信息安全导论-CUC信息安全课程网站.PDF

信 息安全导论 第⼗三章 信 息安全管理与 信 息安全法规 黄 玮 温故 • 信 息安全等级保护综述 • 等级保护的设计与应用 • 信 息系统安全⼯程 • 系统安全⼯程-能⼒成熟度模型 （SSE-CMM） 知新 • 信 息安全管理概述 • 信 息安全管理体 系 • 信 息安全风险评估 • 我国信 息安全的法律体 系 • 我国信 息安全标准化体 系 本章 内容概要 • 信 息安全管理概述 • 信 息安全管理体 系 • 信 息安全风险评估 • 我国信 息安全的法律体 系 • 我国信 息安全标准化体 系 概述 • 信 息安全管理控制措施与信 息安全技术控制 措施⼀起构成 了信 息安全防护措施的全部 —管理与技术并重 —特别是信 息安全管理标准的制定 什 么是管理 • 管住原则，理 出思路 —原则：规章制度 — 思路 ：事先的组织、规划以及实施过程 中的协调 和事后的评估、总结 • 管理的核⼼要点 访 问控制三要素 —管理的主体 ：明确谁来管 主体 —管理的客体 ：管什 么 客体 —管理⼿段 ：怎么管 访 问控制策略 —管理效果：管的怎样 审计 —— 访 问控制的三个基本面之⼀ 什 么是信 息安全管理 • 将“管理” 的概念应用到信 息安全领域 • 信 息安全管理是把分散 的信 息安全技术因素 和⼈的因素 ，通过策略、规则协调整合成为 ⼀体 ，服务于信 息安全的 目标 • 信 息安全管理的层次划分 —根据管理主体、管理对 象要素的不同 国家层次的信 息安全管理 – 组织层面的信 息安全管理 – 信 息安全管理的特点 • 宏观化 —信 息化 的互联、互通、互操作特点 如何 定义信 息边疆？如何捍卫信 息边界？ – 如何整合安全防御 资源？ – • 微观化 —现代信 息系统的复杂性 ，需要微观信 息安全管理 ⼈如何操作技术的规 范尺度 ，是发挥⼈的因素和技术 – 因素的桥 梁 • 宏观管理是对微观管理的指导和约束 ，微观管理是 对宏观管理的贯彻和 落实，⼆者 紧密相 关，互为依 托 ，缺⼀不可 信 息安全管理的重要性 • 三分技术，七分管理 —据有关部 门统计 ，在所有的计算机安全事件 中， 越有52%是⼈为因素造成的，25%是由⽕灾、⽔灾 等 自然灾害引起 的，技术错误 占10% ，组织内部 ⼈ 员作案 占10% ，仅有3%左右是由外部不法⼈ 员 攻击造成的 • 安全技术是信 息安全的构筑材料 ，安全管理 是信 息安全的黏 合剂和催化剂 信 息安全管理的范畴 • 制定信 息安全政策 • 风险评估 • 控制 目标与⽅式选择 —安全⽅针 策略、组织安全、资产分类与控制、⼈ 员安全、物理与环境 安全、通信与操作安全、访 问控制、 系统开发与维护、业务持续性管 理、符合法律 法规要求 • 制定规 范的操作 流程 • 对 员⼯进⾏安全意识培训 保证组织信 息资产的安全与业务的连续性 国外信 息安全管理相 关标准 • BS 7799标准 • ISO/IEC 17799标准 • ISO/IEC 2700X 系列标准 • IT安全管理指 南 （ISO/IEC TR 13335） • 信 息及相 关技术控制 目标