信息安全管理期末复习资料.docxVIP

信息安全管理信息：信息是通过施加于数据上的某些约定而赋予这些数据的特定含义。信息安全定义：保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改或泄露，保证信息系统能够连续、可靠、正常地运行。信息安全的主要目标：机密性、完整性、可用性。信息安全的内容：实体安全、运行安全、信息安全、管理安全。信息安全的重要性：解决信息及信息系统的安全问题不能只局限于技术、更重要的还在于管理。安全技术只是信息安全控制的手段、要让安全技术发挥应有的作用，必须要有适当的管理程序的支持。相关标准 BS7799：信息安全管理体系标准，英国标准协会制定，包括BS7799-1和BS7799-2，BS7799-1于2000年12月纳入ISO。ITIL：IT基础设施库，英国中央计算机与通信机构（CCTA）发布。COBIT：信息及相关技术控制目标，最先进、最权威的信息安全技术管理和控制标准。ISO13335：IT安全管理指南，最新版称作信息和通信技术安全管理（MICTS）。信息安全管理体系信息安全管理体系ISMS定义：组织在整体或特定范围内建立的信息安全方针和目标，以及完善这些目标所用的方法和手段所构成的体系。ISMS范围：组织所有部分的信息系统、组织的部分信息系统、特定的信息系统。ISMS特点：预防控制为主；遵守法律法规和合同方要求；强调全过程和动态控制，本着控制费用和风险平衡的原则选择安全控制方式；强调保护关键信息资产，而不是全部信息资产。建立ISMS的步骤：策划与准备；文件编制；建立信息安全管理框架；运行；审核；管理评审。PDCA：P-计划，D-实施，C-检查，A-行动ISMS的PDCA过程：计划阶段：确定信息安全方针、确定ISMS范围、指定风险识别和评估计划、制定风险控制计划；实施阶段：保证资源，提供培训，提高安全意识、风险治理；检查阶段：进行有关方针、程序、标准和法律法规符合性的检查。行动阶段：对ISMS进行评价、寻求改进的机会。BS7799历史： 1993年，英国，BS7799-1:1995； 2000年12月，转化为ISO/IEC17799；BS7799-1 信息安全管理实施规则内容：安全方针/策略；安全组织；资产分类与控制；人员安全；物理和环境安全；通信与运营管理；访问控制；系统开发和维护；信息安全事故管理；业务持续性管理；法律法规符合性；SSE-CMM系统安全工程能力成熟度模型历史：来源： 1993.4 美国国家安全局NAS；第一个版本：1996.10；进入ISO：2002年，ISO/IEC21827:2002SSE-CMM过程：风险；工程；保证。SSE-CMM能力等级（0~5级）课本P36图2.7： 0-未执行； 1-非正式执行； 2-计划与跟踪； 3-充分定义； 4-量化控制； 5-持续改进SSE-CMM体系结构（？）：横坐标11个安全过程，纵坐标5个公共特征（课本P34图）。等级保护级别：第一级：自主保护级；第二级：指导保护级；第三级：监督保护级；第四级：强制保护级；第五级：专控保护级。等级保护实施方法（P39图）：对系统进行安全等级的确定；对应安全等级划分标准，分析、检查系统的基本安全要求；系统特定安全要求分析；风险评估；改进和选择安全措施；实施安全保护。审核：为获得审核证据，对体系进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。管理性审核：定期检查有关安全方针与程序是否被正确有效地实施。技术性审核：定期检查组织的信息系统符合安全实施标准的情况。ISMS审核与管理评审的区别（课本P50表格）维持认证：到期重新认证。信息安全风险管理定义：资产：被组织赋予了价值、需要保护的有用资源。资产的价值：资产对一个机构的业务的重要程度。威胁：可能对资产或组织造成损害的事故的潜在原因。脆弱性：资产的弱点或薄弱点，可能被威胁利用，造成安全事件的发生，从而对资产造成损害。安全风险：特定的威胁利用资产的脆弱性，导致资产的丢失或损害的潜在可能性。风险评估：对信息和信息处理设施的威胁、影响和脆弱性及三者发生的可能性的评估。风险管理：可以接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。安全控制：保护组织资产、防止威胁、减少脆弱性、限制安全事件的一系列安全实践、过程和机制。剩余风险：实施安全控制后仍然存在的安全风险；适用性声明：对适用于组织需要的目标和控制的评述。风险管理各要素间的关系（课本P60图）。风险评估步骤：资产识别与估价；威胁评估；脆弱性评估；现有安全机制识别和确认；确定风险的大小和等级。计算风险：风险值R = 威胁发生的可能性PTV * 资产价值I风险度量方法：预定义风险价值矩阵法；按风险大小对威胁排序法；网络系统的风险集散方法；区分可接受风险与不可接受风险法；风险优先级确定。安全组