- 1、本文档共46页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
③第10章信息系统的安全策略
10. 1信息系统安全策略的内涵
10. 2信息系统安全策略的方案
10. 3信息系统安全管理的实施
10. 4系统备份和恢复
10. 5审计与评估
③10/1信息系统安全策略的内涵
③10/1信息系统安全策略的内涵
10. 1. 1安全策略是安全管理的指导原则
10. 1. 2安全策略的目的与内容
10.1. 3安全策略的基本流程
10. 1. 4安全策略的特征
10. 1. 5与信息安全策略有关的名词简介
③10/1信息系统安全策略的内涵
③10/1信息系统安全策略的内涵
?信息安全策略(Information Security Policies)^是对信息
安全管理系统 (information security management system
ISMS )的目的和意图的高层次描述。
?安全策略应符合业务需求和相关法律、法规,应能提供管理 的方向和支持。安全策略形成的文件应获得管理层的批准, 应与内外部相关的团体、部门沟通并向所有员工发布,应按 计划或变化进行评审和改进,确保策略的持续性、稳定性、 充分性与有效性。
?概括地讲,安全策略为确保ISMS的“安全”,提供ISMS “资 源与现状”的“需求”、提出ISMS “目标与原则”的“要求
?实际上的安全管理都是分级、分层次的,所以可以有各级、 各层次的安全策略。
10.1.1
10.1.1安全策略是安全管理的指导原则
?信息安全策略是组织对信息系统安全进行管理、曙护白,扌醫 r
原则。在安全策略的指导下开展安全技术项目、订立安全管
理制度、组织协调实施、监督、检查与改进,并形成为对系
统安全的要求和目标进行详细描述的高层的管理文档。信息 安全策略陈述信息安全系统应该做什么以及如何去做。信息
系统的安全策略是信息安全管理的重要组成部分。没有一个 好的安全策略,就可能对信息安全的指挥发生漏洞与混乱, 对安全造成极大的危害,对社会与经济带来极大的损失。
1. 2安全策略的目的与内容
?安全策略的目的是提供建立、实施、运作、监扌I?评审*f—
护和改进信息安全管理体系(ISMS)的规范,实现信息安全 的机密性、完整性和可用性。
?制定安全策略的目的,是为了保证网络安全保护工作的整体 、计划性及规范性,保证各项措施和管理手段的正确实施, 使网络系统信息数据的机密性、完整性及可使用性受到全面 、可靠的保护。内容主要是确定所保护的对象是什么、要防 范的对象是什么、在安全防范上能投入多少等。
10. 1. 3安全策略的基本流程
10. 1. 3安全策略的基本流程
1、 进行安全需求分析
2、 对网络系统资源进行评估、
3、 对可能存在的风险进行分析
4、 确定内部信息对外开放的种类
5、 明确网络系统管理人员的责任与义务
6、 确定针对潜在风险才去的安全保护措施的主要构成方面
10. 1. 4
10. 1. 4安全策略的特征
?网络的安全问题不是单纯的技术问题,安全管理在整个网貉
安全保护工作中的地位十分重要。任何先进的网络安全技术 都必须在有效、正确的管理控制下才能得到较好的实施。
?安全策略具有下列一些基本特征:
? 1.全面性:安全策略的全面性是指它能够适用于系统的所有 情况,具有不用修改就可以适用于出现的新情况。
? 2.持久性:安全策略的持久性是指它能够较长时间地适用于 系统不断发展变化的情况。为了保持持久性,在制定安全策 略时可将可能发生变化的部分单列,允许有权限的人员在将 来系统变化时修改。
1. 4
1. 4安全策略的特征
?3.现实性:安全策略的现实性是指它能够适用牛4统扁翼用 的现有技术实现。
?4.预见性:安全策略的预见性是指它能够适用于系统的
?5.有效性:安全策略的有效性是指对于系统的有关人员都是 可用的。
O
O
^^10. 1. 5
^^10. 1. 5与信息安全策略有关的名词简介
1.资产(asset ):具有价值的信息与相关财产;
2.保密性(confidentiality ):资产不能被未授权的个人、实体、流 程访问披露。
3.完整性(integrity ):资产的真实、可靠、准确、可确认和不可否认 性。
4.可用性(availability ):信息与相关资产可保证被授权的使用者访 问。
5.信息安全(information security ):信息的保密性、完整性、可用 性及其他属性受到安全保护;
6.管理系统(management system):包括组织结构、策略、指导、职责 、实践、程序、流程和资源的整体。
7. 信息安全管理系统 (informa.tion security management system ISMS ):建立在信息安全的基础上,以开发、实施、运行、评审、维护 和改进信息安全的管理系统
文档评论(0)