信息安全管理
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2019/9/22
10
信息安全管理
建立信息安全管理体系的意义
ISMS是组织整体管理体系的一部分,是组织在整体或 特定范围内建立信息安全的方针和目标,以及完成这些 目标所用的方法的体系。
安全管理体系是安全技术体系真正有效发挥保护作用的 重要保障,安全管理体系的涉及立足于总体安全策略, 并与安全技术体系相互配合,增强技术防护体系的效率 和效果,同时,也弥补当前技术无法完全解决的安全缺 陷。
5. 使组织的生意伙伴和客户对组织充满信心;
6. 如果通过体系认证,表明体系符合标准,证明组织有能 力保障重要信息,可以提高组织的知名度与信任度。
2019/9/22
12
信息安全管理
信息安全管理体系标准
ISO27001是建立和维护信息安全管理体系的标准, 它要求应该通过这样的过程来建立ISMS框架:确定 体系范围,制定信息安全侧率,明确管理职责,通 过风险评估确定控制目标和控制方式。
2பைடு நூலகம்19/9/22
11
信息安全管理
组织建立、实施与保持ISMS将会产生如下作用:
1. 强化员工的信息安全意识,规范组织信息安全行为; 2. 促使管理层贯彻信息安全保障体系;
3. 对组织的关键信息资产进行全面系统的保护,维持竞争 优势;
4. 在信息系统受到侵袭时,确保业务持续开展并将损失降 到最低程度;
2019/9/22
38
应用和业务安全
信息安全管理
应用和业务系统是最终实现各项业务工作 的上层系统。对相应应用系统的安全管理 要与具体的业务特点相结合。
2019/9/22
39
数据安全
信息安全管理
数据安全在信息安全中占有非常重要的地 位。数据的保密性、数据的完整性、数据 内容的真实性和可靠性等安全特性的要求 在业务中都非常突出。
信息安全管理
信息安全管理基础
2019/9/22
1
本章内容
信息安全管理
信息安全管理体系 信息安全管理标准 信息安全策略 信息安全技术
2019/9/22
2
信息安全管理
信息技术/网络技术改变生活方式
政府
个人生活
商业
2019/9/22
金融
3
信息安全现状
日益增长的安全威胁
攻击技术越来越复杂 入侵条件越来越简单
2019/9/22
7
信息安全管理体系
信息安全管理
信息安全管理覆盖的内容非常广泛,涉及到信 息和网络系统的各个层面,以及生命周期的各 个阶段。不同方面的管理内容彼此之间存在着 一定的关联性,它们共同构成一个全面的有机 整体,以使管理措施保障达到信息安全的目, 这个有机整体被称为信息安全管理体系。
流程规范性 管理是过程性的工作。要确保信息安全工作的相关过程具有规范性。
整体协调性
信息安全管理工作不能独立进行,不可能超越机构其他方面的管理工作 而达到更高的级别。因此,信息安全保障工作需要与其他方面的管理工 作一起协调开展。
执行落实性 通过检查、监督、审计、稽核等手段促进信息安全保障工作的落实。
变更可控性 信息系统中的任何变更需要有全程的监控管理。
2019/9/22
29
安全方针和策略
信息安全管理
方针和策略属于一般管理中的策略管理。 方针和策略是信息安全保障工作的整体性 指导和要求。安全方针和策略需要有相应 的制定、审核和改进过程。
2019/9/22
30
资金投入管理
信息安全管理
信息安全保障工作需要有足够的资金支撑。 但从另一个方面来讲,绝对的安全是无法 实现的,因此,需要考虑资金投入和经济 效益之间的平衡。
2019/9/22
31
信息安全规划
信息安全管理
信息安全保障工作是一项涉及面较广的工 作,同时也是一项持续的、长期的工作。 因此,信息安全保障工作需要有长期、中 期、短期的计划。
2019/9/22
32
信息安全人员和组织
信息安全管理
人员和组织管理是信息安全管理的基本过 程。人员和组织是执行信息安全保障工作 的主体。
2019/9/22
35
环境和设备安全
信息安全管理
也称为物理安全。在这类安全管理过程中, 主要是涉及信息系统和信息工作所在的环 境安全,以及信息设备方面的安全。另外, 文档和介质是存储数据的特殊载体,因此, 也应当对其进行适度的管理。物理安全是 上层安全的基础。
2019/9/22
36
网络和通信安全
信息安全管理
2019/9/22
4
黑客攻击猖獗
信息安全管理
特洛伊木马
黑客攻击 后门、隐蔽通道 计算机病毒
网络
逻辑炸弹
2019/9/22
蠕虫
拒绝服务攻击
内部、外部泄密
5
信息安全管理
安全事件
每年都有上千家政府网站被攻击
安全影响
任何网络都可能遭受入侵
2019/9/22
6
信息安全管理
系统的定义:
2019/9/22
15
规范定级原则
信息安全管理
分级、分类是信息安全保障工作有的放矢 的前提,是界定和保护重点信息系统的依 据,只有通过合理、规范的分级、分类才 能落实重点投资、重点防护。
2019/9/22
16
以人为本原则
信息安全管理
信息安全保障在很大程度上受制于人为的 因素。加强信息安全教育、培训和管理, 强化安全意识和法制观念,提升职业道德, 掌握安全技术,确保措施落实是做好信息 安全管理工作的重要保证。
2019/9/22
34
信息安全管理
基于信息系统各个层次的安全管理
信息系统是有层次的。因此在信息系统的 安全保护中也存在层次的特点,对应各个 层次也有相应的信息安全管理工作。基于 信息系统的各个层次,可相应在如下层次 中开展信息安全管理:
环境和设备安全、网络和通信安全、主机 和系统安全、应用和业务安全、数据安全。
2019/9/22
20
控制社会影响原则
信息安全管理
对安全事件的处理应有授权者适时披露并 发布准确一致的有关信息,避免带来不良 的社会影响。
2019/9/22
21
分权制衡策略
信息安全管理
减少未授权的修改或滥用系统资源的机会, 对特定职能或责任领域的管理能力实施分 离、独立审计,避免操作权力过分集中。
ISO27001非常强调信息安全管理过程中文件化的工
作,ISMS的文件体系应该包括安全策略、适用性声
明(选择和未选择的控制目标和控制措施)、实施
安全控制所需的程序文件、ISMS管理和操作程序,
以及组织围绕ISMS开展的所有活动的证明材料。
2019/9/22
13
信息安全管理
信息安全管理的基本原则
信息安全管理
网络系统和通信系统使得信息系统可以覆 盖各个地理位置和业务场所。网络和通信 安全,特别是全程全网的安全是信息安全 保障工作的关键环节。
2019/9/22
37
主机和系统安全
信息安全管理
主机及主机上的操作系统、数据库管理系 统以及各种支撑系统等,是承载业务系统 的基础平台。主机和系统是信息系统威胁 的主要目标之一。
责任性 确保信息安全责任能够追究到人。
持续改进
通过开展信息安全管理,不断发现问题和解决问题,形成持续改进的信 息安全保障态势。
计划20性19/9/22 信产息生安最全大保效障益工。作能够有计划、分阶段的展开,确保信息安全投资能26够
信息安全管理内容
信息安全管理
合规性
流程规范性 整体协调性
计划性
信息安全 管理内容
系统是由相互作用和相互依赖的若干部分结合成的具特 定功能的整体。系统一般包括下列因素: 1、一种产品或者组件,如计算机、所有的外部设备等; 2、操作系统、通信系统和其他相关的设备、软件,构成 了一个组织的基本结构; 3、多个应用系统或软件(财务、人事、业务等) 4、it部门的员工 5、内部用户和管理层 6、客户和其他外部用户 7、周围环境,包括媒体、竞争者、上层管理机构。
1、同步规划 2、同步建设 3、同步运行
2019/9/22
2019/9/22
22
最小特权策略
信息安全管理
任何实体(如用户、管理员、进程、应用 或系统)仅享有该实体需要完成其任务所 必需的特权,不应享有任何多余的特权。
2019/9/22
23
选用成熟技术策略
信息安全管理
成熟的技术提供了可靠性、稳定性保证, 采用新技术时要重视其成熟的程度。如果 新技术势在必行,应该首先局部试点,然 后逐步推广,减少或避免可能出现的损失。
2019/9/22
8
信息系统安全体系结构
信息安全管理
管理层面
安全管理制度 业务处理流程
应用层面
信
息
安 全
系统层面
体
系
网络层面
物理层面
业务应用系统 数据库应用系统
身份鉴别机制 强制访问控制
防火墙 入侵检测系统
物理设备安全 环境安全
2019/9/22
9
信息安全管理体系定义
信息安全管理
定义:信息安全管理体系(Information Security Management System,ISMS)是组织在整体或特 定范围内建立的信息安全方针和目标,以及完成这 些目标所用的方法和手段所构成的体系;信息安全 管理体系是信息安全管理活动的直接结果,表示为 方针、原则、目标、方法、计划、活动、程序、过 程和资源的集合。
2019/9/22
17
适度安全原则
信息安全管理
安全需求的不断增加和现实资源的局限性 是安全决策处于两难境地,恰当地平衡安 全投入与效果是从全局上处置好安全管理 工作的出发点。
2019/9/22
18
信息安全管理
全面防范、突出重点的原则
全面防范是保障信息系统安全的关键。它 需要从人员、管理和技术等方面,在预警、 保护、检测、反应、恢复和跟踪等多个环 节上采用多种技术实现。同时,又要从组 织和机构的实际情况出发,突出自身的安 全管理重点。
2019/9/22
19
系统、动态原则
信息安全管理
信息安全管理工作的系统特征突出。要按照系 统工程的要求,注意各方面、各层次、各时期 的相互协调、匹配和衔接,以便体现系统集成 效果和前期投入的效益。同时,信息安全又是 一种状态和动态反馈过程,随着安全利益和系 统脆弱性时空分布的变化,威胁程度的提高, 系统环境的变化以及人员对系统安全认识的深 化等,应及时地将现有的安全策略、风险接受 程度和保护措施进行复查、修改、调整以至提 升安全管理等级。
执行落实性
持续改进型
责任性
变更可控性
2019/9/22
27
信息安全管理的基本任务
信息安全管理
1、通过信息安全管理过程完成信息安全管理方面 的要求。
2、通过信息安全管理过程驱动信息安全技术的实 施,达到信息安全在技术方面的要求。
2019/9/22
28
信息安全方针与策略
信息安全管理
信息安全方针和策略主要包括对信息安全 进行总体性指导和规划的管理过程。这些 过程包括:安全方针和策略、资金投入管 理和信息安全规划等。
2019/9/22
33
信息安全管理
在人员和组织管理方面,最基本的管理包括:
1、保障有足够的人力资源从事信息安全 保障工作;
2、确保人员有明确的角色和责任;
3、保证从业人员经过了适当的信息安全 教育和培训,有足够的安全意识。
4、机构中的信息安全相关人员能够在有 效的组织结构下展开工作。
一、总体原则
二、安全策略管理
1、主要领导负责原则 2、规范定级原则 3、以人为本原则 4、适度安全原则 5、全面防范、突出重点原则 6、系统、动态原则 7、控制社会影响原则。
1、分权制衡 2、最小特权 3、选用成熟技术 4、普遍参与。
2019/9/22
14
信息安全管理
主要领导负责原则
信息安全保证工作事关大局,企业、组织各 级领导应该把信息安全列为其最重要的工作 内容之一,并负责成提高、加强内部人员的 安全意识,组织有效的技术和管理队伍,调 动优化配置必要的资源和经费,协调信息安 全管理工作与各部门工作的关系,确保信息 安全保障工作的落实和效果。
2019/9/22
24
普遍参与策略
信息安全管理
不论信息系统的安全等级如何,要求信息 系统所涉及的人员普遍参与并与社会相关 方面协同、协调,共同保障信息系统安全。
2019/9/22
25
信息安全管理的目标如下:
信息安全管理
目标
描述
合规性
管理的合规性,主要是指在有章可循的基础之上,确保信息安全工作符 合国家法律、法规、行业标准,机构内部的方针和规定。
2019/9/22
40
信息安全管理
基于信息系统生命周期的安全管理
信息系统是由生命周期的。信息安全保障 也涉及到信息系统生命周期的各个阶段。
信息系统生命周期可以划分为两个阶段: 1、系统投入前的工程设计和开发阶段; 2、系统的运行和维护阶段。
2019/9/22
41
信息安全管理
信息系统安全和信息系统本身的三同步