信息安全管理基础
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2020/8/2
项目工程安全管理
▪ 在信息系统投入运行前,信息系统安全的 能力、强度、脆弱性、可改进的潜力等方 面有相当的部分已经确定和定型。因此, 对于一个信息系统,不应当在系统建设完 成后再考虑信息安全问题,而应当从系统 建设的初期开始,在建设的整个过程中同 步考虑。
2020/8/2
日常运行于维护的安全管理
2020/8/2
信息安全管理的基本原则
一、总体原则
二、安全策略管理
1、主要领导负责原则 2、规范定级原则 3、以人为本原则 4、适度安全原则 5、全面防范、突出重点原则 6、系统、动态原则 7、控制社会影响原则。
1、分权制衡 2、最小特权 3、选用成熟Байду номын сангаас术 4、普遍参与。
2020/8/2
主要领导负责原则
▪ 一个信息系统及其信息安全系统建设完成 后,其安全工作并没有结束。真正的安全 效果需要通过日常运行中的安全管理来实 现,工程过程中奠定的信息安全基础需要 通过管理手段加以发挥。
2020/8/2
配置管理和变更管理
▪ 配置管理和变更管理是任何形式的管理中不可或 缺的管理过程。在信息安全管理中,这两方面管 理的作用尤为突出。
2020/8/2
基于信息系统生命周期的安全管理
▪ 信息系统是由生命周期的。信息安全保障 也涉及到信息系统生命周期的各个阶段。
▪ 信息系统生命周期可以划分为两个阶段: ▪ 1、系统投入前的工程设计和开发阶段; ▪ 2、系统的运行和维护阶段。
2020/8/2
信息系统安全和信息系统本身的三同步
▪ 1、同步规划 ▪ 2、同步建设 ▪ 3、同步运行
信息系统安全体系结构
管理层面
应用层面
信
息
安 全
系统层面
体
系
网络层面
物理层面
2020/8/2
安全管理制度 业务处理流程
业务应用系统 数据库应用系统
身份鉴别机制 强制访问控制
防火墙 入侵检测系统
物理设备安全 环境安全
信息安全管理体系定义
▪ 定义:信息安全管理体系(Information Security Management System,ISMS)是组织在整体或特 定范围内建立的信息安全方针和目标,以及完成这 些目标所用的方法和手段所构成的体系;信息安全 管理体系是信息安全管理活动的直接结果,表示为 方针、原则、目标、方法、计划、活动、程序、过 程和资源的集合。
流程规范性 管理是过程性的工作。要确保信息安全工作的相关过程具有规范性。
整体协调性
信息安全管理工作不能独立进行,不可能超越机构其他方面的管理工作 而达到更高的级别。因此,信息安全保障工作需要与其他方面的管理工 作一起协调开展。
执行落实性 通过检查、监督、审计、稽核等手段促进信息安全保障工作的落实。
变更可控性 信息系统中的任何变更需要有全程的监控管理。
2020/8/2
网络和通信安全
▪ 网络系统和通信系统使得信息系统可以覆 盖各个地理位置和业务场所。网络和通信 安全,特别是全程全网的安全是信息安全 保障工作的关键环节。
2020/8/2
主机和系统安全
▪ 主机及主机上的操作系统、数据库管理系 统以及各种支撑系统等,是承载业务系统 的基础平台。主机和系统是信息系统威胁 的主要目标之一。
在人员和组织管理方面,最基本的管理包括:
▪ 1、保障有足够的人力资源从事信息安全 保障工作;
▪ 2、确保人员有明确的角色和责任; ▪ 3、保证从业人员经过了适当的信息安全
教育和培训,有足够的安全意识。 ▪ 4、机构中的信息安全相关人员能够在有
效的组织结构下展开工作。
2020/8/2
基于信息系统各个层次的安全管理
2020/8/2
以人为本原则
▪ 信息安全保障在很大程度上受制于人为的 因素。加强信息安全教育、培训和管理, 强化安全意识和法制观念,提升职业道德 ,掌握安全技术,确保措施落实是做好信 息安全管理工作的重要保证。
2020/8/2
适度安全原则
▪ 安全需求的不断增加和现实资源的局限性 是安全决策处于两难境地,恰当地平衡安 全投入与效果是从全局上处置好安全管理 工作的出发点。
黑客攻击 后门、隐蔽通道 计算机病毒
网络
逻辑炸弹
2020/8/2
蠕虫
拒绝服务攻击 内部、外部泄密
▪ 安全事件
▪ 每年都有上千家政府网站被攻击
▪ 安全影响
▪ 任何网络都可能遭受入侵
2020/8/2
系统的定义:
系统是由相互作用和相互依赖的若干部分结合成的具特 定功能的整体。系统一般包括下列因素: 1、一种产品或者组件,如计算机、所有的外部设备等; 2、操作系统、通信系统和其他相关的设备、软件,构成 了一个组织的基本结构; 3、多个应用系统或软件(财务、人事、业务等) 4、it部门的员工 5、内部用户和管理层 6、客户和其他外部用户 7、周围环境,包括媒体、竞争者、上层管理机构。
2020/8/2
组织建立、实施与保持ISMS将会产生如下作用:
1. 强化员工的信息安全意识,规范组织信息安全行为; 2. 促使管理层贯彻信息安全保障体系; 3. 对组织的关键信息资产进行全面系统的保护,维持竞争
优势; 4. 在信息系统受到侵袭时,确保业务持续开展并将损失降
到最低程度; 5. 使组织的生意伙伴和客户对组织充满信心; 6. 如果通过体系认证,表明体系符合标准,证明组织有能
力保障重要信息,可以提高组织的知名度与信任度。
2020/8/2
信息安全管理体系标准
▪ ISO27001是建立和维护信息安全管理体系的标准, 它要求应该通过这样的过程来建立ISMS框架:确定 体系范围,制定信息安全侧率,明确管理职责,通 过风险评估确定控制目标和控制方式。
▪ ISO27001非常强调信息安全管理过程中文件化的工 作,ISMS的文件体系应该包括安全策略、适用性声 明(选择和未选择的控制目标和控制措施)、实施 安全控制所需的程序文件、ISMS管理和操作程序, 以及组织围绕ISMS开展的所有活动的证明材料。
信息安全保证工作事关大局,企业、组织各 级领导应该把信息安全列为其最重要的工作 内容之一,并负责成提高、加强内部人员的 安全意识,组织有效的技术和管理队伍,调 动优化配置必要的资源和经费,协调信息安 全管理工作与各部门工作的关系,确保信息 安全保障工作的落实和效果。
2020/8/2
规范定级原则
▪ 分级、分类是信息安全保障工作有的放矢 的前提,是界定和保护重点信息系统的依 据,只有通过合理、规范的分级、分类才 能落实重点投资、重点防护。
▪ 任何实体(如用户、管理员、进程、应用 或系统)仅享有该实体需要完成其任务所 必需的特权,不应享有任何多余的特权。
2020/8/2
选用成熟技术策略
▪ 成熟的技术提供了可靠性、稳定性保证, 采用新技术时要重视其成熟的程度。如果 新技术势在必行,应该首先局部试点,然 后逐步推广,减少或避免可能出现的损失 。
▪ 信息系统是有层次的。因此在信息系统的 安全保护中也存在层次的特点,对应各个 层次也有相应的信息安全管理工作。基于 信息系统的各个层次,可相应在如下层次 中开展信息安全管理:
▪ 环境和设备安全、网络和通信安全、主机 和系统安全、应用和业务安全、数据安全 。
2020/8/2
环境和设备安全
▪ 也称为物理安全。在这类安全管理过程中 ,主要是涉及信息系统和信息工作所在的 环境安全,以及信息设备方面的安全。另 外,文档和介质是存储数据的特殊载体, 因此,也应当对其进行适度的管理。物理 安全是上层安全的基础。
信息安全管理基础
2020/8/2
本章内容
▪ 信息安全管理体系 ▪ 信息安全管理标准 ▪ 信息安全策略 ▪ 信息安全技术
2020/8/2
信息技术/网络技术改变生活方式
2020/8/2
信息安全现状
▪ 日益增长的安全威胁
▪ 攻击技术越来越复杂 ▪ 入侵条件越来越简单
2020/8/2
黑客攻击猖獗
特洛伊木马
2020/8/2
全面防范、突出重点的原则
▪ 全面防范是保障信息系统安全的关键。它 需要从人员、管理和技术等方面,在预警 、保护、检测、反应、恢复和跟踪等多个 环节上采用多种技术实现。同时,又要从 组织和机构的实际情况出发,突出自身的 安全管理重点。
2020/8/2
系统、动态原则
▪ 信息安全管理工作的系统特征突出。要按照系 统工程的要求,注意各方面、各层次、各时期 的相互协调、匹配和衔接,以便体现系统集成 效果和前期投入的效益。同时,信息安全又是 一种状态和动态反馈过程,随着安全利益和系 统脆弱性时空分布的变化,威胁程度的提高, 系统环境的变化以及人员对系统安全认识的深 化等,应及时地将现有的安全策略、风险接受 程度和保护措施进行复查、修改、调整以至提 升安全管理等级。
2020/8/2
控制社会影响原则
▪ 对安全事件的处理应有授权者适时披露并 发布准确一致的有关信息,避免带来不良 的社会影响。
2020/8/2
分权制衡策略
▪ 减少未授权的修改或滥用系统资源的机会 ,对特定职能或责任领域的管理能力实施 分离、独立审计,避免操作权力过分集中 。
2020/8/2
最小特权策略
2020/8/2
应用和业务安全
▪ 应用和业务系统是最终实现各项业务工作 的上层系统。对相应应用系统的安全管理 要与具体的业务特点相结合。
2020/8/2
数据安全
▪ 数据安全在信息安全中占有非常重要的地 位。数据的保密性、数据的完整性、数据 内容的真实性和可靠性等安全特性的要求 在业务中都非常突出。
2020/8/2
信息安全管理体系
▪ 信息安全管理覆盖的内容非常广泛,涉及到信 息和网络系统的各个层面,以及生命周期的各 个阶段。不同方面的管理内容彼此之间存在着 一定的关联性,它们共同构成一个全面的有机 整体,以使管理措施保障达到信息安全的目, 这个有机整体被称为信息安全管理体系。
2020/8/2
持续改进型
责任性
变更可控性
2020/8/2
信息安全管理的基本任务
1、通过信息安全管理过程完成信息安全管理方面 的要求。
2、通过信息安全管理过程驱动信息安全技术的实 施,达到信息安全在技术方面的要求。
2020/8/2
信息安全方针与策略
▪ 信息安全方针和策略主要包括对信息安全 进行总体性指导和规划的管理过程。这些 过程包括:安全方针和策略、资金投入管 理和信息安全规划等。
2020/8/2
普遍参与策略
▪ 不论信息系统的安全等级如何,要求信息 系统所涉及的人员普遍参与并与社会相关 方面协同、协调,共同保障信息系统安全 。
2020/8/2
信息安全管理的目标如下:
目标
描述
合规性
管理的合规性,主要是指在有章可循的基础之上,确保信息安全工作符 合国家法律、法规、行业标准,机构内部的方针和规定。
2020/8/2
建立信息安全管理体系的意义
▪ ISMS是组织整体管理体系的一部分,是组织在整体或 特定范围内建立信息安全的方针和目标,以及完成这些 目标所用的方法的体系。
▪ 安全管理体系是安全技术体系真正有效发挥保护作用的 重要保障,安全管理体系的涉及立足于总体安全策略, 并与安全技术体系相互配合,增强技术防护体系的效率 和效果,同时,也弥补当前技术无法完全解决的安全缺 陷。
2020/8/2
安全方针和策略
▪ 方针和策略属于一般管理中的策略管理。 方针和策略是信息安全保障工作的整体性 指导和要求。安全方针和策略需要有相应 的制定、审核和改进过程。
2020/8/2
资金投入管理
▪ 信息安全保障工作需要有足够的资金支撑 。但从另一个方面来讲,绝对的安全是无 法实现的,因此,需要考虑资金投入和经 济效益之间的平衡。
▪ 1、配置管理:从信息安全管理的角度看,应当 对被保护的资产以及相应的保护措施进行配置描 述,并应当对各个配置描述进行持续的跟踪管理 。
责任性 持续改进
计划性
确保信息安全责任能够追究到人。
通过开展信息安全管理,不断发现问题和解决问题,形成持续改进的信 息安全保障态势。
信息安全保障工作能够有计划、分阶段的展开,确保信息安全投资能够 产生最大效202益0/8。/2
信息安全管理内容
合规性
流程规范性 整体协调性
计划性
信息安全 管理内容
执行落实性
2020/8/2
信息安全规划
▪ 信息安全保障工作是一项涉及面较广的工 作,同时也是一项持续的、长期的工作。 因此,信息安全保障工作需要有长期、中 期、短期的计划。
2020/8/2
信息安全人员和组织
▪ 人员和组织管理是信息安全管理的基本过 程。人员和组织是执行信息安全保障工作 的主体。
2020/8/2
项目工程安全管理
▪ 在信息系统投入运行前,信息系统安全的 能力、强度、脆弱性、可改进的潜力等方 面有相当的部分已经确定和定型。因此, 对于一个信息系统,不应当在系统建设完 成后再考虑信息安全问题,而应当从系统 建设的初期开始,在建设的整个过程中同 步考虑。
2020/8/2
日常运行于维护的安全管理
2020/8/2
信息安全管理的基本原则
一、总体原则
二、安全策略管理
1、主要领导负责原则 2、规范定级原则 3、以人为本原则 4、适度安全原则 5、全面防范、突出重点原则 6、系统、动态原则 7、控制社会影响原则。
1、分权制衡 2、最小特权 3、选用成熟Байду номын сангаас术 4、普遍参与。
2020/8/2
主要领导负责原则
▪ 一个信息系统及其信息安全系统建设完成 后,其安全工作并没有结束。真正的安全 效果需要通过日常运行中的安全管理来实 现,工程过程中奠定的信息安全基础需要 通过管理手段加以发挥。
2020/8/2
配置管理和变更管理
▪ 配置管理和变更管理是任何形式的管理中不可或 缺的管理过程。在信息安全管理中,这两方面管 理的作用尤为突出。
2020/8/2
基于信息系统生命周期的安全管理
▪ 信息系统是由生命周期的。信息安全保障 也涉及到信息系统生命周期的各个阶段。
▪ 信息系统生命周期可以划分为两个阶段: ▪ 1、系统投入前的工程设计和开发阶段; ▪ 2、系统的运行和维护阶段。
2020/8/2
信息系统安全和信息系统本身的三同步
▪ 1、同步规划 ▪ 2、同步建设 ▪ 3、同步运行
信息系统安全体系结构
管理层面
应用层面
信
息
安 全
系统层面
体
系
网络层面
物理层面
2020/8/2
安全管理制度 业务处理流程
业务应用系统 数据库应用系统
身份鉴别机制 强制访问控制
防火墙 入侵检测系统
物理设备安全 环境安全
信息安全管理体系定义
▪ 定义:信息安全管理体系(Information Security Management System,ISMS)是组织在整体或特 定范围内建立的信息安全方针和目标,以及完成这 些目标所用的方法和手段所构成的体系;信息安全 管理体系是信息安全管理活动的直接结果,表示为 方针、原则、目标、方法、计划、活动、程序、过 程和资源的集合。
流程规范性 管理是过程性的工作。要确保信息安全工作的相关过程具有规范性。
整体协调性
信息安全管理工作不能独立进行,不可能超越机构其他方面的管理工作 而达到更高的级别。因此,信息安全保障工作需要与其他方面的管理工 作一起协调开展。
执行落实性 通过检查、监督、审计、稽核等手段促进信息安全保障工作的落实。
变更可控性 信息系统中的任何变更需要有全程的监控管理。
2020/8/2
网络和通信安全
▪ 网络系统和通信系统使得信息系统可以覆 盖各个地理位置和业务场所。网络和通信 安全,特别是全程全网的安全是信息安全 保障工作的关键环节。
2020/8/2
主机和系统安全
▪ 主机及主机上的操作系统、数据库管理系 统以及各种支撑系统等,是承载业务系统 的基础平台。主机和系统是信息系统威胁 的主要目标之一。
在人员和组织管理方面,最基本的管理包括:
▪ 1、保障有足够的人力资源从事信息安全 保障工作;
▪ 2、确保人员有明确的角色和责任; ▪ 3、保证从业人员经过了适当的信息安全
教育和培训,有足够的安全意识。 ▪ 4、机构中的信息安全相关人员能够在有
效的组织结构下展开工作。
2020/8/2
基于信息系统各个层次的安全管理
2020/8/2
以人为本原则
▪ 信息安全保障在很大程度上受制于人为的 因素。加强信息安全教育、培训和管理, 强化安全意识和法制观念,提升职业道德 ,掌握安全技术,确保措施落实是做好信 息安全管理工作的重要保证。
2020/8/2
适度安全原则
▪ 安全需求的不断增加和现实资源的局限性 是安全决策处于两难境地,恰当地平衡安 全投入与效果是从全局上处置好安全管理 工作的出发点。
黑客攻击 后门、隐蔽通道 计算机病毒
网络
逻辑炸弹
2020/8/2
蠕虫
拒绝服务攻击 内部、外部泄密
▪ 安全事件
▪ 每年都有上千家政府网站被攻击
▪ 安全影响
▪ 任何网络都可能遭受入侵
2020/8/2
系统的定义:
系统是由相互作用和相互依赖的若干部分结合成的具特 定功能的整体。系统一般包括下列因素: 1、一种产品或者组件,如计算机、所有的外部设备等; 2、操作系统、通信系统和其他相关的设备、软件,构成 了一个组织的基本结构; 3、多个应用系统或软件(财务、人事、业务等) 4、it部门的员工 5、内部用户和管理层 6、客户和其他外部用户 7、周围环境,包括媒体、竞争者、上层管理机构。
2020/8/2
组织建立、实施与保持ISMS将会产生如下作用:
1. 强化员工的信息安全意识,规范组织信息安全行为; 2. 促使管理层贯彻信息安全保障体系; 3. 对组织的关键信息资产进行全面系统的保护,维持竞争
优势; 4. 在信息系统受到侵袭时,确保业务持续开展并将损失降
到最低程度; 5. 使组织的生意伙伴和客户对组织充满信心; 6. 如果通过体系认证,表明体系符合标准,证明组织有能
力保障重要信息,可以提高组织的知名度与信任度。
2020/8/2
信息安全管理体系标准
▪ ISO27001是建立和维护信息安全管理体系的标准, 它要求应该通过这样的过程来建立ISMS框架:确定 体系范围,制定信息安全侧率,明确管理职责,通 过风险评估确定控制目标和控制方式。
▪ ISO27001非常强调信息安全管理过程中文件化的工 作,ISMS的文件体系应该包括安全策略、适用性声 明(选择和未选择的控制目标和控制措施)、实施 安全控制所需的程序文件、ISMS管理和操作程序, 以及组织围绕ISMS开展的所有活动的证明材料。
信息安全保证工作事关大局,企业、组织各 级领导应该把信息安全列为其最重要的工作 内容之一,并负责成提高、加强内部人员的 安全意识,组织有效的技术和管理队伍,调 动优化配置必要的资源和经费,协调信息安 全管理工作与各部门工作的关系,确保信息 安全保障工作的落实和效果。
2020/8/2
规范定级原则
▪ 分级、分类是信息安全保障工作有的放矢 的前提,是界定和保护重点信息系统的依 据,只有通过合理、规范的分级、分类才 能落实重点投资、重点防护。
▪ 任何实体(如用户、管理员、进程、应用 或系统)仅享有该实体需要完成其任务所 必需的特权,不应享有任何多余的特权。
2020/8/2
选用成熟技术策略
▪ 成熟的技术提供了可靠性、稳定性保证, 采用新技术时要重视其成熟的程度。如果 新技术势在必行,应该首先局部试点,然 后逐步推广,减少或避免可能出现的损失 。
▪ 信息系统是有层次的。因此在信息系统的 安全保护中也存在层次的特点,对应各个 层次也有相应的信息安全管理工作。基于 信息系统的各个层次,可相应在如下层次 中开展信息安全管理:
▪ 环境和设备安全、网络和通信安全、主机 和系统安全、应用和业务安全、数据安全 。
2020/8/2
环境和设备安全
▪ 也称为物理安全。在这类安全管理过程中 ,主要是涉及信息系统和信息工作所在的 环境安全,以及信息设备方面的安全。另 外,文档和介质是存储数据的特殊载体, 因此,也应当对其进行适度的管理。物理 安全是上层安全的基础。
信息安全管理基础
2020/8/2
本章内容
▪ 信息安全管理体系 ▪ 信息安全管理标准 ▪ 信息安全策略 ▪ 信息安全技术
2020/8/2
信息技术/网络技术改变生活方式
2020/8/2
信息安全现状
▪ 日益增长的安全威胁
▪ 攻击技术越来越复杂 ▪ 入侵条件越来越简单
2020/8/2
黑客攻击猖獗
特洛伊木马
2020/8/2
全面防范、突出重点的原则
▪ 全面防范是保障信息系统安全的关键。它 需要从人员、管理和技术等方面,在预警 、保护、检测、反应、恢复和跟踪等多个 环节上采用多种技术实现。同时,又要从 组织和机构的实际情况出发,突出自身的 安全管理重点。
2020/8/2
系统、动态原则
▪ 信息安全管理工作的系统特征突出。要按照系 统工程的要求,注意各方面、各层次、各时期 的相互协调、匹配和衔接,以便体现系统集成 效果和前期投入的效益。同时,信息安全又是 一种状态和动态反馈过程,随着安全利益和系 统脆弱性时空分布的变化,威胁程度的提高, 系统环境的变化以及人员对系统安全认识的深 化等,应及时地将现有的安全策略、风险接受 程度和保护措施进行复查、修改、调整以至提 升安全管理等级。
2020/8/2
控制社会影响原则
▪ 对安全事件的处理应有授权者适时披露并 发布准确一致的有关信息,避免带来不良 的社会影响。
2020/8/2
分权制衡策略
▪ 减少未授权的修改或滥用系统资源的机会 ,对特定职能或责任领域的管理能力实施 分离、独立审计,避免操作权力过分集中 。
2020/8/2
最小特权策略
2020/8/2
应用和业务安全
▪ 应用和业务系统是最终实现各项业务工作 的上层系统。对相应应用系统的安全管理 要与具体的业务特点相结合。
2020/8/2
数据安全
▪ 数据安全在信息安全中占有非常重要的地 位。数据的保密性、数据的完整性、数据 内容的真实性和可靠性等安全特性的要求 在业务中都非常突出。
2020/8/2
信息安全管理体系
▪ 信息安全管理覆盖的内容非常广泛,涉及到信 息和网络系统的各个层面,以及生命周期的各 个阶段。不同方面的管理内容彼此之间存在着 一定的关联性,它们共同构成一个全面的有机 整体,以使管理措施保障达到信息安全的目, 这个有机整体被称为信息安全管理体系。
2020/8/2
持续改进型
责任性
变更可控性
2020/8/2
信息安全管理的基本任务
1、通过信息安全管理过程完成信息安全管理方面 的要求。
2、通过信息安全管理过程驱动信息安全技术的实 施,达到信息安全在技术方面的要求。
2020/8/2
信息安全方针与策略
▪ 信息安全方针和策略主要包括对信息安全 进行总体性指导和规划的管理过程。这些 过程包括:安全方针和策略、资金投入管 理和信息安全规划等。
2020/8/2
普遍参与策略
▪ 不论信息系统的安全等级如何,要求信息 系统所涉及的人员普遍参与并与社会相关 方面协同、协调,共同保障信息系统安全 。
2020/8/2
信息安全管理的目标如下:
目标
描述
合规性
管理的合规性,主要是指在有章可循的基础之上,确保信息安全工作符 合国家法律、法规、行业标准,机构内部的方针和规定。
2020/8/2
建立信息安全管理体系的意义
▪ ISMS是组织整体管理体系的一部分,是组织在整体或 特定范围内建立信息安全的方针和目标,以及完成这些 目标所用的方法的体系。
▪ 安全管理体系是安全技术体系真正有效发挥保护作用的 重要保障,安全管理体系的涉及立足于总体安全策略, 并与安全技术体系相互配合,增强技术防护体系的效率 和效果,同时,也弥补当前技术无法完全解决的安全缺 陷。
2020/8/2
安全方针和策略
▪ 方针和策略属于一般管理中的策略管理。 方针和策略是信息安全保障工作的整体性 指导和要求。安全方针和策略需要有相应 的制定、审核和改进过程。
2020/8/2
资金投入管理
▪ 信息安全保障工作需要有足够的资金支撑 。但从另一个方面来讲,绝对的安全是无 法实现的,因此,需要考虑资金投入和经 济效益之间的平衡。
▪ 1、配置管理:从信息安全管理的角度看,应当 对被保护的资产以及相应的保护措施进行配置描 述,并应当对各个配置描述进行持续的跟踪管理 。
责任性 持续改进
计划性
确保信息安全责任能够追究到人。
通过开展信息安全管理,不断发现问题和解决问题,形成持续改进的信 息安全保障态势。
信息安全保障工作能够有计划、分阶段的展开,确保信息安全投资能够 产生最大效202益0/8。/2
信息安全管理内容
合规性
流程规范性 整体协调性
计划性
信息安全 管理内容
执行落实性
2020/8/2
信息安全规划
▪ 信息安全保障工作是一项涉及面较广的工 作,同时也是一项持续的、长期的工作。 因此,信息安全保障工作需要有长期、中 期、短期的计划。
2020/8/2
信息安全人员和组织
▪ 人员和组织管理是信息安全管理的基本过 程。人员和组织是执行信息安全保障工作 的主体。
2020/8/2