信息安全管理概论.pptxVIP

第一章 信息安全管理概述目 录Contents Page 01 信息安全管理引入与内涵 02 信息安全管理内容 03 信息安全管理重要性 04 信息安全管理发展及相关标准第一章 信息安全管理概述课程目的本课程是以信息安全管理基本理论为基础，以信息安全管理体系为内容框架，讲解信息安全管理体系的建设内容及其实施技术方法，并紧扣学科发展前沿，介绍信息安全管理领域的新知识、新信息。第一章 信息安全管理概述第一节 信息安全管理引入与内涵1.1.1 信息安全管理的引入信息安全发展过程及阶段 １）通信保密时代：二十世纪40-50年代　时代标志：1949香农发表的《保密通信的信息理论》２）计算机安全时代：二十世纪70-80年代　时代标志：《可信计算机评估准则》（TCSEC）３）网络安全时代：二十世纪90年代４）信息安全保障时代：进入二十一世纪　时代标志：《信息保障技术框架》（IATF ）。第一章 信息安全管理概述第一节 信息安全管理引入与内涵1.1.1 信息安全管理的引入信息安全发展过程及阶段第一章 信息安全管理概述第一节 信息安全管理引入与内涵1.1.2 信息安全管理的内涵孔茨：管理就是设计和保持一种良好环境，使人在群体里高效率地完成既定目标。管理追求效益效率第一章 信息安全管理概述第一节 信息安全管理引入与内涵1.1.2 信息安全管理的内涵法约尔：管理是所有的人类组织（不论是家庭、企业或政府）都有的一种活动，这种活动由五项要素组成：计划、组织、指挥、协调和控制。管理就是实行计划、组织、指挥、协调和控制。管理是一个由计划、组织、人事、领导和控制组成的完整的过程。第一章 信息安全管理概述第一节 信息安全管理引入与内涵1.1.2 信息安全管理的内涵彼得?F?德鲁克：归根到底，管理是一种实践，其本质不在于“知”而在于“行”，其验证不在于逻辑，而在于成果；其唯一权威就是成就。管理强调结果 第一章 信息安全管理概述第一节 信息安全管理引入与内涵1.1.2 信息安全管理的内涵管理活动的五个基本要素（1）谁来管：管理主体，回答由谁管的问题；（2）管什么：管理客体，回答管什么的问题；（3）怎么管：组织的目的要求，回答如何管的问题；（4）靠什么管：组织环境或条件，回答在什么情况下管的问题。（5）管得怎么样：管理能力和效果，回答管理成效问题。第一章 信息安全管理概述第一节 信息安全管理引入与内涵1.1.2 信息安全管理的内涵信息安全管理：是通过维护信息的机密性、完整性和可用性等，来管理和保护信息资产的一项体制，是对信息安全保障进行指导、规范和管理的一系列活动和过程。信息安全管理是信息安全保障体系建设的重要组成部分 。第一章 信息安全管理概述第二节 信息安全管理内容ISO/IEC 27002:2005《信息安全管理实用规则》（即GB/T 22081-2008）给出了一个信息安全管理范围的划分方法，其将信息安全管理范围划分为11个管理方面。第一章 信息安全管理概述第二节 信息安全管理内容第一章 信息安全管理概述第三节 信息安全管理重要性现实世界里很多安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的。安全技术只是信息安全控制的手段，要让安全技术发挥应有的作用，必然要有适当的管理程序的支持，否则，安全技术只能趋于僵化和失败。如果说安全技术是信息安全的构筑材料，信息安全管理就是真正的粘合剂和催化剂，只有将有效的安全管理从始至终贯彻落实于安全建设的方方面面，信息安全的长期性和稳定性才能有所保证。第一章 信息安全管理概述第三节 信息安全管理重要性信息安全是“三分技术，七分管理”由此可见：解决信息及信息系统的安全问题不能只局限于技术，更重要的还在于管理。第一章 信息安全管理概述第四节 信息安全管理发展及相关标准信息安全管理的发展大体经历了“零星追加时期”和“标准化时期”两个阶段，九十年代中期可以看作这两个阶段的分界。具体经历了如下三个阶段：（1）制订信息安全发展战略和计划（2）加强信息安全立法，实现统一和规范管理（3）步入标准化与系统化管理时代第一章 信息安全管理概述第四节 信息安全管理发展及相关标准第一章 信息安全管理概述第四节 信息安全管理发展及相关标准信息安全管理实施建议与指导类标准ISO/IEC13335-1:1996《IT安全的概念与模型》 ISO/IEC13335-2:1997《IT安全管理与策划》 ISO/IEC13335-3:1998《IT安全管理技术》 ISO/IEC13335-4:2000《防护措施的选择》 ISO/IEC13335-5:2001《网络安全管理指南》第一章 信息安全管理概述第四节 信息安全管理发展及相关标准信息安全管理实施建议与指导类标准