计算机网络与信息安全技术俞承杭CH14信息安全管理课件教学.pptVIP

14.3 制定信息安全管理制度 14.3.2 信息安全管理标准——ISO／IEC l7799 信息安全管理的原则之一就是规范化、系统化，如何在信息安全管理实践中落实这一原则，需要相应的信息安全管理标准。 BS7799标准是英国标准协会（BSI）制定的国际上具有代表性的信息安全管理体系标准。该标准包括两个部分：《信息安全管理实施细则》（BS7799 1：1999）和《信息安全管理体系规范》（BS7799 2：1999）。 其中，BS7799-1标准目前已正式转换成ISO国际标准，即《信息安全管理体系实施指南》（IS0 17799），并于2000年12月1日颁布。它所阐述的主题是安全策略和优秀的、具有普遍意义的安全操作。 标准主要讨论了如下的主题：建立机构的安全策略、机构的安全基础设施、资产分类和控制、人员安全、物理与环境安全、通讯与操作管理、访问控制、系统开发和维护、业务连续性管理、遵循性。 14.3 制定信息安全管理制度 14.3.2 信息安全管理标准——ISO／IEC l7799 采用ISO/IEC l7799标准建立起来的信息安全管理体系(ISMS)，是建立在系统、全面、科学的安全风险评估之上，是一个系统化、文件化、程序化、科学化的管理体系。 它体现预防控制为主思想，强调遵守国家有关信息安全的法律、法规及其它要求，强调全过程和动态控制，本着成本费用与风险平衡的原则选择安全控制方式，保护组织所拥有的关键信息资产，确保信息的必威体育官网网址性、完整性、可用性，对网络环境下的信息安全管理无疑具有十分重要的意义。 14.4 信息安全法律保障 网络已深入到社会的各个角落,黑客和病毒给社会带来的负面影响也随着网络功能的增强而扩大，网络的安全性随之上升到国家安全、公共安全的层面,世界各国亦越来越倾向依靠法律——这个强有力的国家工具来保障网络安全。 各国信息安全的立法虽各不相同,但各国信息安全专家对这一点的认识是相同的,即保障信息网络安全必须构建一个全方位、立体化的防御体系。 我国已初步形成了一个保护网络安全的法律体系。我国宪法明确规定了公民具有保守国家秘密的义务；基本法律中有《保守国家秘密法》，《刑法》分则中的相关规定；行政法规有《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》等；此外，大量的行政规章和地方性法规也对计算机信息系统安全作了规定，如《中国公民计算机互联网国际联网管理办法》、《铁路计算机系统安全管理暂行办法》、《浙江省计算机安全管理规定》等。 本章小结 本章从保障的角度介绍了信息安全管理的作用，包括信息安全管理策略的制定、信息安全管理机构的设立和人员构成、信息安全管理制度的建立等。这些内容的确立必须遵循相关标准的要求，如ISO 17799标准。 最后简单介绍了信息安全的法律保障体系。 在线教务辅导网： 更多课程配套课件资源请访问在线教务辅导网 馋死 * * * 《计算机网络与信息安全技术》教学课件 V08.08 * 信息安全管理 第 14 章 基本内容 管理安全是信息安全体系重要的组成部分。健全的管理制度、良好的设备使用制度，结合专门的机构与人员，可以对网络与信息进行综合防护。本章介绍安全管理相关的知识。 14.1 制定信息安全管理策略 　　信息安全管理策略也称信息安全方针，是组织对信息和信息处理设施进行管理、保护和分配的准则和规划，以及使信息系统免遭入侵和破坏而必须采取的措施。它告诉组织成员在日常的工作中什么是必须做的，什么是可以做的，什么是不可以做的；哪里是安全区，哪里是敏感区，就像交通规则之于车辆和行人，信息安全策略是有关信息安全方面的行为规范。一个成功的安全策略应当遵循： 1）综合平衡(综合考虑需求、风险、代价等诸多因素)。 2）整体优化(利用系统工程思想，使系统总体性能最优)。 3）易于操作和确保可靠。 14.1.1 信息安全管理策略概述 14.1 制定信息安全管理策略 　 在制定信息安全管理策略时，要严格遵守以下主要原则。 1）目的性。策略是为组织完成自己的信息安全使命而制定的，策略应该反映组织的整体利益和可持续发展的要求。 2）适用性。策略应该反映组织的真实环境和信息安全的发展水平。 3）可行性。策略应该具有切实可行性，其目标应该可以实现，并容易测量和审核。没有可行性的策略不仅浪费时间还会引起政策混乱。 4）经济性。策略应该经济合理，过分复杂和草率都是不可取的。 5）完整性。能够反映组织的所有业务流程的安全需要。 6）一致性。策略的一致性包括下面三个层次：①和