《信息安全导论》_第9章 信息安全管理.pptxVIP

案例引入

计算机犯罪

三重要的信息安全法律

四信息安全管理的具体方法;

内网主机防火墙防火墙

Intemet;

内网主机防火墙防火墙

Intemet

精心设计的网络防御体系，因违规外连形同虚设;

信息安全管理需求人在信息系统中具有重要的作用。;

三分技术，七分管理

■据有关统计，信息安全事件中大约有70%以上的问题都是由于管理方面的

原因造成的。;

■仅通过技术手段实现的安全能力是有限的，只有有效的安全管理，才能确

保技术发挥其应有的安全作用，真正实现设备、应用、数据和人这个整体的安全。;

信息安全研究的内容主要分为信息安全技术和信息安全管理。

■信息安全技术层面

建设安全的主机系统和安全的网络系统，包括物理层安全、系统层安全、网络层安全和应用层安全等

配备一定的安全技术和产品，如数据加密产品、数据存储备份产品、系统容错产品、

防病毒产品、安全网关产品等

■信息安全管理层面

构建信息安全管理体系;

■信息安全管理(InformationSecurityManagement):组织为了实现信息安全目标和信息资产保护，用来指导和管理各种控制信息安全风险的、一组相互协调的活动。

■信息安全管理对象：组织的信息及相关资产，包括信息、人员、软件等，同时还包括信息安全目标、信息安全组织架构、信息安全策略规则等。

■信息安全管理最终目标：将系统(即管理对象)的安全风险降低到用户可接受的程度，保证系统的安全运行和使用。;

12.1信息安全管理体系

■为了构建良好的信息安全管理体系(InformationSecurityManagement

System,ISMS),我们通常采用PDCA信息安全管理模型。

■PDCA管理模型是由美国著名质量管理专家戴明博士提出，故又称为“戴明循环”或“戴明环”。

·安全管理模型遵循管理的一般循环模式，但是随着新的风险不断出现，系统的安全需求也在不断变化，安全问题是动态的。因此，安全管理应该也是一个不断改进的持续发展过程。;

·PDCA管理模型实际上是指有效地进行任何一项工作的合乎逻辑的工作程序。

·它包括计划(Plan)、执行(Do)、检查(Check)和行动(Action)的持续改进模式。

·每次循环都会通过检查环节发现新的问题，然后采取行动

予以改进，从而形成了安全管理策略和活动的螺旋式提升。

A

C;

行动阶段也可以称之为处理阶段，依据上

述检查结果，对现有信息安全管理策略的

适宜性进行评审与评估，评价现有信息安

全管理体系的有效性。对成功的经验加以

肯定并予以规范化、标准化，指导今后的

工作，对于失败的教训也进行总结，避免

再出现。

,安排工作进度，形成工作文件。

AP

CD

在实践中检查、评估工作计划执行后的结

果，包括：制定的安全目标是否合适，是

否符合安全管理的原则，是否符合安全技

术的标准，是否符合法律法规的要求，是

否符合风险控制的指标，控制手段是否能

够保证安全目标的实现等，并报告结果。

检查阶段就是明确效果，找出问题。;

■信息安全管理体系(InformationSecurityManagementSystem,ISMS)

组织以信息安全风险评估为基础的系统化、程序化和文件化的管理体系，包括建立、实

施、运行、监视、评审、保持和改进信息安全等一系列的管理活动。;

信息安全管理的原则

(1)规范化原则：各阶段都应遵循安全规范要求，根据组织安全需求，

制定安全策略。

(2)系统化原则：根据安全工程的要求，对系统各阶段，包括以后的升级、换代和功能扩展进行全面统一地考虑。

(3)综合保障原则：人员、资金、技术等多方面综合保障；

(4)以人为本原则：技术是关键，管理是核心，提高管理人员的技术素养和道德水平。

(5)首长负责原则：只有首长负责才能把安全管理落到实处；;

信息安全管理的原则

(6)预防原则：安全管理以预防为主，并要有一定的超前意识；

(7)风险评估原则：根据实践对系统定期进行风险评估以改进系统的安全状况；

(8)动态原则：根据环境的改变和技术的进步，提高系统的保护能力

(⑨)成本效益原则：根据资源价值和风险评估结果，采用适度的保护措

施。

(10)均衡防护原则：根据“木捅原理”,整个系统的安全强度取决员弱

的一环，片面追求某个方面的安全强度对整个系统没有实际意义。;

信息安全管理是一个过程，而不是一