ISM04 信息安全管理.pptVIP

2001年11月22日 企业资源管理研究中心( AMT ) 2.计算机病毒的防治管理 （1）《计算机病毒防治管理办法》 公安部依据《计算机信息系统安全保护条例》，于2000年4月制定并公布了《计算机病毒防治管理办法》。《计算机病毒防治管理办法》包括以下主要内容： 赋予公安机关管理职责 明确规定了禁止行为 任何单位和个人不得制作计算机病毒。 任何单位和个人不得有传播计算机病毒的行为 任何单位和个人不得向社会发布虚假的计算机病毒疫情。 4.8 计算机病毒防治管理 明确规定了计算机信息系统使用单位的职责 建立本单位的计算机病毒防治管理制度； 采取计算机病毒安全技术防治措施； 对本单位计算机信息系统使用人员进行计算机病毒防治教育和培训； 及时检测、清除计算机信息系统中的计算机病毒，并备有检测、清除的记录； 使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品； 对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时向公安机关报告，并保护现场 明确界定了行政相对责任人范围及其法律责任 4.8 计算机病毒防治管理 （2）建立计算机病毒防治体系 编写明确的计算机病毒防治策略。 建立计算机病毒防治核心技术机制，包括网络版杀毒系统和安全补丁管理平台。 建立计算机病毒防治辅助技术机制，包括防火墙、网络入侵检测、系统和数据备份。 建立计算机病毒防治配套管理规范，包括日常维护规范和应急响应计划。 对所有信息网络用户提供教育和培训。 4.8 计算机病毒防治管理 第四章 信息安全管理 信息安全管理 网络安全教学 第四章 信息安全管理 主要内容 1.重点和难点 信息安全管理标准；计算机病毒防治管理 2.知识点 BS 7799标准；信息安全组织管理；信息安全人员管理； 1.信息安全管理体系的定义 信息安全管理覆盖的内容非常广泛，涉及到信息和网络系统的各个层面，以及生命周期的各个阶段，随着对于信息安全管理认识和理解的不断深入，人们发现这些不同层次，不同方面的管理内容在彼此之间存在着一定的内在关联性，它们共同构成一个全面的有机整体，以使管理措施保障达到信息安全的目标，这个有机整体被称为信息安全管理体系（Information Security Management System, ISMS ）。 4.1 信息安全管理体系 2.信息安全管理的基本原则 （1）总体原则 主要领导负责原则 规范定级原则 以人为本原则 适度安全原则 全面防范、突出重点原则 系统、动态原则 控制社会影响原则 4.1 信息安全管理体系 (2)安全管理策略 分权制衡 最小特权 选用成熟技术 普遍参与 4.1 信息安全管理体系 3.信息安全管理的目标 4.1 信息安全管理体系 目 标 描 述 合规性 管理的合规性，主要指在有章可循的基础之上，确保信息安全工作符合国家法律、法规，行业标准，机构内部的方针和规定。 流程规范性 管理是过程性的工作。要确保信息安全工作的相关过程具有规范性。 整体协调性 信息安全管理工作不能独立进行，不可能超越机构其他方面的管理工作而达到更高的级别。因此，信息安全保障工作需要与其他方面的管理工作一起协调开展。 执行落实性 通过检查、监督、审计、稽核等手段促进信息安全保障工作的落实。 变更可控性 信息系统中的任何变更需要有全程的监控管理。 责任性 确保信息安全责任能够追究到人。 持续改进 通过开展信息安全管理，不断发现问题和解决问题，形成持续改进的信息安全保障态势。 计划性 信息安全保障工作能够有计划、分阶段地展开，确保信息安全投资能够产生最大效益。 4.信息安全管理的内容 (1)信息安全方针和策略 安全方针和策略 方针和策略属于一般管理中的策略管理。方针和策略是信息安全保障工作的整体性指导和要求。安全方针和策略需要有相应的制定、审核和改进过程。 资金投入管理 信息安全保障工作需要有足够的资金支撑。但从另一个方面讲，绝对的安全是无法实现的，因此，需要考虑资金投入和经济效益之间的平衡。 信息安全规划 信息安全保障工作是一项涉及面较广的工作，同时也是一项持续的、长期的工作。因此，信息安全保障工作需要有长期、中期和短期的计划。 4.1 信息安全管理体系 (2)信息安全人员和组织 人员和组织管理是信息安全管理的基本过程。人员和组织是执行信息安全保障工作的主体。在人员和组织管理方面，最基本的管理包括： 保证有足够的人力资源从事信息安全保障工作。 确保