信息安全管理基础课件
合集下载
《信息安全管理》PPT课件
念的深入发展,PDCA 最终得以普及。
作为一种抽象模型,PDCA 把相关的资源和活动抽象为过程
进行管理,而不是针对单独的管理要素开发单独的管理模式,
这样的循环具有广泛的通用性,因而很快从质量管理体系
(QMS)延伸到其他各个管理领域,包括环境管理体系
(EMS)、职业健康安全管理体系(OHSMS)和信息安全管
基于PDCA 这个过程的,如此一来,对管理问题的解决就成
了大环套小环并层层递进的模式;
每经过一次PDCA 循环,都要进行总结,巩固成绩,改进不
足,同时提出新的目标,以便进入下一次更高级的循环。
12.3 建立信息安全管理体系的意义
组织可以参照信息安全管理模型,按照先进的信息安全管
理标准BS 7799标准建立组织完整的信息安全管理体系并实
安全策略为核心的管理措施,致使安全技术和产品的运用非
常混乱,不能做到长期有效和更新。即使组织制定有安全策
略,却没有通过有效的实施和监督机制去执行,使得策略空
有其文成了摆设而未见效果。
12.1 信息系统安全管理概述
实际上对待技术和管理的关系应该有充分理性的认识:技
术是实现安全目标的手段,管理是选择、实施、使用、维护、
的管理模式,如图12.1 所示。
12.2 信息安全管理模式
PDCA(Plan、Do、Check 和Act)是管理学惯用的一个过程
模型,最早是由休哈特(Walter Shewhart)于19 世纪30 年
代构想的,后来被戴明(Edwards Deming)采纳、宣传并
运用于持续改善产品质量的过程当中。随着全面质量管理理
带来严重的影响。
概 述
安全问题所带来的损失远大于交易的账面损失,
作为一种抽象模型,PDCA 把相关的资源和活动抽象为过程
进行管理,而不是针对单独的管理要素开发单独的管理模式,
这样的循环具有广泛的通用性,因而很快从质量管理体系
(QMS)延伸到其他各个管理领域,包括环境管理体系
(EMS)、职业健康安全管理体系(OHSMS)和信息安全管
基于PDCA 这个过程的,如此一来,对管理问题的解决就成
了大环套小环并层层递进的模式;
每经过一次PDCA 循环,都要进行总结,巩固成绩,改进不
足,同时提出新的目标,以便进入下一次更高级的循环。
12.3 建立信息安全管理体系的意义
组织可以参照信息安全管理模型,按照先进的信息安全管
理标准BS 7799标准建立组织完整的信息安全管理体系并实
安全策略为核心的管理措施,致使安全技术和产品的运用非
常混乱,不能做到长期有效和更新。即使组织制定有安全策
略,却没有通过有效的实施和监督机制去执行,使得策略空
有其文成了摆设而未见效果。
12.1 信息系统安全管理概述
实际上对待技术和管理的关系应该有充分理性的认识:技
术是实现安全目标的手段,管理是选择、实施、使用、维护、
的管理模式,如图12.1 所示。
12.2 信息安全管理模式
PDCA(Plan、Do、Check 和Act)是管理学惯用的一个过程
模型,最早是由休哈特(Walter Shewhart)于19 世纪30 年
代构想的,后来被戴明(Edwards Deming)采纳、宣传并
运用于持续改善产品质量的过程当中。随着全面质量管理理
带来严重的影响。
概 述
安全问题所带来的损失远大于交易的账面损失,
信息安全管理基础
2020/8/2
项目工程安全管理
▪ 在信息系统投入运行前,信息系统安全的 能力、强度、脆弱性、可改进的潜力等方 面有相当的部分已经确定和定型。因此, 对于一个信息系统,不应当在系统建设完 成后再考虑信息安全问题,而应当从系统 建设的初期开始,在建设的整个过程中同 步考虑。
2020/8/2
日常运行于维护的安全管理
2020/8/2
信息安全管理的基本原则
一、总体原则
二、安全策略管理
1、主要领导负责原则 2、规范定级原则 3、以人为本原则 4、适度安全原则 5、全面防范、突出重点原则 6、系统、动态原则 7、控制社会影响原则。
1、分权制衡 2、最小特权 3、选用成熟Байду номын сангаас术 4、普遍参与。
2020/8/2
主要领导负责原则
▪ 一个信息系统及其信息安全系统建设完成 后,其安全工作并没有结束。真正的安全 效果需要通过日常运行中的安全管理来实 现,工程过程中奠定的信息安全基础需要 通过管理手段加以发挥。
2020/8/2
配置管理和变更管理
▪ 配置管理和变更管理是任何形式的管理中不可或 缺的管理过程。在信息安全管理中,这两方面管 理的作用尤为突出。
2020/8/2
基于信息系统生命周期的安全管理
▪ 信息系统是由生命周期的。信息安全保障 也涉及到信息系统生命周期的各个阶段。
▪ 信息系统生命周期可以划分为两个阶段: ▪ 1、系统投入前的工程设计和开发阶段; ▪ 2、系统的运行和维护阶段。
2020/8/2
信息系统安全和信息系统本身的三同步
▪ 1、同步规划 ▪ 2、同步建设 ▪ 3、同步运行
信息系统安全体系结构
管理层面
应用层面
信
项目工程安全管理
▪ 在信息系统投入运行前,信息系统安全的 能力、强度、脆弱性、可改进的潜力等方 面有相当的部分已经确定和定型。因此, 对于一个信息系统,不应当在系统建设完 成后再考虑信息安全问题,而应当从系统 建设的初期开始,在建设的整个过程中同 步考虑。
2020/8/2
日常运行于维护的安全管理
2020/8/2
信息安全管理的基本原则
一、总体原则
二、安全策略管理
1、主要领导负责原则 2、规范定级原则 3、以人为本原则 4、适度安全原则 5、全面防范、突出重点原则 6、系统、动态原则 7、控制社会影响原则。
1、分权制衡 2、最小特权 3、选用成熟Байду номын сангаас术 4、普遍参与。
2020/8/2
主要领导负责原则
▪ 一个信息系统及其信息安全系统建设完成 后,其安全工作并没有结束。真正的安全 效果需要通过日常运行中的安全管理来实 现,工程过程中奠定的信息安全基础需要 通过管理手段加以发挥。
2020/8/2
配置管理和变更管理
▪ 配置管理和变更管理是任何形式的管理中不可或 缺的管理过程。在信息安全管理中,这两方面管 理的作用尤为突出。
2020/8/2
基于信息系统生命周期的安全管理
▪ 信息系统是由生命周期的。信息安全保障 也涉及到信息系统生命周期的各个阶段。
▪ 信息系统生命周期可以划分为两个阶段: ▪ 1、系统投入前的工程设计和开发阶段; ▪ 2、系统的运行和维护阶段。
2020/8/2
信息系统安全和信息系统本身的三同步
▪ 1、同步规划 ▪ 2、同步建设 ▪ 3、同步运行
信息系统安全体系结构
管理层面
应用层面
信
《信息安全基础》课件
《个人信息保护 法》
保护个人信息不被滥用和 泄露。
《电子商务法》
规范电子商务活动中的信 息安全问题。
保护信息安全的措施
加密技术
对敏感信息进行加密, 确保安全传输和存储。
访问控制
限制对信息系统和文件 的访问权限,确保只有 授权人员能够访问。
防火墙和安全软件
阻止恶意程序和网络攻 击,提供实时保护。
信息安全检测和预防安全 威胁。
区块链安全
采用分布式账本技术确保信 息的透明度和不可篡改性。
2 防范网络攻击
保护商业机密,避免 恶意攻击导致财产损 失。
3 维护社会稳定
保护国家、企事业单 位的信息系统安全, 维护社会稳定。
常见的信息安全威胁
病毒和恶意软件
通过网络进行传播,可能 造成信息丢失或系统崩溃。
网络攻击
黑客利用网络漏洞,盗取 敏感信息或破坏网络服务。
数据泄露
非法获取敏感数据,造成 用户隐私泄露或信用卡盗 窃。
《信息安全基础》PPT课 件
信息安全是保护信息不被非法使用、非法存取、非法披露、非法修改或者非 法破坏的一系列措施和技术的总称。
信息安全的定义
信息安全是指通过一定的手段和技术保护信息不被非法使用、非法存取、非 法披露、非法修改或者非法破坏的一系列措施和技术。
信息安全的重要性
1 保护隐私安全
防止个人隐私信息被 窃取或滥用。
生物识别安全
使用指纹、面部识别等技术 进行身份验证。
组织的信息安全管理体系
1
制定策略
2
制定信息安全政策和相关规定。
3
持续改进
4
定期检查和改进信息安全管理体系。
风险评估
识别和评估信息安全风险。
信息安全管理ppt课件
安全风险管理基本过程
掌握风险管理中背景建立、风险评估、风险处理、批 准监督、监控审查、沟通咨询等步骤的工作内容。
7
风险管理基本概念
风险:事态的概率及其结果的组合
风险是客观存在 风险管理是指导和控制一个组织相关风险的协调活
动,其目的是确保不确定性不会使企业的业务目标 发生变化 风险的识别、评估和优化
组织在整体或特定范围内建立的信息安全方针和目 标,以及完成这些目标所用的方法和体系。它是直 接 管理活动的结果,表示为方针、原则、目标、 方法、计划、活动、程序、过程和资源的集合
27000 信息安全管理体系原则和术语
27001 信息安全管理体系要求
27002 信息安全管理实践准则
风险管理的价值
安全措施的成本与资产价值之间的平衡
基于风险的思想是所有信息系统安全保障 工作的核心思想!
8
风险管理各要素关系
使命
脆弱性
暴露
利用
增加
资产 未被满足
威胁 演变成
增加 抗击
风险 残留
依赖
资产价值
增加
成本
导出
安全需求
降低
被满足
威胁
可能诱发
风险
9
未控制
安全需求
常见风险管理模型
内部控制整合框架(COSO报告)
信息安全管理能预防、阻止或减少信息安全事件的
发生
对组织的价值
防护措施
对内 对外
被侵害的资产
信息安全水平
6
知识子域:信息安全风险管理
风险管理概述
了解信息安全风险、风险管理的概念; 理解信息安全风险管理的作用和价值; 理解风险管理中各要素的关系。
掌握风险管理中背景建立、风险评估、风险处理、批 准监督、监控审查、沟通咨询等步骤的工作内容。
7
风险管理基本概念
风险:事态的概率及其结果的组合
风险是客观存在 风险管理是指导和控制一个组织相关风险的协调活
动,其目的是确保不确定性不会使企业的业务目标 发生变化 风险的识别、评估和优化
组织在整体或特定范围内建立的信息安全方针和目 标,以及完成这些目标所用的方法和体系。它是直 接 管理活动的结果,表示为方针、原则、目标、 方法、计划、活动、程序、过程和资源的集合
27000 信息安全管理体系原则和术语
27001 信息安全管理体系要求
27002 信息安全管理实践准则
风险管理的价值
安全措施的成本与资产价值之间的平衡
基于风险的思想是所有信息系统安全保障 工作的核心思想!
8
风险管理各要素关系
使命
脆弱性
暴露
利用
增加
资产 未被满足
威胁 演变成
增加 抗击
风险 残留
依赖
资产价值
增加
成本
导出
安全需求
降低
被满足
威胁
可能诱发
风险
9
未控制
安全需求
常见风险管理模型
内部控制整合框架(COSO报告)
信息安全管理能预防、阻止或减少信息安全事件的
发生
对组织的价值
防护措施
对内 对外
被侵害的资产
信息安全水平
6
知识子域:信息安全风险管理
风险管理概述
了解信息安全风险、风险管理的概念; 理解信息安全风险管理的作用和价值; 理解风险管理中各要素的关系。
信息安全管理体系ppt课件
信息安全管理体系
培训机构名称讲师名字
1
ppt课件.
课程内容
2
知识域:信息安全管理基本概念
知识子域: 信息安全管理的作用理解信息安全“技管并重”原则的意义理解成功实施信息安全管理工作的关键因素知识子域: 风险管理的概念和作用理解信息安全风险的概念:资产价值、威胁、脆弱性、防护措施、影响、可能性理解风险评估是信息安全管理工作的基础理解风险处置是信息安全管理工作的核心知识子域: 信息安全管理控制措施的概念和作用理解安全管理控制措施是管理风险的具体手段了解11个基本安全管理控制措施的基本内容
信息安全管理体系要求组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标和措施等一系列活动来建立信息安全管理体系;体系的建立基于系统、全面、科学的安全风险评估,体现以预防控制为主的思想,强调遵守国家有关信息安全的法律、法规及其他合同方面的要求;强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式;强调保护组织所拥有的关键性信息资产,而不是全部信息资产,确保信息的保密性、完整性和可用性,保持组织的竞争优势和业务的持续性。
安全控制措施根据安全需求部署的,用来防范威胁,降低风险的措施安全控制措施举例
技术措施防火墙防病毒入侵检测灾备系统……
管理措施安全规章安全组织人员培训运行维护……
20
(2)信息安全的风险模型
没有绝对的安全,只有相对的安全
信息安全建设的宗旨之一,就是在综合考虑成本与效益的前提下,通过恰当、足够、综合的安全措施来控制风险,使残余风险降低到可接受的程度。
29
2、信息安全管理的发展-2
BS 7799英国标准化协会(BSI)1995年颁布了《信息安全管理指南》(BS 7799),BS 7799分为两个部分:BS 7799-1《信息安全管理实施规则》和BS 7799-2《信息安全管理体系规范》。2002年又颁布了《信息安全管理系统规范说明》(BS 7799-2:2002)。BS 7799将信息安全管理的有关问题划分成了10个控制要项、36 个控制目标和127 个控制措施。目前,在BS7799-2中,提出了如何了建立信息安全管理体系的步骤。
培训机构名称讲师名字
1
ppt课件.
课程内容
2
知识域:信息安全管理基本概念
知识子域: 信息安全管理的作用理解信息安全“技管并重”原则的意义理解成功实施信息安全管理工作的关键因素知识子域: 风险管理的概念和作用理解信息安全风险的概念:资产价值、威胁、脆弱性、防护措施、影响、可能性理解风险评估是信息安全管理工作的基础理解风险处置是信息安全管理工作的核心知识子域: 信息安全管理控制措施的概念和作用理解安全管理控制措施是管理风险的具体手段了解11个基本安全管理控制措施的基本内容
信息安全管理体系要求组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标和措施等一系列活动来建立信息安全管理体系;体系的建立基于系统、全面、科学的安全风险评估,体现以预防控制为主的思想,强调遵守国家有关信息安全的法律、法规及其他合同方面的要求;强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式;强调保护组织所拥有的关键性信息资产,而不是全部信息资产,确保信息的保密性、完整性和可用性,保持组织的竞争优势和业务的持续性。
安全控制措施根据安全需求部署的,用来防范威胁,降低风险的措施安全控制措施举例
技术措施防火墙防病毒入侵检测灾备系统……
管理措施安全规章安全组织人员培训运行维护……
20
(2)信息安全的风险模型
没有绝对的安全,只有相对的安全
信息安全建设的宗旨之一,就是在综合考虑成本与效益的前提下,通过恰当、足够、综合的安全措施来控制风险,使残余风险降低到可接受的程度。
29
2、信息安全管理的发展-2
BS 7799英国标准化协会(BSI)1995年颁布了《信息安全管理指南》(BS 7799),BS 7799分为两个部分:BS 7799-1《信息安全管理实施规则》和BS 7799-2《信息安全管理体系规范》。2002年又颁布了《信息安全管理系统规范说明》(BS 7799-2:2002)。BS 7799将信息安全管理的有关问题划分成了10个控制要项、36 个控制目标和127 个控制措施。目前,在BS7799-2中,提出了如何了建立信息安全管理体系的步骤。
精选信息安全基础课件PPT56页
密钥顺序明文
再写下第 3 列密文 aio
收到的密文:abacnuaiotettgfksr
CIPHER145326attackbeginsatfour
接收端收到密文后按列写下
密钥顺序明文
再写下第 4 列密文 tet
收到的密文:abacnuaiotettgfksr
CIPHER145326attackbeginsatfour
CIPHER145326attackbeginsatfour
置换密码
置换密码(transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。
密钥顺序明文
根据英文字母在 26 个字母中的先后顺序,我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B,因此 C 为第 1。同理,E 为第 2,H 为第 3,……,R 为第 6。于是得出密钥字母的相对先后顺序为 145326。
CIPHER145326attackbeginsatfour
置换密码
置换密码(transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。
密钥顺序明文
根据英文字母在 26 个字母中的先后顺序,我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B,因此 C 为第 1。同理,E 为第 2,H 为第 3,……,R 为第 6。于是得出密钥字母的相对先后顺序为 145326。
收到的密文:abacnuaiotettgfksr
CIPHER145326attackbeginsatfour
接收端收到密文后按列写下
密钥顺序明文
再写下第 2 列密文 cnu
收到的密文:abacnuaiotettgfksr
再写下第 3 列密文 aio
收到的密文:abacnuaiotettgfksr
CIPHER145326attackbeginsatfour
接收端收到密文后按列写下
密钥顺序明文
再写下第 4 列密文 tet
收到的密文:abacnuaiotettgfksr
CIPHER145326attackbeginsatfour
CIPHER145326attackbeginsatfour
置换密码
置换密码(transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。
密钥顺序明文
根据英文字母在 26 个字母中的先后顺序,我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B,因此 C 为第 1。同理,E 为第 2,H 为第 3,……,R 为第 6。于是得出密钥字母的相对先后顺序为 145326。
CIPHER145326attackbeginsatfour
置换密码
置换密码(transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。
密钥顺序明文
根据英文字母在 26 个字母中的先后顺序,我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B,因此 C 为第 1。同理,E 为第 2,H 为第 3,……,R 为第 6。于是得出密钥字母的相对先后顺序为 145326。
收到的密文:abacnuaiotettgfksr
CIPHER145326attackbeginsatfour
接收端收到密文后按列写下
密钥顺序明文
再写下第 2 列密文 cnu
收到的密文:abacnuaiotettgfksr
信息安全管理培训课件(59页)
– 技术与工程标准主要指由标准化组织制定的用于规范信息安全产品、 技术和工程的标准,如信息产品通用评测准则(ISO 15408)、安全 系统工程能力成熟度模型(SSE-CMM)、美国信息安全白皮书(TCSEC )等。
– 信息安全管理与控制标准是指由标准化组织制定的用于指导和管理信 息安全解决方案实施过程的标准规范,如信息安全管理体系标准( BS-7799)、信息安全管理标准(ISO 13335)以及信息和相关技术控 制目标(COBIT)等。
• 风险评估(Risk Assessment)是指对信息资产所面临的 威胁、存在的弱点、可能导致的安全事件以及三者综合作 用所带来的风险进行评估。
• 作为风险管理的基础,风险评估是组织确定信息安全需求 的一个重要手段。
• 风险评估管理就是指在信息安全管理体系的各环节中,合 理地利用风险评估技术对信息系统及资产进行安全性分析 及风险管理,为规划设计完善信息安全解决方案提供基础 资料,属于信息安全管理体系的规划环节。
类别 技术类
措施
身份认证技术 加密技术 防火墙技术 入侵检测技术 系统审计 蜜罐、蜜网技术
属性
预防性 预防性 预防性 检查性 检查性 纠正性
运营类 管理类
物理访问控制,如重要设备使用授权等; 预防性 容灾、容侵,如系统备份、数据备份等; 预防性 物理安全检测技术,防盗技术、防火技 检查性 术等;
责任分配 权限管理 安全培训 人员控制 定期安全审计
– 这种评估途径集中体现了风险管理的思想,全面系统地 评估资产风险,在充分了解信息安全具体情况下,力争 将风险降低到可接受的水平。
– 详细评估的优点在于组织可以通过详细的风险评估对信 息安全风险有较全面的认识,能够准确确定目前的安全 水平和安全需求。
– 信息安全管理与控制标准是指由标准化组织制定的用于指导和管理信 息安全解决方案实施过程的标准规范,如信息安全管理体系标准( BS-7799)、信息安全管理标准(ISO 13335)以及信息和相关技术控 制目标(COBIT)等。
• 风险评估(Risk Assessment)是指对信息资产所面临的 威胁、存在的弱点、可能导致的安全事件以及三者综合作 用所带来的风险进行评估。
• 作为风险管理的基础,风险评估是组织确定信息安全需求 的一个重要手段。
• 风险评估管理就是指在信息安全管理体系的各环节中,合 理地利用风险评估技术对信息系统及资产进行安全性分析 及风险管理,为规划设计完善信息安全解决方案提供基础 资料,属于信息安全管理体系的规划环节。
类别 技术类
措施
身份认证技术 加密技术 防火墙技术 入侵检测技术 系统审计 蜜罐、蜜网技术
属性
预防性 预防性 预防性 检查性 检查性 纠正性
运营类 管理类
物理访问控制,如重要设备使用授权等; 预防性 容灾、容侵,如系统备份、数据备份等; 预防性 物理安全检测技术,防盗技术、防火技 检查性 术等;
责任分配 权限管理 安全培训 人员控制 定期安全审计
– 这种评估途径集中体现了风险管理的思想,全面系统地 评估资产风险,在充分了解信息安全具体情况下,力争 将风险降低到可接受的水平。
– 详细评估的优点在于组织可以通过详细的风险评估对信 息安全风险有较全面的认识,能够准确确定目前的安全 水平和安全需求。
信息安全管理课件(PPT 48页)
•32
SSE-CMM的体系结构
通用实施2.1.1:分配资源 能 力 维
基本实施05.02:标识脆弱性
域维
•33
SSE-CMM的安全完备性
SSE-CMM中的系统安全过程:工程过程、风险 过程、保证过程
工程过程:
PA10 “确定安全需求”、PA09 “提供安全输入”、PA01 “管理安 全控制”、PA08 “监视安全态势”、PA07 “协调安全”
保密性 可用性 完整性 不可否认性
•23
威胁树
保密性
线路窃听
内部线路窃听 开放线路窃听
非法访问
饶 过 WEB安 全 机 制 绕过数据库安全机制
窃取数据文件
业务数据导入时窃取
“攻馅”操作系统 利 用 OA服 务 器 漏 洞 不可信系统导致窃取
人员犯罪
人员不可信 身份假冒
•24
风险分析方法及其问题
风险分析方法:
•20
基于风险管理的实施步骤
彻底地调查企业或组织的资产与资源; 标识可能出现或者潜在的威胁;要把人员
的因素考虑进去; 定义每个威胁的可能性E(x); 定义每个威胁出现引起的损失因子D(x); 评估该威胁引起的风险:D(x)* E(x) 衡量损失与投入等,确定风险的优先级; 根据风险优先级,采取安全措施;
信息安全技术
防火墙技术 入侵检测技术 漏洞扫描技术 防病毒技术
平台安全
物理安全 网络安全 系统安全 数据安全 用户安全 边界安全
•9
我国信息安全标准框架
应用与工程标准
基
管
础
理
标
系统与网络标准
标
准
准
物理安全标准
SSE-CMM的体系结构
通用实施2.1.1:分配资源 能 力 维
基本实施05.02:标识脆弱性
域维
•33
SSE-CMM的安全完备性
SSE-CMM中的系统安全过程:工程过程、风险 过程、保证过程
工程过程:
PA10 “确定安全需求”、PA09 “提供安全输入”、PA01 “管理安 全控制”、PA08 “监视安全态势”、PA07 “协调安全”
保密性 可用性 完整性 不可否认性
•23
威胁树
保密性
线路窃听
内部线路窃听 开放线路窃听
非法访问
饶 过 WEB安 全 机 制 绕过数据库安全机制
窃取数据文件
业务数据导入时窃取
“攻馅”操作系统 利 用 OA服 务 器 漏 洞 不可信系统导致窃取
人员犯罪
人员不可信 身份假冒
•24
风险分析方法及其问题
风险分析方法:
•20
基于风险管理的实施步骤
彻底地调查企业或组织的资产与资源; 标识可能出现或者潜在的威胁;要把人员
的因素考虑进去; 定义每个威胁的可能性E(x); 定义每个威胁出现引起的损失因子D(x); 评估该威胁引起的风险:D(x)* E(x) 衡量损失与投入等,确定风险的优先级; 根据风险优先级,采取安全措施;
信息安全技术
防火墙技术 入侵检测技术 漏洞扫描技术 防病毒技术
平台安全
物理安全 网络安全 系统安全 数据安全 用户安全 边界安全
•9
我国信息安全标准框架
应用与工程标准
基
管
础
理
标
系统与网络标准
标
准
准
物理安全标准
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全管理
信息安全管理基础
09.10.2020
可编辑课件
1
本章内容 信息安全管理体系 信息安全管理标准 信息安全策略 信息安全技术
信息安全管理
2
可编辑课件
信息技术/网络技术改变生活方式
政府
商业
信息安全管理
3
个人生活
金融
可编辑课件
信息安全现状
日益增长的安全威胁
– 攻击技术越来越复杂 – 入侵条件越来越简单
信息安全管理
4
可编辑课件
黑客攻击猖獗
特洛伊木马
黑客攻击 后门、隐蔽通道 计算机病毒
网络
信息安全管理
逻辑炸弹
蠕虫
5
拒绝服务攻击
内部、外部泄密
可编辑课件
安全事件
– 每年都有上千家政府网站被攻击
安全影响
– 任何网络都可能遭受入侵
信息安全管理
6
可编辑课件
系统的定义:
系统是由相互作用和相互依赖的若干部分结合成的具特 定功能的整体。系统一般包括下列因素: 1、一种产品或者组件,如计算机、所有的外部设备等; 2、操作系统、通信系统和其他相关的设备、软件,构成 了一个组织的基本结构; 3、多个应用系统或软件(财务、人事、业务等) 4、it部门的员工 5、内部用户和管理层 6、客户和其他外部用户 7、周围环境,包括媒体、竞争者、上层管理机构。
8
可编辑课件
信息系统安全体系结构
管理层面
应用层面
信
息
安 全
系统层面
体
系
网络层面
物理层面
安全管理制度 业务处理流程
业务应用系统 数据库应用系统
身份鉴别机制 强制访问控制
防火墙 入侵检测系统
物理设备安全 环境安全
信息安全管理
9
可编辑课件
信息安全管理体系定义
定义:信息安全管理体系(Information Security Management System,ISMS)是组织在整体或特定范围内 建立的信息安全方针和目标,以及完成这些目标所用的方法和手 段所构成的体系;信息安全管理体系是信息安全管理活动的直接 结果,表示为方针、原则、目标、方法、计划、活动、程序、过 程和资源的集合。
信息安全管理
19
可编辑课件
系统、动态原则
信息安全管理工作的系统特征突出。要按照系统工 程的要求,注意各方面、各层次、各时期的相互协 调、匹配和衔接,以便体现系统集成效果和前期投 入的效益。同时,信息安全又是一种状态和动态反 馈过程,随着安全利益和系统脆弱性时空分布的变 化,威胁程度的提高,系统环境的变化以及人员对 系统安全认识的深化等,应及时地将现有的安全策 略、风险接受程度和保护措施进行复查、修改、调 整以至提升安全管理等级。
信息安全管理
15
可编辑课件
规范定级原则
分级、分类是信息安全保障工作有的放矢的前提, 是界定和保护重点信息系统的依据,只有通过合理、 规范的分级、分类才能落实重点投资、重点防护。
信息安全管理
16
可编辑课件
以人为本原则
信息安全保障在很大程度上受制于人为的因素。加 强信息安全教育、培训和管理,强化安全意识和法 制观念,提升职业道德,掌握安全技术,确保措施 落实是做好信息安全管理工作的重要保证。
信息安全管理
10
可编辑课件
建立信息安全管理体系的意义
ISMS是组织整体管理体系的一部分,是组织在整 体或特定范围内建立信息安全的方针和目标,以及 完成这些目标所用的方法的体系。
安全管理体系是安全技术体系真正有效发挥保护作 用的重要保障,安全管理体系的涉及立足于总体安 全策略,并与安全技术体系相互配合,增强技术防 护体系的效率和效果,同时,也弥补当前技术无法 完全解决的安全缺陷。
ISO27001非常强调信息安全管理过程中文件化的工作, ISMS的文件体系应该包括安全策略、适用性声明(选择和 未选择的控制目标和控制措施)、实施安全控制所需的程序 文件、ISMS管理和操作程序,以及组织围绕ISMS开展的 所有活动的证明材料。
信息安全管理
13
可编辑课件
信息安全管理的基本原则
一、总体原则 1、主要领导负责原则 2、规范定级原则 3、以人为本原则 4、适度安全原则 5、全面防范、突出重点原则 6、系统、动态原则 7、控制社会影响原则。
二、安全策略管理 1、分权制衡 2、最小特权 3、选用成熟技术 4、普遍参与。
信息安全管理
14
可编辑课件
主要领导负责原则
信息安全保证工作事关大局,企业、组织各级领导 应该把信息安全列为其最重要的工作内容之一,并 负责成提高、加强内部人员的安全意识,组织有效 的技术和管理队伍,调动优化配置必要的资源和经 费,协调信息安全管理工作与各部门工作的关系, 确保信息安全保障工作的落实和效果。
信息安全管理
17
可编辑课件
适度安全原则
安全需求的不断增加和现实资源的局限性是安全决 策处于两难境地,恰当地平衡安全投入与效果是从 全局上处置好安全管理工作的出发点。
信息安全管理
18
可编辑课件
全面防范、突出重点的原则
全面防范是保障信息系统安全的关键。它需要从人 员、管理和技术等方面,在预警、保护、检测、反 应、恢复和跟踪等多个环节上采用多种技术实现。 同时,又要从组织和机构的实际情况出发,突出自 身的安全管理重点。
信息安全管理
7
可编辑课件
信息安全管理体系
信息安全管理覆盖的内容非常广泛,涉及到信 息和网络系统的各个层面,以及生命周期的各 个阶段。不同方面的管理内容彼此之间存在着 一定的关联性,它们共同构成一个全面的有机 整体,以使管理措施保障达到信息安全的目, 这个有机整体被称为信息安全管理体系。
信息安全管理
信息安全管理
11
可编辑课件
组织建立、实施与保持ISMS将会产生如下作用:
1. 强化员工的信息安全意识,规范组织信息安全行为;
2. 促使管理层贯彻信息安全保障体系;
3. 对组织的关键信息资产进行全面系统的保护,维持竞 争优势;
4. 在信息系统受到侵袭时,确保业务持续开展并将损失 降到最低程度;
5. 使组织的生意伙伴和客户对组织充满信心;
6. 如果通过体系认证,表明体系符合标准,证明组织有 能力保障重要信息,可以提高组织的知名度与信任度。
信息安全管理
12
可编辑课件
信息安全管理体系标准
ISO27001是建立和维护信息安全管理体系的标准,它要 求应该通过这样的过程来建立ISMS框架:确定体系范围, 制定信息安全侧率,明确管理职责,通过风险评估确定控制 目标和控制方式。
信息安全管理基础
09.10.2020
可编辑课件
1
本章内容 信息安全管理体系 信息安全管理标准 信息安全策略 信息安全技术
信息安全管理
2
可编辑课件
信息技术/网络技术改变生活方式
政府
商业
信息安全管理
3
个人生活
金融
可编辑课件
信息安全现状
日益增长的安全威胁
– 攻击技术越来越复杂 – 入侵条件越来越简单
信息安全管理
4
可编辑课件
黑客攻击猖獗
特洛伊木马
黑客攻击 后门、隐蔽通道 计算机病毒
网络
信息安全管理
逻辑炸弹
蠕虫
5
拒绝服务攻击
内部、外部泄密
可编辑课件
安全事件
– 每年都有上千家政府网站被攻击
安全影响
– 任何网络都可能遭受入侵
信息安全管理
6
可编辑课件
系统的定义:
系统是由相互作用和相互依赖的若干部分结合成的具特 定功能的整体。系统一般包括下列因素: 1、一种产品或者组件,如计算机、所有的外部设备等; 2、操作系统、通信系统和其他相关的设备、软件,构成 了一个组织的基本结构; 3、多个应用系统或软件(财务、人事、业务等) 4、it部门的员工 5、内部用户和管理层 6、客户和其他外部用户 7、周围环境,包括媒体、竞争者、上层管理机构。
8
可编辑课件
信息系统安全体系结构
管理层面
应用层面
信
息
安 全
系统层面
体
系
网络层面
物理层面
安全管理制度 业务处理流程
业务应用系统 数据库应用系统
身份鉴别机制 强制访问控制
防火墙 入侵检测系统
物理设备安全 环境安全
信息安全管理
9
可编辑课件
信息安全管理体系定义
定义:信息安全管理体系(Information Security Management System,ISMS)是组织在整体或特定范围内 建立的信息安全方针和目标,以及完成这些目标所用的方法和手 段所构成的体系;信息安全管理体系是信息安全管理活动的直接 结果,表示为方针、原则、目标、方法、计划、活动、程序、过 程和资源的集合。
信息安全管理
19
可编辑课件
系统、动态原则
信息安全管理工作的系统特征突出。要按照系统工 程的要求,注意各方面、各层次、各时期的相互协 调、匹配和衔接,以便体现系统集成效果和前期投 入的效益。同时,信息安全又是一种状态和动态反 馈过程,随着安全利益和系统脆弱性时空分布的变 化,威胁程度的提高,系统环境的变化以及人员对 系统安全认识的深化等,应及时地将现有的安全策 略、风险接受程度和保护措施进行复查、修改、调 整以至提升安全管理等级。
信息安全管理
15
可编辑课件
规范定级原则
分级、分类是信息安全保障工作有的放矢的前提, 是界定和保护重点信息系统的依据,只有通过合理、 规范的分级、分类才能落实重点投资、重点防护。
信息安全管理
16
可编辑课件
以人为本原则
信息安全保障在很大程度上受制于人为的因素。加 强信息安全教育、培训和管理,强化安全意识和法 制观念,提升职业道德,掌握安全技术,确保措施 落实是做好信息安全管理工作的重要保证。
信息安全管理
10
可编辑课件
建立信息安全管理体系的意义
ISMS是组织整体管理体系的一部分,是组织在整 体或特定范围内建立信息安全的方针和目标,以及 完成这些目标所用的方法的体系。
安全管理体系是安全技术体系真正有效发挥保护作 用的重要保障,安全管理体系的涉及立足于总体安 全策略,并与安全技术体系相互配合,增强技术防 护体系的效率和效果,同时,也弥补当前技术无法 完全解决的安全缺陷。
ISO27001非常强调信息安全管理过程中文件化的工作, ISMS的文件体系应该包括安全策略、适用性声明(选择和 未选择的控制目标和控制措施)、实施安全控制所需的程序 文件、ISMS管理和操作程序,以及组织围绕ISMS开展的 所有活动的证明材料。
信息安全管理
13
可编辑课件
信息安全管理的基本原则
一、总体原则 1、主要领导负责原则 2、规范定级原则 3、以人为本原则 4、适度安全原则 5、全面防范、突出重点原则 6、系统、动态原则 7、控制社会影响原则。
二、安全策略管理 1、分权制衡 2、最小特权 3、选用成熟技术 4、普遍参与。
信息安全管理
14
可编辑课件
主要领导负责原则
信息安全保证工作事关大局,企业、组织各级领导 应该把信息安全列为其最重要的工作内容之一,并 负责成提高、加强内部人员的安全意识,组织有效 的技术和管理队伍,调动优化配置必要的资源和经 费,协调信息安全管理工作与各部门工作的关系, 确保信息安全保障工作的落实和效果。
信息安全管理
17
可编辑课件
适度安全原则
安全需求的不断增加和现实资源的局限性是安全决 策处于两难境地,恰当地平衡安全投入与效果是从 全局上处置好安全管理工作的出发点。
信息安全管理
18
可编辑课件
全面防范、突出重点的原则
全面防范是保障信息系统安全的关键。它需要从人 员、管理和技术等方面,在预警、保护、检测、反 应、恢复和跟踪等多个环节上采用多种技术实现。 同时,又要从组织和机构的实际情况出发,突出自 身的安全管理重点。
信息安全管理
7
可编辑课件
信息安全管理体系
信息安全管理覆盖的内容非常广泛,涉及到信 息和网络系统的各个层面,以及生命周期的各 个阶段。不同方面的管理内容彼此之间存在着 一定的关联性,它们共同构成一个全面的有机 整体,以使管理措施保障达到信息安全的目, 这个有机整体被称为信息安全管理体系。
信息安全管理
信息安全管理
11
可编辑课件
组织建立、实施与保持ISMS将会产生如下作用:
1. 强化员工的信息安全意识,规范组织信息安全行为;
2. 促使管理层贯彻信息安全保障体系;
3. 对组织的关键信息资产进行全面系统的保护,维持竞 争优势;
4. 在信息系统受到侵袭时,确保业务持续开展并将损失 降到最低程度;
5. 使组织的生意伙伴和客户对组织充满信心;
6. 如果通过体系认证,表明体系符合标准,证明组织有 能力保障重要信息,可以提高组织的知名度与信任度。
信息安全管理
12
可编辑课件
信息安全管理体系标准
ISO27001是建立和维护信息安全管理体系的标准,它要 求应该通过这样的过程来建立ISMS框架:确定体系范围, 制定信息安全侧率,明确管理职责,通过风险评估确定控制 目标和控制方式。