第一章 信息安全管理概述

为什么需要这门课?
• 信息安全问题主要由哪些方面的原因引起? 计算机安全事件 引起的原因:
黑客攻击（3%）
技术错误（10%）
组织内人员作案（10%） 自然因素（25%）
人为因素（52%）
简单归类:属于管理因素多达70%以上
三分技术，七分管理
引起信息安全问题的主要因素：
一，技术因素，系统本身存在安全脆弱性； 二，管理因素，组织内部没有建立并严格执行相 应的信息安全管理制度。
解决信息安全问题，不仅应从技术上着手， 更应加强信息安全的管理工作。
如何学习这门课?
• 知识体系介绍 • 学习目标
课程内容
• 安全管理基础：概念、ISMS要求、管理措 施概述 • 基本安全管理措施：策略、组织和人员 • 重要安全管理措施：资产管理、物理管理、 运行和操作管理
知识体系
信息安全管理概念
• •
ISO/IEC 17799:2000：保持信息的保密性、完整性、可用性；另外，也 包括其他属性，如：真实性、可核查性、抗抵赖性和可靠性 。
FISMA:2002：保护信息与信息系统，防止未授权的访问、使用、泄露、 中断、修改或破坏，以保护信息资产的A）完整性，即防止对信息 的不当修改或破坏，包括确保信息的不可否认性和真实性；（B）保 密性，即对信息的访问和泄露施加授权的约束，包括保护个人隐私和 专属信息的手段； （C）可用性，即确保能及时、可靠地访问并使 用信息。
信息安全管理基础
信息安全管理体系要求 信息安全管理措施 安全策略
安全管 理体系
基本安全管理措施
安全组织体系
人员安全
资产管理
重要安全管理措施
运行和操作管理 物理管理
知识体
知识域
符合性(法律与法规)
知识子域
课程目标
• 掌握信息安全管理的基本概念 • 认识和了解ISO27001和ISO27002标准 • 初步掌握建立信息安全管理体系的基本要 求 • 较深入的了解策略、组织和人员等基本安 全管理措施的概念和实施方法 • 较深入的了解资产管理、 物理管理、运行 和操作管பைடு நூலகம்、符合性等重要安全管理措施 的概念和实施方法 • 了解信息安全的法律法规
也有认为”保密性,完整性,可用性,可认证性,抗抵赖性”(五种属性)
信息安全属性也是安全应该达到的目标 •信息安全：信息资产的保密性、完整性和可用性不受损害的能 力，是通过信息安全保障措施实现的. •权威机构的定义：ISO/IEC17799：2000 与 《美国联邦信息安全管理法案》
（FISMA）：2002对信息安全的定义
领导：对组织成员施加影响，以推动其实现组织目标的过 程。
控制：监视计划进度,衡量和纠正下属活动，以保证
事态发展符合计划要求的过程。
4种控制工具(见P6)
信息安全管理概念（4）
什么是“信息安全管理”？
组织中为了完成信息安全目标，针对信息系统，遵循
安全策略，按照规定的程序，运用恰当的方法，而进行 的规划、组织、指导、协调和控制等活动
管理的职能
计划：为实现目标而开发,制定和实施战略的过程称为
计划.即:为组织确定任务、宗旨、目标；实现目标的战 略、措施、程序；以及实现目标的时间表和预算 。 计划分为三个等级: 战略计划,战术计划和操作计划 (见P5 )
组织：根据组织的目标、战略和内外环境设计组织结
构，并为不同岗位配置人力资源的过程。
——
信息安全管理概念（3）
• 什么是管理？(人治与法治)
“管”
中国古代
“理”
康熙19年 （1680）
管理
administer administration administrator
manage management manager
18世纪 工业革命 （1700'S）
管理的定义
ISO9000:2000 质量管理体系 基础和术语
管理management：指挥和控制组织的协调的活动 管理学 管理是指通过计划、组织、领导、控制等环节来 协调人力、物力、财力等资源，以期有效达成组织目标 的过程。 •管理是利用现有的整套资源达到目标的一个过程.而管 理者就是“与其他人共事并协调他人工作以实现机构目 标的人”.其作用是配置,管理资源以及协调任务的完成, 并处理那些为了完成预定目标而必不可少的事务.管理 者的角色有信息处置,关系协调和决策.见P5
• 强调信息：
是一种资产 同其它重要的商业资产一样 对组织具有价值 需要适当的保护 以各种形式存在：纸、电子、影片、交谈等
信息安全管理概念（2）
• 什么是信息安全？
•安全 Security：事物保持不受损害的能力;(安全是一种能力) •信息安全属性: 通常指”保密性,完整性,可用性”(三种属性)
“Information can exist in many forms. It can be printed or written on paper, stored electronically, transmitted by post or using electronic means, shown on films, or spoken in conversation.
信息安全管理概念（4）
什么是“信息安全管理”？---另一种定义
信息安全管理是这样一个过程：能够 （1）准确地识别机构的计算环境、定义它的关键程度并且区分对机构商业价 值形成的能力的大小； （2）准确识别并且评估所有安全风险，设计一个综合的风险驱动的安全程序 来降低风险； （3）随着安全需求随着计算环境的改变而改变时，自动修改风险驱动的安全 程序，以此提供对组织风险状况的持续改进。
• 教材: 信息安全管理 王春东 武汉大学出版社 参考: 1.信息安全工程与管理 中国信息安全产品测评中心 人民邮 电 2.信息安全测评与风险评估 向宏等著电子工业出版社 3.Information security management concepts and practice
信息安全管理
电子讲义为准 • 考评: 平时(考勤和平时作业)30%,期末考试70%
信息安全管理基础
• 信息安全管理概念 • 信息安全管理体系要求 • 信息安全管理措施
信息安全管理概念（1）
• 什么是信息？
• ISO17799中的描述
“Information is an asset which, like other important business assets, has value to an organization and consequently needs to be suitably protected. ”