欢迎来到天天文库
浏览记录
ID:32459573
大小:538.00 KB
页数:33页
时间:2019-02-05
《【5A文】ISO27001信息安全管理体系宣讲课件.PPT》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、信息安全管理体系宣讲1什么是信息信息可以理解为消息、信号、数据、情报和知识。信息本身是无形的,借助于信息媒体以多种形式存在或传播,它可以存储在计算机、磁带、纸张等介质中,也可以记忆在人的大脑里,还可以通过网络、打印机、传真机等方式进行传播。对现代企业来说,信息是一种资产,包括计算机和网络中的数据,还包括专利、标准、商业机密、文件、图纸、管理规章、关键人员等,就象其它重要的商业资产那样,信息资产具有重要的价值,因而需要进行妥善保护。什么是信息安全保护信息系统的硬件、软件及相关数据,使之不因为偶然或者恶意侵犯
2、而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行。在商业和经济领域,信息安全主要强调的是消减并控制风险,保持业务操作的连续性,并将风险造成的损失和影响降低到最低程度。信息安全的任务就是要采取措施(技术手段及有效管理)让这些信息资产免遭威胁,或者将威胁带来的后果降到最低程度,以此维护组织的正常运作。信息安全有哪些基本目标信息安全通常强调所谓CIA三元组的目标,即保密性、完整性和可用性(如图1所示)。CIA概念的阐述源自信息技术安全评估标准(InformationTechnologySecuri
3、tyEvaluationCriteria,ITSEC),它也是信息安全的基本要素和安全建设所应遵循的基本原则。CIA介绍保密性(Confidentiality)——确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。?完整性(Integrity)——确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。?可用性(Availability)——确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问
4、信息及资源。CIA介绍当然,不同机构和组织,因为需求不同,对CIA原则的侧重也会不同,如果组织最关心的是对私秘信息的保护,就会特别强调保密性原则,如果组织最关心的是随时随地向客户提供正确的信息,那就会突出完整性和可用性的要求。除了CIA,信息安全还有一些其他原则,包括可追溯性(Accountability)、抗抵赖性(Non-repudiation)、真实性(Authenticity)、可控性(Controllable)等,这些都是对CIA原则的细化、补充或加强。DAD三元组与CIA三元组相反的有一个DA
5、D三元组的概念,即泄漏(Disclosure)、篡改(Alteration)和破坏(Destruction),实际上DAD就是信息安全面临的最普遍的三类风险,是信息安全实践活动最终应该解决的问题。什么是信息安全的根本目标对现代企业来说,对CIA的追求只是一种简单抽象的理解,是信息安全的直接目标,其实企业最关心的,是其关键业务活动的持续性和有效性,这是企业命脉所在,就信息安全来说,是其根本目标。当然,要让依赖于信息环境的业务活动能够持续,就必然要保证信息环境的安全,业务持续性对信息环境提出了CIA的要求,而
6、信息环境CIA的实现支持着业务持续性目标的实现。企业从自身利益出发,把着眼点归结到业务活动的切实需求上,信息安全才能做到真正的有始而发和有的放矢。信息安全需求来自哪里(1)法律法规与合同条约的要求与信息安全相关的法律法规是对组织的强制性要求,组织应该对现有的法律法规加以识别,将适用于组织的法律法规转化为组织的信息安全需求。这里所说的法律法规有三个层次,即国家法律、行政法规和各部委和地方的规章及规范性文件。此外,组织还要考虑商务合作者和客户对组织提出的具体的信息安全要求,包括合同约定、招标条件和承诺等。例如
7、,合同中可能会明确要求组织的信息安全管理体系遵循BS7799标准。(2)组织的原则、目标和规定组织从自身业务和经营管理的需求出发,必然会在信息技术方面提出一些方针、目标、原则和要求,据此明确自己的信息安全要求,确保支持业务运作的信息处理活动的安全性。(3)风险评估的结果除了以上两个信息安全需求的来源之外,确定安全需求最主要的一个途径就是进行风险评估,组织对信息资产的保护程度和控制方式的确定都应建立在风险评估的基础之上。一般来讲,通过综合考虑每项资产所面临的威胁、自身的弱点、威胁造成的潜在影响和发生的可能性
8、等因素,组织可以分析并确定具体的安全需求。风险评估是信息安全管理的基础。做好信息安全整体规划目标Objective:蓝图中首先明确的是信息安全建设的核心目标,即实现信息安全的CIA并最终确保业务持续性,这是InfoSec所代表的含义。?对象Object:信息安全必须有明确的保护对象,即信息资产,包括各种关键数据、应用系统、实物资产、设施和环境,以及人员。信息资产的明确界定,将使信息安全控制的实施有引而发。而对这些资产的保护,将
此文档下载收益归作者所有