信息安全管理.pdfVIP

1、信息安全定义：在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软

件和数据不因偶然和恶意的原因而遭至破坏、更改和泄露;

2、信息安全的内容：实体安全、运行安全、信息安全、管理安全;

3、信息安全管理是通过维护信息的机密性、完整性和可用性等,来管理和保护信息资产的一

项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过程;

信息安全管理是信息安全保障体系建设的重要组成部分;

4、信息安全管理的内容：安全方针和策略；组织安全；资产分类与控制；人员安全；物理

与环境安全；通信、运行与操作安全；访问控制；系统获取、开发与维护；安全事故管理；

业务持续性；符合性;

5、信息安全技术体系：基础支撑技术：密码技术、认证技术、访问控制理论；被动防御技

术：IDS、密罐、数据备份与恢复；主动防御技术：防火墙、VPN、计算机病毒查杀；面向

管理的技术：安全网管系统、网络监控、资产管理;

6、建立ISMS的步骤：信息安全管理体系的策划与准备；信息安全管理体系文件的编制；

建立信息安全管理框架；信息安全管理体系的运行；信息安全管理体系的审核与评审

7、信息安全管理体系InformationSecurityManagementSystem,ISMS是组织在整体或特定范

围内建立的信息安全方针和目标,以及完成这些目标所用的方法和手段所构成的体系;

8、ISMS的作用：强化员工的信息安全意识,规范组织信息安全行为；促使管理层贯彻信息

安全保障体系；对关键信息资产进行全面系统的保护,维持竞争优势；确保业务持续开展并

将损失降到最低程度；使组织的生意伙伴和客户对组织充满信心；如果通过体系认证,可以

提高组织的知名度与信任度;

9、三种基本测评方法：访谈Interview、检查Examine、测试Test

1访谈的对象是人员;

典型的访谈包括：访谈信息安全主管、信息系统安全管理员、系统管理员、网络管理员、人

力资源管理员、设备管理员和用户等;

工具：管理核查表checklist;

适用情况：对技术要求,使用‘访谈’方法进行测评的目的是为了了解信息系统的全局性包

括局部,但不是细节、方向/策略性和过程性信息,一般不涉及到具体的实现细节和具体技术措

施；对管理要求,访谈的内容应该较为详细和明确的;

2检查包括：评审、核查、审查、观察、研究和分析等方式;

检查对象包括文档、机制、设备等;

工具：技术核查表checklist;

适用情况：对技术要求,‘检查’的内容应该是具体的、较为详细的机制配置和运行实现；

对管理要求,‘检查’方法主要用于规范性要求检查文档;

3测试包括：功能/性能测试、渗透测试等;

测评对象包括机制和设备等;

测试一般需要借助特定工具：扫描检测工具、网络协议分析仪、攻击工具、渗透工具;

适用情况：对技术要求,‘测试’的目的是验证信息系统当前的、具体的安全机制或运行的

有效性或安全强度；对管理要求,一般不采用测试技术;

10、信息安全管理体系建立步骤：信息安全管理体系的策划与准备；信息安全管理体系文件

的编制；建立信息安全管理框架；信息安全管理体系的运行；信息安全管理体系的审核与评

审;

11、信息安全风险评估的要素：资产、威胁、脆弱点

资产Asset就是被组织赋予了价值、需要保护的有用资源;

资产、威胁、脆弱点之间的关系略;

12、基本风险评估又称基线风险评估BaselineRiskAssesment,是指应用直接和简易的方法达

到基本的安全水平,就能满足组织及其业务环境的所有要求;

详细风险评估要求对资产、威胁和脆弱点进行详细识别和评价,并对可能引起风险的水平进

行评估,这通过不期望事件的潜在负面业务影响评估和他们发生的可能性来完成;

联合风险评估首先使用基本风险评估,识别信息安全管理体系范围内具有潜在高风险或对业

务运作来说极为关键的资产,然后根据基本风险评估的结果,将信息安全管理体系范围内的资

产分成两类;

13、风险评估可分为四个阶段：

第一阶段为风险评估准备；

第二阶段为风险识别,包括资产识别、威胁识别、脆弱点识别等工作；

第三阶段为风险评价,包括风险的影响分析、可能性分析以及风险的计算等,具体涉及到资产、

威胁、脆弱点、当前安全措施的评价等；

第四阶段为风险处理,主要工作是依据风险评估的结果选取适当的安全措施,将风险降低到可

接受的程度;

14、某企业有三个网络系统：研发、生产与销售；系统的保密性、完整性、可用性均定性划

分为低1、中2、高3三个等级；PO、PD均划分为5级,并赋予以下数值：很低0.1、低0.3、