信息安全管理基础课件
信息安全管理
信息安全管理基础
09.10.2020
可编辑课件
1
本章内容 信息安全管理体系 信息安全管理标准 信息安全策略 信息安全技术
信息安全管理
2
可编辑课件
信息技术/网络技术改变生活方式
政府
商业
信息安全管理
3
个人生活
金融
可编辑课件
信息安全现状
日益增长的安全威胁
– 攻击技术越来越复杂 – 入侵条件越来越简单
信息安全管理
4
可编辑课件
黑客攻击猖獗
特洛伊木马
黑客攻击 后门、隐蔽通道 计算机病毒
网络
信息安全管理
逻辑炸弹
蠕虫
5
拒绝服务攻击
内部、外部泄密
可编辑课件
安全事件
– 每年都有上千家政府网站被攻击
安全影响
– 任何网络都可能遭受入侵
信息安全管理
6
可编辑课件
系统的定义:
系统是由相互作用和相互依赖的若干部分结合成的具特 定功能的整体。系统一般包括下列因素: 1、一种产品或者组件,如计算机、所有的外部设备等; 2、操作系统、通信系统和其他相关的设备、软件,构成 了一个组织的基本结构; 3、多个应用系统或软件(财务、人事、业务等) 4、it部门的员工 5、内部用户和管理层 6、客户和其他外部用户 7、周围环境,包括媒体、竞争者、上层管理机构。
8
可编辑课件
信息系统安全体系结构
管理层面
应用层面
信
息
安 全
系统层面
体
系
网络层面
物理层面
安全管理制度 业务处理流程
业务应用系统 数据库应用系统
身份鉴别机制 强制访问控制
防火墙 入侵检测系统
物理设备安全 环境安全
信息安全管理
9
可编辑课件
信息安全管理体系定义
定义:信息安全管理体系(Information Security Management System,ISMS)是组织在整体或特定范围内 建立的信息安全方针和目标,以及完成这些目标所用的方法和手 段所构成的体系;信息安全管理体系是信息安全管理活动的直接 结果,表示为方针、原则、目标、方法、计划、活动、程序、过 程和资源的集合。
信息安全管理
19
可编辑课件
系统、动态原则
信息安全管理工作的系统特征突出。要按照系统工 程的要求,注意各方面、各层次、各时期的相互协 调、匹配和衔接,以便体现系统集成效果和前期投 入的效益。同时,信息安全又是一种状态和动态反 馈过程,随着安全利益和系统脆弱性时空分布的变 化,威胁程度的提高,系统环境的变化以及人员对 系统安全认识的深化等,应及时地将现有的安全策 略、风险接受程度和保护措施进行复查、修改、调 整以至提升安全管理等级。
信息安全管理
15
可编辑课件
规范定级原则
分级、分类是信息安全保障工作有的放矢的前提, 是界定和保护重点信息系统的依据,只有通过合理、 规范的分级、分类才能落实重点投资、重点防护。
信息安全管理
16
可编辑课件
以人为本原则
信息安全保障在很大程度上受制于人为的因素。加 强信息安全教育、培训和管理,强化安全意识和法 制观念,提升职业道德,掌握安全技术,确保措施 落实是做好信息安全管理工作的重要保证。
信息安全管理
10
可编辑课件
建立信息安全管理体系的意义
ISMS是组织整体管理体系的一部分,是组织在整 体或特定范围内建立信息安全的方针和目标,以及 完成这些目标所用的方法的体系。
安全管理体系是安全技术体系真正有效发挥保护作 用的重要保障,安全管理体系的涉及立足于总体安 全策略,并与安全技术体系相互配合,增强技术防 护体系的效率和效果,同时,也弥补当前技术无法 完全解决的安全缺陷。
ISO27001非常强调信息安全管理过程中文件化的工作, ISMS的文件体系应该包括安全策略、适用性声明(选择和 未选择的控制目标和控制措施)、实施安全控制所需的程序 文件、ISMS管理和操作程序,以及组织围绕ISMS开展的 所有活动的证明材料。
信息安全管理
13
可编辑课件
信息安全管理的基本原则
一、总体原则 1、主要领导负责原则 2、规范定级原则 3、以人为本原则 4、适度安全原则 5、全面防范、突出重点原则 6、系统、动态原则 7、控制社会影响原则。
二、安全策略管理 1、分权制衡 2、最小特权 3、选用成熟技术 4、普遍参与。
信息安全管理
14
可编辑课件
主要领导负责原则
信息安全保证工作事关大局,企业、组织各级领导 应该把信息安全列为其最重要的工作内容之一,并 负责成提高、加强内部人员的安全意识,组织有效 的技术和管理队伍,调动优化配置必要的资源和经 费,协调信息安全管理工作与各部门工作的关系, 确保信息安全保障工作的落实和效果。
信息安全管理
17
可编辑课件
适度安全原则
安全需求的不断增加和现实资源的局限性是安全决 策处于两难境地,恰当地平衡安全投入与效果是从 全局上处置好安全管理工作的出发点。
信息安全管理
18
可编辑课件
全面防范、突出重点的原则
全面防范是保障信息系统安全的关键。它需要从人 员、管理和技术等方面,在预警、保护、检测、反 应、恢复和跟踪等多个环节上采用多种技术实现。 同时,又要从组织和机构的实际情况出发,突出自 身的安全管理重点。
信息安全管理
7
可编辑课件
信息安全管理体系
信息安全管理覆盖的内容非常广泛,涉及到信 息和网络系统的各个层面,以及生命周期的各 个阶段。不同方面的管理内容彼此之间存在着 一定的关联性,它们共同构成一个全面的有机 整体,以使管理措施保障达到信息安全的目, 这个有机整体被称为信息安全管理体系。
信息安全管理
信息安全管理
11
可编辑课件
组织建立、实施与保持ISMS将会产生如下作用:
1. 强化员工的信息安全意识,规范组织信息安全行为;
2. 促使管理层贯彻信息安全保障体系;
3. 对组织的关键信息资产进行全面系统的保护,维持竞 争优势;
4. 在信息系统受到侵袭时,确保业务持续开展并将损失 降到最低程度;
5. 使组织的生意伙伴和客户对组织充满信心;
6. 如果通过体系认证,表明体系符合标准,证明组织有 能力保障重要信息,可以提高组织的知名度与信任度。
信息安全管理
12
可编辑课件
信息安全管理体系标准
ISO27001是建立和维护信息安全管理体系的标准,它要 求应该通过这样的过程来建立ISMS框架:确定体系范围, 制定信息安全侧率,明确管理职责,通过风险评估确定控制 目标和控制方式。
