《信息安全导论》 课件 第9章 信息安全管理.pptx

第九章信息安全风险管理;计算机犯罪;防火墙能解决这样的问题吗？;防火墙能解决这样的问题吗？;信息安全管理需求：人在信息系统中具有重要的作用。;三分技术，七分管理;仅通过技术手段实现的安全能力是有限的，只有有效的安全管理，才能确保技术发挥其应有的安全作用，真正实现设备、应用、数据和人这个整体的安全。

;信息安全研究的内容主要分为信息安全技术和信息安全管理。

信息安全技术层面

建设安全的主机系统和安全的网络系统，包括物理层安全、系统层安全、网络层安全和应用层安全等

配备一定的安全技术和产品，如数据加密产品、数据存储备份产品、系统容错产品、防病毒产品、安全网关产品等

信息安全管理层面

构建信息安全管理体系;信息安全管理(InformationSecurityManagement)：组织为了实现信息安全目标和信息资产保护，用来指导和管理各种控制信息安全风险的、一组相互协调的活动。

信息安全管理对象：组织的信息及相关资产，包括信息、人员、软件等，同时还包括信息安全目标、信息安全组织架构、信息安全策略规则等。

信息安全管理最终目标：将系统（即管理对象）的安全风险降低到用户可接受的程度，保证系统的安全运行和使用。

;12.1信息安全管理体系;信息安全管理模型

PDCA管理模型实际上是指有效地进行任何一项工作的合乎逻辑的工作程序。

它包括计划(Plan)、执行(Do)、检查(Check)和行动(Action)的持续改进模式。

每次循环都会通过检查环节发现新的问题，然后采取行动予以改进，从而形成了安全管理策略和活动的螺旋式提升。;12;信息安全管理体系(InformationSecurityManagementSystem,ISMS)

组织以信息安全风险评估为基础的系统化、程序化和文件化的管理体系，包括建立、实施、运行、监视、评审、保持和改进信息安全等一系列的管理活动。;信息安全管理的原则;信息安全管理的原则;信息安全管理是一个过程，而不是一个产品，其本质是风险管理。信息安全风险管理可以看成是一个不断降低安全风险的过程，最终目的是使安全风险降低到一个可接受的程度，使用户和决策者可以接受剩余的风险。信息安全风险管理贯穿信息系统生命周期的全部过程。信息系统生命周期包括规划、设计、实施、运维和废弃五个阶段。每个阶段都存在相关风险，需要采用同样的信息安全风险管理的方法加以控制。;信息安全风险管理是为保护信息及其相关资产，指导和控制一个组织相关信息安全风险的协调活动。我国《信息安全风险管理指南》指出，信息安全风险管理包括对象确立、风险评估、风险控制、审核批准、监控与审查、沟通与咨询六个方面，其中前四项是信息安全风险管理的四个基本步骤，监控与审查和沟通与咨询则贯穿于前四个步骤中。;设施的安全管理包括网络的安全管理、保密设备的安全管理、硬件设施的安全管理、场地的安全管理等。

管理网络的安全管理。信息管理网络是一个用于收集、传输、处理和存储有关信息系统与网络的维护、运行和管理信息的、高度自动化网络化的综合管理系统。它包括性能管理、配置管理、故障管理、计费管理、安全管理等功能。而安全管理又包括系统的安全管理、安全服务管理、安全机制管理、安全事件处理管理、安全审计管理、安全恢复管理等。;根据信息化建设发展的需要，信息包括三个层次的内容：一是在网络和系统中被采集、传输、处理和存储的对象，如技术文档、存储介质、各种信息等；二是指使用的各种软件；三是安全管理手段的密钥和口令等信息。

存储介质的安全管理。存储介质包括：纸介质、磁盘、光盘、磁带、录音/录像带等，它们的安全对信息系统的恢复、信息的保密、防病毒起着十分关键的作用。对不同类别的存储介质，安全管理要求也不尽相同。对存储介质的安全管理主要考虑存储管理、使用管理、复制和销毁管理、涉密介质的安全管理。;3、信息的安全管理;4、运行的安全管理;4、运行的安全管理;信息安全管理的方法包括法律方法、行政方法、经济方法和宣传教育方法。四者相互结合，形成完整的管理方法体系。;1、法律方法;行政方法;宣传教育方法;谢谢