信息安全体系规划建立.pptVIP

信息安全体系规划 与建设概述 信息安全体系规划与建设 信息安全概述 信息安全体系建设 风险管理 信息安全服务过程 可供借鉴的范围和标准 信息安全概述 信息和信息安全（一） 什么是信息 信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。 通常情况下，可以把信息可以理解为消息、信号、数据、情报和知识 。 对现代企业来说：信息是一种资产，可以通过媒介传播。 信息和信息安全（二） 什么是信息安全 保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。 信息安全的任务：采取措施（技术手段及有效管理）让信息资产免遭威胁，或者将威胁带来的后果降到最低程度。 信息和信息安全（三） 信息安全要素 现代信息安全通常强调所谓CIA 三元组的目标，即保密性、完整性和可用性。 组织的信息安全需求来源 法律法规与合同条约的要求 组织的原理、目标和规定 风险评估的结果（风险评估是信息安全管理的基础） 怎样实现信息安全－－技术路线 信息安全技术包括以下这些技术 物理安全 系统安全 网络安全 应用安全 数据安全 认证授权 访问控制 扫描评估 审计跟综 病毒防护 备份恢复 安全管理 怎样实现信息安全－－管理路线 信息安全管理 解决信息及信息系统的安全问题，取决于两个因素，一个是技术，另一个是管理。 信息安全管理（Information Security Management ）作为组织完整的管理体系中一个重要的环节，构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。 安全管理也要解决组织、制度和人员这三方面的问题 对信息安全的正确认识 对信息安全的错误观念 网络安全和信息安全的概念混淆 重视技术，轻视管理 重视产品功能，轻视人为因数 重视对外安全，轻视对内安全 静态不变的观念 缺乏整体性信息安全体系的考虑 纠正以上错误认识，可以简单概括一下对信息安全应该持有的正确的认识：安全不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作这三种要素紧密结合的系统工程，是不断演进、循环发展的动态过程。 信息安全体系建设 什么是信息安全系统 信息安全建设的指导方针，及实施依据； 做为信息安全建设的指导方针，安全体系的设计应该体现出可靠性、完备性、可行性、可扩展性和经济实用性等原则； 设计安全体系的目的：从管理和技术上保证安全策略得以完整准确地实现，安全需求得以全面准确地满足。 信息安全体系的发展 ISO 7498-2 安全体系结构 P2DR 安全模型 PDRR 安全模型 IATF 信息保障技术框架 BS 7799 标准提出的信息安全管理体系 ISO27001:2005 信息安全体系的发展 ISO 27001:2005是建立信息安全管理系统（ISMS）的一套需求规范 标准族内容： ISO/IEC 27000，基础和术语。 ISO/IEC 27001，信息安全管理体系要求。 ISO/IEC 27002，信息安全管理体系最佳实践。 ISO/IEC 27003，ISMS实施指南，正在开发。 ISO/IEC 27004，信息安全管理度量和改进，正在开发。 ISO/IEC 27005，信息安全风险管理指南，以2005年底刚刚推出的BS7799-3（基于ISO/IEC 13335-2）为蓝本。 信息安全的典型特点 全面性 层次性 过程性 动态性 相对性 可管理性 信息安全体系模型 ——P-POT-PDR P-POT-PDRR 模型的核心思想在于：通过人员组织、安全技术以及运行操作三个支撑体系的综合作用，构成一个完整的信息安全管理体系。 P-POT-PDRR ，即Policy （策略）、People（人）、Operation （操作）、Technology （技术）、Protection （保护）、Detection （检测）、Response （响应）和Recovery （恢复）的首字母缩写 P-POT-PDRR 安全体系模型 信息安全体系模型 ——P-POT-PDR P-POT-PDRR 安全体系框架 如何建设信息安全系统 信息安全管理体系（ISMS）的建设过程 信息安全整体规划的实践蓝图 等级保护标准 风险管理 风险管理的核心作用 风险管理就是识别风险、评估风险、采取对策将风险消减到可接受水平，保证信息资产的保密性、完整性、可用性。 风险管理的核心作用（二） 风险管理周期模型 风险管理的基本概念 信息