信息安全管理与法律法规(复习)2012下.pptVIP

信息安全概念 安全 没有危险、不受威胁、不出事故。 安全理念 以风险大小来划分安全与否 没有绝对的安全和零风险 风险可接受即可视为安全 风险大小与安全投入的平衡 信息安全木桶原理 短板理论，系统的安全性取决于系统的最薄弱环节，加强其安全，才能提高整体安全性。 广义的信息安全 “信息安全”问题 “信息系统”安全问题 信息不安全引发的其他安全问题 信息系统安全的保护目标与所属组织的安全利益是完全一致的，具体体现为对信息的保护、对系统的保护和对信息使用的监管。 信息安全属性 信息安全属性 保密性Confidentiality 完整性Integrity 可用性Availability 不可否认性（抗抵赖）Non-repudiation 真实性Authentication 可控性/可治理性Controllability/Governability 可靠性Reliability… 信息安全风险评估 资产（保护对象） 软件、硬件、数据、人、业务、声誉（品牌） 脆弱性（隐患的关键因素） 软件、硬件、制度、人 威胁（威胁源与行为） 外部(如黑客攻击)、内部，有意、无意、自然、人为 可能性（动机和能力） 蓄谋、偶然，难度 后果 本身价值、直接和间接影响 信息安全的对策（管理部分） 国家层面 法律法规、政策、国家标准 社会层面 道德 行业层面 行规、行业标准 组织层面 规章制度 个