信息数据安全管理概论.pdfVIP

第一章 信息安全管理概论 1.信息安全管理内涵 1.1 信息安全定义 在技术上和管理上为数据处理系统建立的安全保护，保护计算机硬件、软件和数据不 因偶然和恶意的原因而遭到破坏(可用)、更改（完整）和泄露（机密）。 1.2 发展过程及阶段 １）通信保密时代：二十世纪40-50 年代 时代标志是1949 香农发表的 《保密通信的信息理论》 ２）信息安全时代：二十世纪70-90 年代 关注信息安全的三属性：保密性、完整性和可用性。 3 ）信息安全保障时代：进入二十一世纪 时代标志《信息保障技术框架》（IATF ） 1.3 信息安全保障 可信的人员 精湛的技术 完善的管理 1.4 信息安全管理定义 信息安全管理是通过维护信息的机密性、完整性和可用性等，来管理和保护信息资产 的一项体质，是对信息安全保障进行指导、规范和管理的一系列活动和过程。 信息安全管理是信息安全保障体系建设的重要组成部分，对于保护信息资产、降低信 息系统安全风险、指导信息安全体系建设具有重要作用。 1.5 技术与管理关系 信息安全技术是实现信息安全产品的技术基础； 信息安全产品是实现组织信息安全的系统设备； 单纯只考虑技术，只能做出功能强大的安全保障提供直接的支持。 技术只是个手段，不是趋势，趋势源于需求，技术满足需求，管理起到连接作用。 从管理着眼，从技术入手。管理驱动技术，技术实现管理。技术与管理并重。 三分技术七分管理 2. 信息安全管理的内容 2.1 基于信息系统各个层次的安全管理 环境和设备安全 网络和通信安全 主机和系统安全 应用和业务安全 数据安全 2.2 基于信息系统生命周期的安全管理 工程设计和开发阶段 系统的运行和维护阶段 2.3 ISO/IEC 27002:2005 （GB/T 22081-2008 ）11 个方面 信息安全方针 信息安全组织 资产管理 人力资源安全 物理与环境安全 通信及操作管理 访问控制 系统获取、开发和维护 信息安全事件管理 业务持续性管理 符合性 3. 信息安全管理体系 （ISMS） 3.1 定义 基于业务风险方法，建立、实施、运行、监视、评审、保持和改进信息安全的管理体 系，即一套过程框架。 第二章 1.ISO/IEC 2700X 系列国际标准 ISO/IEC 27000 信息安全管理体系基础和术语 ISO/IEC 27001 信息技术—安全技术—信息安全管理体系—要求 ISO/IEC 27002 信息技术—安全技术—信息安全管理实践规则 ISO/IEC 27003 信息安全管理体系实施指南 ISO/IEC 27005 信息安全风险管理 2.ISO/IEC 27002:2005 实用规则 控制目标： 声明要实现什么； 控制措施： 可被用于实现控制目标 ， 描述结构如下： 控制措施 ：实现控制目标的控制措施介绍说明 实施指南 ：为支持控制措施的实施和满足控制目标而提供的详细信息 其它信息：提供进一步考虑的信息 以访问控制为例： 访问控制的控制目标数量为7 ，控制措施数量为25. 控制目标：1 、访问控制的业务要求 2 、用户访问管理 3 、用户职责 4 、网络访问控制 5 、操作系统访问控制 6 、应用和信息访问控制 7 、移动计算和远程工作 如用户访问管理： 一、目标： 确保授权用户访问信息系统，并防止未授权的访问 。 宜有正式的规程来控制对信息系统和服务的访问权的分配。这些规程宜涵盖用户访问生存 周期内的各个阶段，从新用户初始注册到用户的最终注销。 四个措施： 1 、用户注册 2 、特殊权限管理 3 、用户口令管理 4 、用户访问权的复查 用户口令管理 控制措施 ： 宜通过正式的管理过程控制口令的分配。 实施指南 ： 1 、要求用户签署一份声明，以保证个人口令的保密性和组口令仅在该组成员范围内使 用； 2 、若需要用户维护自己的口令，要在初始时提供给他们一个安全的临时口令，并强制其 立即改变； 3 、在提供一个新的、代替的或临时口令之前，要建立验证用户身份的规程； 4 、要以安全的方式将临时口令给予用户； 5 、临时口令要对个人而言是唯一的、不可猜测的； 6 、口令不要以未保护的形式存储在计