构建信息安全保障体系——使命原则框架执行和实践精要.ppt

构建信息安全保障体系——使命、原则、框架、执行和实践 2006年11月 三观论 摘要 使命——27号文 原则——风险管理 框架——信息安全保障框架 执行 IT风险管理的业务化 从风险管理到合规性管理 实践 安全域 安全管理平台 使命 问题 什么是信息安全？ 到底要解决那些问题？ 怎么实施信息安全建设？ 问题 什么是信息安全？ 通过回答最根本的问题，帮助我们探究事物的本原。 到底要解决那些问题？ 明确工作的目标和要求，从一个大的广泛的概念中寻找自身的定位。 怎么实施信息安全建设？ 通过回答最实际的问题，帮助我们获得需要的实效。 三法则 Q3-WWH 三问题：什么/为什么/怎么 中办发[2003]27号 国家信息化领导小组关于 加强信息安全保障工作的意见 （2003年8月26日） 加强信息安全保障工作-总体要求 总体要求： 坚持积极防御、综合防范的方针， 全面提高信息安全防护能力， 重点保障基础信息网络和重要信息系统安全， 创建安全健康的网络环境， 保障和促进信息化发展， 保护公众利益，维护国家安全。 加强信息安全保障工作-主要原则 主要原则： 立足国情，以我为主， 坚持管理与技术并重； 正确处理安全与发展的关系，以安全保发展，在发展中求安全； 统筹规划，突出重点，强化基础性工作； 明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。