风险管理-信息安全与风险管理105页 精品
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
自顶向下的方法: 这个过程坚实系统性的, 需要较少的时间、金钱和 资源,而且能够在功能和 安全保护之间达到合理的 平和。
安全管理和支持控制
管理的、技术的和物理的控制相互协作
物理控制:设施保护、安全防护、锁定、监控、环境控制、入侵检测 技术控制:逻辑访问控制、加密、安全设备、鉴别和认证 管理控制:策略、标准、规程、方针、屏蔽人员、安全 意识培训
安全管理和支持控制
应用概念的顺序
安全框架
业务对象
完整性 完整性
定量和 定性风 险评估
保护
需求
风险 分析 数据 分级
定义风 险和威
胁
功能性 评价
法律 安全 系统可 策略和
责任 意识 靠性
规程
代价合理的 解决方案
安全措 施
对策
机密性
完整性
可用性
总体安全
机构安全模型包括许多 实体、保护机制、逻辑 和物理组件、规程和配 置组成这些因素在一起 相互协作,能够为系统 提供一定的安全级别。
• IT治理学院在《董事会参考之IT治理简介》第二版中对安全治理的定义。 “治理是董事会和执行管理层履行的一组责任和实践,其目标在于提供 策略指导,确保目标得以实现,封信啊得到适当管理,并证明切叶的资 源得到合理的利用。”
• 这个定义完全正确,但它仍然非常抽象,这更像一个策略性政策声明, 然而真正的技巧是正确解释并将他转化成有意义的战术、运作职能和实 践。
公司数据和财产
安全指标
安全管理和支持控制
管理控制:包括开发和 发布策略、标准、规程 以及准则、风险管理, 此外还有赛选人员、安 全意识培训和变更控制
过程。
技术控制:包括访问控 制机制、密码和资源管 理、鉴别和认证方法、 按去哪设别以及配置基
础架构
物理控制:包括控制个 人访问设施和各部门, 锁定系统,取出不必需 要的软驱和CD-ROM驱 动器、保护设施、检测 润亲以及环境控制。
法律遵从:通过技术控制、系统审计和法律意识来遵守法规、合同和法令要求。
安全管理和支持控制
安全框架——ITIL
报告
改进
事件(Event) 事故(Incident) 问题 技术 访问
服务设计 产生
度量
服务目录 服务级别
可用性 连续性 供应商
服务运营
财务 服务战略 投资组合 需求 服务转换
信息技术基础架构库(ITIL) 是IT服务管理最佳实践的事 实标准。
权威和责任
▪ 是其他内部控制组成部分的基础
▪ 控制活动 ▪ 确保管理活动付诸实施的政
策/流程。
▪ 措施包括审批、授权、确认、
建议、业绩考核、资产安全 和职责分离。
▪ 风险评估 ▪ 风险评估是为了达到企
业目标而确认和分析相 关的风险-形成内部控制 活动的基础
coso是一个企业治理模型,而Cobit是一个IT治理模型。coso更多面向策略层面,而Cobit则 更关注运营层面。Cobit可以看作是满足许多coso目标的一种方法,但只能从it角度来看,因 为coso还处理非IT项目,如公司文化、财务会计原则、董事会责任和内部通信结构。
• 对于安全治理而言,必须有什么东西的到治理。一个组织必须执行的所 有控制共同成为安全计划
制定安全计划
安全管理
优点:
监控和 计划与 评估 组织
运作和 维护
实施
安全计划是一个永不终止的生命周期;
• 书面策略和规程无法和安全活动相对应,获得不到 安全活动的支持。
• 组织内努力保护公司财产的不同个人之间出现眼中 分离和混乱
安全框架——小结
Cobit和COSO提供“要实现什么”,而不是“如何实现它”,这就是ITIL和 ISO17799存在的原因。
要
Cobit
实
现
什
COSO
么
ISO17799
如
何
实
ITIL
现
它
安全治理
安全管理
• 安全治理(Security Governance)在本质上非常类似于企业的IT治理,因 为这三者在功能和目标上有重叠的地方。所有这三种治理都在公司的组 织结构内进行,而且都以辅助确保公司的生存和发展为目标——只是侧 重点不同。
确表述。 • 依赖于对公司信息资产的正确识别、指定安全策略、过程、标准和准则,他们为资产提供了完整性、
机密性和可用性。 • 使用一定的手段对安全风险进行评估和分析。 • 必要的资源、资金和战略代表需要参与到安全计划中来
自顶向下的方法
盖房子
• 确定蓝图 • 构建房基 • 构建框架 • 装修,详细的房
ITIL是一个可定制的框架, 他通过一套书籍或以在线个 事提供目标、实现这些目标 所需的日常活动,以及满足 这些既定目标所需的每个流
趋势 程的输入和输出值。
变更 资产&配置 发布和部署
有效性
分析
Cobit定义IT目标,而ITIL则 在流程曾面上就如何实现这 些目标提供所需采取的步骤。
安全管理和支持控制
接下来是 最后一
加强意识,步是实
这包括让 施解决
企业中的 所有相关
前面定
人员了解 义的风
需要处理 险和需
的问题。 求的策
略和控
制。
然后这 个循环 再次从 头开始。
安全管理
安全管理职责
安全计划 ➢ 安全计划须包括目标、范围、方针、优先级、标准和策略。 ➢ 资源有人力资源、资本、硬件以及信息等多种形式。
管理职责
• 管理者必须分配职责和任务,从而让安全计划启动并在环境改变的情况下任然能够运行下去。 • 管理者也必须将安全计划整合到目前的山野环境中,并监控他的完成情况。
影响安全计划的因素
• 管理上的支持是安全计划最重要的因素之一。 • 从商业目标、安全风险、用户能力以及功能需求和目标,并制定计划,以保证问题都解释清楚而且正
信息安全与风险管理
安全管理
安全管理主要内容及概述
安全教 育
风险管 理
信息安 全策略
安全组 织
信息分 级
安全管 理
基线
方针
规程 标准
安全计划是公Baidu Nhomakorabea的安全管理的核心 组成部分,目的是保护公司财产。
风险分析是确定公司财产,发现构 成威胁的风险并评估这些危险变成 现实的时可能承受的危害和损失, 风险分析的结果帮助管理者采取可 行的安全策略,为在公司中发生的 活动提供安全方面的指导,说明安 全管理在公司安全计划中的价值。
通信和运作管理:通过运作规程、正确的变更控制、事故处理、职责分割、产能规划、网络管理和媒介处理执行运作安全。
访问控制:根据商业需求、用户管理、认证方法和监控来控制资产访问
系统开发和维护:通过制定安全需求、加密、完整性和软件开发规程,在系统生命周期的所有阶段实现安全
业务连贯性管理:通过使用联关系规划和测试避免对正常运作的破坏
组织信息安全策略:详细说明公司安全目标、管理层的支持、安全目标和责任 信息安全结构体系的建立:使用安全论坛、安全官员及通过定义安全责任、授权、过程、外包和独立检查,建立和维持一个 组织化的安全结构 资产分类与控制:通过审计和清单、分类及处理规程建立一个安全结构体系,保护组织资产 人员安全:通过筛选员工、定义角色和责任、适当培训员工及记录未达到的预期的目标来降低人员交互的内在风险 物理和环境安全:通过正确选择建筑设施位置、建立和维护一个安全周界、实施访问控制及保护设备来保护组织资产
安全管理和支持控制
安全框架——ISO17799
ISO17799时最常用的标准,它由正式标准——英国标准7799(BS7799)发展而来。这个 是一个世界公认的信息安全管理标准,他为企业安全提供高级概念化建议。它由两部分构成; 第一部分是一个执行指导,由如何建立一个综合性的信息安全结构体系的指导方针组成;第 二部分是一个审计指导,说明一个遵守ISO17799的组织必须满足的要求。
• 没有办法评估进展和开支与资源分配的投资回报 • 没有办法完全了解安全计划的缺陷,也不能用一种
算机或某个网络,并在这个系统中 对资源进行未经授权的访问。
威 胁
威胁(Threat)是威胁因素利用错 若星所造成的损失的潜能或是可能 性。
暴 暴露(Exposure)是因威胁因素而 露 遭受损失的一个案例。
对 对策(countermeasure)或者安全 策 措施,可以减轻潜在的风险。
安全措施
不能够被预防,通过
间的布置
制定安全计划
• 根据上级的主导 思想和条款制定 “蓝图”
• 开发和执行支持 这个安全策略的 规程、标准和方 针
• 确定安全组件、 构建安全过程
• 详细的配置设置 和系统参数
安全管理
自底向上的方法: 在没有足够的管理层支持 和知道的时候,IT部门荣 祥指定安全计划,就可以 使用自底向上的方法; 自底向上的方法通产不会 很有效,不占主流,而且 往往会失败。
可用性(Availability):确保授权用户或实 体对信息及资源的正常使用不会被异常拒 绝,允许其可靠而及时地访问信息及资源。
安全管理和支持控制
安全定义
引起
威胁因素
直
威胁
接
作
用
到
利用
脆弱性
导致
风险
可以破坏
资产
暴露
并且引起一个
脆弱性(Vulnerability)是一种软 脆 件、硬件或是过程缺陷,这种缺陷 弱 也许会给攻击者提供正在寻找的方 性 便之门,这样他就能够进入某台计
▪ 信息和沟通 ▪ 及时地获取,确定并交流相关的
信息
▪ 从内部和外部获取信息 ▪ 使得形成从职责方面的指示到管
理层有关管理行动的发现总结等 各方面各类内部控制成功的措施 的信息流
监控 信息和沟通 控制活动
风险评估
控制环境
控制环境
▪ 营造单位气氛-让公司员工建立
内部控制
▪ 因素包括正直,道德价值,能力,
Cobit通过这些领域提供控制目标、 控制实施、目标指示、性能指示、 成功因素和成熟模型。他列出了一 个完整的路线图,公司可以遵照路 标完成这个模型中的所有34个控制 目标。
安全框架——COSO
安全管理和支持控制
所有的五个部分必须同时作用才能使 内部控制得以产生影响
监督
▪ 不断评估内部控制系统的表现。 ▪ 整合实时和独立的评估。 ▪ 管理层和监督活动。 ▪ 内部审计工作。
安全框架-Cobit
安全管理和支持控制
信息及相关技术控制目标(Cobit) 是信息系统审计和控制协会(ISACA) 与信息技术治理学院(ITGI)共同开 发的一个框架。它定义用于正确管 理IT并确保IT满足商业需求的控制目 标。
Cobit分为四个领域:计划和组织、 获取和实施、交付和支持、监控和 评估。每个类别又细分为两个子类。
• 运作规划主要处理非常特殊的计划、他们的最终期限和目标。这包括完成计划目标的准 确日期和时间表,以及如果完成这些目标的特别指导。
日常目标或操作目标都集中在工作效率和面向任务的活动和说那个,这样才 能保证公司的功能能够以一种平顺而且可以预见的方式实现。中期目标或战 术目标,可能是将所有的工作站和资源都整合到一个地方,这样就可以实现 集中控制。长期目标,或战略目标,可能会涉及到如下活动;将所有部门从 专用通信线路转移到帧中继方式,为所有的远程用户转杯IPsec虚拟专用网; (VPN)以代替拨号方式,向系统中整个带有必要安全措施是的无线技术。
安全管理和支持控制
机构安全框架
在网络中评估这些概念的正确顺序为:威胁、暴露、 脆弱性、对策,最后为风险。这是因为:如果具有某 种威胁(新的SQL攻击),但是除非你所在公司存在对 应的脆弱性(采用必要配置的SQL服务器),否则公司 不会暴露在威胁之中,这也不会形成脆弱性。如果环 境中确实存在脆弱性,就应该采取对应策略,以降低 风险。
每个模型都是不相同的, 但是所有的模型都分层; 每层都为其上层提供支 持并未下层提供保护。
安全管理和支持控制
安全规划
安全规划可以分为三个不同的领域:战略、战术、运作规划。
• 战略规划指与商业和信息技术目标相一致的计划。战略规划的目标的视野更加长远,更 加广阔,其期限可能长达五年。
• 战术规划指必须实施以达到战略规划所提出的更广泛的目标的活动和支持。一般来说与 战略计划相比,战略规划的时间更短,或者其远景时间更短。
安全教育将上面的信息灌输给公司 中的每个员工,这样,每一个人都 受到教育,从而能够更容易的朝着 同一个安全目标前进。
安全管理过程
实施策略和 控制
加强意识
安全管理
评定风险和 确定需求
监控和评估
安全管理过程是一个不断循环的过程;
首先从 评估风 险和确 定需求 开始;
然后监 控和评 估相关 系统和 事件;
安全指标
安全的基本原则
可用性
完整性
安全原 则
安全管理和支持控制
机密性
保密性(Confidentiality):确保信息在存 储、使用、传输过程中不会泄露给非授权 用户或实体。
完整性(Integrity):确保信息在存储、使 用、传输过程中不会被非授权篡改,防止 授权用户或实体不恰当的修改信息,保持 信息内部和外部的一致性。
安全管理和支持控制
管理的、技术的和物理的控制相互协作
物理控制:设施保护、安全防护、锁定、监控、环境控制、入侵检测 技术控制:逻辑访问控制、加密、安全设备、鉴别和认证 管理控制:策略、标准、规程、方针、屏蔽人员、安全 意识培训
安全管理和支持控制
应用概念的顺序
安全框架
业务对象
完整性 完整性
定量和 定性风 险评估
保护
需求
风险 分析 数据 分级
定义风 险和威
胁
功能性 评价
法律 安全 系统可 策略和
责任 意识 靠性
规程
代价合理的 解决方案
安全措 施
对策
机密性
完整性
可用性
总体安全
机构安全模型包括许多 实体、保护机制、逻辑 和物理组件、规程和配 置组成这些因素在一起 相互协作,能够为系统 提供一定的安全级别。
• IT治理学院在《董事会参考之IT治理简介》第二版中对安全治理的定义。 “治理是董事会和执行管理层履行的一组责任和实践,其目标在于提供 策略指导,确保目标得以实现,封信啊得到适当管理,并证明切叶的资 源得到合理的利用。”
• 这个定义完全正确,但它仍然非常抽象,这更像一个策略性政策声明, 然而真正的技巧是正确解释并将他转化成有意义的战术、运作职能和实 践。
公司数据和财产
安全指标
安全管理和支持控制
管理控制:包括开发和 发布策略、标准、规程 以及准则、风险管理, 此外还有赛选人员、安 全意识培训和变更控制
过程。
技术控制:包括访问控 制机制、密码和资源管 理、鉴别和认证方法、 按去哪设别以及配置基
础架构
物理控制:包括控制个 人访问设施和各部门, 锁定系统,取出不必需 要的软驱和CD-ROM驱 动器、保护设施、检测 润亲以及环境控制。
法律遵从:通过技术控制、系统审计和法律意识来遵守法规、合同和法令要求。
安全管理和支持控制
安全框架——ITIL
报告
改进
事件(Event) 事故(Incident) 问题 技术 访问
服务设计 产生
度量
服务目录 服务级别
可用性 连续性 供应商
服务运营
财务 服务战略 投资组合 需求 服务转换
信息技术基础架构库(ITIL) 是IT服务管理最佳实践的事 实标准。
权威和责任
▪ 是其他内部控制组成部分的基础
▪ 控制活动 ▪ 确保管理活动付诸实施的政
策/流程。
▪ 措施包括审批、授权、确认、
建议、业绩考核、资产安全 和职责分离。
▪ 风险评估 ▪ 风险评估是为了达到企
业目标而确认和分析相 关的风险-形成内部控制 活动的基础
coso是一个企业治理模型,而Cobit是一个IT治理模型。coso更多面向策略层面,而Cobit则 更关注运营层面。Cobit可以看作是满足许多coso目标的一种方法,但只能从it角度来看,因 为coso还处理非IT项目,如公司文化、财务会计原则、董事会责任和内部通信结构。
• 对于安全治理而言,必须有什么东西的到治理。一个组织必须执行的所 有控制共同成为安全计划
制定安全计划
安全管理
优点:
监控和 计划与 评估 组织
运作和 维护
实施
安全计划是一个永不终止的生命周期;
• 书面策略和规程无法和安全活动相对应,获得不到 安全活动的支持。
• 组织内努力保护公司财产的不同个人之间出现眼中 分离和混乱
安全框架——小结
Cobit和COSO提供“要实现什么”,而不是“如何实现它”,这就是ITIL和 ISO17799存在的原因。
要
Cobit
实
现
什
COSO
么
ISO17799
如
何
实
ITIL
现
它
安全治理
安全管理
• 安全治理(Security Governance)在本质上非常类似于企业的IT治理,因 为这三者在功能和目标上有重叠的地方。所有这三种治理都在公司的组 织结构内进行,而且都以辅助确保公司的生存和发展为目标——只是侧 重点不同。
确表述。 • 依赖于对公司信息资产的正确识别、指定安全策略、过程、标准和准则,他们为资产提供了完整性、
机密性和可用性。 • 使用一定的手段对安全风险进行评估和分析。 • 必要的资源、资金和战略代表需要参与到安全计划中来
自顶向下的方法
盖房子
• 确定蓝图 • 构建房基 • 构建框架 • 装修,详细的房
ITIL是一个可定制的框架, 他通过一套书籍或以在线个 事提供目标、实现这些目标 所需的日常活动,以及满足 这些既定目标所需的每个流
趋势 程的输入和输出值。
变更 资产&配置 发布和部署
有效性
分析
Cobit定义IT目标,而ITIL则 在流程曾面上就如何实现这 些目标提供所需采取的步骤。
安全管理和支持控制
接下来是 最后一
加强意识,步是实
这包括让 施解决
企业中的 所有相关
前面定
人员了解 义的风
需要处理 险和需
的问题。 求的策
略和控
制。
然后这 个循环 再次从 头开始。
安全管理
安全管理职责
安全计划 ➢ 安全计划须包括目标、范围、方针、优先级、标准和策略。 ➢ 资源有人力资源、资本、硬件以及信息等多种形式。
管理职责
• 管理者必须分配职责和任务,从而让安全计划启动并在环境改变的情况下任然能够运行下去。 • 管理者也必须将安全计划整合到目前的山野环境中,并监控他的完成情况。
影响安全计划的因素
• 管理上的支持是安全计划最重要的因素之一。 • 从商业目标、安全风险、用户能力以及功能需求和目标,并制定计划,以保证问题都解释清楚而且正
信息安全与风险管理
安全管理
安全管理主要内容及概述
安全教 育
风险管 理
信息安 全策略
安全组 织
信息分 级
安全管 理
基线
方针
规程 标准
安全计划是公Baidu Nhomakorabea的安全管理的核心 组成部分,目的是保护公司财产。
风险分析是确定公司财产,发现构 成威胁的风险并评估这些危险变成 现实的时可能承受的危害和损失, 风险分析的结果帮助管理者采取可 行的安全策略,为在公司中发生的 活动提供安全方面的指导,说明安 全管理在公司安全计划中的价值。
通信和运作管理:通过运作规程、正确的变更控制、事故处理、职责分割、产能规划、网络管理和媒介处理执行运作安全。
访问控制:根据商业需求、用户管理、认证方法和监控来控制资产访问
系统开发和维护:通过制定安全需求、加密、完整性和软件开发规程,在系统生命周期的所有阶段实现安全
业务连贯性管理:通过使用联关系规划和测试避免对正常运作的破坏
组织信息安全策略:详细说明公司安全目标、管理层的支持、安全目标和责任 信息安全结构体系的建立:使用安全论坛、安全官员及通过定义安全责任、授权、过程、外包和独立检查,建立和维持一个 组织化的安全结构 资产分类与控制:通过审计和清单、分类及处理规程建立一个安全结构体系,保护组织资产 人员安全:通过筛选员工、定义角色和责任、适当培训员工及记录未达到的预期的目标来降低人员交互的内在风险 物理和环境安全:通过正确选择建筑设施位置、建立和维护一个安全周界、实施访问控制及保护设备来保护组织资产
安全管理和支持控制
安全框架——ISO17799
ISO17799时最常用的标准,它由正式标准——英国标准7799(BS7799)发展而来。这个 是一个世界公认的信息安全管理标准,他为企业安全提供高级概念化建议。它由两部分构成; 第一部分是一个执行指导,由如何建立一个综合性的信息安全结构体系的指导方针组成;第 二部分是一个审计指导,说明一个遵守ISO17799的组织必须满足的要求。
• 没有办法评估进展和开支与资源分配的投资回报 • 没有办法完全了解安全计划的缺陷,也不能用一种
算机或某个网络,并在这个系统中 对资源进行未经授权的访问。
威 胁
威胁(Threat)是威胁因素利用错 若星所造成的损失的潜能或是可能 性。
暴 暴露(Exposure)是因威胁因素而 露 遭受损失的一个案例。
对 对策(countermeasure)或者安全 策 措施,可以减轻潜在的风险。
安全措施
不能够被预防,通过
间的布置
制定安全计划
• 根据上级的主导 思想和条款制定 “蓝图”
• 开发和执行支持 这个安全策略的 规程、标准和方 针
• 确定安全组件、 构建安全过程
• 详细的配置设置 和系统参数
安全管理
自底向上的方法: 在没有足够的管理层支持 和知道的时候,IT部门荣 祥指定安全计划,就可以 使用自底向上的方法; 自底向上的方法通产不会 很有效,不占主流,而且 往往会失败。
可用性(Availability):确保授权用户或实 体对信息及资源的正常使用不会被异常拒 绝,允许其可靠而及时地访问信息及资源。
安全管理和支持控制
安全定义
引起
威胁因素
直
威胁
接
作
用
到
利用
脆弱性
导致
风险
可以破坏
资产
暴露
并且引起一个
脆弱性(Vulnerability)是一种软 脆 件、硬件或是过程缺陷,这种缺陷 弱 也许会给攻击者提供正在寻找的方 性 便之门,这样他就能够进入某台计
▪ 信息和沟通 ▪ 及时地获取,确定并交流相关的
信息
▪ 从内部和外部获取信息 ▪ 使得形成从职责方面的指示到管
理层有关管理行动的发现总结等 各方面各类内部控制成功的措施 的信息流
监控 信息和沟通 控制活动
风险评估
控制环境
控制环境
▪ 营造单位气氛-让公司员工建立
内部控制
▪ 因素包括正直,道德价值,能力,
Cobit通过这些领域提供控制目标、 控制实施、目标指示、性能指示、 成功因素和成熟模型。他列出了一 个完整的路线图,公司可以遵照路 标完成这个模型中的所有34个控制 目标。
安全框架——COSO
安全管理和支持控制
所有的五个部分必须同时作用才能使 内部控制得以产生影响
监督
▪ 不断评估内部控制系统的表现。 ▪ 整合实时和独立的评估。 ▪ 管理层和监督活动。 ▪ 内部审计工作。
安全框架-Cobit
安全管理和支持控制
信息及相关技术控制目标(Cobit) 是信息系统审计和控制协会(ISACA) 与信息技术治理学院(ITGI)共同开 发的一个框架。它定义用于正确管 理IT并确保IT满足商业需求的控制目 标。
Cobit分为四个领域:计划和组织、 获取和实施、交付和支持、监控和 评估。每个类别又细分为两个子类。
• 运作规划主要处理非常特殊的计划、他们的最终期限和目标。这包括完成计划目标的准 确日期和时间表,以及如果完成这些目标的特别指导。
日常目标或操作目标都集中在工作效率和面向任务的活动和说那个,这样才 能保证公司的功能能够以一种平顺而且可以预见的方式实现。中期目标或战 术目标,可能是将所有的工作站和资源都整合到一个地方,这样就可以实现 集中控制。长期目标,或战略目标,可能会涉及到如下活动;将所有部门从 专用通信线路转移到帧中继方式,为所有的远程用户转杯IPsec虚拟专用网; (VPN)以代替拨号方式,向系统中整个带有必要安全措施是的无线技术。
安全管理和支持控制
机构安全框架
在网络中评估这些概念的正确顺序为:威胁、暴露、 脆弱性、对策,最后为风险。这是因为:如果具有某 种威胁(新的SQL攻击),但是除非你所在公司存在对 应的脆弱性(采用必要配置的SQL服务器),否则公司 不会暴露在威胁之中,这也不会形成脆弱性。如果环 境中确实存在脆弱性,就应该采取对应策略,以降低 风险。
每个模型都是不相同的, 但是所有的模型都分层; 每层都为其上层提供支 持并未下层提供保护。
安全管理和支持控制
安全规划
安全规划可以分为三个不同的领域:战略、战术、运作规划。
• 战略规划指与商业和信息技术目标相一致的计划。战略规划的目标的视野更加长远,更 加广阔,其期限可能长达五年。
• 战术规划指必须实施以达到战略规划所提出的更广泛的目标的活动和支持。一般来说与 战略计划相比,战略规划的时间更短,或者其远景时间更短。
安全教育将上面的信息灌输给公司 中的每个员工,这样,每一个人都 受到教育,从而能够更容易的朝着 同一个安全目标前进。
安全管理过程
实施策略和 控制
加强意识
安全管理
评定风险和 确定需求
监控和评估
安全管理过程是一个不断循环的过程;
首先从 评估风 险和确 定需求 开始;
然后监 控和评 估相关 系统和 事件;
安全指标
安全的基本原则
可用性
完整性
安全原 则
安全管理和支持控制
机密性
保密性(Confidentiality):确保信息在存 储、使用、传输过程中不会泄露给非授权 用户或实体。
完整性(Integrity):确保信息在存储、使 用、传输过程中不会被非授权篡改,防止 授权用户或实体不恰当的修改信息,保持 信息内部和外部的一致性。