信息安全管理概述.pdf

信息安全管理概述 1 目录 信息安全管理基础 信息安全风险管理 信息安全管理 信息安全管理体系建设 信息安全管理体系最佳实践 信息安全管理体系度量 知识域 知识子域 2 知识子域 ：信息安全管理基础 基本概念  了解信息、信息安全管理、信息安全管理体系等基 本概念。 信息安全管理的作用及对组织的价值  理解信息安全管理的作用，对组织内部和组织外部 的价值。 3 基本概念 信息  企业：对用户的信息保护成为新的关注点  用户：用户将安全作为选择服务的重要依据之一  攻击者：不起眼的数据对攻击者可能价值很高，倒 逼企业和个人更关注信息安全 信息安全管理  信息安全管理是组织管理体系的一个重要环节 信息安全管理体系  组织管理体系的一部分  基于风险评估和组织风险接受水平 4 信息安全管理的作用及对组织的价值 信息安全管理的作用  信息安全管理是组织整体管理的重要、固有组成部 分，是组织实现其业务目标的重要保障  信息安全管理是信息安全技术的融合剂，保障各 项 技术措施能够发挥作用  信息安全管理能预防、阻止或减少信息安全事件的 发生 防护措施 对组织的价值  对内 信息安全水平 被侵害的资产  对外 5 知识子域 ：信息安全风险管理 风险管理概述  了解信息安全风险、风险管理的概念；  理解信息安全风险管理的作用和价值； 常见风险管理模型  了解COSO报告、ISO31000、COBIT等风险管理模型的 作用。 安全风险管理基本过程  理解风险管理的背景建立、风险评估、风险处理、批 准监督、监控审查和沟通咨询六个方面的工作目标及 内容； 6 风险管理基本概念 风险：事态的概率及其结果的组合  风险是客观存在  风险管理是指导和控制一个组织相关风险的协调活 动，其目的是确保不确定性不会使企业的业务目 标 发生变化  风险的识别、评估和优化 风险管理的价值  安全措施的成本与资产价值之间的平衡 基于风险的思想是所有信息系统安全保障工作的 核心思想！ 7 常见风险管理模型 内部控制整合框架 （COSO报告）  三个目标：财务报告可靠性、经验效率和效果、合 规性  五个管理要素：内制环境、风险评估、控制活动、 信息与沟通、监控 ISO3100