信息安全治理与风险管理

信息安全治理与风险管理

ID:42289642

大小:822.41 KB

页数:89页

时间:2019-09-11

信息安全治理与风险管理_第1页
信息安全治理与风险管理_第2页
信息安全治理与风险管理_第3页
信息安全治理与风险管理_第4页
信息安全治理与风险管理_第5页
资源描述:

《信息安全治理与风险管理》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、《数据安全管理》刘晓梅《数据安全管理》主要内容数据安全治理与风险管理数据加密技术数据访问控制数据通信安全数据安全法律法规数据环境安全学习方法关于考试数据与信息的关系第一章数据安全治理与风险管理本章主要内容SecurityterminologyandprinciplesProtectioncontroltypesSecurityframeworks,models,standards,andbestpracticesSecurityenterprisearchitectureRiskmanagementSecuri

2、tydocumentationInformationclassificationandprotectionSecurityawarenesstrainingSecuritygovernance信息安全管理基础安全管控框架与体系风险管理组织的信息安全实践信息安全意识、培训和教育内容目录对信息安全管理的初步认识信息安全实践活动应该基于组织的愿景、使命和业务目标的理解和支持,理解管理层对风险的容忍度,综合考虑安全措施的成本收益,确保实施恰当的策略、程序、标准和指南,以在安全控制和业务操作之间形成一种平衡。组织通过实施

3、管理性、技术性或操作性控制,保护其信息资产,以减少信息安全风险可能造成的损失。在此过程中,安全专家、高级管理层、安全审计人员、普通员工,都应该明白各自的角色并承担各自的责任。什么是管理?管理的目标?管理的手段?信息安全管理是管理领域与信息安全领域的交叉什么是信息?消息、信号、数据、情报和知识有意义的内容ISO9000信息本身是无形的,借助于信息媒体以多种形式存在或传播:存储在计算机、磁带、纸张等介质中;记忆在人的大脑里通过网络、打印机、传真机等方式进行传播信息借助媒体而存在,对现代企业来说具有价值,就成为信息资

4、产(informationassets)计算机和网络中的数据硬件、软件、文档资料关键人员组织内部的服务具有价值的信息资产面临诸多威胁,需要妥善保护信息在其生命周期内的处理方式创建(Create)使用(Use)存储(storage)传递(delivery)更改(change)销毁(destroy)信息安全的基本目标ConfidentialityInterityAvailability对CIA目标的解释C保密性(Confidentiality)-确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。I完整性(

5、Integrity)-确保信息在存储、使用、传输过程中不会被非授权篡改、防止授权用户或实体不恰当地修改信息,保持信息内部和外部的一致性。A可用性(Availability)-确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。CIA三元组是信息安全的目标,也是基本原则,与之相反的是DAD三元组:DAD泄漏篡改破坏isclosurelterationestruction对CIA目标的解释信息安全目标通俗的理解进不来拿不走改不了跑不了看不懂可审查CIA相关技术CIAEncryp

6、tionfordataatrest(wholedisk,databaseencryption)Encryptionfordataintransit(IPSec,SSL,PPTP,SSH)Accesscontrol(Physicalandtechnical)Hashing(dataintegrity)Configurationmanagement(systemintegrity)Changecontrol(processintegrity)Accesscontrol(physicalandtechnical)So

7、ftwaredigitalsigningTransmissionCRCfunctionsRedundantarrayofinexpensivedisks(RAID)ClusteringLoadbalancingRedundantdataandpowerlinesSoftwareanddatabackupsDiskshadowingCo-locationandoff-sitefacilitiesRoll-backfunctionsFail-overconfigurations信息安全的实质采取措施保护信息资产,使

8、之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性。其他相关概念和原则私密性(Privacy)个人和组织控制私用信息采集、存储和分发的权利。身份识别(Identification)用户向系统声称其真实身份的方式。身份认证(Authentication)测试并认证用户的身份。授权(Author

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。