文档介绍:第10章 信息安全管理
1
安全ppt
主要内容
概述
信息安全风险管理(风险评估、风险控制)
信息安全标准(CC标准、BS7799标准)
信息安全法律法规及道德规范
2
安全ppt
概述
当今社会已经进入到信息化社会,其信息安全是建立在信息社会的基础设施及信息服务系统之间的互联、互通、互操作意义上的安全需求上。
安全需求可以分为安全技术需求和安全管理需求两个方面。
管理在信息安全中的重要性高于安全技术层面,“三分技术,七分管理”的理念在业界中已经得到共识。
络
3
安全ppt
信息安全管理体系ISMS
信息安全管理体系ISMS是从管理学惯用的过程模型PDCA(Plan、Do、Check、Act)发展演化而来。
管理学中的一个通用模型,被广泛宣传和运用于持续改善产品质量的过程中,是全面质量管理所应遵循的科学程序。
规划:通过风险评估了解安全需求,根据需求制定解决方案。
实施:具体运作,实现计划中的内容
检查:监视评审解决方案的有效性,发现问题在下一个阶段予以解决。
处置:对总结检查的结果进行处理,没有解决的问题,应提给下一个PDCA循环中去解决。
4
安全ppt
PDCA模型
国际标准化组织(ISO)和国际电工学会(IEC)联合将相关工作转化为ISMS国际标准(ISO/IEC 27001:2005)
5
安全ppt
ISMS—信息安全管理体系
ISMS是一个系统化、过程化的管理体系,体系的建立需要全面、系统、科学的风险评估、制度保证和有效监督机制。
ISMS应该体现预防控制为主的思想,强调遵守国家有关信息安全的法律法规,强调全过程的动态调整,从而确保整个安全体系在有效管理控制下,不断改进完善以适应新的安全需求。
在信息安全管理体系的各环节中,安全需求是前提,运作实施、监视评审和维护改进是重要步骤,而可管理的信息安全是最终的目标。
在各环节中,风险评估管理、标准规范管理以及制度法规管理这三项工作直接影到响整个信息安全管理体系是否能够有效实行。
6
安全ppt
信息安全管理体系的架构
7
安全ppt
信息安全管理体系的目的和特点
8
安全ppt
信息安全管理涉及的领域
A
9
安全ppt
风险评估
风险评估(Risk Assessment)是指对信息资产所面临的威胁、存在的弱点、可能导致的安全事件以及三者综合作用所带来的风险进行评估。
作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要手段。
风险评估管理:在信息安全管理体系的各环节中,合理地利用风险评估技术对信息系统及资产进行安全性分析及风险管理,为规划设计完善信息安全解决方案提供基础资料,属于信息安全管理体系的规划环节。
10
安全ppt