信息安全管理与法律法规[精品ppt课件].pptxVIP

管理制度篇信息安全概念安全没有危险、不受威胁、不出事故。 安全理念以风险大小来划分安全与否没有绝对的安全和零风险风险可接受即可视为安全风险大小与安全投入的平衡 信息安全木桶原理短板理论，系统的安全性取决于系统的最薄弱环节，加强其安全，才能提高整体安全性。广义的信息安全“信息安全”问题“信息系统”安全问题信息不安全引发的其他安全问题信息系统安全的保护目标与所属组织的安全利益是完全一致的，具体体现为对信息的保护、对系统的保护和对信息使用的监管。信息安全属性信息安全属性保密性Confidentiality 完整性Integrity 可用性Availability 不可否认性（抗抵赖）Non-repudiation 真实性Authentication 可控性/可治理性Controllability/Governability 可靠性Reliability… 信息安全风险评估资产（保护对象）软件、硬件、数据、人、业务、声誉（品牌） 脆弱性（隐患的关键因素）软件、硬件、制度、人威胁（威胁源与行为）外部(如黑客攻击)、内部，有意、无意、自然、人为可能性（动机和能力）蓄谋、偶然，难度后果本身价值、直接和间接影响信息安全的对策（管理部分）国家层面法律法规、政策、国家标准社会层面道德行业层面行规、行业标准组织层面规章制度个人最脆弱的环节培训、意识、行为规范信息安全技术与管理技术必须与管理结合技术有局限性，不是万能的，需要管理弥补技术需要管理来实施和保障很多（底层）技术不可控技术的发展需要管理来调整以适应技术可能被利用内部原因的信息安全问题比重大信息安全分类分级保护 对信息和信息系统进行分级保护是体现统筹规划、积极防范、突出重点的信息安全保护原则的重大措施。最有效和科学的方法是在维护安全、健康、有序的网络运行环境的同时，以分级分类的方式确保信息和信息系统安全既合符政策规范，又满足实际需求。实现安全成本与信息系统重要性的平衡。等级保护内容?信息系统分等级保护信息安全产品分等级管理信息安全事件分等级响应、处置定级要素与安全保护等级的关系等级对象侵害客体侵害程度监管强度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导保护社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查保护国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查保护国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查保护等级保护的原则 自主定级、自主保护与国家监管相统一 谁主管谁负责，谁运营谁负责信息安全管理体系标准 ISO/IEC 27000 概述和词汇 ISO/IEC 27001 信息安全管理体系 要求 ISO/IEC 27002 信息安全管理体系 实用规则 ISO/IEC 27003 信息安全管理体系 实施指南 ISO/IEC 27004 信息安全管理度量 ISO/IEC 27005 信息安全风险管理 ISO/IEC 27006 ISMS认证机构的认可要求ISO/IEC 27007 信息安全管理体系审核指南风险评估与处理依据组织需求，识别、量化风险。其结果用于指导并确定适当的管理措施及其优先级风险评估应定期/不定期进行风险处置规避降低转嫁接受信息安全管理实用规则GB/T 22081-2008 11个方面，39个控制目标，133个控制措施11个方面（控制目标数）信息安全方针（1）? 信息安全的各方（2）资产管理（2）?人力资源安全（3）物理和环境安全（2） ?通信和操作管理（10）访问控制（7） 信息系统获取、开发和维护（6）信息安全事件管理（2）?业务连续性管理（1）符合性（3）人力资源安全任用前角色和职责（清晰定义并传达）人员背景审查（身份、信用、专业水平）任用条款和条件（合同明确安全职责）人力资源安全（2）任用中管理者要求各方清楚并恪守职责信息安全意识、教育和培训纪律处理过程（证据与分级处理）人力资源安全（3）任用的终止或变更终止职责（明确责任并传达）资产的归还撤销访问权物理和环境安全安全区域物理安全周边（门、墙等）物理入口控制（各处出入者标识、记录与限制）办公室、房间和设施的安全保护（隐蔽性）外部和环境威胁的安全防护（灾害预防）在安全区工作（隐秘、受控、上锁、拒摄录）公共访问、交接区安全（授权访问、进出的货物检查/登记/隔离）物理和环境安全（2）设备安全设备和保护（设备防灾/盗保护、处理信息的保护）支持性设施（电、水、温度、湿度等）布缆安全（防窃听和损坏）设备维护（保证连续可用）组织场所外的设备安全（看管、正确使用）设备的安全处置或再利用（残余信息防重用）资产的移动（有授权、人员、时间、记录、返回核查）通信和操作管理（5）备份 信息备份（规程、记录、比例/频率、异地、同保护等级存放环境、测试备份信息及恢复规程）通信和操作管