信息安全管理概论重点.pdfVIP

信息安全管理概论重点--第1页

10档案菲小蝶

信息安全管理概论重点

填空：1’*10名词解释：5’3简答：5’*4判断叙理：5’*5案例分析：10’*1论述题：10’*2

1、国家信息安全管理存在的问题

宏观：（1）法律法规问题。健全的信息安全法律法规体系是确保国家信息安全的基础,是信

息安全的第一道防线.

（2）管理问题。（包括三个层次：组织建设、制度建设和人员意识）

（3）国家信息基础设施建设问题。目前,中国信息基础设施几乎完全是建立在外国的

核心信息技术之上的,导致我国在网络时代没有制网权.2005年度经济人物之首:中国芯创立

者邓中翰.十五期间,国家863计划和科技攻关的重要项目:信息安全与电子政务,金融信息化

两个信息安全研究项目.

微观：（1）缺乏信息安全意识与明确的信息安全方针。

（2）重视安全技术，轻视安全管理。信息安全大约70%以上的问题是由管理

原因造成的.

（3）安全管理缺乏系统管理的思想。

2、信息安全概念

信息安全是指信息的保密性（Confidentiality)、完整性（Integrity)和可用性（Availability)、

真实性、准确性的保持。

信息保密性：保障信息仅仅为那些被授权使用的人获取,它因信息被允许访问对象的多少而

不同.

信息完整性：指为保护信息及其处理方法的准确性和完整性,一是指信息在利用,传输,储存等

过程中不被篡改,丢失,缺损等,另外是指信息处理方法的正确性.

信息可用性：指信息及相关信息资产在授权人需要时可立即获得.系统硬件,软件安全,可读性

保障等.

3、信息安全重要性

a.信息安全是国家安全的需要

国家军事安全、政治稳定、社会安定、经济有序运行

美国与俄罗斯先后推出信息系统保护国家计划和国家信息安全学说

b.信息安全是组织持续发展的需要

任何组织的正常运作都离不开信息资源的支持.组织的商业秘密,系统的正常运行等,信息安

全特性已成为许多组织的服务质量的重要特性之一.

c.信息安全是保护个人隐私与财产的需要

4、如何确定组织信息安全的要求

a.法律法规与合同要求

b.风险评估的结果(保护程度与控制方式)

c.组织的原则、目标与要求

5、传统信息安全管理模式特点

（传统管理模式的弊端与技术手段的局限性）

传统管理模式：静态的、局部的、少数人负责的、突击式的、事后纠正式的

缺点：a、不能从根本上避免和降低各类风险,也不能降低信息安全故障导致的综合损失

b、信息安全技术是信息安全控制不可或缺的重要手段,但单靠技术手段实现安全

的能力是有限的,甚至丧失,信息安全来自:三分技术，七分管理

c、信息安全不能迷信技术,应该在适宜技术条件下加强管理.

6、系统的信息安全管理原则：

信息安全管理概论重点--第1页

信息安全管理概论重点--第2页

10档案菲小蝶

（1）制订信息安全方针原则：制定信息安全方针为信息安全管理提供导向和支持

（2）风险评估原则：控制目标与控制方式的选择建立在风险评估的基础之上

（3）费用与风险平衡原则：将风险降至组织可接受的水平，费用太高不接受

（4）预防为主原则：信息安全控制应实行预防为主，做到防患于未然