43信息系统安全管理导学案-教科版高一信息技术必修二(1).docx

4.3信息系统安全管理

【学习目标】

1.了解信息系统安全的范围和管理措施。

2.能够根据机构的安全策略选择适当的信息安全技术。

3.能够针对业务或机构的实际情况进行信息系统安全管理设置。

4.树立安全技术与安全管理相结合的意识。

【知识框架】

信息系统安全事件发生的原因：

1.信息设备使用人员不足。

2.设备使用人员不当。

3.不法分子攻击。

知识点1：信息系统安全管理标准

1.国际标准组织与国际电工委员会：ISO/IEC27000系列

2.（信息技术·安全技术·信息安全管理体系时间准则）

知识点2：内部人员安全管理

主要包括以下几个方面：

1.对工作申请者实施检查；

2.签订雇佣合同和协议；

3.加强在职人员的管理；

4.严格控制人员离职程序，立即离职者的访问。

知识点3：安全管理的阶段

信息系统安全管理可划分为阶段、阶段和阶段。

所属阶段

校园安全防护

信息系统安全管理

事先防御

围墙隔离

门卫核查

特殊接送

网络、控制、传输

实时监测

视频监控

保卫巡逻

火灾探测

病毒、入侵、系统/用户行为监控

事后响应

报警、急救

事故认定、问责

修复、加固

报警、急救

取证、问责

修复、加固

知识点4：技术与管理

360企业安全集团董事长齐向东在第五届中国互联网安全大会上发言，“在过去十二个月里，85%的网络安全事件来自内部人的疏忽、大意和故意，还是关键”。

““万物皆变，人是安全的尺度”。也就是说，人，对起着决定性作用。”齐向东说。

对待技术和管理的应该有充分理性的认识，技术是实现安全目标的，管理是选择、实施、使用、维护、审查包括技术措施在内的安全手段的整个，是实现信息安全目标的必由之路。

知识点5：信息系统安全管理策略

信息系统安全的重点会随着信息系统使用者的不同而发生变化，进而影响到对信息系统安全管理策略的。

1.对于个体而言，需做好的保护，尤其是的安全，防止非授权用户访问或破坏数据。

2.对运营者而言，需做好的防护，保护和控制他人对本地网络的访问等操作，防止黑客的攻击。

3.对企业而言，需保护商业利益数据安全，采取策略，尤其是数据库、重要文件等。

4.对国家而言，需对信息传播进行合理和防堵，防止非法泄露。

知识点6：信息系统安全管理模型

信息系统安全必须从考虑，做到遵循有计划、有目标、发现问题、分析问题、采取措施解决问题、后续监督避免再现的管理思路，建立一套完整的信息系统安全管理体系。

信息系统安全管理模型图

知识点7：安全管理决策要点

信息系统安全管理决策要点：

1.制定信息安全管理和多层次安全，为各项信息安全管理活动提供指引和支持。

2.通过评估来充分发掘真实的信息安全需要。

3.遵循为主的理念。

4.加强人员的安全和安全。

5.足够重视并提供切实有效的。

6.持有管理、持续改进的思想。

7.以持续发展为目标，达成信息安全控制力度、使用便利性以及成本投入间的平衡。

【课后练习】

1.信息安全管理领域权威的标准是（）

A.GB/T233312009B.ISO17799/ISO/IEC27002

C.ISO9001 D.ISO14001

2.就信息系统安全管理的阶段而言，下列属于事先防御阶段措施的是（）

A.漏洞修复B.病毒监测C.事故取证D.加密传输

3.就信息系统安全管理的阶段而言，下列属于实时监测阶段措施的是（）

A.漏洞修复B.网络隔离C.入侵检测D.访问控制

4.信息系统安全管理的阶段不包括（）

A.事前防御B.实时监测C.事后响应D.事中处理

5.ISO17799/ISO27001最初是由哪个国家提出的信息安全管理标准？（）

A.美国B.澳大利亚C.英国D.中国

6.关于信息系统安全管理决策要点，（）表述错误。

A.制定信息安全管理方针和多层次的安全策略，以便为各项信息安全管理活动提供指引和支持

B.遵循治理为主，预防为辅的理念

C.加强人员的安全意识和安全教育

D.持有动态管理、持续改进的思想

7.为降低内部员工人为带来的差错、盗窃、欺诈及滥用设施的风险，避免引发法律风险，相关部门应该采取措施，加强内部人员安全管理，说法正确的是（）

A.对工作申请者实施背景检查

B.签订雇佣合