收藏
下载资源

信息安全管理和信息安全管理体系

上传人:ap****ve 文档编号:118738142 上传时间:2019-12-24 格式:PPT 页数:70 大小:3.30MB
返回 下载 相关 举报
信息安全管理和信息安全管理体系_第1页
第1页 / 共70页
信息安全管理和信息安全管理体系_第2页
第2页 / 共70页
信息安全管理和信息安全管理体系_第3页
第3页 / 共70页
信息安全管理和信息安全管理体系_第4页
第4页 / 共70页
信息安全管理和信息安全管理体系_第5页
第5页 / 共70页
点击查看更多>>
资源描述

《信息安全管理和信息安全管理体系》由会员分享,可在线阅读,更多相关《信息安全管理和信息安全管理体系(70页珍藏版)》请在金锄头文库上搜索。

1、信息安全管理与信息安全 管理体系 王新杰 wangxinjie PKSEC 王新杰 北京知识安全工程中心 手机:13311575049 电话:010-62558716 邮箱:wangxinjie 自我介绍 PKSEC 主要内容 0. 引子:问题讨论 1. 信息安全管理 2. 信息安全管理体系 PKSEC 0. 引子:信息安全管理问题的讨论 三个问题 : l 管什么? l 谁来管? l 怎么管? PKSEC 关于信息安全管理的几个描述: A.我国将实行信息安全产品统一认证制度; B.TimeBoat公司设置CSO岗位全面负责信息安全工作; C.涉密系统的信息安全属国家保密部门管理; D.Time

2、Boat公司决定建立信息安全管理体系并申请认证; E.商用密码产品研发、生产、销售和使用应取得主管部门许可; F.ISO17799、ISO13335是目前比较成熟的信息安全管理方面的 标准之一; 0. 引子:信息安全管理问题的讨论 PKSEC 上述管理是不是同一种管理? 政府(行政)管理还是技术(业务)管理? 不同描述对应前面3个问题的答案是什么? 0. 引子:信息安全管理问题的讨论 关于信息安全管理的几个描述: A.我国将实行信息安全产品统一认证制度; B.TimeBoat公司设置CSO岗位全面负责信息安全工作; C.涉密系统的信息安全属国家保密部门管理; D.TimeBoat公司决定建立信

3、息安全管理体系并申请认证; E.商用密码产品研发、生产、销售和使用应取得主管部门许可; F.ISO17799、ISO13335是目前比较成熟的信息安全管理方面的标准之一; PKSEC 我们要讨论的是技术(业务)管理 ,不是行政管理; 0. 引子:信息安全管理问题的讨论 l管什么:与实现组织信息安全目标相关的要素 l谁来管:组织自己 l怎么管:没有统一的模式,信息安全管理体系 方法是选择之一。 PKSEC 主要内容 0. 引子:问题讨论 1. 信息安全管理 2. 信息安全管理体系 PKSEC 1. 信息安全管理 1.1 信息安全 1.2 管理 1.3 信息安全管理 1.4 信息安全管理的基本任务

4、 PKSEC 1.1 信息安全 请思考: 什么是信息安全? PKSEC 1.1 信息安全 不同的声音 网络安全 知识安全 数据安全 信息安全 内容安全 计算机安全 PKSEC 政策部门 1.1 信息安全 法律、标准 学术界 业界出版物 行业商会、协会、学会 PKSEC 1.1 信息安全 看看已有的几个定义 ISO/IEC17799:2000 美国联邦信息安全管理法案(FISMA):2002 中华人民共和国计算机信息系统安全保护条例:1994 PKSEC 1.1 信息安全 ISO/IEC17799:2005 information security: preservation of confid

5、entiality, integrity, an availability of information; in addition, other properties, such as authenticity, accountability, non- repudiation and reliability can also be involved. 保持信息的保密性、完整性、可用性;另外,也包括其他属性, 如:真实性、可核查性、抗抵赖性和可靠性 。 。 PKSEC 1.1 信息安全 美国联邦信息安全管理法案(FISMA):2002 保护信息与信息系统,防止未授权的访问、使用、泄露、中断、

6、修改或破坏,以保护: (A)完整性,即防止对信息的不当修改或破坏,包括确保信息的不 可否认性和真实性; (B)保密性,即对信息的访问和泄露施加授权的约束,包括保护个 人隐私和专属信息的手段; (C)可用性,即确保能及时、可靠地访问并使用信息。 PKSEC 1.1 信息安全 中华人民共和国计算机信息系统安全保护条例:1994 第三条:计算机信息系统的安全保护,应当保障计算机及其相 关的和配套的设备、设施(含网络)的安全,运行环境的安全, 保障信息的安全,保障计算机功能的正常发挥,以维护计算机 信息系统的安全运行。 PKSEC 1.1 信息安全 有必要明确一下不同历史阶段中信息安全的不同含义: 狭

7、义的信息安全:研究对象是信息本身 广义的信息安全:研究对象是信息及其相关者 信息本身 信息处理设施 信息处理者 信息处理 过程 保密 可用 完整 PKSEC 小调查:贵单位的Knowledge(Information)都在哪里? 1.1 信息安全 PKSEC 1. 信息安全管理 1.1 信息安全 1.2 管理 1.3 信息安全管理 1.4 信息安全管理的基本任务 PKSEC Management 管理 管理学中的定义 管理是指通过计划、组织、领导、控制等环节来协调人力、物 力、财力等资源,以期有效达成组织目标的过程。 ISO/IEC9000:2000中的定义 指挥和控制组织的协调的活动。 1.

8、2 管理 PKSEC 管理的职能 计划:为组织确定任务、宗旨、目标;实现目标的战略、措施、程 序;以及实现目标的时间表和预算 。 组织:根据组织的目标、战略和内外环境设计组织结构,并为不同 岗位配置人力资源的过程。 领导:对组织成员施加影响,以推动其实现组织目标的过程。 控制:衡量和纠正下属活动,以保证事态发展符合计划要求的过程 。 1.2 管理 PKSEC 在某些人的监督下,将人们的努力组织起来,这种活动已经存在了 几千年,中国的长城和埃及的金字塔就是例证。 只是在过去的几百年中,特别是在20世纪,管理才被系统的加以研 究,逐渐形成共同的知识体系,成为一门专门的科学。 20世纪前半期,形成了

9、多样化的管理思想:科学管理;一般行政管 理理论;人力资源管理方法和定量方法。 近年来,管理思想趋向一体化:过程方法;系统方法。 管理的演进 1.2 管理 PKSEC 泰勒与科学管理 1911年,泰勒(Frederick Winslow Taylor)出版了科学管理原 理,提出了科学管理四原则: 对工人工作的每一个要素开发科学方法,替代老的经验方法。 科学的挑选工人,对他们进行培训、教育和使之不断进步。 与工人衷心合作,保证一切工作都按已形成的科学原则去办。 管理当局与工作在工作和职责的划分上几乎是相等的,管理当局把比 工人更胜任的工作都承担过来。 生铁装运试验,把生产效率从每天装运12.5吨,

10、提高到48吨。 1.2 管理 PKSEC 法约尔与一般行政管理理论(General Administrative Theory) 关注整个组织 法约尔(Henri Fayol)把管理看作一组普遍的职能,即计划、组织 、指挥、协调和控制。 法约尔的14条管理原则: 1.工作分工 2.职权 3.纪律 4.统一指挥 5.统一领导 6.个人利益服从整体利益 7.报酬 8.集中 9.等级链 10.秩序 11.公平 12.人员的稳定 13.首创精神 14.团结精神 1.2 管理 PKSEC 人力资源方法 早期倡导者为罗伯特欧文,雨果明斯特伯格,玛丽帕克福莱特, 切斯特巴纳德。 霍桑试验(1924起,一直持

11、续到1932年)。梅奥(Elton Mayo) 的结论: 1.行为和情绪是密切相关的 2.群体对个人的行为有巨大的影响 3.群体工作标准规定了单个工人的工作产量 4.在决定产量方法,金钱因素比群体标准、群体情绪和安全感的 作用要小 马斯洛(Abraham Maslow)的需求层次理论,人类需求的5个层次 :生理需要,安全需要,社会需要,尊重需要和自我实现需要。 1.2 管理 PKSEC 1. 信息安全管理 1.1 信息安全 1.2 管理 1.3 信息安全管理 1.4 信息安全管理的基本任务 PKSEC 什么信息安全管理? 通过计划、组织、领导、控制等环节来协调人 力、物力、财力等资源,以期有效

12、达到组织信息安 全目标的活动。 1.3 信息安全管理 PKSEC 信息安全管理的主要活动 1. 制定信息安全目标和寻找实现目标的途径; 2. 建设信息安全组织机构,设置岗位、配置人员并分配职责; 3. 实施信息安全风险评估和管理; 4. 制定并实施信息安全策略; 5. 为实现信息安全目标提供资源并实施管理; 6. 信息安全的教育与培训; 7. 信息安全事故管理; 8. 信息安全的持续改进。 1.3 信息安全管理 PKSEC 1. 信息安全管理 1.1 信息安全 1.2 管理 1.3 信息安全管理 1.4 信息安全管理的基本任务 PKSEC 1.4.1 组织机构建设 1.4.2 风险评估 1.4

13、.3 信息安全策略的制定和实施 1.4.4 信息安全工程项目管理 1.4.5 资源管理 1.4.6 审核与持续改进 1.4 信息安全管理的基本任务 PKSEC 1.4.1 组织机构建设 组织应建立专门信息安全组织机构,负责: 确定信息安全要求和目标; 制定实现信息安全目标的时间表和预算 建立各级信息安全组织机构和设置相应岗位 分配相应职责和建立奖惩制度 提出信息安全年度预算,并监督预算的执行 组织实施信息安全风险评估并监督检查 组织制定和实施信息安全策略,并对其有效性和效果进行监督检查 组织实施信息安全工程项目 信息安全事件的调查和处理 组织实施信息安全教育培训 组织信息安全审核和持续改进工作

14、 PKSEC 1.4.1 组织机构建设 组织应设立信息安全总负责人岗位,负责: 向组织最高管理者负责并报告工作 执行信息安全组织机构的决定 提出信息安全年度工作计划 总协调、联络 PKSEC 1.4.2 风险评估 1.4.2.1 风险评估的目的 1.4.2.2 风险评估的方式 1.4.2.3 风险评估的流程 PKSEC 1.4.3 信息安全策略的制定和实施 策略:解决某一方面问题的目的、范围、流程、准则的集合 信息安全策略文件 就每一个策略建立实施计划,落实所需资源 策略发布后,实施培训 策略的评审和修订 PKSEC 1.4.4 信息安全工程项目管理 需求分析 规划立项 实施 验收 工程监理 PKSEC 1.4.5 资源管理 信息安全预算 人力资源 基础设施 信息安全教育培训 PKSEC 1.4.6 审核与持续改进 审核 持续改进 PKSEC 主要内容 0. 引子:问题讨论 1. 信息安全管理 2. 信息安全管理体系 PKSEC 2. 信息安全管理体系 2.1 什么是管理体系 2.2 信息安全管理体系 2.3 信息安全管理体系标准 2.4 信息安全管理体系认证 PKSEC ISO9000-2000 管理体系 management system 建立方针和目标并实现这些目标的体系 体系 system 相互关联和相互作用的一组要素 2.1 什么是管理体系 PKSEC 要求要求被满

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号