第12章节信息安全管理.pptVIP

第11章 信息安全管理 李 剑 北京邮电大学信息安全中心 E-mail: lijian@ 010Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 目 录 信息系统安全管理概述 信息安全管理模式 建立信息安全管理体系的意义 BS 7799、ISO 17799和ISO 27001 信息安全相关法律法规 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 一个故事 如何笔记本电脑“死机”,所针对的方法不是只有重新安装机器一种方法。 (1). 检测系统软件 (2). 检测系统软件，进行恢复处理。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 概 述 信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 概 述 安全问题所带来的损失远大于交易的账面损失，它可分为3类，包括直接损失、间接损失和法律损失： 直接损失：丢失订单，减少直接收入，损失生产率； 间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉； 法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 概 述 俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度，相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 概 述 这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。 目前，在信息安全管理体系方面，英国标准BS 7799已经成为世界上应用最广泛与典型的信息安全管理标准。BS 7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，并且适用于大、中、小组织。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 概 述 这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。 目前，在信息安全管理体系方面，英国标准BS 7799已经成为世界上应用最广泛与典型的信息安全管理标准。BS 7799标准于1993年由英国贸