管理，可见管理对信息安全的重要性。信息安全管理现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。信息安全不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作这三种要素的紧密结合的系统工程，是不断演进、循环发展的动态过程。信息安全管理面临的一些问题国家的信息安全法律法规体系建设还不是很完善组织缺乏信息安全意识和明确的信息安全策略对信息安全还持有传统的认识，即重技术，轻管理安全管理缺乏系统管理的思想，还是就事论事式的静态管理调查显示有8成企业安全管理不理想什么是ISMS？信息安全管理体系（InformationSecurityManagementSystem）在信息安全方面指导和控制组织，用以实现信息安全目标的相互关联和相关作用的一组要素。这组要素通常包括：信息安全组织结构各种活动和过程信息安全管理体系文件信息安全控制措施人力物力等资源……ISMS的重