信息安全管理00266.pdfVIP

信息安全管理 2011年11月 目录 一、信息安全基本概念 二、信息安全管理体系 三、信息安全等级保护 第一部分 信息安全基本概念 信息安全的基本概念  什么是信息？  信息是一种资产，就象其它重要的业务资产一样，对于组 织的业务是不可或缺的，因此需要妥善保护。  信息可以以多种方式存在，可以打印或书写在纸张上，以 电子文档形式存储，通过邮寄或电子方式传播，以胶片形 式显示或在交谈中表达出来。无论采取何种方式或手段进 行共享或存储，都应加以妥善保护。 信息安全的基本概念  什么是信息安全？  信息安全就是要保护信息免受威胁的影响，从而确保业务 的连续性，缩减业务风险，最大化投资收益并充分把握业 务机会。  通过实施一整套适当的控制措施来实现信息安全。控制措 施包括策略、过程、程序、组织结构和软硬件功能。需建 立、实施、监视、评审，适当时改进这些控制措施，从而 确保实现组织特定的安全和业务目标。这一过程应与组织 的其他业务管理过程共同实施。 信息安全的基本概念  信息安全的基本目标 确保信息在存储、使用、传输过 程中不会给非授权用户或实体。 机密性 Confidentiality 确保信息在存储、使 用、传输过程中不会被 确保授权用户或实体对信 非授权篡改、防止授权 信息安全 息及资源的正常使用不会 用户或实体不恰当地修 被异常拒绝，允许其可靠 改信息、保持信息内部 完整性 可用性 而及时地访问信息及资源 和外部的一致。 Integrity Availability 信息安全的基本概念  信息安全的实质  采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭 受破坏、更改及泄露，保证信息系统能够连续、可靠、正 常地运行，使安全事件对业务造成的影响减到最小，确保 组织业务运行的连续性。 可用性 机密性 信息 完整性 业务连续性 信息安全的基本概念  什么是信息安全管理？  信息安全的成败取决于两个因素：技术和管理。  技术是信息安全的构筑材料，管理是真正的粘合剂和催化 剂。  三分技术，七分管理。  信息安全管理作为组织完整的管理体系中一个重要的环 节，其主要活动包括：识别信息资产及相关风险，采取恰 当的策略和控制措施以消减风险，监督控制措施有效性， 提升人员安全意识等。 信息安全管理工作如何开展  信息安全管理模型 改进 计划 Action Plan 检查 实施 Check Do 信息安全管理工作如何开展  识别风险  制定策略  建立监督检查机制  及旪改进完善 