收藏
下载资源

信息安全管理资料

上传人:E**** 文档编号:99556365 上传时间:2019-09-19 格式:PDF 页数:26 大小:2.03MB
返回 下载 相关 举报
信息安全管理资料_第1页
第1页 / 共26页
信息安全管理资料_第2页
第2页 / 共26页
信息安全管理资料_第3页
第3页 / 共26页
信息安全管理资料_第4页
第4页 / 共26页
信息安全管理资料_第5页
第5页 / 共26页
点击查看更多>>
资源描述

《信息安全管理资料》由会员分享,可在线阅读,更多相关《信息安全管理资料(26页珍藏版)》请在金锄头文库上搜索。

1、第一第一章章 信息安全管理概论信息安全管理概论 1 1. .信息安全管理内涵信息安全管理内涵 1.11.1 信息信息安全定义安全定义 在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不 因偶然和恶意的原因而遭到破坏(可用)、更改(完整)和泄露(机密) 。 1.21.2 发展发展过程及阶段过程及阶段 )通信保密时代:二十世纪 40-50 年代 时代标志是 1949 香农发表的保密通信的信息理论 )信息安全时代:二十世纪 70-90 年代 关注信息安全的三属性:保密性、完整性和可用性。 3)信息安全保障时代:进入二十一世纪 时代标志信息保障技术框架 (IATF) 1.31.

2、3 信息信息安全保障安全保障 可信的人员 精湛的技术 完善的管理 1.41.4 信息信息安全管理定义安全管理定义 信息安全管理是通过维护信息的机密性、完整性和可用性等,来管理和保护信息资产 的一项体质,是对信息安全保障进行指导、规范和管理的一系列活动和过程。 信息安全管理是信息安全保障体系建设的重要组成部分,对于保护信息资产、降低信 息系统安全风险、指导信息安全体系建设具有重要作用。 1.51.5 技术技术与管理关系与管理关系 信息安全技术是实现信息安全产品的技术基础; 信息安全产品是实现组织信息安全的系统设备; 单纯只考虑技术,只能做出功能强大的安全保障提供直接的支持。 技术只是个手段,不是

3、趋势,趋势源于需求,技术满足需求,管理起到连接作用。 从管理着眼,从技术入手。管理驱动技术,技术实现管理。技术与管理并重。 三分技术七分管理 2. 2. 信息信息安全管理的内容安全管理的内容 2 2.1 .1 基于基于信息系统各个层次信息系统各个层次的的安全管理安全管理 环境和设备安全 网络和通信安全 主机和系统安全 应用和业务安全 数据安全 2 2.2 .2 基于基于信息系统生命周期的安全管理信息系统生命周期的安全管理 工程设计和开发阶段 系统的运行和维护阶段 2.3 2.3 ISO/IEC 27002:2005ISO/IEC 27002:2005(GB/T 22081GB/T 22081-

4、 -20082008)1111 个个方面方面 信息安全方针 信息安全组织 资产管理 人力资源安全 物理与环境安全 通信及操作管理 访问控制 系统获取、开发和维护 信息安全事件管理 业务持续性管理 符合性 3. 3. 信息信息安全管理体系安全管理体系(ISMSISMS) 3 3.1 .1 定义定义 基于业务风险方法,建立、实施、运行、监视、评审、保持和改进信息安全的管理体 系,即一套过程框架。 第二第二章章 1 1.ISO/IEC 2700X .ISO/IEC 2700X 系列系列国际标准国际标准 ISO/IEC 27000 信息安全管理体系基础和术语 ISO/IEC 27001 信息技术 安全

5、技术 信息安全管理体系要求 ISO/IEC 27002 信息技术 安全技术 信息安全管理实践规则 ISO/IEC 27003 信息安全管理体系实施指南 ISO/IEC 27005 信息安全风险管理 2 2.ISO/IEC 27002:2005 .ISO/IEC 27002:2005 实用实用规则规则 控制目标: 声明要实现什么; 控制措施: 可被用于实现控制目标 , 描述结构如下: 控制措施 :实现控制目标的控制措施介绍说明 实施指南 :为支持控制措施的实施和满足控制目标而提供的详细信息 其它信息:提供进一步考虑的信息 以访问控制为例: 访问控制的控制目标数量为 7,控制措施数量为25. 控制

6、目标:1 、访问控制的业务要求 2 、用户访问管理 3 、用户职责 4 、网络访问控制 5 、操作系统访问控制 6 、应用和信息访问控制 7 、移动计算和远程工作 如用户访问管理: 一、目标: 确保授权用户访问信息系统,并防止未授权的访问 。 宜有正式的规程来控制对信息系统和服务的访问权的分配。这些规程宜涵盖用户访问生存 周期内的各个阶段,从新用户初始注册到用户的最终注销。 四个措施: 1 、用户注册 2 、特殊权限管理 3 、用户口令管理 4 、用户访问权的复查 用户口令管理 控制措施 : 宜通过正式的管理过程控制口令的分配。 实施指南 : 1 、要求用户签署一份声明,以保证个人口令的保密性

7、和组口令仅在该组成员范围内使 用; 2 、若需要用户维护自己的口令,要在初始时提供给他们一个安全的临时口令,并强制其 立即改变; 3 、在提供一个新的、代替的或临时口令之前,要建立验证用户身份的规程; 4 、要以安全的方式将临时口令给予用户; 5 、临时口令要对个人而言是唯一的、不可猜测的; 6 、口令不要以未保护的形式存储在计算机系统内; 7 、要在系统或软件安装后改变提供商的默认口令。 3.3.ISO/IEC 2700X ISO/IEC 2700X 信息安全信息安全管理体系管理体系(ISMSISMS) 3.13.1 27001:2005 27001:2005 信息信息安全管理体系要求安全管

8、理体系要求 该标准为建立 、实施 、运行 、监视 、评审 、保持和改进信息安全管理体系 ( ISMS ) 提供模型 。 1)指导和规范信息安全管理体系设计建立、实施运行的标准,最佳实践; 2)进行信息安全管理体系评审的依据。 审核的重点不是组织信息安全现状,而是审核组织是否按照本标准进行部署。 3.23.2 ISMSISMS 建立建立的总的要求和思路的总的要求和思路 1 ) ISMS 建立要基于组织的业务、风险评估结果及相关要求; 2 ) ISMS 应形成文件; 3 ) ISMS 体系中的过程基于 PDCA 模型。 3.33.3 PDCAPDCA(戴(戴明明环环) P: 分析并找出管理中的主要

9、问题,制定计划,确定要点。 D:执行制定的方案。 C:检查并总结执行的结果。 A:对已解决的问题标准化,找出尚未解决的问题。 各级部门可以有自己的 PDCA 循环,层层循环,形成大环套小环,小环里面又套更小 的环。大环是小环的母环的分解和保证。 PDCA 循环就像爬楼梯一样,一个循环运转结束,生产的质量就会提高一步,然后再 制定下一个循环,再运转、再提高,不断前进,不断提高,是一个螺旋式上升的过程。 4. 4. ISMSISMS 的的流程流程 4.14.1 ISMSISMS 建立建立(PLANPLAN) 1 ) 根据业务特点、组织结构、资产和技术 等,确定 ISMS 的范围和边界,包括对例外

10、于此范围的对象 ; 2 )根据业务特点、组织结构、资产和技术等,确定 ISMS 方针 ISMS 方针的目的: (1)为组织提供信息安全关注的焦点,指明方向,确定目标; (2)用简洁通俗的方式阐述组织最重要的信息安全问题,确保 ISMS 被充分理解和贯 彻实施; (3)统领整个 ISMS 是所有的其他文件和措施的基础。 3 )确定组织的风险评估方法 4 )识别与分析评价风险 5 )为处理风险选择控制目标和控制措施 可选择的风险处置项 可归结为 4 条: (1)减缓风险 (2)接受风险 (3)规避风险 (4)转移风险 6 )获得管理者对建议的残余风险的批准 7 )获得管理者对实施和运行 ISMS

11、的授权 8 )准备适用性声明 “适用性声明”是说明控制目标和控制措施的文件,该文件是 ISMS 认证所需要 的工作文件之一。 实施哪项控制目标、措施,不实施哪项控制目标、措施应记 入“适用性声明”中。 适用性声明包括: (1 )选择的控制目标与控制措施的理由 (2 )当前实施的控制目标与控制措施 (3 )对附录 A 中任何控制目标和控制措施的删减,以及删减的合理性说明。 4.24.2 ISMSISMS 实施实施和运行(和运行(DODO) 1 ) 制定信息安全风险处理计划 ;包括: (1)为处理风险所选择的管理措施 (2)实施所需要的资源 (3)管理者应承担的职责 (4)计划的优先级或者时间安排

12、 风险处理计划属于 ISMS 规定必须的文件之一。 2 )实施信息安全风险处理计划,执行选中的控制措施,以达到控制目标; 3 )确定如何测量所选择的控制措施的有效性; 控制措施的有效性必须能够进行测量,测量控制措施有效性的方法以及如何进行测量 要预先确定,测量程序要文件化,作为 ISMS 体系文件之一。 4 )实施培训和意识教育计划,以保证组织具备实现其安全目标的能力; 5 )管理 ISMS 运行与资源; 6 )实施能够迅速检测安全事件和响应安全事故的程序和其他控制措施。 4.34.3 ISMSISMS 监视和监视和评审(评审(CHECKCHECK) 1 ) 执行监视和评审程序,及其他控制措施

13、 ; 确保控制措施按计划有效运行,并确保 ISMS 持续有效 (1 )识别试图或已得逞的安全违规行为及事故 (2 )确定解决安全的措施是否有效 (3 )检测过程运行结果中的错误 (4)检查安全活动是否被执行 2 )在安全审核结果、事故、有效性测量结果、所有相关方的建议和反馈的基础上, 进行 ISMS 有效性的定期评审; 3 )基于监视和评审活动的结果,更新安全计划; 4 )记录可能影响 ISMS 有效性或执行情况的措施和事件。 4.44.4 ISMS ISMS 保持保持和和改进改进(ACTACT) 5. 5. 信息安全管理体系文件性质及要求信息安全管理体系文件性质及要求 ISO27001 标准

14、所要求建立的 ISMS 是一个文件化的体系, ISO27001 认证第一阶段就 是进行文件审核,文件是否完整、足够、有效,都关乎审核的成败,所以,在整个 ISO27001 认证项目实施过程中,逐步建立并完善文件体系非常重要。 第三第三章章 信息信息安全策略安全策略 1 1. . 信息安全策略的内涵及重要意义信息安全策略的内涵及重要意义 1 1.1 .1 信息安全策略的内涵信息安全策略的内涵 信息安全策略从本质上来说是描述组织具有哪些重要信息资产 ,并说明这些信息资产 如何被保护的一个计划 ,其目标是为信息安全提供管理指导和支持。 信息安全策略是信息安全的灵魂。 信息安全策略是一切信息安全保障活

15、动的基础和出发点。 1.2 1.2 信息信息安全策略的作用安全策略的作用 向组织成员阐明如何使用组织中信息系统资源,如何处理敏感信息; 用户在使用信息时应当承担什么样的责任; 描述对人员的安全意识与技能要求; 如何使用安全技术产品; 1 1.3 .3 信息安全策略的作用方式信息安全策略的作用方式 信息安全策略的规划与实施是保护组织信息安全的重要一步。 信息安全策略的正确制定与实施对组织的信息安全起着非常重要的作用。 1.4 1.4 信息安全策略的重要意义信息安全策略的重要意义 随着全球信息化程度越来越高,信息系统越来越复杂、所受的威胁也越来越多,信息 安全保障工作复杂性和难度随之增强,在制 定

16、信息安全措施时必须考虑一套科学的、系统的安全策略规划与实施程序。 2.2.信息信息安全策略的分类安全策略的分类 2 2.1 .1 按信息安全策略按信息安全策略层次划分层次划分 战略性信息安全策略 战术性信息安全策略 操作性信息安全策略 2 2.2 .2 按信息安全策略按信息安全策略领域划分领域划分 国家标准: “ GB/T 22239- - 2008 信息系统安全等级保护基本要求 ”中信息安全策略划 分。 国际标准: “ ISO/IEC 27002 信息技术 安全技术 信息安全管理实践规则 ”中信息安 全策略划分。 3 3. .策略的规划与实施策略的规划与实施 需求策略是编写和定义安全策略的依据和基础。 服务策略是需求策略的具体化,是对具体实体策略的抽象。 3.1 3.1 需求策略(系统安全需求) 需求策略描述了系统要达到的安全要求和提供的安全功能,以及应该阻止或避免什么 事件的发生,这是编写和定义安全策略的依据和基础。安全要求的三个来源: 来源一是通过对

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号