数据安全复习.docVIP

信息系统：计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 信息安全：保护信息系统的硬件、软件及相关数据，使之不因为偶然或恶意侵犯而遭到破坏、更改及泄露，保证信息系统能够连续、可靠、正常的运行。 信息安全管理体系（Information Security Management System，ISMS）是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。 信息安全风险评估：从风险管理角度，运用定性、定量的科学分析方法和手段，系统地分析信息和信息系统等资产所面临的、人为的和自然的威胁，以及威胁事件一旦发生可能遭受的危害程度，有针对性地提出抵御威胁的安全等级防护对策和整改措施，从而最大限度地减少经济损失和负面影响。 风险评估的意义 风险评估是了解信息系统安全风险的重要手段。风险评估的最终目的是指导信息系统的安全建设，安全建设的实质是控制信息安全风险。风险评估结果是后续安全建设的依据。 信息安全管理与风险评估的关系 信息安全风险评估是信息安全风险管理的一个阶段。信息安全风险管理要依靠风险评估的结果来确定随后的风险控制和审核批准活动。风险评估使得组织能够准确定位风险管理的策略、实践和工具，能够将信息安全活动的重点放在重要的问题上，能够选择成本效益合理的和适用的安全对策。基于风险评估的风险管理方法被实践证明是有效的和实用的，己被广泛应用于各个领域。因此，风险评估是信息安全管理体系和信息安全风险管理的基础，是对现有网络的安全性进行分析的第一手资料，也是网络安全领域内最重要的内容之一，它为实施风险管理和风险控制提供了直接的依据。 建立信息安全管理体系6个基本步骤： （1）信息安全管理体系的策划与准备； （2）信息安全管理体系文件的编制； （3）建立信息安全管理框架； （4）信息安全管理体系的运行； （5）信息安全管理体系的审核； （6）信息安全管理体系的管理评审。 信息安全风险评估依据 1. 政策法规 2. 国际标准 3. 国家标准 4. 行业标准 信息安全风险评估原则 1. 可控性原则 2. 完整性原则 3. 最小影响原则 4. 必威体育官网网址原则 资产识别工作内容 1. 回顾评估范围内的业务 2. 识别信息资产，进行合理分类 3. 确定每类信息资产的安全需求 4. 为每类信息资产的重要性赋值 威胁识别工作内容 1. 威胁识别 2. 威胁分类 3. 威胁赋值 4. 构建威胁场景 脆弱性识别原则 （1）全面考虑和突出重点相结合的原则 （2）局部与整体相结合的原则 （3）层次化原则 （4）手工与自动化工具相结合的原则 风险处理计划控制措施选择 1. 接受风险 2. 避免风险 3. 转移风险 4. 降低风险 5. 处置残留风险 建立信息安全管理体系的步骤 （1）信息安全管理体系的策划与准备； （2）信息安全管理体系文件的编制； （3）建立信息安全管理框架； （4）信息安全管理体系的运行； （5）信息安全管理体系的审核； （6）信息安全管理体系的管理评审。 编写信息安全管理体系文件的作用 阐述声明的作用； 规定、指导的作用； 记录、证实的作用； 评价信息安全管理体系的作用； 保障信息安全改进的作用； 平衡培训要求的作用。 定义ISMS的范围 组织所有的信息系统； 组织的部分信息系统； 特定的信息系统。 实施信息安全风险评估 首先，组织应当确定的风险评估方法; 其次，组织利用已确定的风险评估方法识别风险; 之后，组织进行分析并评价风险。 信息安全风险管理主要包括以下几种措施： 接受风险 规避风险 转移风险 降低风险 TCSEC：可信计算机系统评估标准（Trusted Computer System Evaluation Criteria, TCSEC），将安全分为4个方面（安全政策、可说明性、安全保障和文档）和7个安全级别（从低到高依次为D、C1、C2、B1、B2、B3和A级）。 IT治理是组织根据自身文化和信息化水平构建适合组织发展的架构并实施的一种管理过程，是平衡IT资源和组织利益相关者之间IT决策权力归属与责任分配的一种管理模式，旨在规避IT风险和增加IT收益，实现IT目标与组织业务目标的融合。 2．PRINCE2，结构化的项目管理方法，其过程模型由8个管理过程组成。 3．ITIL：信息技术基础架构库(Information Technology Infrastructure Library, ITIL)由英国政府部门CCTA(Central Computing and Telecommunications Agency)在20世