第章企事单位信息安全管理.ppt

内容导读 企事业单位信息安全管理的最终目标是保护其信息资产，保证其业务的安全平稳运行。企业信息安全管理模型遵循管理的一般循环模式，即计划(Plan)、执行(Do)、检查(Check)和行动(Action)的持续改进模式，简称PDCA模式。 　　每一次的安全管理活动循环都是在已有的安全管理策略指导下进行的，每次循环都会通过检查环节发现新的问题，然后采取行动予以改进，从而形成了安全管理策略和活动的螺旋式提升。 信息安全管理策略的制订、信息系统的安全运行管理和信息安全应急管理是企事业单位信息安全管理的关键环节。风险评估是安全策略制订的重要依据，而以“信息安全应急响应预案、加强应急机制建设，建立健全应急体制，依据相关法制”的一案三制为核心内容的应急管理体系建设是做好信息安全应急管理工作的基础。 建立完善的信息安全管理体系是企事业单位进行科学信息安全管理的客观要求。ISO/IEC 27000系列标准中的27001《信息安全管理体系要求》和27002《信息安全管理实用规则》，阐述了一个组织建立信息安全管理体系的标准相关过程和活动，对提高组织的实际安全管理水平具有重要指导意义。 15.1 信息安全管理概述 该定义揭示了信息安全管理的主体(即国家、组织或个体)、对象(即信息安全的非技术因素)与目的(即实现信息安全目标)