返回
信息安全管理重点

信息安全管理重点

ID:45584709

大小:96.22 KB

页数:8页

时间:2019-11-15

信息安全管理重点_第1页
信息安全管理重点_第2页
信息安全管理重点_第3页
信息安全管理重点_第4页
信息安全管理重点_第5页
资源描述:

《信息安全管理重点》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、1国家宏观信息安全管理方面,主要冇以下儿方面问题:(1)法律法规问题。健全的信息安全法律法规体系是确保国家信息安全的基础,是信息安全的笫一•道防线.(2)管理问题。(包括三个层次:组织建设、制度建设和人员意识)(3)国家信息基础设施建设问题。目前冲国信息基础设施几乎完全是建立在外国的核心信息技术Z上的,导致我国在网络时代没有制网权2W年度经济人物Z首:中/吝立者耶中翰.I•五期间,国家863计划和科技攻关的重要项目:信息安全与电子政务,金融信息化两个信息安全研究项目.2微观信息安全管理方而存在的主要问题为:(1)缺乏信息安全意识与明确的信息安全方针。(2)重视安全

2、技术,轻视安全管理。信息安全大约70%以上的问题是由管理原因造成的.(3)安全管理缺乏系统管理的思想。3信息安全的基本概念(重点CIA)信息安全(Informationsecurity)是指信息的保密性(Con打dentiality)、完整性(Integrity)和可用性(Availability)的保持。C:信息保密性是保障信息仅仅为那些被授权使用的人获取,它因信息被允许访问对象的多少而不同.I:信息完整性是指为保护信息及其处理方法的准确性和完整性,一是指信息在利用,传输,储存等过程中不被篡改,丢失,缺损等,另外是指信息处理方法的正确性.A:信息可用性是指信息及

3、相关信息资产在授权人需要吋可立即获得.系统硬件,软件安全,可读性保障等4信息安全的重要性:a.信息安全是国家安全的需要b.信息安全是组织持续发展的需要c.信息安全是保护个人隐私与财产的需要5如何确定纽织信息安全的要求:乩法律法规与合同要求b.风险评佔的结果(保护程度与控制方式)c.组织的原则、目标与要求6信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动,关于信息安全风险的指导和控制活动通常包括制定信息安全方针、风险评估、控制目标与方式选择、风险控制、安全保证等。信息安全管理实际上是风险管理的过程,管理的基础是风险的识别与评估。7图1・1信息安全管理P

4、DCA持续改进模式:・doc系统的信息安全管理原则:(1)制订信息安全方针原则:制定信息安全方针为信息安全管理提供导向和支持(2)风险评估原则:控制F1标打控制方式的选择建立在风险评估的基础Z上(3)费用与风险平衡原则:将风险降至组织可接受的水平,费用太高不接受(4)预防为主原则:信息安全控制应实行预防为主,做到防患于未然(5)商务持续性原则:即信息安全问题一旦发生,我们应能从故障与灾难屮恢复商务运作,不至于发生瘫痪,同时应尽力减少故障与灾难对关键商务过程的影响(6)动态管理原则:即对风险实施动态管理(7)全员参与的原则:(8)PDCA原则:遵循管理的一般循坏模式

5、-Plan(策划)-Do(执行)…Check(检查)—Action(措施)的持续改进模式。PDCA模式,如图信息安全方针、、根据风险评估、法律法规对方针与信息要求、组织商务运作口身要求确定控制目标与控制方式商务I持续性计划安全管理体系进行评价,/寻找改进/的机会,/釆取措施/实施组织所选择的控制•控制方式进行有关方针、程序、标准与法叔法规的符合性检查,对存在的问题采取措施予以改进—因此,系统的信息安全管理是动态的、系统的、全员参与的、制度化的、预防为主的倍息安全管理方式,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的连续性,它完全不同于传统的信息

6、安全管理模式:静态的、局部的、少数人负责的、突击式的、事后纠正式的,不能从根本上避免、降低各类风险,也不能降低信息安全故障导致的综合损失,商务可能因此瘫痪,不能持续。8威胁(Threat),是指可能对资产或组织造成损害的事故的潜在原因。如病毒和黑客攻击,小偷偷盗等.9薄弱^(Vulnerability),^指资产或资产组中能被威胁利用的弱点。如员工缺乏安全意识,口令简短易猜,操作系统本身冇安全漏洞等.威胁是利用薄弱点而对资产或纽织造成损害的•如无懈可击,有机可乘.10风险(Risk),即特定威胁事件发生的可能性与示果的结合。特定的威胁利用资产的一种或一•组薄弱点,

7、导致资产的丢失或损害的潜在可能性及其影响人小.经济代理人而对的施%状态对以用某种具体的据率值表示•这里的风险只表示结果的不确定性及发生的可能性大小.11风险评估(RiskAssessment),对信息和信息处理设施的威胁、影响(Impact)和薄弱点及三者发生的可能性评估.它是确认安全风险及具人小的过程,即利用适当的风险评估工具,确定资产风险等级和优先控制顺序,所以,风险评估也称为风险分析12风险管理(RiskManagement),以可接受的费用识别、控制、降低或消除可能影响信息系统安全风险的过程。13图2・1风险管理过程结构・da.安全控制(SecurityC

8、ontro

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。