文档介绍:安全管理体系介绍安全管理体系介绍Agenda一、信息安全基础知识二、信息安全管理标准三、认证相关介绍信息安全概念z什么是信息?–信息是一种资产象其它重要的业务资产一样,对组织具有价值因此需要适当的保护z什么是安全?–没有统一的定义–基本含义z客观上不受威胁z主观上不存在恐惧z什么是信息安全?–ISO的定义为:为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和显露。信息安全特征z信息安全具有以下特征:–保密性:确保只有经过授权的人才能访问信息–完整性:保护信息和信息的处理方法准确而完整;–可用性:确保经过授权的用户在需要时可以访问信息并使用相关信息资产。信息安全的相对性z安全没有100%–完美的健康状态永远也不能达到;z安全工作的目标:将风险降到最低z安全应该与保护的事物的价值相称;z安全需要权衡–可用性与安全性–易用性与安全性–经济性与安全性信息安全现状z重视技术,轻视管理z重视产品功能,轻视人为因素z重视对外安全,轻视内部安全z静态不变的观念z缺乏整体性信息安全体系的考虑信息安全需求z强化责任意识,坚决做到责任到人,设备到人,工作到位z进一步完善安全规范体系,强化安全操作执行力z按照总部统一要求,大力推进安全防护技术手段建设有关标准2004z2004年9月5号,BS7799-2:2002正式发布,提交ISO,可望近期成为国际标准。2002zBSI对BS7799-2:1999进行了修订,正式引入PDCA过程模型。9月BS7799-2:2002公布发行。2000zBS7799-1:1999通过国际化标准组织ISO认可,12月正式成为国际标准ISO/IEC17799-1:2000《信息技术-信息学安全管理实施细则》1999zBS7799-1:1999与BS7799-2:1999经过修订后重新发布1998z英国出版BS7799-2:1998《信息安全管理体系规范》1995z英国出版BS7799-1:1995《信息安全管理实施细则》1993z率先由英国贸易工业部进行专案。有关规定z《关于加强信息安全保障工作的意见》(中办国办[2003]27号文件)–我国第一个全面关于信息安全保障工作的文件,是我国今后一段时期内信息安全保障工作的纲领性文件。–文件对中央各部委、各行业和各地区的信息安全保障工作做出原则性、战略性的规定。–总体要求:坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全。有关标准及法规z《信息安全风险管理指南》z《电信网和互联网安全风险评估实施指南》(YDC051-2007)z《电信网和互联网安全等级保护实施指南》(YDC050-2007)zSOX