信息安全案例教程课件-信息安全管理

第第9章章 信息安全管理信息安全管理本章知识结构案例与思考v例例与与思思考考9-19-1：动动画画片片三三只只小小猪猪与与信信息息安安全全管理管理v案例与思考案例与思考9-29-2：BYODBYOD与信息安全管理与信息安全管理9.1 信息安全管理概述v9.1.1 9.1.1 信息安全管理的概念信息安全管理的概念信息安全管理是在信息安全这一特定领域里的信息安全管理是在信息安全这一特定领域里的管理活动，是指为了完成信息安全保障的核心管理活动，是指为了完成信息安全保障的核心任务，实现既定的信息与信息系统安全目标，任务，实现既定的信息与信息系统安全目标，针对特定的信息安全相关工作对象，遵循确定针对特定的信息安全相关工作对象，遵循确定的原则，按照规定的程序（规程），运用恰当的原则，按照规定的程序（规程），运用恰当的方法，所进行的与信息系统安全相关的组织、的方法，所进行的与信息系统安全相关的组织、计划、执行、检查和处理等活动。计划、执行、检查和处理等活动。信息安全管理的最终目标是将系统（即管理对信息安全管理的最终目标是将系统（即管理对象）的安全风险降低到用户可接受的程度，保象）的安全风险降低到用户可接受的程度，保证系统的安全运行和使用。证系统的安全运行和使用。9.1 信息安全管理概述v9.1.1 9.1.1 信息安全管理的概念信息安全管理的概念信息安全管理的要素包括：信息安全管理的要素包括：安全内容安全内容：网络基础设施安全、通信基础设施安全、：网络基础设施安全、通信基础设施安全、信息系统安全、信息安全生产、信息内容安全等。信息系统安全、信息安全生产、信息内容安全等。工作对象工作对象：相应的战略规划、日常工作计划、安全目：相应的战略规划、日常工作计划、安全目标、安全原则、安全法律法规、安全标准、安全规范、标、安全原则、安全法律法规、安全标准、安全规范、安全技术开发与应用、安全工程、安全服务、安全市安全技术开发与应用、安全工程、安全服务、安全市场、安全产品的认证、安全保障体系与制度、安全监场、安全产品的认证、安全保障体系与制度、安全监督与检查等。督与检查等。工作计划工作计划：工作目标、步骤、工作策略、工作方法、：工作目标、步骤、工作策略、工作方法、角色与职责、日常运行保障、安全运行指标等。角色与职责、日常运行保障、安全运行指标等。9.1 信息安全管理概述v9.1.2 9.1.2 信息安全管理的模式信息安全管理的模式信息安全管理的程序遵循信息安全管理的程序遵循PDCAPDCA循环模式，循环模式，4 4个个阶段的主要工作如下阶段的主要工作如下:1 1）计划。根据法律、法规的要求和组织内部的安全）计划。根据法律、法规的要求和组织内部的安全需求制定信息安全方针、策略，进行风险评估，确定需求制定信息安全方针、策略，进行风险评估，确定风险控制目标与控制方式，制定信息安全工作计划等风险控制目标与控制方式，制定信息安全工作计划等内容，明确责任分工，安排工作进度，形成工作文件。内容，明确责任分工，安排工作进度，形成工作文件。2 2）执行。按照所选择的控制目标与控制方式进行信）执行。按照所选择的控制目标与控制方式进行信息安全管理实施，包括建立权威安全机构，落实各项息安全管理实施，包括建立权威安全机构，落实各项安全措施，开展全员安全培训等。安全措施，开展全员安全培训等。9.1 信息安全管理概述v9.1.2 9.1.2 信息安全管理的模式信息安全管理的模式信息安全管理的程序遵循信息安全管理的程序遵循PDCAPDCA循环模式，循环模式，4 4个个阶段的主要工作如下阶段的主要工作如下:3 3）检查。在实践中检查、评估工作计划执行后的结）检查。在实践中检查、评估工作计划执行后的结果，包括：制定的安全目标是否合适，是否符合安全果，包括：制定的安全目标是否合适，是否符合安全管理的原则，是否符合安全技术的标准，是否符合法管理的原则，是否符合安全技术的标准，是否符合法律法规的要求，是否符合风险控制的指标，控制手段律法规的要求，是否符合风险控制的指标，控制手段是否能够保证安全目标的实现等，并报告结果。是否能够保证安全目标的实现等，并报告结果。4 4）行动。行动阶段也可以称之为处理阶段，依据上）行动。行动阶段也可以称之为处理阶段，依据上述检查结果，对现有信息安全管理策略的适宜性进行述检查结果，对现有信息安全管理策略的适宜性进行评审与评估，评价现有信息安全管理体系的有效性。评审与评估，评价现有信息安全管理体系的有效性。9.2 信息安全管理制度v9.2.1 9.2.1 信息安全管理与立法信息安全管理与立法1.1.保护的目标保护的目标信息系统安全法律体系不仅仅是简单的对一般违信息系统安全法律体系不仅仅是简单的对一般违法犯罪或者侵权行为的规制，更重要的是促进网法犯罪或者侵权行为的规制，更重要的是促进网络社会和相关产业的健康发展，保障国家安全和络社会和相关产业的健康发展，保障国家安全和公共安全，规范网络社会活动秩序等。公共安全，规范网络社会活动秩序等。9.2 信息安全管理制度v9.2.1 9.2.1 信息安全管理与立法信息安全管理与立法2.2.保护的对象保护的对象（1 1）对信息资源客体的保护）对信息资源客体的保护 1 1）对信息载体的保护。）对信息载体的保护。2 2）对信息运行的保护。）对信息运行的保护。3 3）对信息内容的保护。）对信息内容的保护。4 4）对信息价值的保护。）对信息价值的保护。（2 2）对于信息资源产生和使用主体的保护）对于信息资源产生和使用主体的保护 1 1）对国家安全利益的保护。）对国家安全利益的保护。2 2）对社会公共秩序以及公民涉及网络的各项合法）对社会公共秩序以及公民涉及网络的各项合法权益的保护。权益的保护。9.2 信息安全管理制度v9.2.1 9.2.1 信息安全管理与立法信息安全管理与立法3.3.保护的范围保护的范围 网络空间安全法律应贯穿于网络安全保护的各个环节、网络空间安全法律应贯穿于网络安全保护的各个环节、各个阶段，通过法律的规制、指引作用，使网络空间各个阶段，通过法律的规制、指引作用，使网络空间安全保护的各种要素高效组合，促使网络空间安全技安全保护的各种要素高效组合，促使网络空间安全技术和管理的不断快速发展，有效控制网络空间安全风术和管理的不断快速发展，有效控制网络空间安全风险因素。即网络空间安全的法律保护涉及信息系统的险因素。即网络空间安全的法律保护涉及信息系统的整个生命周期，包括系统规划、系统分析、系统设计、整个生命周期，包括系统规划、系统分析、系统设计、系统实施、运维及消亡等阶段。系统实施、运维及消亡等阶段。9.2 信息安全管理制度v9.2.1 9.2.1 信息安全管理与立法信息安全管理与立法4.4.信息系统安全现有法律法规体系信息系统安全现有法律法规体系（1 1）信息系统安全政策相关的法律法规）信息系统安全政策相关的法律法规（2 2）信息系统安全刑事处罚相关的法律法规）信息系统安全刑事处罚相关的法律法规（3 3）信息系统安全民事侵权相关的法律法规）信息系统安全民事侵权相关的法律法规（4 4）信息系统安全行政处罚相关的法律法规）信息系统安全行政处罚相关的法律法规（5 5）信息系统安全诉讼程序相关的法律法规）信息系统安全诉讼程序相关的法律法规9.2 信息安全管理制度v9.2.2 9.2.2 信息安全管理与标准信息安全管理与标准1.1.信息系统安全评测国际标准信息系统安全评测国际标准（1 1）TCSECTCSEC（Trusted Computer System Evaluation CriteriaTrusted Computer System Evaluation Criteria，可信计算机系统评估标准可信计算机系统评估标准）（2 2）ITSECITSEC（Information Technology Security Evaluation Information Technology Security Evaluation CriteriaCriteria，信息技术安全性评估标准信息技术安全性评估标准）（3 3）CCCC（Common Criteria of Information Technical Common Criteria of Information Technical Security EvaluationSecurity Evaluation，CCITSECCITSE，简称，简称CCCC，信息技术安全评估信息技术安全评估通用标准通用标准）（4 4）ISO/IEC 15408ISO/IEC 15408：20082008（20092009）（）（Information Information Technology Security TechniquesEvaluation Criteria for IT SecurityTechnology Security TechniquesEvaluation Criteria for IT Security）（信息技术信息技术 安全技术安全技术 信息技术安全性评估准则信息技术安全性评估准则）（5 5）ISO/IEC 18045ISO/IEC 18045：20082008（Information Technology Information Technology Security Technology Methodology for IT Security EvaluationSecurity Technology Methodology for IT Security Evaluation）（信息技术信息技术 安全技术安全技术 信息技术安全性评估方法信息技术安全性评估方法）9.2 信息安全管理制度v9.2.2 9.2.2 信息安全管理与标准信息安全管理与标准2.2.信息安全管理国际标准信息安全管理国际标准信息安全管理体系（信息安全管理体系（Information Security Management Information Security Management SystemSystem，ISMSISMS）是）是19981998年前后从英国发展起来的信息安年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系（全领域中的一个新概念，是管理体系（Management Management SystemSystem，MSMS）思想和方法在信息安全领域的应用。）思想和方法在信息安全领域的应用。9.2 信息安全管理制度v9.2.2 9.2.2 信息安全管理与标准信息安全管理与标准3.3.信息系统安全工程国际标准信息系统安全工程国际标准 ISO/IEC 21827ISO/IEC 21827：2008 System Security Engineering 2008 System Security Engineering Capability Maturity ModelCapability Maturity Model（SSE-CMMSSE-CMM，信息安全工程能力信息安全工程能力成熟度模型成熟度模型）是关于信息安全建设工程实施方面的标准。）是关于信息安全建设工程实施方面的标准。SSE-CMMSSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程的目的是建立和完善一套成熟的、可度量的安全工程过程。该模型定义了一个安全工程过程应有的特征，这些特征是过程。该模型定义了一个安全工程过程应有的特征，这些特征是完善的安全工程的根本保证。完善的安全工程的根本保证。SSE-CMMSSE-CMM模型通常以过程改善、能力评估和保证模型通常以过程改善、能力评估和保证3 3种方式来应用。种方式来应用。我们国家也已将我们国家也已将SSE-CMMSSE-CMM作为安全产品和信息系统安全性检测、作为安全产品和信息系统安全性检测、评估和认证的标准之一，评估和认证的标准之一，20062006年颁布实施了年颁布实施了GB/T 20261GB/T 2026120062006信息技术信息技术 系统安全工程