- 1、本文档共5页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
1、信息安全定义:在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软
件和数据不因偶然和恶意的原因而遭至破坏、更改和泄露;
2、信息安全的内容:实体安全、运行安全、信息安全、管理安全;
3、信息安全管理是通过维护信息的机密性、完整性和可用性等,来管理和保护信息资产的一
项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过程;
信息安全管理是信息安全保障体系建设的重要组成部分;
4、信息安全管理的内容:安全方针和策略;组织安全;资产分类与控制;人员安全;物理
与环境安全;通信、运行与操作安全;访问控制;系统获取、开发与维护;安全事故管理;
业务持续性;符合性;
5、信息安全技术体系:基础支撑技术:密码技术、认证技术、访问控制理论;被动防御技
术:IDS、密罐、数据备份与恢复;主动防御技术:防火墙、VPN、计算机病毒查杀;面向
管理的技术:安全网管系统、网络监控、资产管理;
6、建立ISMS的步骤:信息安全管理体系的策划与准备;信息安全管理体系文件的编制;
建立信息安全管理框架;信息安全管理体系的运行;信息安全管理体系的审核与评审
7、信息安全管理体系InformationSecurityManagementSystem,ISMS是组织在整体或特定范
围内建立的信息安全方针和目标,以及完成这些目标所用的方法和手段所构成的体系;
8、ISMS的作用:强化员工的信息安全意识,规范组织信息安全行为;促使管理层贯彻信息
安全保障体系;对关键信息资产进行全面系统的保护,维持竞争优势;确保业务持续开展并
将损失降到最低程度;使组织的生意伙伴和客户对组织充满信心;如果通过体系认证,可以
提高组织的知名度与信任度;
9、三种基本测评方法:访谈Interview、检查Examine、测试Test
1访谈的对象是人员;
典型的访谈包括:访谈信息安全主管、信息系统安全管理员、系统管理员、网络管理员、人
力资源管理员、设备管理员和用户等;
工具:管理核查表checklist;
适用情况:对技术要求,使用‘访谈’方法进行测评的目的是为了了解信息系统的全局性包
括局部,但不是细节、方向/策略性和过程性信息,一般不涉及到具体的实现细节和具体技术措
施;对管理要求,访谈的内容应该较为详细和明确的;
2检查包括:评审、核查、审查、观察、研究和分析等方式;
检查对象包括文档、机制、设备等;
工具:技术核查表checklist;
适用情况:对技术要求,‘检查’的内容应该是具体的、较为详细的机制配置和运行实现;
对管理要求,‘检查’方法主要用于规范性要求检查文档;
3测试包括:功能/性能测试、渗透测试等;
测评对象包括机制和设备等;
测试一般需要借助特定工具:扫描检测工具、网络协议分析仪、攻击工具、渗透工具;
适用情况:对技术要求,‘测试’的目的是验证信息系统当前的、具体的安全机制或运行的
有效性或安全强度;对管理要求,一般不采用测试技术;
10、信息安全管理体系建立步骤:信息安全管理体系的策划与准备;信息安全管理体系文件
的编制;建立信息安全管理框架;信息安全管理体系的运行;信息安全管理体系的审核与评
审;
11、信息安全风险评估的要素:资产、威胁、脆弱点
资产Asset就是被组织赋予了价值、需要保护的有用资源;
资产、威胁、脆弱点之间的关系略;
12、基本风险评估又称基线风险评估BaselineRiskAssesment,是指应用直接和简易的方法达
到基本的安全水平,就能满足组织及其业务环境的所有要求;
详细风险评估要求对资产、威胁和脆弱点进行详细识别和评价,并对可能引起风险的水平进
行评估,这通过不期望事件的潜在负面业务影响评估和他们发生的可能性来完成;
联合风险评估首先使用基本风险评估,识别信息安全管理体系范围内具有潜在高风险或对业
务运作来说极为关键的资产,然后根据基本风险评估的结果,将信息安全管理体系范围内的资
产分成两类;
13、风险评估可分为四个阶段:
第一阶段为风险评估准备;
第二阶段为风险识别,包括资产识别、威胁识别、脆弱点识别等工作;
第三阶段为风险评价,包括风险的影响分析、可能性分析以及风险的计算等,具体涉及到资产、
威胁、脆弱点、当前安全措施的评价等;
第四阶段为风险处理,主要工作是依据风险评估的结果选取适当的安全措施,将风险降低到可
接受的程度;
14、某企业有三个网络系统:研发、生产与销售;系统的保密性、完整性、可用性均定性划
分为低1、中2、高3三个等级;PO、PD均划分为5级,并赋予以下数值:很低0.1、低0.3、
文档评论(0)