《信息安全工程学-夏鲁宁》第02讲+信息安全管理与工程.pptxVIP

信息安全工程学 第02讲 信息安全管理与工程 内容提要 “管理”的概念与作用 信息安全管理标准与方法 信息安全工程概述 信息安全工程过程 信息安全工程与其它过程关系 内容提要 “管理”的概念与作用 信息安全管理标准与方法 信息安全工程概述 信息安全工程过程 信息安全工程与其它过程关系 1 “管理”的概念 “管理”是什么？ 管理是指在特定的环境下，管理者通过执行计划、组织、领导、控制等职能，整合组织的各项资源，实现组织既定目标的活动过程 ——管理学原理 （美）达夫特，马西克 管理学（又称管理科学，Management Science）是一门研究人类管理活动规律及其应用的科学。它偏重于用一些工具和方法来解决管理上的问题，如用运筹学、统计学等来定量定性分析。管理的定义为管理者和他人及透过他人有效率且有效能地完成活动的程序 —— Stephen P. Robbins 等，林建煌编译. 现代管理学 1 “管理”的概念 管理是一种有意识，有目的的活动，它服务并服从于组织目标 管理是一个连续进行的活动过程，实现组织目标的过程，就是管理者执行计划组织领导控制等职能的过程。由于这一系列职能之间是相互关联的，从而使得管理过程体现为一个连续进行的活动过程   管理活动是在一定的环境中进行的，在开放的条件下，任何组织都处于千变万化的环境之中，复杂的环境成为决定组织生存与发展的重要因素。 ——管理学原理 （美）达夫特，马西克   我们生活在各种“管理”中 公共事务管理 对自然人：档案、学籍、户口；社会保障制度、劳动法、交通法规…… 对法人：企业法，企业登记注册制度，企业年检，上市审查…… 人力资源管理 员工聘用、培训、考核、晋升、离职、退休 怎么理解“管理”？ 管理是主观的 由个人或集体决策来推动 管理是有明确目的的 信息安全管理：确保信息安全风险水平保持在可接受范围之内 管理以制度的形式施加约束 员工聘用制度，设备操作规程，奖惩条例、应急响应计划 管理是动态的 监视形式和制度的运行，不断修改和完善 内容提要 “管理”的概念与作用 信息安全管理标准与方法 信息安全工程概述 信息安全工程过程 信息安全工程与其它过程关系 2.1 信息安全需要技术，更需要管理 管理比技术更重要？ IATF：信息保障是人、技术和操作三要素共同作用的结果 技术实现了系统的功能和安全功能； 人要有遵循完善的规章制度，拥有安全意识； 操作要符合操作规程。 后二者，技术措施的能力非常有限 多数的安全事件并非技术不济，而是管理不善造成的 技术失败：系统用户无法预知，无力抵抗 比尔盖茨演示win98死机； 阿波罗十三、挑战者号、哥伦比亚号事故； 管理事故：人的疏忽、制度不严。可以避免 ATM取钱，让人窥视了口令 办公室电话可以拨号上网，绕过了防火墙 怎样全方位保障信息安全？ 从涉及各个方面的安全管理入手，而非仅仅注重技术——信息安全管理 人员的安全管理 操作守则、生产纪律、出差制度…… 物理环境的安全管理 防水、防火、防磁、防盗、防核武器…… 设备的安全管理 进出机房的制度、设备的三防、数据的备份…… …… 2.2 ISO/IEC 27000系列 ISO/IEC 27000系列信息安全管理体系（ISMS）标准 信息安全管理的最佳实践 风险管理与安全控制措施 ISO/IEC 27001 ISMS要求 ISO/IEC 27002 ISMS控制措施 ISO/IEC 27003 ISMS实施指南 ISO/IEC 27004 信息安全管理测量 ISO/IEC 27005 信息安全风险管理 ISO/IEC 27006 对ISMS审计认证机构的要求 …… ISO27001/2的起源和简史 ISO27001和ISO27002，源自BSI的BS7799 BS7799信息安全管理体系标准 制定者：英国标准协会（BSI） 1995年，首次出版 1999年，BS7799:1999，95版的修订和扩展 2000年，BS 7799-1  ISO 17799:2000 2005年，ISO17799:2005 2005年，BS7799-2:2002  ISO27001:2005 2007年，ISO17799:2005  ISO27002:2007 2013年，ISO27001:2013，ISO27002:2013 BSI 世界上第一个国家标准化机构，成立于1901年 根据1982年的英国政府“白皮书”和政府与BSI的谅解备忘录，今后各部门将不再制定标准，在立法和贸易中要更多地采用BS标准 BSI制定的管理体系系列标准 ISO 9000（质量管理体系） ISO 14001（环境管理体系） OHSAS 18001（职业健康与安全管理体系） QS-9000 / ISO/TS 16949（汽车供应行业的质量管理体系）