《信息安全管理 普通高等教育“十一五”国家级规划教材 教学课件 ppt 作者 张红旗 王新昌 杨英杰 唐慧林2 第1次课-概述》由会员分享,可在线阅读,更多相关《信息安全管理 普通高等教育“十一五”国家级规划教材 教学课件 ppt 作者 张红旗 王新昌 杨英杰 唐慧林2 第1次课-概述(53页珍藏版)》请在金锄头文库上搜索。
1、信 息 安 全 管 理,Information security management,授课内容:信息安全管理概述 授课对象: 主讲教员:唐慧林,本节内容,1,2,3,6,第一章 概述,1、课程介绍,本课程主要讨论信息安全管理体系、信息安全管理的相关标准及实施方法。,第一章 概述,1、课程介绍,信息安全 管理体系,第一章 概述,1、课程介绍,全面地了解信息安全管理体系; 掌握信息安全管理的内涵、体系、内容和实施过程; 掌握信息安全管理的基本理论和手段; 理解信息安全管理体系的构建过程; 树立信息安全管理意识,形成良好的安全观念。,第一章 概述,1、课程介绍,第1章 信息安全管理概述2学时 第2
2、章 信息安全管理体系6学时 第3章 信息安全风险管理6学时 第4章 组织与人员安全管理2学时 第5章 环境与实体安全管理2学时 第6章 系统开发安全管理2学时 第7章 运行与操作安全管理4学时 第8章 应急响应处置管理2学时 第9章 信息安全管理实施案例2学时,第一章 概述,1、课程介绍,共30学时,28学时讲授,2学时考试(闭卷)。,第一章 概述,2、信息安全管理的引入,“在技术上和管理上为数据处理系统建立的安 全保护,保护计算机硬件、软件和数据不因偶然 和恶意的原因而遭至破坏、更改和泄露”,国际标准化组织(ISO)对信息安全的定义,第一章 概述,2、信息安全管理的引入,实体安全,运行安全,
3、信息安全,管理安全,第一章 概述,2、信息安全管理的引入,信息安全保障,第一章 概述,2、信息安全管理的引入,管理学ABC,管理学的研究内容可以归为:管理内容、管理原理、管理方法等。,“管理是什么”是属于认识论的问题。 “如何进行管理”是属于的方法论的问题。 认识论是基础,方法论是目的。,第一章 概述,2、信息安全管理的引入,管理学ABC,管理的内容研究管理的概念、行为、职能、本质、性质和特征等,其中管理的各种行为和职能既体现管理的基本任务,又反映了管理的全过程。,第一章 概述,2、信息安全管理的引入,管理学ABC,管理原理、原则是一个具有层次结构的理论体系,是实施管理职能的理论依据,是人们进
4、行管理活动的行动指南,是管理学研究的重要部分。,第一章 概述,2、信息安全管理的引入,管理学ABC,管理方法,宗旨在于运用有限的人力、物力和财力取得最佳经济效益和社会效益,而管理这一功能的执行和完成,是靠管理方法来实现的,管理的这一功能的充分发挥和管理目标的顺利达到,也都是正确运用各种有效的管理方法来实现的。因此,对管理方法的研究是现代管理学中最引人注目的领域。,第一章 概述,2、信息安全管理的引入,管理学ABC,管理是一门科学。 管理通常被解释为主持或负责某项工作。 “管理理论丛林”现象。,第一章 概述,2、信息安全管理的引入,管理学ABC,孔茨:管理就是设计和保持一种良好环境,使人 在群体
5、里高效率地完成既定目标。,管理追求效益效率,第一章 概述,2、信息安全管理的引入,管理学ABC,法约尔:管理是所有的人类组织(不论是家庭、企业 或政府)都有的一种活动,这种活动由五项要素组成: 计划、组织、指挥、协调和控制。管理就是实行计划、 组织、指挥、协调和控制。,管理是一个由计划、组织、人事、领导和控制 组成的完整的过程。,第一章 概述,2、信息安全管理的引入,管理学ABC,彼得F德鲁克:归根到底,管理是一种实践,其本 质不在于“知”而在于“行”,其验证不在于逻辑,而在于 成果;其唯一权威就是成就。,管理强调结果,第一章 概述,2、信息安全管理的引入,管理学ABC,管理活动的五个基本要素
6、: 谁来管:管理主体,回答由谁管的问题; 管什么:管理客体,回答管什么的问题; 怎么管:组织的目的要求,回答如何管的问题; 靠什么管:组织环境或条件,回答在什么情况下管的问题。 管得怎么样:管理能力和效果,回答管理成效问题。,第一章 概述,3、信息安全管理的内涵,信息安全管理是通过维护信息的机密性、完 整性和可用性等,来管理和保护信息资产的一项 体制,是对信息安全保障进行指导、规范和管理 的一系列活动和过程。,信息安全管理是信息安全保障体系建设的重要组成部分 。,第一章 概述,3、信息安全管理的内涵,信息安全管理的内容:,安全方针和策略;,组织安全;,资产分类与控制;,人员安全;,物理与环境安
7、全;,通信、运行与操作安全;,访问控制;,第一章 概述,3、信息安全管理的内涵,信息安全管理的内容:,系统获取、开发与维护;,安全事故管理;,业务持续性;,符合性。,第一章 概述,3、信息安全管理的内涵,做什么,如何做,做得怎样,第一章 概述,安全威胁,4、信息安全管理的重要性,外部、内部; 个人、企业、国家。,“三分技术,七分管理” 信息系统的安全问题不能只局限于技术,更重要的 还在于管理。,第一章 概述,5、信息安全管理的国内外现状,从国际上看,粗略地把信息安全管理的发展进行分 期,大体经历了“零星追加时期”和“标准化时期”两个阶 段,九十年代中期可以看作这两个阶段的分界。,第一章 概述,
8、5、信息安全管理的国内外现状,第一章 概述,国外现状,5、信息安全管理的国内外现状,第一章 概述,国内现状,5、信息安全管理的国内外现状,第一章 概述,存在的问题,5、信息安全管理的国内外现状,谁来管 要求不明 一把手工程 IT 和应用服务两张皮 多头参与,责任不清。 IT 人保 保密 内审稽核,第一章 概述,存在的问题,5、信息安全管理的国内外现状,管什么 传统明确的:保密 上级抓得紧的:信息内容 领导交办的: 不得不办的:事件事故处理,第一章 概述,存在的问题,5、信息安全管理的国内外现状,怎么管 IT技术部门: 上信息安全技术手段 应用服务部门: 上项目,快开通 其它相关部门: 无事不登
9、三宝殿、有事登殿也无奈 缺乏协调协同,第一章 概述,存在的问题,5、信息安全管理的国内外现状,怎么才算管得好 没凭据,第一章 概述,国际标准,6、信息安全管理相关标准,信息安全管理体系标准(BS7799),IT基础设施库(ITIL),信息和相关技术控制目标(COBIT),IT安全管理指南(ISO 13335),系统安全工程能力成熟度模型(SSE-CMM),第一章 概述,国际标准,6、信息安全管理相关标准,信息安全管理体系标准(BS7799),最佳实践:控制目标及控制措施,第一章 概述,国际标准,6、信息安全管理相关标准,IT基础设施库(ITIL),最佳实践:IT管理流程,第一章 概述,国际标准
10、,6、信息安全管理相关标准,信息和相关技术控制目标(COBIT),第一章 概述,国内标准,6、信息安全管理相关标准,GB17895-1999计算机信息系统安全保护等级 划分准则;,2001年制定了国家标准GB/T 18336信息技术 安全性评估准则;,2002年4月15日全国信息安全标准化技术委员 会在北京正式成立 ;,2002年7月公安部根据GB17895-1999制定了计 算机信息系统安全等级保护技术要求系列标准。,第一章 概述,6、信息安全管理相关标准,国际: 国际信息系统审计与控制协会 (ISACA) COBIT-Control Objectives for Information a
11、nd related Technology(直译为信息及相关技术的控制目标) IT Governance Institute(1998) 国际会计师联合会 分布式管理任务组(DMTF ) ,第一章 概述,6、信息安全管理相关标准,国内: 公安部 1110工程 金融标准化委员会 银行和相关金融业信息安全管理规范 ,关于管理标准 需要什么样的路线图 什么样的结构更合理 管理能力分级是否应该反映在标准之中 对国际相应标准如何代表国家提出见解,表示态度 管理标准中有那些代表国家利益的方面,对它们应该把握什么原则才能保护国家利益,第一章 概述,6、信息安全管理相关标准,关于管理认证 BS 7799认证在
12、国内已经有所开展 (截至到2004年2月24日,全球已经有563个组织获得了信息安全管理体系认证证书,其中包括我国的5家企业。) 这些业务还都处在自发状态,我国还没有对应的制度对其进行有效的监督和规范。 信息安全保障的管理认证依据BS7799是否足够?,第一章 概述,6、信息安全管理相关标准,关于管理认证 管理认证是否存在敏感性? 我国应该如何开展信息安全管理认证,应该依据什么规范? 如何避免认证工作的形式主义? 如何避免发生过度的成本?,第一章 概述,6、信息安全管理相关标准,第一章 概述,信息安全管理出现的趋势,着眼点越来越高 国际 国家 企业 包括的范围越来越大 时间:生命周期全过程 空
13、间:系统和网络 手段:人和系统来执行行政和技术的安全策略 目标:信息和内容安全 目的:信息化应用服务的效率和效益,第一章 概述,信息安全管理出现的趋势,管理思想越来越科学化 没放弃追求最高境界:从保护提高到保障 没要求绝对安全:风险分析,风险管理 强调管理责任落实:角色和责任 从IT管理发展到IT+应用服务管理: 如 CoBIT和US Sarbanes-Oxley Act of 2002 的出现 强调过程控制:落实到生命周期各个环节上,第一章 概述,信息安全管理出现的趋势,定性定量结合: “头脑风暴” 信息收集 信息分析 科学决策 重视发展管理技术手段: 信息获取工具 信息交换手段 信息分析工
14、具 测试评估工具 实验演练平台,第一章 概述,信息安全管理出现的趋势,人的因素第一 重视队伍建设 重视人员成长 意识 培训 教育 重视队伍的战斗力,第一章 概述,信息安全管理出现的趋势,向成熟度要管理能力: 工程:SSE-CMM 综合:CMMI 评估:INFOSEC-CMM 人员:P-CMM,第一章 概述,信息安全管理出现的趋势,重视管理成本 重视自评估:美国NIST SP 800-26 重视先进经验的推广:Best Practice 提出信息安全资金计划指南:NIST SP 800-65 Integrating IT Security into the Capital Planning an
15、d Investment Control Process (June 2004 ),第一章 概述,信息安全管理出现的趋势,深化讨论在继续 P(计划),D(实施),C(检查),A(改进)(BS7799,ISO17799) R(风险评估),P(规划),D(实施),C(检查),A(持续监控)(美国联邦IT系统认证认可指南),第一章 概述,信息保障的三大要素(人员、技术、管理)中,管理要素的作用和地位越来越得到重视; 信息安全管理的内涵; 三分技术,七分管理; 信息安全管理现状; 信息安全管理标准日渐完善。,小结,第一章 概述,什么是信息安全管理?为什么要引入信息安全管理? 叙述信息安全管理的内容。,习题,第一章 概述,如何理解 “三分技术,七分管理 ”?,思考,,Thank You !,
