信息安全系统体系整理.pdf

word 一、总论1.什么是信息安全管理，为什么需要信息安全管理？ 信息安全管理是组织为实现信息安全目标而进展的管理活动，是组织完整的管理体系中的 一个重要组成局部，是为保护信息资产安全，指导和控制组织的关于信息安全风险的相互协 调的活动。信息安全管理是通过维护信息的某某性、完整性和可用性等，来管理和保护组织 所有信息资产的一系列活动。 信息、信息处理过程与对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息 的某某性、完整性 和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都 是至关重要的。 由于信息具有易传输、易扩散、易破损的特点，信息资产比传统资产更加 脆弱，更易受到损害，信息与信息系统需要严格管理和妥善保护。 2.系统列举常用的信息安全技术？ 密码技术、访问控制和鉴权；物理安全技术：环境安全、设备安全、人员安全；网络安全技 术：防火墙、VPN 、入侵检测/入侵防御、安全网关；容灾与数据备份 3.信息安全管理的主要内容有哪些？ 信息安全需求是信息安全的出发点，它包括某某性需求、完整性需求、可用性需求、抗抵赖 性、真实性需求、可控性需求和可靠性需求等。信息安全管理X 围是由信息系统安全需求 决定的具体信息安全控制点，对这些实施适当的控制措施可确保组织相应环节的信息安全， 从而确保组织整体的信息安全水平。信息安全控制措施是指为改善具体信息安全问题而设置 技术或管理手段，信息安全控制措施是信息安全管理的根底。 4.什么是信息安全保障体系，它包含哪些内容？(见一、3 图) 5.信息安全法规对信息安全管理工作意义如何？ 法律法规是组织从事各种政务、商务活动所处社会环境的重要组成局部，它能为信息安全提 供制度保障。信息安全法律法规的保障作用至少包含以下三方面： 3.保障信息安全活动参与各方的合法权益，为人们追求合法权益提供了依据和手段 二、信息安全风险评估 1. 什么是信息安全风险评估？它由哪些根本步骤组成？ 信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统与由其处理、传输和 存储的信息的某某性、完整性和可用性等安全属性进展评价的过程。 风险评估可分为四个阶段，第一阶段为风险评估准备；第二阶段为风险识别，第三阶段为风 险评价，第四阶段为风险处理。 2. 信息资产可以分为哪几类？请分别举出一两个例子说明。 根据ISO/IEC 13335-1,资产是指任何对组织有价值的东西，资产包括：物理资产、信息/数据 、 1 / 13 word 软件、提供产品和服务的能力〔注：供给能力〕、人员、无形资产〔商标等〕。 3. 威胁源有哪些？其常见表现形式分别是什么？ 4. 请解释以下名词： 〔1〕资产；资产是指任何对组织有价值的东西〔二、2〕 〔2〕威胁；威胁是可能对资产或组织造成损害的潜在原因。 〔3〕脆弱点；脆弱点是一个或一组资产所具有的，可能被威胁利用对资产造成损害的薄弱 环节。 〔4〕风险；信息安全风险是指威胁利用利用一个或一组资产的脆弱点导致组织受损的潜在， 并以威胁利用脆弱点造成的一系列不期望发生的事件〔或称为安全事件〕来表现 〔5〕影响。影响是威胁利用资产的脆弱点导致不期望发生事件的后果。这些后果可能表现 为直接形式 5. 风险评估方法分为哪几种？其优缺点分别是什么？ 常见的风险评估方法有三种：基线风险评估方法详细风险评估方法综合风险评估方法 基线评估的优点是： (1) 风险分析和每个防护措施的实施管理只需要最少数量的资源，并且在选择防护措施时花 费更少的时间和努力； (2) 如果组织的大量系统都在普通环境下运行并且如果安全需要类似，那么很多系统都可以 采用一样或相似的基线防护措施而不需要太多的努力。 基线评估的的缺点是： 基线水平难以设置(2)风险评估不全面、不透彻，且不易处理变更。 详细评估的优点是： (1) 有可能为所有系统识别出适当的安全措施； (2) 详细分析的结果可用于安全变更管 理。 详细评估的缺点：需要更多的时间、努力和专业知识。 综合评估方法将基线和详细风险评估的优势结合起来，既节省了评估所消耗的资源，又能确 保获得一个全面系统的评估结果，而且，组织的资源和资金能够应用到最能发挥作用的地方， 具有高风险的信息系统能够被预先关注。综合评估也有缺点：如果初步的高级风险分析不够 准确，某些本来需