信息安全与运维管理讲述.ppt

信息安全治理的最佳实践（7） 安全治理是一个动态的过程，而非一次孤立事件 安全策略的建立不是安全的终点 安全产品的部署也不是安全的终点 安全治理根本没有终点，安全治理是一个循环 公司业务目标的调整对信息安全的影响 新技术、新产品的发展带来隐患或者机遇。wireless，IM，cc攻击等 信息安全治理的最佳实践（8） 安全治理的过程就是发现并消除短木板的过程 信息安全的短木板在很多方面都存在 以信息防泄漏为例，大多数网关设备能支持访问控制，能对邮件、网页、ftp等进行监控并过滤，但是仍然存在其他途径可以泄漏信息，包括移动介质、无线通讯、以及近来越来越普及的即时通讯工具。 信息安全治理的最佳实践（9） 安全的管理，归根结底是对人的管理 人的安全意识、安全操作、安全技能 信息安全中最重要的环节是人，最薄弱的环节也是人。 人可以解决技术、产品所不能解决的问题，比如Social Engineering Attack 人可以管理技术、产品的缺陷 信息安全治理的最佳实践（10） 参照但不照搬最佳实践 没有一个最佳实践能适应所有情况，包括上述9条:-) 提纲 什么是信息安全 什么是IT运维 信息安全与IT运维的关系 怎样开展信息安全工作 信息安全最佳实践 信息安全工作模型 信息安全工作模型（图） 实施 安全建设计划 投资回报计划 技术产品部署 BCP/DRP 评估 信息系统审计