信息安全管理PPT.ppt

2024/7/291信息平安管理根底

2024/7/292本章内容信息平安管理体系信息平安管理标准信息平安策略信息平安技术

2024/7/293信息技术/网络技术改变生活方式政府商业个人生活金融

2024/7/294信息平安现状日益增长的平安威胁攻击技术越来越复杂入侵条件越来越简单

2024/7/295黑客攻击猖獗网络内部、外部泄密拒绝效劳攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒后门、隐蔽通道蠕虫

2024/7/296平安事件每年都有上千家政府网站被攻击平安影响任何网络都可能遭受入侵

2024/7/297系统的定义：系统是由相互作用和相互依赖的假设干局部结合成的具特定功能的整体。系统一般包括以下因素：1、一种产品或者组件，如计算机、所有的外部设备等；

2、操作系统、通信系统和其他相关的设备、软件，构成了一个组织的根本结构；

3、多个应用系统或软件〔财务、人事、业务等〕

4、it部门的员工

5、内部用户和管理层

6、客户和其他外部用户

7、周围环境，包括媒体、竞争者、上层管理机构。

2024/7/298信息平安管理覆盖的内容非常广泛，涉及到信息和网络系统的各个层面，以及生命周期的各个阶段。不同方面的管理内容彼此之间存在着一定的关联性，它们共同构成一个全面的有机整体，以使管理措施保障到达信息平安的目，这个有机整体被称为信息平安管理体系。信息平安管理体系

2024/7/299物理层面网络层面系统层面应用层面管理层面安全管理制度业务处理流程业务应用系统数据库应用系统身份鉴别机制强制访问控制防火墙入侵检测系统物理设备安全环境安全信息安全体系信息系统平安体系结构

2024/7/2910定义：信息平安管理体系〔InformationSecurityManagementSystem，ISMS〕是组织在整体或特定范围内建立的信息平安方针和目标，以及完成这些目标所用的方法和手段所构成的体系；信息平安管理体系是信息平安管理活动的直接结果，表示为方针、原那么、目标、方法、方案、活动、程序、过程和资源的集合。信息平安管理体系定义

2024/7/2911建立信息平安管理体系的意义ISMS是组织整体管理体系的一局部，是组织在整体或特定范围内建立信息平安的方针和目标，以及完成这些目标所用的方法的体系。平安管理体系是平安技术体系真正有效发挥保护作用的重要保障，平安管理体系的涉及立足于总体平安策略，并与平安技术体系相互配合，增强技术防护体系的效率和效果，同时，也弥补当前技术无法完全解决的平安缺陷。

2024/7/2912强化员工的信息平安意识，标准组织信息平安行为；促使管理层贯彻信息平安保障体系；对组织的关键信息资产进行全面系统的保护，维持竞争优势；在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；使组织的生意伙伴和客户对组织充满信心；如果通过体系认证，说明体系符合标准，证明组织有能力保障重要信息，可以提高组织的知名度与信任度。组织建立、实施与保持ISMS将会产生如下作用：

2024/7/2913ISO27001是建立和维护信息平安管理体系的标准，它要求应该通过这样的过程来建立ISMS框架：确定体系范围，制定信息平安侧率，明确管理职责，通过风险评估确定控制目标和控制方式。ISO27001非常强调信息平安管理过程中文件化的工作，ISMS的文件体系应该包括平安策略、适用性声明〔选择和未选择的控制目标和控制措施〕、实施平安控制所需的程序文件、ISMS管理和操作程序，以及组织围绕ISMS开展的所有活动的证明材料。信息平安管理体系标准

2024/7/2914信息平安管理的根本原那么一、总体原那么1、主要领导负责原那么2、标准定级原那么3、以人为本原那么4、适度平安原那么5、全面防范、突出重点原那么6、系统、动态原那么7、控制社会影响原那么。二、平安策略管理1、分权制衡2、最小特权3、选用成熟技术4、普遍参与。

2024/7/2915信息平安保证工作事关大局，企业、组织各级领导应该把信息平安列为其最重要的工作内容之一，并负责成提高、加强内部人员的平安意识，组织有效的技术和管理队伍，调动优化配置必要的资源和经费，协调信息平安管理工作与各部门工作的关系，确保信息平安保障工作的落实和效果。主要领导负责原那么

2024/7/2916标准定级原那么分级、分类是信息平安保障工作有的放矢的前提，是界定和保护重点信息系统的依据，只有通过合理、标准的分级、分类才能落实重点投资、重点防护。

2024/7/2917以人为本原那么信息平安保障在很大程度上受制于人为的因素。加强信息平安教育、培训和管理，强化平安意识和法