新信息安全概论 教学课件 李剑 张然 第16章 信息安全管理与法律法规.pptVIP

版权所有，盗版必纠 第16章 信息安全管理与法律法规 李 剑 北京邮电大学信息安全中心 E-mail: lijian@ 电话：130概论 保障信息安全有三个支柱，一个是技术、一个是管理、一个是法律法规。而日常提及信息安全时，多是在技术相关的领域，例如入侵检测技术、防火墙技术、反病毒技术、加密技术、VPN技术等等。这是因为信息安全技术和产品的采纳，能够快速见到直接效益，同时，技术和产品的发展水平也相对较高，此外，技术厂商对市场的培育，不断提升着人们对信息安全技术和产品的认知度。虽然在面对信息安全事件时总是在叹息：“道高一尺、魔高一丈”，在反思自身技术的不足，实质上人们此时忽视的是另外两个层面的保障。本章来讲述信息安全管理与法律法规的相关知识。 目录 第16章 信息安全管理与法律法规 16.1 信息系统安全管理 16.1.1 信息安全管理概述 16.1.2 信息安全管理模式 16.1.3 信息安全管理体系的作用 16.1.4 构建信息安全管理体系步骤 16.1.5 BS 7799、ISO/IEC 17799和ISO 27001 16.1.6 信息安全产品测评认证 16.2 信息安全相关法律法规 16.2.1 国内信息安全相关法律法规 16.2.2 国外信息安全相关法律法规 思考题 16.1 信息系统安全管理 俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度，相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。 16.1.1 信息安全管理概述 信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的安全性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。然而，越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁，诸如计算机病毒、计算机入侵、 Dos攻击、黑客等手段造成的信息灾难已变得更加普遍，有计划而不易被察觉。组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏，公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。许多信息系统本身就不是按照安全系统的要求来设计的，仅依靠技术手段来实现信息安全有其局限性，所以信息安全的实现必须得到信息安全管理的支持。确定应采取哪些控制方式则需要周密计划，并注意细节。信息安全管理至少需要组织中的所有雇员的参与，此外还需要供应商、顾客或股东的参与和信息安全的专家建议。在信息系统设计阶段就将安全要求和控制一体化考虑，则成本会更低、效率会更高。 16.1.2 信息安全管理模式 在信息安全管理方面，BS 7799 标准提供了指导性建议，即基于PDCA（Plan、Do、Check 和Act，即戴明环）的持续改进的管理模式，如图16.1 所示。 16.1.2 信息安全管理模式 16.1.2 信息安全管理模式 PDCA（Plan、Do、Check 和Act）是管理学惯用的一个过程模型，最早是由休哈特（Walter Shewhart）于19 世纪30 年代构想的，后来被戴明（Edwards Deming）采纳、宣传并运用于持续改善产品质量的过程当中。随着全面质量管理理念的深入发展，PDCA 最终得以普及。 作为一种抽象模型，PDCA 把相关的资源和活动抽象为过程进行管理，而不是针对单独的管理要素开发单独的管理模式，这样的循环具有广泛的通用性，因而很快从质量管理体系（QMS）延伸到其他各个管理领域，包括环境管理体系（EMS）、职业健康安全管理体系（OHSMS）和信息安全管理体系（ISMS）。 16.1.2 信息安全管理模式 为了实现ISMS，组织应该在计划（Plan）阶段通过风险评估来了解安全需求，然后根据需求设计解决方案；在实施（Do）阶段将解决方案付诸实现；解决方案是否有效？是否有新的变化？应该在检查（Check）阶段予以监视和审查；一旦发现问题，需要在措施（Act）阶段予以解决，以便改进ISMS。通过这样的过程周期，组织就能将确切的信息安全需求和期望转化为可管理的信息安全体系。 16.1.2 信息安全管理模式 概括起来，PDCA 模型具有以下特点，同时也是信息安全管理工作的特点： PDCA 顺序进行，依靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环，持续改进； 组织中的每个部门，