信息系统的安全策略教材.pptxVIP

第10章信息系统的平安策略信息系统平安策略的内涵信息系统平安策略的方案信息系统平安管理的实施系统备份和恢复审计与评估信息系统平安策略的内涵平安策略是平安管理的指导原那么平安策略的目的与内容平安策略的根本流程平安策略的特征与信息平安策略有关的名词简介信息系统平安策略的内涵信息平安策略〔Information Security Policies〕是对信息平安管理系统〔information security management system ISMS 〕的目的和意图的高层次描述。平安策略应符合业务需求和相关法律、法规，应能提供管理的方向和支持。平安策略形成的文件应获得管理层的批准，应与内外部相关的团体、部门沟通并向所有员工发布，应按方案或变化进行评审和改进，确保策略的持续性、稳定性、充分性与有效性。概括地讲，平安策略为确保ISMS的“平安〞，提供ISMS“资源与现状〞的“需求〞、提出ISMS“目标与原那么〞的“要求〞。实际上的平安管理都是分级、分层次的，所以可以有各级、各层次的平安策略。平安策略是平安管理的指导原那么信息平安策略是组织对信息系统平安进行管理、保护的指导原那么。在平安策略的指导下开展平安技术工程、订立平安管理制度、组织协调实施、监督、检查与改进，并形成为对系统平安的要求和目标进行详细描述的高层的管理文档。信息平安策略陈述信息平安系统应该做什么以及如何去做。信息系统的平安策略是信息平安管理的重要组成局部。没有一个好的平安策略，就可能对信息平安的指挥发生漏洞与混乱，对平安造成极大的危害，对社会与经济带来极大的损失。10．1．2 平安策略的目的与内容 平安策略的目的是提供建立、实施、运作、监控、评审、维护和改进信息平安管理体系〔ISMS〕的标准，实现信息平安的机密性、完整性和可用性。制定平安策略的目的，是为了保证网络平安保护工作的整体、方案性及标准性，保证各项措施和管理手段的正确实施，使网络系统信息数据的机密性、完整性及可使用性受到全面、可靠的保护。内容主要是确定所保护的对象是什么、要防范的对象是什么、在平安防范上能投入多少等。10．1．3平安策略的根本流程1、进行平安需求分析2、对网络系统资源进行评估、3、对可能存在的风险进行分析4、确定内部信息对外开放的种类5、明确网络系统管理人员的责任与义务6、确定针对潜在风险才去的平安保护措施的主要构成方面10．1．4 平安策略的特征网络的平安问题不是单纯的技术问题，平安管理在整个网络平安保护工作中的地位十分重要。任何先进的网络平安技术都必须在有效、正确的管理控制下才能得到较好的实施。平安策略具有以下一些根本特征：1. 全面性：平安策略的全面性是指它能够适用于系统的所有情况，具有不用修改就可以适用于出现的新情况。2. 持久性：平安策略的持久性是指它能够较长时间地适用于系统不断开展变化的情况。为了保持持久性，在制定平安策略时可将可能发生变化的局部单列，允许有权限的人员在将来系统变化时修改。10．1．4 平安策略的特征3. 现实性：平安策略的现实性是指它能够适用于系统所采用的现有技术实现。4. 预见性：平安策略的预见性是指它能够适用于系统的5. 有效性：平安策略的有效性是指对于系统的有关人员都是可用的。10．1．5与信息平安策略有关的名词简介1. 资产(asset )：具有价值的信息与相关财产；2. 保密性(confidentiality ) ：资产不能被未授权的个人、实体、流程访问披露。3. 完整性(integrity )：资产的真实、可靠、准确、可确认和不可否认性。 4. 可用性(availability )：信息与相关资产可保证被授权的使用者访问。5. 信息平安(information security )：信息的保密性、完整性、可用性及其他属性受到平安保护；6. 管理系统(management system)：包括组织结构、策略、指导、职责、实践、程序、流程和资源的整体。7. 信息平安管理系统〔information security management system ISMS 〕：建立在信息平安的根底上，以开发、实施、运行、评审、维护和改进信息平安的管理系统。8. 风险分析(risk analysis )：系统化地使用信息识别来源和估计风险。10．2 信息系统平安策略的方案制定信息系统平安策略方案的参考标准信息系统平安策略需要考虑的范围制定信息系统平安策略方案的重点和原那么信息系统平安策略的文档格式电子商务平安策略方案设计模拟制定信息系统平安策略方案的参考标准1. ISO/IEC 27000系列标准：国际标准化组织〔ISO〕与国际电工委员会〔IEC〕从2005年起，陆续修订出信息平安管理系统的ISO/IEC 27000标准族， 成为国际信息平安领域的重要标准，目前已发布和