2015信息安全工程方案.docVIP

信息安全工程方案 课程名称 小组名称 学生姓名 学生学号 所 在 系 所学专业 年　　月　　日 信息安全管理与风险评估课程总结 第1章 信息安全管理概述 对信息安全与管理的基本概念予以阐述，让我们知道信息安全管理的目的以及要在实施时所遵循的规范与原则。 第2章 信息安全管理标准BS7799（BS7799-1，BS7799-2）、ISO/IEC13335（5部分构成，即ISO/IEC13335-1～5。主要安全管理过程包括；风险管理、风险评估、安全意识、监控与一致性检验等。独特的安全要素模型ISO/IEC27001:2005（以对业务的风险评估的方法、建立、实施、运行、监视、评审、保持、和改进其ｉｓｍｓ，确保信息资产的保密性、可用性和完整性。），CC准则我国的信息安全管理标准GB/T19715标准GB/T19716-2005（对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用。本标准为开发组织的安全标准和有效的安全管理做法提供公共基础，并提供组织间交往的信任。本标准的推荐内容应按照适用的我国法律和法规加以选择和使用。信息安全管理的实施安全控制措安全方针组织安全资产的分类与控制人员安全物理和环境的安全通信和操作管理访问控制系统开发和维护业务持续性管理符合性信息安全管理AS/NZS4360:1999、NISTSP800-30、TheSecurityRiskManagementGui、?微软风险管理流程GB/T20269-2006标准，内容及风险管理信息安全管理信息安全信息安全 2、列出评估对象目前存在的威胁和弱点，给出具体的安全和风险等级； 3、列出防范这些检测到的威胁和弱点的保障措施； 4、说明这些安全建议是属于物理、管理、还是技术控制； 5、说明实施这些给出的安全建议后会带来的效果； 6、说明每一个具体的安全建议，能将风险减少到什么程度； 7、安全修补后，评估对象能达到什么样的安全等级； 8、安全修补后，还有什么风险没能完全控制，应当如何进一步控制； 9、说明实施这些安全修补措施具体应当花费的安全成本。 四、后期安全维护阶段 后期安全维护其实只是信息系统安全风险评估过程中的一个附加阶段。对于专门的风险评估机构或安全公司来说，当给出具体的安全风险评估报告后，就表明此次风险评估任务全部结束。 第8章 信息安全