信息安全基础：信息安全管理.pptx

信息安全管理

主要内容什么是信息安全管理信息安全管理的基本概念。（信息安全理论+管理科学）国家层面的信息安全战略管理、企业的信息安全管理信息安全管理的具体实施国家层面的信息安全战略管理的实施内容，企业的信息安全管理体系信息安全管理体系的建立过程针对某个实际的企业信息系统建立信息安全管理体系的过程

什么是信息安全管理

IATF

什么是管理？ 对信息安全基本概念已有一定程度的理解，下面介绍“管理”的概念。

管理的基本概念 管理（Manage）的定义：管理是社会组织中，为了实现预期的目标，以人为中心进行的协调活动。它包括4个含义：管理是为了实现组织未来目标的活动；管理的工作本质是协调；管理工作存在于组织中；管理工作的重点是对人进行管理。

管理的基本概念管理的要素：任何一种管理活动都必须由以下四个基本要素构成，即：管理主体：由谁管；管理客体：管理的对象；组织目的：为何而管；组织环境或条件：在什么情况下管。

信息安全管理的基本概念信息安全理论+管理科学从对信息安全管理概念、特征与规律等入手，剖析信息安全管理的构成要素，并以要素间相互联系为主线，系统分析这些要素涉及的信息安全管理的基本内容，最后得出具体的对称建议。

信息安全管理的基本概念信息安全管理的内涵信息安全管理是指通过对一定范围内的人员及信息活动进行协调和处理来实现信息安全的目的。它贯穿于人类信息活动的各个单元、层次和方面，是人类信息化整个过程的生命线。

国家信息安全战略管理包含的内容信息安全管理体制信息安全资产管理信息安全技术与产业管理信息安全法律法规管理信息安全风险评估管理信息安全预警与应急响应管理信息安全测评认证管理信息安全等级管理信息安全密码与密钥管理信息安全管理效能评估

信息安全管理的具体实施

国家层面的信息安全战略管理的具体实施 主要内容包括：信息安全管理体制、资产管理、技术与产业管理、法律法规管理、风险评估管理、预警与应急响应管理、测评认证管理、等级管理、密码与密钥管理、管理效能评估

信息安全管理体制√有形者为体，无形者为制。包括两个方面的内容：一方面，建立合理的信息安全管理的组织机构、配备恰当的人员；另一方面，建立健全的行之有效的管理法规和制度。

信息安全资产管理是指为了信息安全管理目标的顺利达成，对有关信息安全的资金和财产的管理。包括：相关的人、财、信息、信息技术、信息系统、信息安全系统等有形资产和无形资产管理。√主要方法是编制资产清单，将资产的名称、所处位置、价值、负责人等记录在清单上，防止资产被盗、丢失和滥用，定期对资产清单进行清查盘点，确保资产财务相符和完好无损。

信息安全技术与产业管理信息安全技术管理涉及信息安全技术研发、使用、维护、更新等管理内容。√信息安全技术的种类很多，涉及的产业范围很广，涉及的主要产业有：密码技术、防火墙技术、防病毒技术、入侵检测技术、虚拟专用网（VPN）技术、信息伪装与隐藏技术等。

信息安全法律法规管理主要任务是科学、系统、全面研究制定国家信息安全政策法规，使得信息安全管理有法可依，对破坏信息安全的行为，违法必究。√具体涉及发布信息安全政策、信息安全策略和规范信息安全管理的标准等管理内容。

信息安全风险评估管理信息安全风险评估管理是指在风险分析的基础上，通过风险辨识、风险评估和风险评价，以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。

信息安全预警与应急响应管理为了防止信息安全事件发生造成损失，或者为了降低已发生的信息安全事件带来的损失而建立、维护、运行信息安全预警、应急响应系统的活动。

信息安全测评认证管理信息安全测评是对有关信息安全产品的安全性进行测评和认证的管理活动。√信息技术产品和系统的安全保障能力如何，能否保障信息的保密性、完整性、可用性、可控性以及抗抵赖性？√解决这一问题，既不能凭开发者的良好愿望，由不能凭销售商的商业承诺，也不能凭使用者的感觉。而信息安全测评就是解决这一问题的手段和技术。

信息安全测评认证管理√测评主要标准GB17859-1999《计算机信息系统安全保护等级划分准则》GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》GB/T19716-2005《信息技术信息安全管理实用规则》GB/T20271-2006《信息系统通用安全技术要求》GB/T20269-2006《信息系统安全管理要求》GB/T20282-2006《信息系统安全工程管理要求》DB31/T272-2002《计算机信息系统安全测评通用技术规范》

信息安全等级管理遵循国家各部门、社会各行业和企事业单位的组织及其业务分级管理的内在规律，从保障组织及其业务分级管理需求出发，分类分级保护业务信息资源安全。√国务院1994年的147号令，国家质量技术监督检验总局发布的GB1