文档介绍：信息安全是指信息的保密性、真实性、完整性和可用性的保持。2、\政治稳定\社会安定\经济有序运行美国与俄罗斯先后推出<信息系统保护国家计划>和<国家信息安全学说>,系统的正常运行等,、(保护程度与控制方式)、目标与要求我国信息安全管理方面,主要有以下几方面问题:宏观:(1)法律法规问题。健全的信息安全法律法规体系是确保国家信息安全的基础,是信息安全的第一道防线.(2)管理问题。组织建设、制度建设和人员意识。(3)国家信息基础设施建设问题。目前,中国信息基础设施几乎完全是建立在外国的核心信息技术之上的,导致我国在网络时代没有制网权。微观:(1)缺乏信息安全意识与明确的信息安全方针。(2)重视安全技术,轻视安全管理。信息安全大约70%以上的问题是由管理原因造成的.(3)安全管理缺乏系统管理的思想。5、系统的信息安全管理原则:制订信息安全方针原则:制定信息安全方针为信息安全管理提供导向和支持风险评估原则:控制目标与控制方式的选择建立在风险评估的基础之上费用与风险平衡原则:将风险降至组织可接受的水平,费用太高不接受预防为主原则:信息安全控制应实行预防为主,做到防患于未然商务持续性原则:即信息安全问题一旦发生,我们应能从故障与灾难中恢复商务运作,不至于发生瘫痪,同时应尽力减少故障与灾难对关键商务过程的影响动态管理原则:即对风险实施动态管理全员参与的原则:PDCA原则:遵循管理的一般循环模式--Plan(策划)---Do(执行)---Check(检查)---Action(措施)的持续改进模式。系统信息安全管理与传统比较系统的信息安全管理是动态的、系统的、全员参与的、制度化的、预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的连续性,它完全不同于传统的信息安全管理模式:静态的、局部的、少数人负责的、突击式的、事后纠正式的,不能从根本上避免、降低各类风险,也不能降低信息安全故障导致的综合损失,商务可能因此瘫痪,不能持续。威胁:是指可能对资产或组织造成损害的事故的潜在原因。如病毒和黑客攻击,:是指资产或资产组中能被威胁利用的弱点。如员工缺乏安全意识,口令简短易猜,操作系统本身有安全漏洞等。关系:,:即特定威胁事件发生的可能性与后果的结合。特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害的潜在可能性及其影响大小。:对信息和信息处理设施的威胁、影响(Impact),即利用适当的风险评估工具,确定资产风险等级和优先控制顺序,所以,:以可接受的费用识别、控制、降低或消除可能影响信息系统安全风险的过程。结构过程:安全控制:降低安全风险的惯例、程序或机制。12、剩余风险:实施安全控制后,剩余的安全风险。威胁利用薄弱点防范导致暴露导致安全控制安全风险资产达到指出增加具有安全要求资产价值和潜在影响降低13、风险评估与管理的术语关系图(其实,安全控制与薄弱点间、安全控制与资产间、安全风险与资产间、威胁与资产间均存在有直接或间接的关系)(1)信息资产及其价值(2)对这些资产的威胁,以及他们发生的可能性(3)薄弱点(4)(1)按照组织商务运作流程进行信息资产识别,并根据估价原则对资产进行估价(2)根据资产所处的环境进行威胁识别与评价(3)对应每一威胁,对资产或组织存在的薄弱点进行识别与评价(4)对已采取的安全控制进行确认(5)建立风险测量的方法及风险等级评价原则,确定风险的大小与等级15、资产、威胁和薄弱点对应关系图资产1威胁A薄弱点A1薄弱点A2薄弱点B1薄弱点B2来源A1来源A2威胁B来源B1来源B2┅┅┅┅┅┅┅┅┅┅资产、威胁和薄弱点对应关系:每一项资产可能存在多个威胁威胁的来源可能不只一个,应从人员(包括内部与外部)、环境(如自然灾害)、资产本身(如设备故障)等方面加以考虑。每一威胁可能利用一个或数个薄弱点。资产识别与估价信息资产的广义与狭义理解资产估价是一个主观的过程,资产价值不是以资产的账面价格来衡量的,而是指其