信息安全导论 CH12.pptVIP

中央财经大学信息学院;;12.1.1 信息安全管理体系概念 12.1.2 信息安全管理体系过程方法 12.1.3 信息安全管理体系构建流程 12.1.4 信息安全管理标准;WO!3G;信息系统是人机交互系统;据有关统计，信息安全事件中大约有70%以上的问题都是由于管理方面的原因造成的。;信息安全需要对信息系统的各个环节进行统一的综合考虑、规划和架构，并需要兼顾组织内外不断变化的发生的变化。 木桶原理：信息系统安全水平将由与信息安全有关的所有环节中最薄弱的环节所决定 要实现信息安全目标，一个组织必须使构成安全防范体系的这只“木桶”的所有木板都达到一定的长度。;信息安全技术层面 建设安全的主机系统和安全的网络系统，包括物理层安全、系统层安全、网络层安全和应用层安全等 配备一定的安全产品，如数据加密产品、数据存储备份产品、系统容错产品、防病毒产品、安全网关产品等 信息安全管理层面 构建信息安全管理体系;信息安全管理(Information Security Management)的概念没有统一的定义。 信息安全管理：组织为了实现信息安全目标和信息资产保护，用来指导和管理各种控制信息安全风险的、一组相互协调的活动。 ;信息安全管理体系(Information Security Management System, ISMS) 组织以信息安全风险评估为基础的系统化、程序化和文件化的管理体系，包括建立、实施、运行、监视、评审、保持和改进信息安全等一系列的管理活动。 ISMS是整个管理体系的一部分。;BS7799-2《信息安全管理体系规范》：详细说明了建立、实施和维护信息安全管理体系的要求。 BS7799-2的修订版本BS7799-2: 2002中引入了PDCA(Plan-Do-Check-Action)过程方法，用于建立、实施和持续改进ISMS。 PDCA循环又称“戴明环”，由美国质量管理专家Edwards Deming博士在20世纪50年代提出，是全面质量管理所应遵循的科学程序。 PDCA强调应将业务过程看作连续的反馈循环，在反馈循环的过程中识别需要改进的部分，以使过程得到持续的改进，质量得到螺旋式上升。;应用于ISMS过程的PDCA模型;应用于ISMS过程的PDCA模型在每个阶段的具体内容如下： 规划Plan(建立ISMS) 完成ISMS的构建工作 实施Do(实施和运行ISMS) 实施和运行ISMS方针、控制措施、过程和程序 检查Check(监视和评审ISMS) 进行有关方针、标准、法律法规与程序的符合性检查 处置Act(保持和改进ISMS) 对ISMS进行评价，寻求改进的机会，采取相应的措施;ISMS 框 架 建 立 流 程;强化员工的信息安全意识，规范组织的信息安全行为。 对组织的关键信息资产进行全面系统的保护，维持竞争优势。 在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度。 使组织的生意伙伴和客户对组织充满信心。 使组织定期地考虑新的威胁和脆弱点，并对系统进行更新和控制。 促使管理层坚持贯彻信息安全保障体系。;BS7799;BS7799发展后分为两部分 ISO/IEC 27001: 2005 《信息技术-安全技术-信息安全管理体系-要求》 主要讨论了以PDCA过程方法建设ISMS以及ISMS评估的内容。 该标准详细的说明了建立、实施、监视和维护ISMS的具体任务和要求，指出实施机构应该遵循的风险评估标准。 ISO/IEC 27002: 2005 《信息技术-安全技术-信息安全控制实用规则》 标准包含有11项管理内容，133条安全控制措施。 作为组织基于ISO/IEC 27001实施ISMS的过程中选择控制措施时的参考，或作为组织实施通用信息安全控制措施时的指南文件，或开发组织自身的信息安全管理指南。;ISO/IEC 27002: 2005;COBIT;ISO/IEC13335是国际标准《IT安全管理指南》(Guidelines for the Management of IT Security, GMITS) ISO/IEC13335-1:1996《IT安全的概念与模型》（被ISO/IEC 13335-1:2004《信息和通信技术安全管理的概念和模型》替代） ISO/IEC13335-2:1997《IT安全管理与规划》 ISO/IEC13335-3:1998《IT安全管理技术》 ISO/IEC13335-4:2000《防护措施的选择》 ISO/IEC13335-5:2001《网络安全管理指南》;GB17895-1999;;12.2.1 信息安全风险评估概念 12.2.2 信息安全风险评估组成要素 12.2.3 信息安全风险评估流程 12.2.4 信息安全风险评估方法与工具;风险(Risk)：一定条