信息安全管理与法律法规
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.3 信息安全管理体系的作用
• 强化员工的信息安全意识,规范组织信息安全行 为;
• 对组织的关键信息资产进行全面系统的保护,维 持竞争优势;
• 在信息系统受到侵袭时,确保业务持续开展并将 损失降到最低程度;
• 使组织的生意伙伴和客户对组织充满信心,如果 通过体系认证,表明体系符合标准,证明组织有 能力保障重要信息,提高组织的知名度与信任度;
信息安全管理与法律法规
内容
• 1 信息系统安全管理 • 1.1 信息安全管理概述 • 1.2 信息安全管理模式 • 1.3 信息安全管理体系的作用 • 1.4 构建信息安全管理体系步骤 • 1.5 BS 7799、ISO/IEC 17799和ISO 27001 • 1.6 信息安全产品测评认证 • 2 信息安全相关法律法规 • 2.1 国内信息安全相关法律法规 • 2.2 国外信息安全相关法律法规 • 思考题
1 信息系统安全管理
• 俗话说“三分技术七分管理”。 • 目前组织普遍采用现代通信、计算机、网络技术
来构建组织的信息系统。 • 但大多数组织的最高管理层对信息资产所面临的
威胁的严重性认识不足,缺乏明确的信息安全方 针、完整的信息安全管理制度,相应的管理措施 不到位,如系统的运行、维护、开发等岗位不清, 职责不分,存在一人身兼数职的现象。这些都是 造成信息安全事件的重要原因。缺乏系统的管理 思想也是一个重要的问题。所以,需要一个系统 的、整体规划的信息安全管理体系,从预防控制 的角度出发,保障组织的信息系统与业务之安全 与正常运作。
• 每经过一次PDCA 循环,都要进行总结,巩固成绩, 改进不足,同时提出新的目标,以便进入下一次 更高级的循环。
1.3 信息安全管理体系的作用
• 任何组织,不论它在信息技术方面如何努力以及采纳如何 新的信息安全技术,实际上在信息安全管理方面都还存在 漏洞,例如:
• 缺少信息安全管理论坛,安全导向不明确,管理支持不明 显;
1.2 信息安全管理模式
• 在信息安全管理方面,BS 7799 标准提供了 指导性建议,即基于PDCA(Plan、Do、 Check 和Act,即戴明环)的持续改进的管 理模式,如图1 所示。
1.2 信息安全管理模式
1.2 信息安全管理模式
• PDCA(Plan、Do、Check 和Act)是管理学惯用的一个过程 模型,最早是由休哈特(Walter Shewhart)于19 世纪30 年 代构想的,后来被戴明(Edwards Deming)采纳、宣传并 运用于持续改善产品质量的过程当中。随着全面质量管理 理念的深入发展,PDCA 最终得以普及。
• 缺少跨部门的信息安全协调机制; • 保护特定资产以及完成特定安全过程的职责还不明确; • 雇员信息安全意识薄弱,缺少防范意识,外来人员很容易
直接进入生产和工作场所; • 组织信息系统管理制度不够健全; • 组织信息系统主机房安全存在隐患,如:防火设施存在问
题,与危险品仓库同处一幢办公楼等;
1.3 信息安全管理体系的作用
1.2 信息安全管理模式
• 为了实现ISMS,组织应该在计划(Plan)阶段通 过风险评估来了解安全需求,然后根据需求设计 解决方案;在实施(Do)阶段将解决方案付诸实 现;解决方案是否有效?是否有新的变化?应该 在检查(Check)阶段予以监视和审查;一旦发现 问题,需要在措施(Act)阶段予以解决,以便改 进ISMS。通过这样的过程周期,组织就能将确切 的信息安全需求和期望转化为可管理的信息安全 体系。
• 组织信息系统备份设备仍有欠缺; • 组织信息系统安全防范技术投入欠缺; • 软件知识产权保护欠缺; • 计算机房、办公场所等物理防范措施欠缺; • 档案、记录等缺少可靠贮存场所; • 缺少一旦发生意外时的保证生产经营连续
性的措施和计划。
1.3 信息安全管理体系的作用
• 其实,组织可以参照信息安全管理模型, 按照先进的信息安全管理标准 BS7799 标准 建立组织完整的信息安全管理体系并实施 与保持,达到动态的、系统的、全员参与、 制度化的、以预防为主的信息安全管理方 式,用最低的成本,达到可接受的信息安 全水平,就可以从根本上保证业务的连续 性。 组织建立、实施与保持信息安全管理 体系将会产生如下作用:
• 作为一种抽象模型,PDCA 把相关的资源和活动抽象为过程 进行管理,而不是针对单独的管理要素开发单独的管理模 式,这样的循环具有广泛的通用性,因而很快从质量管理 体系(QMS)延伸到其他各个管理领域,包括环境管理体 系(EMS)、职业健康安全管理体系(OHSMS)和信息安 全管理体系(ISMS)。
1.1 信息安全管理概述
• 信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是 重要的商务资产。信息的安全性对保持竞争优势、资金流动、效益、 法律符合性和商业形象都是至关重要的。然而,越来越多的组织及其 信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水 灾等大范围的安全威胁,诸如计算机病毒、计算机入侵、 Dos攻击、 黑客等手段造成的信息灾难已变得更加普遍,有计划而不易被察觉。 组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏, 公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。 许多信息系统本身就不是按照安全系统的要求来设计的,仅依靠技术 手段来实现信息安全有其局限性,所以信息安全的实现必须得到信息 安全管理的支持。确定应采取哪些控制方式则需要周密计划,并注意 细节。信息安全管理至少需要组织中的所有雇员的参与,此外还需要 供应商、顾客或股东的参与和信息安全的专家建议。在信息系统设计 阶段就将安全要求和控制一体化考虑,则成本会更低、效率会更高。
wk.baidu.com
1.2 信息安全管理模式
• 概括起来,PDCA 模型具有以下特点,同时也是信 息安全管理工作的特点:
• PDCA 顺序进行,依靠组织的力量来推动,像车轮 一样向前进,周而复始,不断循环,持续改进;
• 组织中的每个部门,甚至每个人,在履行相关职 责时,都是基于PDCA 这个过程的,如此一来,对 管理问题的解决就成了大环套小环并层层递进的 模式;