信息安全管理提纲.pptVIP

信息安全管理;内容提纲: 信息安全概述 信息安全管理基础 信息安全等级保护与风险评估 信息安全管理 信息安全监督;第一章 信息安全概述;一、前言：危机就在身边 案例1：信用卡账户资料被盗的事件 ;案例2：病毒邮件;“以信息化带动工业化，大力发展信息产业” —网络与信息系统成为国家的关键基础施舍。 存在的问题： 网络攻击，病毒传播，垃圾邮件 网络盗窃、诈骗、敲诈勒索、窃密等 网上色情、暴力 对通信、金融、能源、交通等基础设施的 影响 境内外敌对势力利用网络搞破坏 ;信息安全已经上升为事关国家经济安全、社会稳定的全局性战略问题，是国家安全的重要组成部分。 信息安全＝先进技术＋防患意识＋完美流程＋严格的制度＋优秀的执行团队＋法律保障;二、信息与信息安全 （一）信息与信息资产 信息就是信息，不是物质，也不是能量 广义上：是任何一个事物的运动状态以及运动状态形成的变化，它是一种客观存在。 狭义上：指信息接受主体所感觉到并能被理解的东西。 特点：信息与接受对象以及要达到的目的有关。 信息的价值与接受信息的对象有关。 信息有多种多样的传递手段。 信息在使用中不仅不会被消耗掉，还可以复制。 ISO 13335《信息技术安全管理指南》：信息是通过在数据上施加 某些约定而赋予这些数据特殊含义，信息是无形的，也是一种重要 资产，具有价值，需要保护。 ;（二）信息安全 信息安全的基本属性：保密性、完整性、可用性。 保密性：确保信息在存储、使用、传输过程中不会泄漏给非授权的用户或者实体。 完整性：确保信息在存储、使用、传输过程中不被非授权用户篡改；防止授权用户对信息进行不恰当的篡改；确保信息的内外一致性。 可用性：确保授权用户或者实体对于信息及资源的正常使用不被异常拒绝，允许其可靠而且及时地访问信息及资源。;1、信息安全的发展 通信保密阶段：关注通信内容的保密性 信息安全阶段（信息安全三元组－－CIA） 信息保障阶段 2、信息安全的定义 ISO （国际标准化组织）关于信息安全的定义： 为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。 信息安全保护的对象：信息资产 信息安全的目标就是保密性、完整性和可用性 实现信息安全目标的途径：技术措施+管理措施;3、信息安全模型： PDR 模型：第一个从时间关系描述一个信息系统是否安全的模型。 PPDRR模型：一个完整的信息安全保障体系 4、信息安全保障体系（以安全策略为指导） 安全技术体系 安全组织与管理体系 运行保障体系;三、信息安全政策 （一）我国信息化发展战略与安全保障工作 1、信息化发展战略 2006年，我国发布了《2006—2020年国家信息化发展战略》 2、信息安全保障工作 原则： （二）美国信息安全国家战略 1、出台背景 2、主要内容 3、作用与影响 （三）俄罗斯信息安全学说 1、背景 2、内容;四、信息安全法律体系 （一）我国信息安全法律体系 1、体系结构 2、信息系统安全立法的必要性和紧迫性 （二）法律、法规介绍 1、刑法相关内容 2、治安管理处罚法相关内容;第二章 信息安全管理基础;一、信息安全管理体系 （一）信息安全管理体系定义 （二）信息安全管理体系的基本原则 1、主要领导负责原则 2、规范定级原则 3、以人为本原则 4、适度安全原则 5、全面防范、突出重点原则 6、系统、动态原则 7、控制社会影响原则 安全管理策略：分权制衡，最小特权，选用成熟技术，普遍参与 （三）信息安全管理体系构成 ;二、信息安全管理标准 （一）BS7799（被信息界喻为“滴水不漏的信息安全管理标准”） 1、发展历程 BS7799是英国标准协会（British Standards Institute，BSI）于1995年2月制定的信息安全管理标准，分两个部分，其第一部分于2000年被ISO组织采纳，正式成为ISO/IEC 17799标准。该