第三讲信息安全管理措施.pptx

第三讲 信息安全管理措施;主题一;信息安全管理体系（ISMS）：27001-2013版的“高要求”;高定位的解读;1、战略性决策决定了高层如何看待信息安全？如何建立与之匹配的安全方针和目标？;;战略明道（示例）：信息安全方针和目标与组织的战略方向一致;2、协同工作，在业务流程设计中考虑信息安全;关键ISMS需要顶层设计，互相协作，承担不同职责;整体业务价值链：从信息视角看，是一个通过信息流程实现控制与决策的过程;;业务过程对数据的依赖或数据对业务流程的作用;信息的价值与业务过程和时效性密切相关;支持性资产识别：从业务过程入手，层次推进，识别资产及依赖关系;;信息安全的误读：认为系统安全是全部！;3、信息安全实施效果，从业务安全需求入手，度量效果是否满足需求;;;风险与业务场景：风险识别需要关注内外环境，依据业务理顺原因和责任链;;;主题二;;信息安全风险基本概念：生活中的？;信息安全风险：综合安全相关因素的概念;脆弱性;实践中的脆弱性;脆弱性的类型;脆弱性的类型;脆弱性类型;;防御措施：漏洞扫描，预先识别脆弱性;补丁公告;脆弱性：出现的阶段－产品周期内;脆弱性：出现的阶段－产品周期内;脆弱性：小结——视角;关于威胁;威胁轮廓：威胁分类的依据;威胁轮廓;威胁分类：直接目标;威胁或攻击路线，脆弱性的利用不是一件容易的事情;面对威胁的应对措施分析示例：遏制威胁，修补漏洞;已有设备： 防火墙启动;已有设备： 防病毒;增加设备：部署IDS;要重视社会工程，威胁和脆弱性合一;信息安全攻击，也应从上兵伐谋开始;小结：安全风险因素;主题三;安全的基本原则和工作过程;安全管理人员的工作：日常工作之外，需要注意管理闭环;管理措施分类，从一个简单的例子入手;安全管理措施分类，考虑风险背后的原因;风险背后的原因：总是意识、运维、业务与合规-内外环境;安全管理措施分类，自上而下，全局分析;安全事件：如何防患于未然;安全事件发生及解决之道：PDCA示例;;安全管理人员一天的工作，解决问题，治标和治本并行;示例：服务器安全巡检;发现问题，如何加固;口令修改操作引发的思考，常见的情景-牛人的世界和程序控制的世界;三种情景的对比，效率、成本和风险的均衡;牛人的困惑，用得着这么复杂；程序控制将技术问题复杂化，将技术问题变化为管理问题;“情景一、二”的安全管理工作的分析;;情景三：影响程度和责任范围;影响程度和责任范围;问题的深入剖析：管理的要求比技术内容多;需要哪些管理程序或活动;需要哪些管理程序或活动;需要哪些管理程序或活动;需要哪些管理程序或活动;口令检查中涉及哪些管理要素：且看27001的内容;涉及的非技术因素：总共12个要素;口令检查和改进中涉及的技术和管理;具体点：技术和管理的关系，偶然和必然的关系;技术和管理：管理明向，技术利器;示例：技术和管理融合，才能确保信息安全;安全技术和安全管理的关系：技术、管理、运维;小结-信息安全管理体系：通过PDCA选择、运行、监视和优化控制要素;主题四;等级保护是什么;等级保护制度;解决什么;第一级;第二级;第三级;第四级;第五级;信息安全等级保护制度的发展历程，早起的跋涉阶段;;安全等级划分内涵与划分要求;小结-安全等级保护中的“等级”：“投入-产出”是否与价值等级相符？;安全等级定级和测评备案;等级保护安全框架：安全域示意;安全等级——适度安全的深化;等级－适度安全的“度”???细化;项目工作依据：政策;制度化、标准化的信息安全建设与管理;主题五;企业信息安全建设发展历程：伴随信息化发展，从重技术，到重管理和体系;