信息安全体系规划与建立课件.ppt

信息安全的典型特点 全面性 层次性 过程性 动态性 相对性 可管理性 * 信息安全体系模型 ——P-POT-PDR P-POT-PDRR 模型的核心思想在于：通过人员组织、安全技术以及运行操作三个支撑体系的综合作用，构成一个完整的信息安全管理体系。 P-POT-PDRR ，即Policy （策略）、People（人）、Operation （操作）、Technology （技术）、Protection （保护）、Detection （检测）、Response （响应）和Recovery （恢复）的首字母缩写 P-POT-PDRR 安全体系模型 * 信息安全体系模型 ——P-POT-PDR P-POT-PDRR 安全体系框架 * 如何建设信息安全系统 信息安全管理体系（ISMS）的建设过程 * 信息安全整体规划的实践蓝图 安全管理组织机构 信息安全体系 环境安全 网络系统本身安全 信息存储安全 物理安全 网络安全 信息安全 管理安全 网络系统运行安全 媒体安全 设备安全 信息传输安全 信息内容安全审计 设备防盗监控系统 机房门禁管理系统 机房信号屏蔽系统 安全防雷系统 内网访问控制系统 外网访问控制系统 网络反病毒系统 网络安全检测系统 审计与监控系统 备份、恢复系统 数据库安全系统 终端安全系统 信息内容审计系统 数据加密系统 数据完整性系统 数字签名系统 安全管理的实现 安全管理原则 多人负责 职责分离 根据企业需求建立相关的组织、管理和技术机构 * 等级保护标准 信息系统安全等级保护定级指南 定级规则 行业定级规则 安全域划分 安全策略设计 管理策略推广 整改建议 系统整改 信息系统 系统调研、子系统统划分 系统定级 等级安全指标体系设计 解决方案设计 技术方案实施 等级保护测评 系统安全运维 系统更新 信息系统安全等级保护实施指南 信息系统安全等级保护基本要求 等级评估 安全规划设计 自评估 信息系统安全等级保护测评准则 行业定级知识库 行业等级指标库 等级测评规则库 系统等级评估 等级安全体系规划 安全建设运维 * 风险管理 风险管理的核心作用 风险管理的基本概念 风险管理的前期准备 确定信息安全目标和战略 建立信息安全策略 风险评估 风险评估的概念 风险评估的可行途径 风险评估的常用方法 风险评估的工具 风险评估的基本过程 风险消减 风险控制 风险管理的跟进活动 * 风险管理的核心作用 风险管理就是识别风险、评估风险、采取对策将风险消减到可接受水平，保证信息资产的保密性、完整性、可用性。 * 风险管理的核心作用（二） 风险管理周期模型 与信息安全管理过程相同，风险管理也是一个动态发展并不断循环的过程 * 风险管理的基本概念 信息安全风险管理过程中牵涉到诸多要素或者概念，包括： 资产（Asset ） 威胁（Threat） 弱点（Vulnerability） 风险（Risk） 可能性（Likelihood） 影响（Impact） 安全措施（Safeguard） 残留风险（Residual Risk） 风险管理各要素之间的关系 * 风险管理的前期准备（一） 1、确定信息安全目标和战略 信息安全目标 确保客户、委托人、股东、纳税人对组织的产品、服务、信誉具有足够的信心。 确保与雇员、客户、消费者和受益人相关的信息资料的保密性。 保护敏感的商务数据，使其免遭不恰当的泄漏。 避免因为组织的计算机或网络资源被利用来实施非法或恶意操作而承担第三方责任。? 确保组织的计算机、网络和数据资源不被误用或浪费。? 防止欺诈。? 遵守相关的法律法规。 信息安全战略 全组织范围内应采用的风险评估战略和方法 对信息安全策略的需求? 对系统安全操作程序的需求 全组织范围内的信息敏感性分类方案 与其他组织连接时需要满足的条件和检查方法 事件处理方案其中，对风险评估战略和方法的考虑是风险管理周期很重要的一个前提，只有事先确定了风险评估的途径，风险评估或风险分析活动才能有据而行。 * 风险管理的前期准备（二） 2、建立信息安全策略 信息安全策略（Information Security Policy ）也称做信息安全方针，它是在一个组织内指导如何对包括敏感信息在内的资产进行管理、保护和分配的规则和指示。 阐述的不同层次来看，信息安全策略可以分为三类： 总体方针 特定问题策略 特定系统策略 * 风险评估（一） 风险评估的概念 风险评估是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。 风险评估的任务 风险评估的过程 每项资产可能面临多种威胁，威胁