信息安全管理与法律法规

信息安全管理与法律法规

ID:27349638

大小:517.51 KB

页数:74页

时间:2018-12-01

信息安全管理与法律法规_第1页
信息安全管理与法律法规_第2页
信息安全管理与法律法规_第3页
信息安全管理与法律法规_第4页
信息安全管理与法律法规_第5页
资源描述:

《信息安全管理与法律法规》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、1信息安全管理与法律法规复习2012管理制度篇信息安全概念安全没有危险、不受威胁、不出事故。安全理念以风险大小来划分安全与否没有绝对的安全和零风险风险可接受即可视为安全风险大小与安全投入的平衡信息安全木桶原理短板理论,系统的安全性取决于系统的最薄弱环节,加强其安全,才能提高整体安全性。“信息安全”问题“信息系统”安全问题信息不安全引发的其他安全问题信息系统安全的保护目标与所属组织的安全利益是完全一致的,具体体现为对信息的保护、对系统的保护和对信息使用的监管。广义的信息安全信息安全属性信息安全属性保密性Confidentiality完整性Integrity可用性Availability不

2、可否认性(抗抵赖)Non-repudiation真实性Authentication可控性/可治理性Controllability/Governability可靠性Reliability…信息安全风险评估资产(保护对象)软件、硬件、数据、人、业务、声誉(品牌)脆弱性(隐患的关键因素)软件、硬件、制度、人威胁(威胁源与行为)外部(如黑客攻击)、内部,有意、无意、自然、人为可能性(动机和能力)蓄谋、偶然,难度后果本身价值、直接和间接影响信息安全的对策(管理部分)国家层面法律法规、政策、国家标准社会层面道德行业层面行规、行业标准组织层面规章制度个人最脆弱的环节培训、意识、行为规范信息安全技术与

3、管理技术必须与管理结合技术有局限性,不是万能的,需要管理弥补技术需要管理来实施和保障很多(底层)技术不可控技术的发展需要管理来调整以适应技术可能被利用内部原因的信息安全问题比重大信息安全分类分级保护对信息和信息系统进行分级保护是体现统筹规划、积极防范、突出重点的信息安全保护原则的重大措施。最有效和科学的方法是在维护安全、健康、有序的网络运行环境的同时,以分级分类的方式确保信息和信息系统安全既合符政策规范,又满足实际需求。实现安全成本与信息系统重要性的平衡。等级保护内容信息系统分等级保护信息安全产品分等级管理信息安全事件分等级响应、处置定级要素与安全保护等级的关系等级对象侵害客体侵害程度

4、监管强度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导保护社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查保护国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查保护国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查保护等级保护的原则自主定级、自主保护与国家监管相统一谁主管谁负责,谁运营谁负责信息安全管理体系标准ISO/IEC27000概述和词汇ISO/IEC27001信息安全管理体系要求ISO/IEC27002信息安全管理体系实用规则ISO/IEC27003信息安全管理体系实施指南ISO/IEC27004信息安全管理度量IS

5、O/IEC27005信息安全风险管理ISO/IEC27006ISMS认证机构的认可要求ISO/IEC27007信息安全管理体系审核指南风险评估与处理依据组织需求,识别、量化风险。其结果用于指导并确定适当的管理措施及其优先级风险评估应定期/不定期进行风险处置规避降低转嫁接受信息安全管理实用规则GB/T22081-200811个方面,39个控制目标,133个控制措施11个方面(控制目标数)信息安全方针(1)信息安全的各方(2)资产管理(2)人力资源安全(3)物理和环境安全(2)通信和操作管理(10)访问控制(7)信息系统获取、开发和维护(6)信息安全事件管理(2)业务连续性管理(1

6、)符合性(3)人力资源安全任用前角色和职责(清晰定义并传达)人员背景审查(身份、信用、专业水平)任用条款和条件(合同明确安全职责)人力资源安全(2)任用中管理者要求各方清楚并恪守职责信息安全意识、教育和培训纪律处理过程(证据与分级处理)人力资源安全(3)任用的终止或变更终止职责(明确责任并传达)资产的归还撤销访问权物理和环境安全安全区域物理安全周边(门、墙等)物理入口控制(各处出入者标识、记录与限制)办公室、房间和设施的安全保护(隐蔽性)外部和环境威胁的安全防护(灾害预防)在安全区工作(隐秘、受控、上锁、拒摄录)公共访问、交接区安全(授权访问、进出的货物检查/登记/隔离)物理和环境安全

7、(2)设备安全设备和保护(设备防灾/盗保护、处理信息的保护)支持性设施(电、水、温度、湿度等)布缆安全(防窃听和损坏)设备维护(保证连续可用)组织场所外的设备安全(看管、正确使用)设备的安全处置或再利用(残余信息防重用)资产的移动(有授权、人员、时间、记录、返回核查)通信和操作管理(5)备份信息备份(规程、记录、比例/频率、异地、同保护等级存放环境、测试备份信息及恢复规程)通信和操作管理(7)介质处置可移动介质的管理(规程、授权、记录、防重用、

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。