第一章信息安全管理.pptxVIP

信息安全管理 教材: 信息安全管理 王春东 武汉大学出版社 参考: 1.信息安全工程与管理 中国信息安全产品测评中心 人民邮电 2.信息安全测评与风险评估 向宏等著电子工业出版社 3.Information security management concepts and practice 电子讲义为准 考评: 平时(考勤和平时作业)30%,期末考试70% 为什么需要这门课? 信息安全问题主要由哪些方面的原因引起? 计算机安全事件 引起的原因: 简单归类:属于管理因素多达70%以上 三分技术，七分管理 引起信息安全问题的主要因素： 一，技术因素，系统本身存在安全脆弱性； 二，管理因素，组织内部没有建立并严格执行相应的信息安全管理制度。 解决信息安全问题，不仅应从技术上着手，更应加强信息安全的管理工作。 如何学习这门课? 知识体系介绍 学习目标 课程内容 安全管理基础：概念、ISMS要求、管理措施概述 基本安全管理措施：策略、组织和人员 重要安全管理措施：资产管理、物理管理、运行和操作管理 知识体系 安全管理体系 信息安全管理概念 信息安全管理体系要求 信息安全管理措施 安全组织体系 运行和操作管理 知识体 知识域 知识子域 安全策略 人员安全 资产管理 物理管理 符合性(法律与法规) 课程目标 掌握信息安全管理的基本概念 认识和了解ISO27001和ISO27002标准 初步掌握建立信息安全管理体系的基本要求 较深入的了解策略、组织和人员等基本安全管理措施的概念和实施方法 较深入的了解资产管理、 物理管理、运行和操作管理、符合性等重要安全管理措施的概念和实施方法 了解信息安全的法律法规 信息安全管理基础 信息安全管理概念 信息安全管理体系要求 信息安全管理措施 信息安全管理概念（1） 什么是信息？ ISO17799中的描述 “Information is an asset which, like other important business assets, has value to an organization and consequently needs to be suitably protected. ” “Information can exist in many forms. It can be printed or written on paper, stored electronically, transmitted by post or using electronic means, shown on films, or spoken in conversation. 强调信息： 是一种资产 同其它重要的商业资产一样 对组织具有价值 需要适当的保护 以各种形式存在：纸、电子、影片、交谈等 信息安全管理概念（2） 什么是信息安全？ 安全 Security：事物保持不受损害的能力;(安全是一种能力) 信息安全属性: 通常指”保密性,完整性,可用性”(三种属性) 也有认为”保密性,完整性,可用性,可认证性,抗抵赖性”(五种属性) 信息安全属性也是安全应该达到的目标 信息安全：信息资产的保密性、完整性和可用性不受损害的能力，是通过信息安全保障措施实现的. 权威机构的定义：ISO/IEC17799：2000 与 《美国联邦信息安全管理法案》（FISMA）：2002对信息安全的定义 ISO/IEC 17799:2000：保持信息的保密性、完整性、可用性；另外，也包括其他属性，如：真实性、可核查性、抗抵赖性和可靠性 。 FISMA:2002：保护信息与信息系统，防止未授权的访问、使用、泄露、中断、修改或破坏，以保护信息资产的A）完整性，即防止对信息的不当修改或破坏，包括确保信息的不可否认性和真实性；（B）保密性，即对信息的访问和泄露施加授权的约束，包括保护个人隐私和专属信息的手段； （C）可用性，即确保能及时、可靠地访问并使用信息。 —— 信息安全管理概念（3） 什么是管理？(人治与法治) “管” “理” 中国古代 管理的定义 ISO9000:2000 质量管理体系 基础和术语 管理management：指挥和控制组织的协调的活动 管理学 管理是指通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达成组织目标的过程。 管理是利用现有的整套资源达到目标的一个过程.而管理者就是“与其他人共事并协调他人工作以实现机构目标的人”.其作用是配置,管理资源以及协调任务的完成,并处理那些为了完成预定目标而必不可少的事务.管理者的角色有信息处置,关系协调和决策.见P5 管理的职能 计划：为实现目标而开发,制定和实施战略的过程