信息安全管理.pptVIP

（五）NIST SP 800系列 由美国国家标准技术协会发布，主要内容是针对信息安全技术和管理领域的实践参考指南，包括四项： SP800-12：计算机安全介绍 SP800-30: IT系统风险管理指南 SP800-34: IT系统应急计划指南 SP800-26: IT系统安全自我评价指南 第62页，共103页，编辑于2022年，星期二 （六）ITIL 由英国中央计算机与电信局发布 关于IT服务管理最佳实践的建议和指导方针，目的是解决IT服务质量，是一种基于流程的管理方法，尤其适于企业的IT部门。 其精髓体现为 “一大功能”和“十大流程” ，前者是服务台功能。 第63页，共103页，编辑于2022年，星期二 十大流程： 1、服务支持 2、服务交付 事件管理 服务水平管理 问题管理 可用性管理 变更管理 IT服务财务管理 发布管理 容量管理 配置管理 IT服务持续性管理 第64页，共103页，编辑于2022年，星期二 功能比较 ITIL与BS7799相比：ITIL关注的信息技术更广泛，侧重于具体的实施流程，但缺少信息安全的内容，BS7799可作为ITIL在信息安全方面的补充。 第65页，共103页，编辑于2022年，星期二 （七）CobiT（信息及相关技术控制目标） 美国信息系统审计与控制协会发布 是目前世界上最先进、最权威的安全与信息技术管理和控制标准。主要目的是为业界提供关于IT控制的清晰政策和发展的良好典范。 第66页，共103页，编辑于2022年，星期二 Cobit与ITIL比较： 均关注广泛的IT控制，但是更强调目标要求和度量指标，而后者更关注实施流程。 具体在ISMS的建设上，Cobit的框架和目标、ITIL的流程都可以供BS7799借鉴，BS7799的目标只是ITIL和Cobit的一个分支。 第67页，共103页，编辑于2022年，星期二 第三节 信息安全策略 一、信息安全策略概述 （一）定义：是一种处理安全问题的管理策略的描述，是描述程序目标的高层计划。 安全策略是在效率和安全之间的一个平衡点。 三个基本原则：确定性、完整性、有效性（还应有宏观性） 第68页，共103页，编辑于2022年，星期二 （二）信息安全策略的重要性 （三）指定信息安全策略的时间 任何业务动作过程均有风险，应尽早制定安全策略 无策略的开发，投资和责任都很大 发生过一次的事故很可能会再次发生 从全局考虑，不要把风险孤立对待 第69页，共103页，编辑于2022年，星期二 （四）信息安全策略开发流程（略） 首先要做的是确定保护对象和原因 其次要制定安全策略的目标 流程： 1、确定策略范围 2、风险评估、审计 3、策略的审查、批准和实施 第70页，共103页，编辑于2022年，星期二 二、制定信息安全策略 （一）制定原则 1、先进的网络安全技术是网络安全的根本保证 2、严格的安全管理是确保信息安全策略落实的基础 3、严格的法律、法规是网络安全保障的坚强后盾 第71页，共103页，编辑于2022年，星期二 （二）信息安全策略的设计范围 纵向上分：（略） 总体安全策略 针对特定问题的安全策略 针对特定系统的具体策略 第72页，共103页，编辑于2022年，星期二 横向分：（略） 物理安全策略 灾难恢复策略 网络安全策略 事故处理紧急响应策略 数据加密策略 安全教育策略 病毒防护策略 口令管理策略 数据备份策略 补丁管理策略 身份认证及授权 系统变更控制策略 系统安全策略 复查审计策略 商业伙伴、客户关系策略 第73页，共103页，编辑于2022年，星期二 （三）措施 1、成立国家信息安全与对抗的领导机构 （国家信息政策委员会） 2、建立信息对抗教育防范体系 3、建立信息斗争特种部队 4、发展信息斗争的关键技术和手段 5、改组指挥控制系统，增强战场生存能力 第30页，共103页，编辑于2022年，星期二 第三节 信息安全法律体系 一、信息安全法律体系 （一）体系结构 1.法律体系 部门法 2.政策体系（拘束力、责任） 3.强制性技术标准（强制力） 第31页，共103页，编辑于2022年，星期二 （二）信息系统安全保护法律规范的法律地位 1、信息系统安全立法的必要性和紧迫性 2、信息系统安全保护法律