信息安全 管理概述
信息安全发展过程及阶段
(１）通信保密时代：二十世纪40-50年代 时代标志：1949香农发表的《保密通信的信息理论》 (２）计算机安全时代：二十世纪70-80年代 时代标志：《可信计算机评估准则》（TCSEC） (３）网络安全时代：二十世纪90年代 (４）信息安全保障时代：进入二十一世纪 时代标志：《信息保障技术框架》（IATF ）
信息安全 管理概述
服务交付（Service Delivery） 服务水平管理（Service Level Management） 可用性管理（Availability Management） IT服务财务管理（Financial Management for IT Services） 容量管理（Capacity Management） IT服务持续性管理（IT Service Continuity Management）
（1）信息安全管理体系标准 BS 7799是由英国标准协会（British Standards Institution，BSI）制定的
信息安全管理体系标准，BS 7799为保障信息的机密性、完整性和可用性提供了典 范。它包括两部分内容，即BS 7799-1:《信息安全管理实施细则》和BS 7799-2: 《信息安全管理体系规范》。
ISO/IEC 17799:2005
ISO/IEC 24743EC
27002:2005
2005.10 ISO/IEC 27001:2005
图1.1 BS 7799标准与ISO/IEC 27000标准的关系
信息安全 管理概述
在国家宏观信息安全管理方面，主要有以下几个方面的问题。
BS 7799-2
信息安全管 理体系规范
BS 7799-1
BS 7799-2
ISO/IEC JTC1/SC 27
2000.12
ISO/IEC 17799:2000
2001.6
BS 7799-2 版本 C
2004.10
ISO/IEC 17799 FDIS
2002.9 BS 7799-2：
2002
2005.6
信息安全管理
张红旗 杨英杰 唐慧林 常德显 编著
目录
Contents Page
01 信息安全管理的产生背景 02 信息安全管理的内涵 03 信息安全管理的发展现状 04 信息安全管理的相关标准
第2 页
信息安全 管理概述
本章介绍信息安全管理的产生背景、信息安全管理的内涵、国内外信息 安全管理现状，以及信息安全管理相关标准规范。 ➢ 本章重点：信息安全管理的内涵、信息安全管理相关标准。 ➢ 本章难点：信息安全管理的内涵。
信息安全 管理概述
（1）美国信息安全橘皮书（TCSEC） （2）信息产品通用测评准则CC（ISO 15408） （3）系统安全工程能力成熟度模型（SSE-CMM）
CC的发展经历了一个漫长而复杂的过程，如图1.2所示。
信息安全 管理概述
图1.2 CC的发展过程
信息安全 管理概述
公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准 GB 17895-1999《计算机信息系统安全保护等级划分准则》已正式颁布并实施。 该准则将信息系统安全分为5个等级：自主保护级、系统审计保护级、安全标 记保护级、结构化保护级和访问验证保护级。主要的安全考核指标有身份认 证、自主访问控制、数据完整性、审计等。
安全技术只是信息安全控制的手段，要让安全技术发挥应有的作用，必 然要有适当的管理程序的支持，否则，安全技术只能趋于僵化和失败。
如果说安全技术是信息安全的构筑材料，信息安全管理就是真正的粘合 剂和催化剂，只有将有效的安全管理从始至终贯彻落实于安全建设的方方面 面，信息安全的长期性和稳定性才能有所保证。
孔茨：管理就是设计和保持一种良好环境，使人在群体里高效率地完成既定 目标。
管理追求效益效率
信息安全 管理概述
管理活动的五个基本要素
（1）谁来管：管理主体，回答由谁管的问题； （2）管什么：管理客体，回答管什么的问题； （3）怎么管：组织的目的要求，回答如何管的问题； （4）靠什么管：组织环境或条件，回答在什么情况下管的问题。 （5）管得怎么样：管理能力和效果，回答管理成效问题。
信息安全管理是信息安全保障体系建设的重要组成部分 。
信息安全 管理概述
ISO/IEC 27002:2005《信息安全管理实用规则》（即GB/T 22081-2008）给出了一个 信息安全管理范围的划分方法，其将信息安全管理范围划分为11个管理方面。
信息安全 管理概述
信息安全 管理概述
现实世界里很多安全事件的发生和安全隐患的存在，与其说是技术上的 原因，不如说是管理不善造成的。
信息安全 管理概述
在信息保障的概念中，信息安全一般包括实体安全、运行安全、信息安 全和管理安全四个方面的内容。 实体安全：保护计算机设备、网络设施以及其他通信与存储介质免遭地震、
水灾、火灾、有害气体和其他环境事故（如电磁污染等）破坏的措施、过 程。 运行安全：为保障系统功能的安全实现，提供一套安全措施（如风险分析、 审计跟踪、备份与恢复、应急措施）来保护信息处理过程的安全。
信息安全 管理概述
信息安全保障管理包括3个层次的内容：组织建设、制度建设和人员意 识。
我国在微观信息安全管理方面存在的问题主要表现为以下几方面。 （1）缺乏信息安全意识与明确的信息安全方针 （2）重视安全技术，轻视安全管理 （3）安全管理缺乏系统管理的思想
信息安全 管理概述
1.4 信息安全管理的相关标准
信息安全 管理概述
（3）信息和相关技术控制目标（COBIT）
信息及相关技术控制目标（Control Objectives for Information and Related Technology，COBIT），是美国信息系统审计与控制协会（Information Systems Audit and Control Association）针对IT过程管理制定的一套基于最 佳实践的控制目标，是目前国际上公认的最先进、最权威的安全与信息技术管理 和控制标准。
信息安全 管理概述
1.1 信息安全管理的产生背景
信息安全管理是随着信息和信息安全的发展而发展起来的。在信息社会 中，一方面信息已经成为人类的重要资产，在政治、经济、军事、教育、科 技、生活等方面发挥着重要作用；另一方面由于信息具有易传播、易扩散、 易损毁的特点，信息资产比传统的实物资产更加脆弱和容易受到损害，特别 是近年来随着计算机和网络技术的迅猛发展，信息安全问题日益突出，组织 在业务运作过程中面临的因信息安全带来的风险也越来越严重。
BS 7799作为信息安全管理领域的一个权威标准，是全球业界一致公认的辅助 信息安全治理的手段。
信息安全 管理概述
BS 7799-1于2000年12月被国际化标准组织（ISO）纳入世界标准，编号为 ISO/IEC17799。并于2005年6月15日发布版本ISO/IEC 17799:2005；BS 7799-2 也被国际化标准组织（ISO）纳入世界标准，编号为ISO/IEC 27001，并于2005 年6月15日发布了版本ISO/IEC 27001:2005。
信息安全 管理概述
信息安全管理是通过维护信息的机密性、完整性和可用性等，来管理和 保护信息资产的一项体制，是对信息安全保障进行指导、规范和管理的一系 列活动和过程。
信息安全管理是信息安全保障体系建设的重要组成部分，对于保护信息 资产、降低信息系统安全风险、指导信息安全体系建设具有重要作用。
管理是一个由计划、组织、人事、领导和控制 组成的完整的过程。
健全的信息安全法律法规体系是确保国家信息安全的基础，是信息安全 的第一道防线。为了配合信息安全管理的需要，从20世纪90年代起，国家、 相关部门、行业和地方政府就相继制定了《中华人民共和国计算机信息网络 国际联网管理暂行规定》《商用密码管理条例》《互联网信息服务管理办法》 《计算机病毒防治管理办法》《软件产品管理办法》《电信网间互联管理暂 行规定》《中华人民共和国电子签名法》等有关信息安全管理的法律法规文 件。国家已建立起了法律、行政法规与部门规章及规范性文件等3个层面的有 关信息安全的法律法规体系，对组织与个人的信息安全行为提出了安全要求。
信息安全 管理概述
（2）IT基础设施库（ITIL） IT基础设施库（IT infrastructure Library，ITIL），是由英国中央计
算机与通信机构（CCTA）发布的关于IT服务管理最佳实践的建议和指导方针， 旨在解决IT服务质量不佳的情况。
信息安全 管理概述
ITIL的精髓体现在其“十大流程”和“一大功能”上。一大功能即服务台 （ServiceDesk），十大流程如下。 服务支持（Service Support） 事件管理（Incident Management） 问题管理（Problem Management） 变更管理（Change Management） 发布管理（Release Management） 配置管理（Configuration Management）
为了保护国家的信息安全，保持企业等机构的信息资产安全、竞争优势 与商务可持续性发展，保护个人的隐私与财产安全，加强信息安全管理刻不 容缓。
信息安全 管理概述
信息安全管理的发展大体经历了“零星追加时期”和“标准化时期”两 个阶段，九十年代中期可以看作这两个阶段的分界。具体经历了如下三个阶 段： （1）制订信息安全发展战略和计划 （2）加强信息安全立法，实现统一和规范管理 （3）步入标准化与系统化管理时代
信息安全 管理概述
（4）IT安全管理指南（ISO 13335） ISO/IEC 13335-1:1996《IT安全概念与模型》 ISO/IEC 13335-2:1997《IT安全管理和计划》 ISO/IEC 13335-3:1998《IT安全管理技术》 ISO/IEC 13335-4:2000《IT安全措施的选择》 ISO/IEC 13335-5:2001《网络安全管理指南》