文档介绍：信息安全管理基础
课程内容
2
信息安全管理基础
知识体
信息安全管理基本概念
信息安全管理方法
信息安全管理的定义
信息安全管理成果关键因素
风险管理的概念和作用
信息安全管理体系的作用
ISMS体系各阶段主要工作内容
知识域
知识子域
信息安全管理的侧重点
信息安全技管并重原则
信息安全等级保护的管理机制
知识体:信息安全管理基础和方法
知识域: 信息安全管理基本概念
理解信息安全及管理的含义;
理解信息安全管理的侧重点;
理解信息安全“技管并重”原则的意义;
理解成功实施信息安全管理工作的关键因素。
3
信息安全管理相关概念
基本概念
信息与信息安全
管理与信息安全管理
4
信息与信息安全
5
信息:有意义的数据。(--ISO 9000:2005 质量管理体系基础和术语)
“象其他重要业务资产一样,信息也是对组织业务至关重要的一种资产”;
信息已成为企业赖以生存和发展的最有价值的资产之一;
需要加以适当的保护。
信息的范例
专利标准专有技术商业档案
文件图样统计数据专有技术
配方报价规章制度财务数据
工艺计划资源配置管理体系
NOT ONLY IT !
哪些信息需要“安全”
6
国家秘密
国家规定需要保护的信息
商业秘密
专利、技术
业务数据
个人隐私
家庭住址
电话
身份证号等
……
信息安全
保密性
可用性
完整性
信息、信息安全
7
信息安全:信息的保密性、完整性和可用性的保持。(另外,也可包括真实性、可稽核性、不可否认性和可靠性等属性)(--ISO/IEC 27000:2009 信息技术安全技术信息安全管理体系概述和术语)
即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施,来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中,信息的保密性、完整性和可用性不被破坏。
管理、信息安全管理
8
administer
administration
administrator
manage
management
manager
18世纪
工业革命
(1700'S)
管理
康熙19年(1680)
“管”
“理”
中国古代
春秋战国
管理与信息安全管理
管理
指挥和控制组织的协调的活动。(-- ISO9000:2005 质量管理体系基础和术语)
管理者为了达到特定目的而对管理对象进行的计划、组织、指挥、协调和控制的一系列活动。
信息安全管理
组织中为了完成信息安全目标,遵循安全策略,按照规定的程序,运用恰当的方法,而进行的规划、组织、指导、协调和控制等活动
9
规则
组织
人员
·信息输入
·立法
·摘要
变化?
关键活动
测量
拥有者
资源
记录
标准
输入
输出
生产
经营
过程
信息安全管理
现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的,理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标来说尤其重要。
信息安全管理(Information Security Management)作为组织完整的管理体系中一个重要的环节,它构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动,其针对对象就是组织的信息资产。
10