信息安全体系整理详解.doc

一、总论1.什么是信息安全管理，为什么需要信息安全管理？ 信息安全管理是组织为实现信息安全目标而进行的管理活动，是组织完整的管理体系中的一个重要组成部分，是为保护信息资产安全，指导和控制组织的关于信息安全风险的相互协调的活动。信息安全管理是通过维护信息的机密性、完整性和可用性等，来管理和保护组织所有信息资产的一系列活动。 信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性 和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。 由于信息具有易传输、易扩散、易破损的特点，信息资产比传统资产更加脆弱，更易受到损害，信息及信息系统需要严格管理和妥善保护。 2.系统列举常用的信息安全技术？ 密码技术、访问控制和鉴权；物理安全技术：环境安全、设备安全、人员安全；网络安全技术：防火墙、VPN、入侵检测/入侵防御、安全网关；容灾与数据备份 3.信息安全管理的主要内容有哪些？ 信息安全需求是信息安全的出发点，它包括机密性需求、完整性需求、可用性需求、抗抵赖性、真实性需求、可控性需求和可靠性需求等。信息安全管理范围是由信息系统安全需求决定的具体信息安全控制点，对这些实施适当的控制措施可确保组织相应环节的信息安全，从而确保组织整体的信息安全水平。信息安全控制措施是指为改善具体信息安全问题而设置技术或管理手段，信息安全控制措施是信息