信息安全管理体系介绍

信息安全管理体系介绍

ID:34482821

大小:689.16 KB

页数:46页

时间:2019-03-06

信息安全管理体系介绍_第1页
信息安全管理体系介绍_第2页
信息安全管理体系介绍_第3页
信息安全管理体系介绍_第4页
信息安全管理体系介绍_第5页
资源描述:

《信息安全管理体系介绍》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、安全管理体系介绍安全管理体系介绍Agenda一、信息安全基础知识二、信息安全管理标准三、认证相关介绍信息安全概念ò什么是信息?–信息是一种资产象其它重要的业务资产一样,对组织具有价值因此需要适当的保护ò什么是安全?–没有统一的定义–基本含义ò客观上不受威胁ò主观上不存在恐惧ò什么是信息安全?–ISO的定义为:为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和显露。信息安全特征ò信息安全具有以下特征:–保密性:确保只有经过授权的人才能访问信息–完整性:保护信息和信息的处理方法

2、准确而完整;–可用性:确保经过授权的用户在需要时可以访问信息并使用相关信息资产。信息安全的相对性ò安全没有100%–完美的健康状态永远也不能达到;ò安全工作的目标:将风险降到最低ò安全应该与保护的事物的价值相称;ò安全需要权衡–可用性与安全性–易用性与安全性–经济性与安全性信息安全现状ò重视技术,轻视管理ò重视产品功能,轻视人为因素ò重视对外安全,轻视内部安全ò静态不变的观念ò缺乏整体性信息安全体系的考虑信息安全需求ò强化责任意识,坚决做到责任到人,设备到人,工作到位ò进一步完善安全规范体系,强化安全操作执行力ò按照总部统一要求,大力

3、推进安全防护技术手段建设有关标准2004ò2004年9月5号,BS7799-2:2002正式发布,提交ISO,可望近期成为国际标准。2002òBSI对BS7799-2:1999进行了修订,正式引入PDCA过程模型。9月BS7799-2:2002公布发行。2000òBS7799-1:1999通过国际化标准组织ISO认可,12月正式成为国际标准ISO/IEC17799-1:2000《信息技术-信息学安全管理实施细则》1999òBS7799-1:1999与BS7799-2:1999经过修订后重新发布1998ò英国出版BS7799-2:199

4、8《信息安全管理体系规范》1995ò英国出版BS7799-1:1995《信息安全管理实施细则》1993ò率先由英国贸易工业部进行专案。有关规定ò《关于加强信息安全保障工作的意见》(中办国办[2003]27号文件)–我国第一个全面关于信息安全保障工作的文件,是我国今后一段时期内信息安全保障工作的纲领性文件。–文件对中央各部委、各行业和各地区的信息安全保障工作做出原则性、战略性的规定。–总体要求:坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全。有关标准及法规ò《信息安全风险管理指南》ò《电信

5、网和互联网安全风险评估实施指南》(YDC051-2007)ò《电信网和互联网安全等级保护实施指南》(YDC050-2007)òSOXAgenda一、信息安全基础知识二、信息安全管理标准三、认证相关介绍信息安全管理ò信息安全管理的重要意义–在当今全球一体化的商业环境中,信息的重要性被广泛接受,信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、收益和机会,使得信息安全管理成为企业管理越来越关键的一部分。òISO27001/ISO17799ISO27001/ISO1779

6、9ISO27001/ISO17799体现原则ò制定信息安全方针为信息安全管理提供导向和支持ò控制目标和控制方式的选择建立在风险评估基础之上ò预防控制为主的思想原则ò全员参与原则ò动态管理原则ò遵循管理的一般循环模式—PDCA持续改进模式ò商务持续性原则ISO27001òChapter0:简介òChapter1:范围òChapter2:引用标准òChapter3:术语和定义òChapter4:信息安全管理体系òChapter5:管理责任òChapter6:ISMS内部审核òChapter7:ISMS管理评审òChapter8:ISMS改

7、进ò附件A(强制性)控制目标和控制措施ò附录BOECD准则和本国际标准ò附录C本标准与ISO9001:200、ISO14001:2004标准的对应关系ISO27001òChapter0:简介–0.1总则ò本标准为业务经理及其职员提供了建立和管理一个有效的信息安全管理体系(ISMS)的模型。ò采用ISMS是企业(组织)的一项战略性决策。ò企业的ISMS的设计和实施受各种业务需求、具体的目标、安全要求、所采用的过程以及组织的规模和结构的影响。ò期望随着时间而变化(改进)。ò本标准能够用户内部/外部(认证机构)评价企业满足顾客、法律法规和企

8、业自身要求的能力。–0.2过程方法ò过程IPO:通过利用资源和管理将输入转化为输出的一项活动。ò过程方法:组织内过程系统的应用,连同这些过程的识别和相互作用及其管理。òPDCA模型:–0.3与其他管理体系的兼容性ò本标准

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。