第12章信息安全管理与审计.pdfVIP

第12章 信息安全管理与审计 信息安全管理体系 信息安全风险评估 信息安全审计 本章小结 信息安全管理体系 信息安全管理需求 信息系统是人机交互系统 设备的有效利用是人为的管理过 程 应对风险需要人为的管理过程 三分技术，七分管理  据有关统计，信息安全事件中大约有70%以上的问题都是由于管理方面 的原因造成的。 数据来源 CNCERT/CC 信息安全工程  信息安全需要对信息系统的各个环节进行统一的综合考虑、规划和架构， 并需要兼顾组织内外不断变化的发生的变化。  木桶原理：信息系统安全水平将由与信息安全有关的所有环节中最薄弱 的环节所决定  要实现信息安全目标，一个组织必须使构成安全防范体系的这只 “木桶” 的所有木板都达到一定的长度。 要实现良好的信息安全，需要信息安全技术和信息安全管理有效地配合 信息安全工程  信息安全技术层面  建设安全的主机系统和安全的网络系统，包括物理层安全、系统层安全、网络层 安全和应用层安全等  配备一定的安全产品，如数据加密产品、数据存储备份产品、系统容错产品、防 病毒产品、安全网关产品等  信息安全管理层面  构建信息安全管理体系 信息安全管理  信息安全管理(Information Security Management)的概念没有统一的 定义。  信息安全管理：组织为了实现信息安全目标和信息资产保护，用来指导 和管理各种控制信息安全风险的、一组相互协调的活动。 要实现组织中信息的安全性、高效性和动态性管理，就需要依据信息安 全管理模型和信息安全管理标准构建信息安全管理体系 信息安全管理体系  信息安全管理体系(Information Security Management System, ISMS)  组织以信息安全风险评估为基础的系统化、程序化和文件化的管理体系，包括建 立、实施、运行、监视、评审、保持和改进信息安全等一系列的管理活动。  ISMS是整个管理体系的一部分。 ISMS的建立是基于组织，立足于信息安全风险评估，体现以预防为主 的思想，并且是全过程和动态控制。 信息安全管理体系  BS7799-2 《信息安全管理体系规范》：详细说明了建立、实施和维护 信息安全管理体系的要求。  BS7799-2 的修订版本BS7799-2: 2002 中引入了PDCA(Plan-Do- Check-Action)过程方法，用于建立、实施和持续改进ISMS。  PDCA循环又称 “戴明环”，由美国质量管理专家Edwards Deming博士在20世 纪50年代提出，是全面质量管理所应遵循的科学程序。  PDCA强调应将业务过程看作连续的反馈循环，在反馈循环的过程中识别需要改 进的部分，以使过程得到持续的改进，质量得到螺旋式上升。 应用于ISMS过程的PDCA模型