信息安全管理简要概述.pdfVIP

信息安全管理简要概述

第六章信息安全管理

第⼀节信息安全管理概述

⼀、信息安全管理的内容

1、什么信息安全管理？

通过计划、组织、领导、控制等环节来协调⼈⼒、物⼒、财⼒等资源，以期有效达到组织信息安全⽬标的活动。

2、信息安全管理的主要活动

制定信息安全⽬标和寻找实现⽬标的途径；

建设信息安全组织机构，设置岗位、配置⼈员并分配职责；

实施信息安全风险评估和管理；制定并实施信息安全策略；

为实现信息安全⽬标提供资源并实施管理；

信息安全的教育与培训；信息安全事故管理；信息安全的持续改进。

3、信息安全管理的基本任务

（1）组织机构建设（2）风险评估（3）信息安全策略的制定和实施

（4）信息安全⼯程项⽬管理（5）资源管理

◆（1）组织机构建设

★组织应建⽴专门信息安全组织机构，负责：

①确定信息安全要求和⽬标；②制定实现信息安全⽬标的时间表和预算

③建⽴各级信息安全组织机构和设置相应岗位④分配相应职责和建⽴奖惩制度

⑤提出信息安全年度预算，并监督预算的执⾏⑥组织实施信息安全风险评估并监督检查

⑦组织制定和实施信息安全策略，并对其有效性和效果进⾏监督检查

⑧组织实施信息安全⼯程项⽬⑨信息安全事件的调查和处理

⑩组织实施信息安全教育培训⑾组织信息安全审核和持续改进⼯作

★组织应设⽴信息安全总负责⼈岗位，负责：

①向组织最⾼管理者负责并报告⼯作②执⾏信息安全组织机构的决定

③提出信息安全年度⼯作计划④总协调、联络

◆（2）风险评估

★信息系统的安全风险

信息系统的安全风险，是指由于系统存在的脆弱性，⼈为或⾃然的威胁导致安全事件发⽣的可能性及其造成的影响。

★信息安全风险评估

是指依据国家有关信息技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可⽤性等安全属性进⾏科学

评价的过程

它要评估信息系统的脆弱性、信息系统⾯临的威胁以及脆弱性被威胁源利⽤后所产⽣的实际负⾯影响，并根据安全事件发⽣的

可能性和负⾯影响的程度来识别信息系统的安全风险。

★信息系统安全风险评估的总体⽬标是：

服务于国家信息化发展，促进信息安全保障体系的建设，提⾼信息系统的安全保护能⼒。

★信息系统安全风险评估的⽬的是：

认清信息安全环境、信息安全状况；有助于达成共识，明确责任；采取或完善安全保障措施，使其更加经济有效，并使信息安

全策略保持⼀致性和持续性。

★信息安全风险评估的基本要素

使命：⼀个单位通过信息化实现的⼯作任务。

依赖度：⼀个单位的使命对信息系统和信息的依靠程度。

资产：通过信息化建设积累起来的信息系统、信息、⽣产或服务能⼒、⼈员能⼒和赢得的信誉等。

价值：资产的重要程度和敏感程度。

威胁：⼀个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画：威胁的主体（威胁源）、

能⼒、资源、动机、途径、可能性和后果。

脆弱性：信息资产及其防护措施在安全⽅⾯的不⾜和弱点。脆弱性也常常被称为漏洞。

风险：由于系统存在的脆弱性，⼈为或⾃然的威胁导致安全事件发⽣的可能性及其造成的影响。它由安全事件发⽣的可能性及

其造成的影响这两种指标来衡量。

残余风险：采取了安全防护措施，提⾼了防护能⼒后，仍然可能存在的风险。

安全需求：为保证单位的使命能够正常⾏使，在信息安全防护措施⽅⾯提出的要求。

安全防护措施：对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯

罪⽽实施的各种实践、规程和机制的总称。

★信息安全风险评估的标准制定⼯作

2004年全国信息安全标准化技术委员会将《信息安全风险评估指南》列⼊2005年度国家信息安全标准制定⼯作计划中,将《信

息安全风险管理指南》列⼊国家信息安全标准研究⼯作规划中。

⽬前《信息安全风险评估指南》已完成评审,报国家标准管理委员会颁布

国信办已以国信【2006】9号⽂的形式发各部委和省市

★《信息安全风险评估指南》主要内容

规定了信息安全风险评估的⼯作流程、评估内容、评估⽅法和风险判断准则；

介绍了风险评估的定义、风险评估的模型以及风险评估的实施过程；

详细描述了对资产、威胁和脆弱性的识别⽅法；

描述了风险评估在信息系统⽣命周期中的作⽤；描述了风险评估的不同形式；

在附件中介绍了信息安全风险评估的⽅法、⼯具和实施案例

◆（3）信息安全策略的制定和实施

策略：解决某⼀⽅⾯问题的⽬的、范围、流程、准则的集合

信息安全策略⽂件

就每⼀个策略建⽴实施计划，落实所需资源

策略发布后，实施培训

策略的评审和修订

◆（4）信息安全⼯程项⽬管理

需求分析；规划⽴项；实施；验收；⼯程监理

◆（5）资源管理

信息安全预算；