信息安全管理PPT
2020/8/4
7
信息安全管理体系
信息安全管理
▪ 信息安全管理覆盖的内容非常广泛,涉及到信 息和网络系统的各个层面,以及生命周期的各 个阶段。不同方面的管理内容彼此之间存在着 一定的关联性,它们共同构成一个全面的有机 整体,以使管理措施保障达到信息安全的目, 这个有机整体被称为信息安全管理体系。
2020/8/4
8
信息系统安全体系结构
信息安全管理
管理层面
安全管理制度 业务处理流程
应用层面
信
息
安 全
系统层面
体
系
网络层面
物理层面
业务应用系统 数据库应用系统
身份鉴别机制 强制访问控制
防火墙 入侵检测系统
物理设备安全 环境安全
2020/8/4
9
信息安全管理体系定义
信息安全管理
▪ 定义:信息安全管理体系(Information Security Management System,ISMS)是组织在整体或特 定范围内建立的信息安全方针和目标,以及完成这 些目标所用的方法和手段所构成的体系;信息安全 管理体系是信息安全管理活动的直接结果,表示为 方针、原则、目标、方法、计划、活动、程序、过 程和资源的集合。
系统是由相互作用和相互依赖的若干部分结合成的具特 定功能的整体。系统一般包括下列因素: 1、一种产品或者组件,如计算机、所有的外部设备等; 2、操作系统、通信系统和其他相关的设备、软件,构成 了一个组织的基本结构; 3、多个应用系统或软件(财务、人事、业务等) 4、it部门的员工 5、内部用户和管理层 6、客户和其他外部用户 7、周围环境,包括媒体、竞争者、上层管理机构。
信息安全管理
信息安全管理基础
2020/8/4
1
本章内容
信息安全管理
▪ 信息安全管理体系 ▪ 信息安全管理标准 ▪ 信息安全策略 ▪ 信息安全技术
2020/8/4
2
信息安全管理
信息技术/网络技术改变生活方式
政府
个人生活
商业
2020/8/4
金融
3
信息安全现状
▪ 日益增长的安全威胁
▪ 攻击技术越来越复杂 ▪ 入侵条件越来越简单
2020/8/4
17
适度安全原则
信息安全管理
▪ 安全需求的不断增加和现实资源的局限性 是安全决策处于两难境地,恰当地平衡安 全投入与效果是从全局上处置好安全管理 工作的出发点。
2020/8/4
18
信息安全管理
全面防范、突出重点的原则
▪ 全面防范是保障信息系统安全的关键。它 需要从人员、管理和技术等方面,在预警、 保护、检测、反应、恢复和跟踪等多个环 节上采用多种技术实现。同时,又要从组 织和机构的实际情况出发,突出自身的安 全管理重点。
二、安全策略管理
1、主要领导负责原则 2、规范定级原则 3、以人为本原则 4、适度安全原则 5、全面防范、突出重点原则 6、系统、动态原则 7、控制社会影响原则。
1、分权制衡 2、最小特权 3、选用成熟技术 4、普遍参与。
2020/8/4
14
信息安全管理
主要领导负责原则
信息安全保证工作事关大局,企业、组织各 级领导应该把信息安全列为其最重要的工作 内容之一,并负责成提高、加强内部人员的 安全意识,组织有效的技术和管理队伍,调 动优化配置必要的资源和经费,协调信息安 全管理工作与各部门工作的关系,确保信息 安全保障工作的落实和效果。
2020/8/4
19
系统、动态原则
信息安全管理
▪ 信息安全管理工作的系统特征突出。要按照系 统工程的要求,注意各方面、各层次、各时期 的相互协调、匹配和衔接,以便体现系统集成 效果和前期投入的效益。同时,信息安全又是 一种状态和动态反馈过程,随着安全利益和系 统脆弱性时空分布的变化,威胁程度的提高, 系统环境的变化以及人员对系统安全认识的深 化等,应及时地将现有的安全策略、风险接受 程度和保护措施进行复查、修改、调整以至提 升安全管理等级。
5. 使组织的生意伙伴和客户对组织充满信心;
6. 如果通过体系认证,表明体系符合标准,证明组织有能 力保障重要信息,可以提高组织的知名度与信任度。
2020/8/4
12
信息安全管理
信息安全管理体系标准
▪ ISO27001是建立和维护信息安全管理体系的标准, 它要求应该通过这样的过程来建立ISMS框架:确定 体系范围,制定信息安全侧率,明确管理职责,通 过风险评估确定控制目标和控制方式。
2020/8/4
15
规范定级原则
信息安全管理
▪ 分级、分类是信息安全保障工作有的放矢 的前提,是界定和保护重点信息系统的依 据,只有通过合理、规范的分级、分类才 能落实重点投资、重点防护。
2020/8/4
16
以人为本原则
信息安全管理
▪ 信息安全保障在很大程度上受制于人为的 因素。加强信Байду номын сангаас安全教育、培训和管理, 强化安全意识和法制观念,提升职业道德, 掌握安全技术,确保措施落实是做好信息 安全管理工作的重要保证。
▪ ISO27001非常强调信息安全管理过程中文件化的工
作,ISMS的文件体系应该包括安全策略、适用性声
明(选择和未选择的控制目标和控制措施)、实施
安全控制所需的程序文件、ISMS管理和操作程序,
以及组织围绕ISMS开展的所有活动的证明材料。
2020/8/4
13
信息安全管理
信息安全管理的基本原则
一、总体原则
2020/8/4
10
信息安全管理
建立信息安全管理体系的意义
▪ ISMS是组织整体管理体系的一部分,是组织在整体或 特定范围内建立信息安全的方针和目标,以及完成这些 目标所用的方法的体系。
▪ 安全管理体系是安全技术体系真正有效发挥保护作用的 重要保障,安全管理体系的涉及立足于总体安全策略, 并与安全技术体系相互配合,增强技术防护体系的效率 和效果,同时,也弥补当前技术无法完全解决的安全缺 陷。
2020/8/4
11
信息安全管理
组织建立、实施与保持ISMS将会产生如下作用:
1. 强化员工的信息安全意识,规范组织信息安全行为; 2. 促使管理层贯彻信息安全保障体系;
3. 对组织的关键信息资产进行全面系统的保护,维持竞争 优势;
4. 在信息系统受到侵袭时,确保业务持续开展并将损失降 到最低程度;
信息安全管理
2020/8/4
4
黑客攻击猖獗
信息安全管理
特洛伊木马
黑客攻击 后门、隐蔽通道 计算机病毒
网络
逻辑炸弹
2020/8/4
蠕虫
拒绝服务攻击
内部、外部泄密
5
信息安全管理
▪ 安全事件
▪ 每年都有上千家政府网站被攻击
▪ 安全影响
▪ 任何网络都可能遭受入侵
2020/8/4
6
信息安全管理
系统的定义:
