信息安全管理基础.ppt

信息平安管理根底;本章内容;;信息平安现状;黑客攻击猖獗;平安事件

每年都有上千家政府网站被攻击

平安影响

任何网络都可能遭受入侵;系统的定义：;信息平安管理覆盖的内容非常广泛，涉及到信息和网络系统的各个层面，以及生命周期的各个阶段。不同方面的管理内容彼此之间存在着一定的关联性，它们共同构成一个全面的有机整体，以使管理措施保障到达信息平安的目，这个有机整体被称为信息平安管理体系。;物理层面;定义：信息平安管理体系〔InformationSecurityManagementSystem，ISMS〕是组织在整体或特定范围内建立的信息平安方针和目标，以及完成这些目标所用的方法和手段所构成的体系；信息平安管理体系是信息平安管理活动的直接结果，表示为方针、原那么、目标、方法、方案、活动、程序、过程和资源的集合。;建立信息平安管理体系的意义;

强化员工的信息平安意识，标准组织信息平安行为；

促使管理层贯彻信息平安保障体系；

对组织的关键信息资产进行全面系统的保护，维持竞争优势；

在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；

使组织的生意伙伴和客户对组织充满信心；

如果通过体系认证，说明体系符合标准，证明组织有能力保障重要信息，可以提高组织的知名度与信任度。;ISO27001是建立和维护信息平安管理体系的标准，它要求应该通过这样的过程来建立ISMS框架：确定体系范围，制定信息平安侧率，明确管理职责，通过风险评估确定控制目标和控制方式。

ISO27001非常强调信息平安管理过程中文件化的工作，ISMS的文件体系应该包括平安策略、适用性声明〔选择和未选择的控制目标和控制措施〕、实施平安控制所需的程序文件、ISMS管理和操作程序，以及组织围绕ISMS开展的所有活动的证明材料。;信息平安管理的根本原那么;;标准定级原那么;以人为本原那么;适度平安原那么;全面防范、突出重点的原那么;系统、动态原那么;控制社会影响原那么;分权制衡策略;最小特权策略;;普遍参与策略;信息平安管理的目标如下：;信息平安管理内容;;信息平安方针与策略;平安方针和策略;资金投入管理;信息平安规划;信息平安人员和组织;在人员和组织管理方面，最根本的管理包括：;基于信息系统各个层次的平安管理;环境和设备平安;网络和通信平安;主机和系统平安;应用和业务平安;数据平安;基于信息系统生命周期的平安管理;信息系统平安和信息系统本身的三同步;工程工程平安管理;日常运行与维护的平安管理;配置管理和变更管理;文档化和流程标准化;;风险管理;业务连续性管理;符合性审核;信息平安管理体系构成;;方针与策略管理;风险管理;人员与组织管理;环境与设备管理;网络与通信平安;主机与系统管理;应用与业务管理;数据/文档/介质管理;工程工程管理;运行维护管理;业务连续性管理;合规性管理;12项信息平安管理类的作用关系;12项信息平安管理类的作用关系;12项信息平安管理类的作用关系;12项信息平安管理类的作用关系;12项信息平安管理类的作用关系;第二节信息平安管理标准;BS7799简介;BS7799开展历程;BS7799的内容;信息平安管理实施细那么将信息平安管理内容划分为11个方面，39个控制目标，133项控制措施，供信息平安管理体系实施者参考使用，这11个方面包括：

1、平安策略〔SecurityPolicy〕

2、组织信息平安(OrganizingInformationSecurity)

3、资产管理(AssetMangement)

4、人力资源平安(HumanResourcesSecurity)

5、物理与环境平安(PhysicalandEnvironmentalSecurity);6、通信与操作管理(CommunicationandOperationManagement)

7、访问控制(AccessControl)

8、信息系统获取、开发与维护(InformationSystemsAcquisition,DevelopmentandMaintenance)

9、信息平安事件管理(InformationSecurityIncidentManagement)

10、业务连续性管理(BusinessContinuityManagement)

11、符合性(Compliance);平安策略：包括信息平安策略文件和信息平安策略复查。

组织平安：包括在组织内建立发起和控制信息平安实施的管理框架；维护被外部伙伴访问、处理和管理的组织的信息，处理设施和信息资产的平安。

资产管理：包括建立资产清单、进行信息分类与分级

人力资源平安：包括岗位平安责任和人员录用平安要求，平安教育与培训，平安意识，离职及变更职位等。;物理与