信息安全体系规划与建立 文档资料.ppt

? 风险评估（五） ? 风险评估的基本过程 风险评估完整的过程模型 ? 风险评估（八） ? 风险消减 ? 确定风险消减策略 ? 选择安全措施 ? 制定安全计划 ? 实施安全计划 ? 检查和测试 ? 风险评估（九） ? 风险控制 ? 维护 ? 监视 ? 事件响应 ? 安全意识、培训和教育 ? 再评估与认证 ? 风险管理的跟进活动 ? 配置管理 ? 变更管理 ? 业务连续性计划和灾难性恢复计划 ? 信息安全服务过程 ? 信息安全服务概述 ? 信息安全服务模型 ----P-PADIS-T ? 信息安全服务分类 ? 信息安全服务过程详解 ? 安全策略 ? 准备阶段 ? 评估阶段 ? 设计阶段 ? 实施阶段 ? 支持阶段 ? 安全培训 ? 信息安全服务的有效保障 ? 信息安全服务概述 ? 对于信息安全建设，现在更为有效也更切合实际的，就是基 于服务的工程化方法。 ? 基于服务的信息安全建设方案，侧重点不再是技术产品，而 是组织不断发展变化的安全需求，这种需求是建立在对组织 业务及信息系统充分了解的基础之上的。 ? 帮助组织建立和巩固完善的信息安全体系的一系列活动都属 于安全服务的范畴。 ? 信息安全服务模型 —— P-PADIS-T （一） ? P-PADIS-T 分别代表的是 Policy （策略）、 Preparation （准备）、 Assessment （评估）、 Design （设计）、 Implement （实施）、 Support （支持）和 Training （培训）的首字母缩写 ? 中心思想是：以安全策略为核心，以准备、评估、设计、实施和支持等环节 的阶段性服务活动为途径，以培训为保障的完整的信息安全服务解决方案。 ? P-PADIS-T 信息安全服务体系模型 信息安全体系规划 与建设概述 信息安全体系规划与建设 ? 信息安全概述 ? 信息安全体系建设 ? 风险管理 ? 信息安全服务过程 ? 可供借鉴的范围和标准 ? 信息安全概述 ? 信息和信息安全 ? 组织的信息安全需求来源 ? 怎样实现信息安全 ? 信息安全技术 ? 信息安全管理 ? 对信息安全的正确认识 ? 信息和信息安全（一） ? 什么是信息 ? 信息是通过在数据上施加某些约定而赋予这些数据的特 殊含义。 ? 通常情况下，可以把信息可以理解为消息、信号、数据、 情报和知识 。 ? 对现代企业来说：信息是一种资产，可以通过媒介传播。 ? 信息和信息安全（二） ? 什么是信息安全 ? 保护信息系统的硬件、软件及相关数据，使之不因为偶 然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系 统能够连续、可靠、正常地运行。 ? 信息安全的任务：采取措施（技术手段及有效管理）让 信息资产免遭威胁，或者将威胁带来的后果降到最低程 度。 ? 信息和信息安全（三） ? 信息安全要素 ? 现代信息安全通常强调所谓 CIA 三元组的目标，即保密性、完整 性和可用性。 ? 除了 CIA ，信息安全还有一些其他原则，包括可追溯性、抗抵赖 性、真实性、可控性等 。 ? 组织的信息安全需求来源 ? 法律法规与合同条约的要求 ? 组织的原理、目标和规定 ? 风险评估的结果（风险评估是信息安全管理的基础） ? 怎样实现信息安全－－技术路线 ? 信息安全技术包括以下这些技术 ? 物理安全 ? 系统安全 ? 网络安全 ? 应用安全 ? 数据安全 ? 认证授权 ? 访问控制 ? 扫描评估 ? 审计跟综 ? 病毒防护 ? 备份恢复 ? 安全管理 ? 怎样实现信息安全－－管理路线 ? 信息安全管理 ? 解决信息及信息系统的安全问题，取决于两个因素，一个是技术， 另一个是管理。 ? 信息安全管理（ Information Security Management ）作为组织完 整的管理体系中一个重要的环节，构成了信息安全具有能动性的 部分，是指导和控制组织的关于信息安全风险的相互协调的活动， 其针对对象就是组织的信息资产。 ? 安全管理也要解决组织、制度和人员这三方面的问题 ? 对信息安全的正确认识 ? 对信息安全的错误观念 ? 网络安全和信息安全的概念混淆 ? 重视技