张爽钰.pptVIP

宣讲人：张爽钰 学 号：S311060058 信息安全规划 信息安全风险评估 物理安全保障 信息系统等级保护 ISO信息安全管理标准 信息安全法规 信息安全规划，也称为信息安全计划，它用于在较高层次上确定一个组织涉及信息安全的活动，主要内容包括： 安全策略 安全需求 安全措施 安全责任 规划执行时间表 制定并不断完善和更新信息安全规划是一个组织获得信息安全保障的重要工作之一。 安全策略是信息安全规划中的核心组成部分，它表达了组织的信息安全目的和意图。安全策略主要应明确以为问题： 1.安全目标，即保护对象和保护效果，前者主要包括业务、数据等，后者主要包括信息安全的各种基本属性； 2.访问主体，即允许访问组织内部信息系统的实体，后者包括人、进程和系统等； 3.访问客体，即组织内部允许被访问的系统和资源；4.访问方式，即规定哪些主体可以以特定的方式访问某个系统或资源。 为了实施安全策略，组织需要进一步去确定当前的安全状况，据此确定安全需求、将采用的安全措施、安全责任和规划执行时间表。其中，安全措施包括技术措施和组织管理措施两个方面，前者已由前面的章节描述，后者包括确立实施安全措施的机构、人员及其工作制作，由这些机构和人员分别担负相应的安全责任。 信息安全风险来自人为或自然的威胁，是