信息安全管理制度PPT.ppt

《信息安全管理制度PPT.ppt》由会员分享，可在线阅读，更多相关《信息安全管理制度PPT.ppt（104页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院信息网络安全管理和技术人员信息网络安全管理和技术人员信息网络安全管理和技术人员信息网络安全管理和技术人员继续教育培训继续教育培训继续教育培训继续教育培训 信息安全管理信息安全管理（概论部分）（概论部分）宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院第一部分第一部分 信息安全管理概论信息安全管理概论第一章第一章 信息安全概述信息安全概述第二章第二章 信息安全管理基础信息安全管理基础宁波广播电视大学继续教育学院宁波广播电视

2、大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院第一章 信息安全概述第一节 信息与信息安全第二节 信息安全政策第三节 信息安全法律体系宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院信息及信息的价值信息及信息的价值“真相的濒危甚于老虎的濒危真相的濒危甚于老虎的濒危”“放映的删节版放映的删节版色色,戒戒，剧情不完整，侵犯消费者，剧情不完整，侵犯消费者的公平交易权和知情权的公平交易权和知情权”“剧情剧情”、“真相真相”等都是一种信息等都是一种信息信息、物质、能量信息、物质、能量是人类社会赖以生存和发展的三大要是

3、人类社会赖以生存和发展的三大要素素灾难备份灾难备份给银行数据信息上保险给银行数据信息上保险公安部公安部:超过一半单位发生过信息网络安全事件超过一半单位发生过信息网络安全事件 宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院第一章第一章 信息安全概述信息安全概述第一节第一节 信息与信息安全信息与信息安全一、信息与信息资产一、信息与信息资产（一）信息的定义（一）信息的定义广义：事物的运动状态以及运动状态形式的变化，广义：事物的运动状态以及运动状态形式的变化，是一种客观存在。（客观存在并不是区分真是一种客观存在。（客观存在并不是区分真假

4、信息的依据）假信息的依据）狭义：能被主体感觉到并被理解的东西（客观存狭义：能被主体感觉到并被理解的东西（客观存在）。在）。本书的定义：通过在数据上施加某些约定而赋予本书的定义：通过在数据上施加某些约定而赋予这些数据的特殊含义。这些数据的特殊含义。信息安全资产的分类：信息具有价值，是一种资信息安全资产的分类：信息具有价值，是一种资产。产。宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院第一节第一节 信息与信息安全信息与信息安全 信息资产分类信息资产分类数据数据：存在于电子媒介的各种数据资料软件软件：应用软件、系统软件、开发工具和资源

5、库硬件硬件：计算机硬件、路由器、交换机、布线等服务服务：操作系统、WWW、网络管理和安保等文档文档：纸质文件、传真、财务报告、发展计划等设备设备：电源、空调、门禁等人员人员：雇主和各级雇员等其他其他：企业形象、客户关系等（软资产）宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院（二）信息的特点（二）信息的特点信息与接受对象和要达到的目的有关信息与接受对象和要达到的目的有关（感知和理解）（感知和理解）信息的价值与接受信息的对象有关信息的价值与接受信息的对象有关（信息的价值性）（信息的价值性）信息有多种多样的传递手段信息有多种多样的传

6、递手段（约定的多样性）（约定的多样性）信息的共享性信息的共享性（可复制性）（可复制性）宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院二、信息安全二、信息安全（一）信息安全的发展（一）信息安全的发展三个阶段：三个阶段：通讯保密阶段通讯保密阶段 重点是保密重点是保密（点）（点）信息安全阶段信息安全阶段 关注信息安全的三属性：关注信息安全的三属性：保密性保密性 完整性完整性 可用性可用性（线、空间）（线、空间）安全保障阶段安全保障阶段 关注点有空间拓展到时间：策略、关注点有空间拓展到时间：策略、保护、保护、检测、检测、响应、恢复响应、

7、恢复（系统）（系统）宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院（二）信息安全的定义（二）信息安全的定义 为数据处理系统建立和采用的技术和管理的安全为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄漏的原因遭到破坏、更改和泄漏信息安全的三个主要问题：信息安全的三个主要问题：1.保护对象保护对象 主要是硬件、软件、数据主要是硬件、软件、数据2.安全目标安全目标 保密性、完整性、可用性保密性、完整性、可用性3.实现途径实现途

8、径 技术和管理技术和管理宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院（三）信息安全三属性的含义（三）信息安全三属性的含义（Pass）保密性保密性 完整性完整性可用性可用性宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院（四）信息安全模型（四）信息安全模型1.PDR模型Pt(protection)有效保护时间，信息系统的安全措施能够有效发挥保护作用的时间；Dt(detection)检测时间，安全监测机制能够有效发现攻击、破坏行为所需的时间；Rt(reaction)响

9、应时间，安全机制作出反应和处理所需的时间。宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院安全公式安全公式（1）PtDt+Rt，系统安全系统安全 保护时间大于保护时间大于检测时间和响应时间之和；检测时间和响应时间之和；（2）PtDt+Rt,系统不安全系统不安全 信息系统的信息系统的安全控制措施在检测和响应前就会失效，破安全控制措施在检测和响应前就会失效，破坏和后果已经发生。坏和后果已经发生。宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院2.PPDRR2.PPDRR模

10、型模型：保护、检测、响应、恢复四环：保护、检测、响应、恢复四环节在策略节在策略的指导下的指导下构成相互构成相互作用的作用的有机体。有机体。宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院（五）信息安全保障体系（五）信息安全保障体系宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院图表说明：图表说明：1.安全技术体系安全技术体系是整个安全体系的基础，包是整个安全

11、体系的基础，包括安全基础设施平台、安全应用系统平台和括安全基础设施平台、安全应用系统平台和安全综合管理平台；安全综合管理平台；安全基础设施平台安全基础设施平台从物理和通信安全防护、从物理和通信安全防护、网络安全防护、主机系统安全防护、应用安网络安全防护、主机系统安全防护、应用安全防护等多个层次出发，立足于现有的成熟全防护等多个层次出发，立足于现有的成熟的安全技术和安全机制，建立起防护体系。的安全技术和安全机制，建立起防护体系。宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院 安全应用系统平台安全应用系统平台处理安全基础设施与处理安

12、全基础设施与应用信息系统之间的关联和集成问题。通应用信息系统之间的关联和集成问题。通过使用安全基础设施平台所提供的各类安过使用安全基础设施平台所提供的各类安全服务，提升自身的安全等级，以更加安全服务，提升自身的安全等级，以更加安全的方式，提供业务服务和信息管理服务全的方式，提供业务服务和信息管理服务。宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院 安全综合管理平台安全综合管理平台对安全机制和安全设备对安全机制和安全设备进行统一的管理和控制，负责维护和管理进行统一的管理和控制，负责维护和管理安全策略，配置管理相应的安全机制。促安全

13、策略，配置管理相应的安全机制。促成各类安全手段能与现有的信息系统应用成各类安全手段能与现有的信息系统应用体系紧密地结合，是信息系统安全与信息体系紧密地结合，是信息系统安全与信息系统应用一体化。系统应用一体化。宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院2.安全组织与管理体系安全组织与管理体系安全组织与管理体系安全组织与管理体系的设计立足于总的设计立足于总体安全策略，并与安全技术体系相配体安全策略，并与安全技术体系相配合增强防卫效果，弥补安全缺陷。合增强防卫效果，弥补安全缺陷。信息安全管理体系信息安全管理体系由若干信息安全管由若

14、干信息安全管理类组成，每项信息安全管理类可分理类组成，每项信息安全管理类可分解为多个安全目标和安全控制。解为多个安全目标和安全控制。宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院3.运行保障体系运行保障体系 内容涵盖安全技术和安全管理紧密结合的内容涵盖安全技术和安全管理紧密结合的部分，包括系统可靠性设计、系统数据额部分，包括系统可靠性设计、系统数据额备份设计、安全时间的应急响应计划、安备份设计、安全时间的应急响应计划、安全审计、灾难恢复计划等全审计、灾难恢复计划等宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电

15、视大学继续教育学院宁波广播电视大学继续教育学院第二节 信息安全政策一、我国信息化发展战略与安全保障工作一、我国信息化发展战略与安全保障工作（一）信息化发展战略（一）信息化发展战略（P8）推进国民经济信息化推进电子政务建设先进网略文化推进社会信息化完善综合信息基础设施加强信息资源的开发利用提高信息产业竞争力建设国家信息安全保障体系提高国民信息技术应用能力，造就信息化人才队伍宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院（二）信息安全保障工作（二）信息安全保障工作国务院国务院关于加强信息安全保障工作的意见关于加强信息安全保障工作的意

16、见 加强信息安全保障工作须遵循的原则加强信息安全保障工作须遵循的原则 立足国情，以我为主，坚持管理和技术并重；正立足国情，以我为主，坚持管理和技术并重；正确处理安全与发展的关系，以安全保发展，从确处理安全与发展的关系，以安全保发展，从发展中求安全；统筹规划，突出重点，强化基发展中求安全；统筹规划，突出重点，强化基础性工作；明确国家、企业、个人的责任和义础性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。信息安全保障体系。宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广

17、播电视大学继续教育学院处理好发展与建设的关系处理好发展与建设的关系正确处理发展与安全的关系正确处理发展与安全的关系坚持以改革开放求安全坚持以改革开放求安全坚持管理与技术并重坚持管理与技术并重坚持统筹兼顾、重点突出坚持统筹兼顾、重点突出宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院二、美国信息安全国家战略二、美国信息安全国家战略简介：简介：1998年年5月美国政府颁发了月美国政府颁发了保护美国关键保护美国关键基础设施基础设施总统令，围绕信息安全成立多个总统令，围绕信息安全成立多个组织。组织。1998年美国国家安全局制定了年美国国家

18、安全局制定了信息保障技信息保障技术框架术框架提出了提出了“深度防御策略深度防御策略”，确定了，确定了包括网络与基础设施防御、区域边界防御、包括网络与基础设施防御、区域边界防御、计算机环境防御等深度防御在内的目标。计算机环境防御等深度防御在内的目标。宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院2000年年1月，发布了月，发布了保卫美国的计算机空保卫美国的计算机空间保护信息系统的国家计划间保护信息系统的国家计划，确定，确定了计划的目标和范围。了计划的目标和范围。2003年年2月公布月公布确保网络空间安全的国家确保网络空间安全的国家

19、战略战略报告，强调发动社会力量参与保障报告，强调发动社会力量参与保障网络安全，重视发挥高校和科研机构的力网络安全，重视发挥高校和科研机构的力量。量。内容：三项总体战略目标和五项具体的优内容：三项总体战略目标和五项具体的优先目标。先目标。P11宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院背景：背景：美国是第一信息大国，对信息的依赖是其脆弱性的美国是第一信息大国，对信息的依赖是其脆弱性的重要根源重要根源由大量信息系统组成的国家信息基础结构，已成为由大量信息系统组成的国家信息基础结构，已成为美国经济的命脉和国家的生命线，也成为容易受

20、到美国经济的命脉和国家的生命线，也成为容易受到攻击的高价值目标攻击的高价值目标系统的安全漏洞、黑客的猖獗系统的安全漏洞、黑客的猖獗80年代以来，美国政府陆续发布若干制度，拥有最年代以来，美国政府陆续发布若干制度，拥有最关键系统的政府部门被指定为第一批实施信息安全关键系统的政府部门被指定为第一批实施信息安全保护计划的要害部门，力图实现三个目标：准保护计划的要害部门，力图实现三个目标：准备和备和预防、侦查和反应、建立牢固的基础设施预防、侦查和反应、建立牢固的基础设施宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院确保网络空间安全的国家

21、战略确保网络空间安全的国家战略作用作用与影响与影响:1、确保网络安全已经被提升为美国国家安、确保网络安全已经被提升为美国国家安全战略的一个重要组成部分；全战略的一个重要组成部分；2、是美国在、是美国在9.11之后为确保网络安全而采之后为确保网络安全而采取的一系列举措中的核心步骤；取的一系列举措中的核心步骤；3、强调社会力量对网络安全进行全民防御，、强调社会力量对网络安全进行全民防御，重视与企业和地方政府合作，重视发挥院校重视与企业和地方政府合作，重视发挥院校和科研机构力量，重视人才培养和公民安全和科研机构力量，重视人才培养和公民安全意识教育。意识教育。宁波广播电视大学继续教育学院宁波广播电视大

22、学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院三、俄罗斯信息安全学说三、俄罗斯信息安全学说2000年年6月月国家信息安全学说国家信息安全学说第一次明第一次明确指出了俄罗斯在信息领域的利益、威胁是确指出了俄罗斯在信息领域的利益、威胁是什么，以及保卫措施。什么，以及保卫措施。（一）背景（一）背景科索沃战争、爱虫病毒的爆发是催化剂科索沃战争、爱虫病毒的爆发是催化剂宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院（二）内容（二）内容1、保证信息安全是国家利益的要求、保证信息安全是国家利益的要求2、保证信息安全的方法

23、、保证信息安全的方法3、国家在保证信息安全时应采取的基本原则、国家在保证信息安全时应采取的基本原则4、信息安全的组织基础、信息安全的组织基础此外，信息安全学说还对信息威胁做了评估，论证此外，信息安全学说还对信息威胁做了评估，论证了信息斗争的打击目标和打击手段。了信息斗争的打击目标和打击手段。宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院（三）措施（三）措施1、成立国家信息安全与对抗的领导机构、成立国家信息安全与对抗的领导机构（国家信息政策委员会）（国家信息政策委员会）2、建立信息对抗教育防范体系、建立信息对抗教育防范体系3、建立

24、信息斗争特种部队、建立信息斗争特种部队4、发展信息斗争的关键技术和手段、发展信息斗争的关键技术和手段5、改组指挥控制系统，增强战场生存能力、改组指挥控制系统，增强战场生存能力 宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院第三节 信息安全法律体系一、信息安全法律体系一、信息安全法律体系（一）体系结构1.法律体系 部门法2.政策体系（拘束力、责任）3.强制性技术标准（强制力）宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院（二）信息系统安全保护法律规范的法律地位（二）

25、信息系统安全保护法律规范的法律地位 1、信息系统安全立法的必要性和紧迫性、信息系统安全立法的必要性和紧迫性 2、信息系统安全保护法律规范的作用、信息系统安全保护法律规范的作用违反国家规定，侵入国家事务、国防建设、尖端科学技术违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。领域的计算机信息系统的，处三年以下有期徒刑或者拘役。（1）指引作用）指引作用（2）评价作用）评价作用（3）预测作用）预测作用（4）教育作用）教育作用（5）强制作用）强制作用（预防作用）（预防作用）宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教

26、育学院宁波广播电视大学继续教育学院二、二、法律法规介绍法律法规介绍（P1824）（一）刑法（一）刑法 主要罪名主要罪名 新增加的罪名及含义新增加的罪名及含义（二）治安管理处罚法（二）治安管理处罚法 相关条文及含义相关条文及含义（三）计算机信息系统安全保护条例（三）计算机信息系统安全保护条例（计算机信息（计算机信息系统能够发生的案件，应在系统能够发生的案件，应在24小时内向人民政小时内向人民政府公安机关报告）府公安机关报告）（四）关于维护互联网安全的决定（四）关于维护互联网安全的决定（五）计算机信息网络国际互联网安全保护管理办法（五）计算机信息网络国际互联网安全保护管理办法（六）互联网安全保护技

27、术措施规定（六）互联网安全保护技术措施规定宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院第二章第二章 信息安全管理基础信息安全管理基础第一节第一节 信息安全管理体系信息安全管理体系第二节第二节 信息安全管理标准信息安全管理标准第三节第三节 信息安全策略信息安全策略第四节第四节 信息安全技术信息安全技术 宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院第一节第一节 信息安全管理体系信息安全管理体系一、信息安全管理体系定义信息安全管理涉及信息和网络系统的各个层面，以及生

28、命周期的各个阶段，这些不同方面的管理内容彼此间存在着一定的内在联系，构成一个有机的整体，以使管理措施保障达到信息安全目标。（ISMS）宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院 二、信息安全管理的基本原则二、信息安全管理的基本原则 （一）总体原则（一）总体原则主要领导负责原则主要领导负责原则 规范定级原则规范定级原则以人为本原则以人为本原则适度安全原则适度安全原则全面防范重点突出原则全面防范重点突出原则系统、动态原则系统、动态原则控制社会影响原则控制社会影响原则宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播

29、电视大学继续教育学院宁波广播电视大学继续教育学院（二）安全管理策略（二）安全管理策略分权制衡分权制衡（避免权力集中）（避免权力集中）最小特权最小特权（避免多余权力）（避免多余权力）选用成熟技术选用成熟技术普遍参与普遍参与宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院三、信息安全管理内容管理目标：管理目标：合规性合规性（管理合规）（管理合规）流程规范性流程规范性（程序合规）（程序合规）整体协调性整体协调性（各种管理协调）（各种管理协调）执行落实性执行落实性（检查监督和审计）（检查监督和审计）变更可控性变更可控性（变更要监控）（变更

30、要监控）责任性责任性持续改进持续改进计划性计划性宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院信息安全管理体系信息安全管理体系包括以下方面（一）信息安全方针和策略（一）信息安全方针和策略 1、安全方针和策略、安全方针和策略2、资金投入管理、资金投入管理3、信息安全规划、信息安全规划 宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院 （二）信息安全人员和组织（二）信息安全人员和组织1、保证有足够的人力资源从事信息安全保障、保证有足够的人力资源从事信息安全保障工作工作2

31、、确保人员有明确的角色和责任、确保人员有明确的角色和责任3、保证从业人员经过了适当的信息安全教育、保证从业人员经过了适当的信息安全教育和培训，有足够的安全意识和培训，有足够的安全意识4、机构中的信息安全相关人员能够在有效的、机构中的信息安全相关人员能够在有效的组织结构下展开工作组织结构下展开工作宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院（三）基于信息系统各个层次的安全管理（三）基于信息系统各个层次的安全管理 1、环境和设备安全、环境和设备安全 2、网络和通信安全、网络和通信安全 3、主机和系统安全、主机和系统安全 4、应用和

32、业务安全、应用和业务安全 5、数据安全、数据安全宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院（四）基于信息系统生命周期的安全管理（四）基于信息系统生命周期的安全管理信息系统生命周期可以分为两个阶段：信息系统生命周期可以分为两个阶段：工程设计和开发阶段、系统的运行和维护阶段工程设计和开发阶段、系统的运行和维护阶段系统安全与系统本身系统安全与系统本身“三个同步三个同步”：同步规划、同步建设、同步运行同步规划、同步建设、同步运行安全管理内容：安全管理内容：1、项目工程安全管理、项目工程安全管理2、日常运行与维护的安全管理、日常运行与

33、维护的安全管理3、配置管理和变更管理、配置管理和变更管理（资产和管理措施的配置描（资产和管理措施的配置描述和管理）述和管理）4、文档化和流程规范化、文档化和流程规范化5、新技术、新方法的跟踪和采用、新技术、新方法的跟踪和采用宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院（五）风险管理（五）风险管理1、资产鉴别、分类和评价、资产鉴别、分类和评价2、威胁鉴别和评价、威胁鉴别和评价3、脆弱性评价、脆弱性评价4、安全风险评估和评级、安全风险评估和评级5、决策并实施风险处理措施、决策并实施风险处理措施宁波广播电视大学继续教育学院宁波广播电

34、视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院（六）业务连续性管理：识别潜在影响、建六）业务连续性管理：识别潜在影响、建立整体恢复能力和顺应能力，重在危机或灾立整体恢复能力和顺应能力，重在危机或灾害发生时的保护害发生时的保护（七）符合性审核：将信息安全管理纳入良（七）符合性审核：将信息安全管理纳入良性的、持续改进的循环中性的、持续改进的循环中宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院四、信息安全管理体系构成四、信息安全管理体系构成信息安全管理体系由信息安全管理体系由12个管理类组成，每个管理类组成

35、，每个管理类可以分为多个安全目标和安全控个管理类可以分为多个安全目标和安全控制。制。各管理类的关系图如下各管理类的关系图如下宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院作用关系说明：作用关系说明：1、方针和策略是基础和指导、方针和策略是基础和指导2、人员和组织管理要依据方针和策略执行任务、人员和组织管理要依据方针和策略执行任务3、合规性管理指导如何检验信息安全管理工作的、合规性管理指导如何检验信息安全管理工作的效果效

36、果4、人员与组织实施的信息安全管理工作，主要从、人员与组织实施的信息安全管理工作，主要从两个方面进行风险管理合业务连续性管理两个方面进行风险管理合业务连续性管理5、根据信息系统生命周期，可以把信息系统划分、根据信息系统生命周期，可以把信息系统划分为项目开发阶段和运行维护阶段为项目开发阶段和运行维护阶段6、所有的信息安全管理工作都作用在信息、所有的信息安全管理工作都作用在信息系统之系统之上上 宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院第二节 信息安全管理标准信息安全管理在发展过程中有不同的标准信息安全管理在发展过程中有不同的标

37、准一、BS7799是 英国标准协会针对信息安全管理制定的，发布于1995年，后几经修改，成为目前被广泛接受的标准。分为两个部分：BS77991，是信息安全管理实施细则，供负责信息安全系统开发的人员参考使用；BS77992，是建立信息安全管理体系的规范，最终目的是建立适合企业的信息安全管理体系。宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院 （二）（二）BS7799发展历程发展历程（略）（略）1、倡导者、倡导者 2、发展与修订、发展与修订 3、适用地区、适用地区宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大

38、学继续教育学院宁波广播电视大学继续教育学院（三）（三）BS7799主要内容主要内容1、BS77991（ISO/IEC17799:2005）信息安信息安全管理实施细则将信息安全管理的内容划分全管理实施细则将信息安全管理的内容划分为为11个主要方面，个主要方面，39个信息安全管理的控制个信息安全管理的控制目标，目标，133项安全控制措施项安全控制措施（P36-40）说明：不够具体，组织可以根据自身增减说明：不够具体，组织可以根据自身增减信息安全最佳起点：信息安全最佳起点：10项几乎适用于所有组织和大项几乎适用于所有组织和大多数环境的控制措施，包括三项与法律相关的控制多数环境的控制措施，包括三项与法

39、律相关的控制措施和七项与最佳实践相措施和七项与最佳实践相关的关的控制措施控制措施。（体现重。（体现重管理的思想）管理的思想）宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院与法律相关的控制措施：与法律相关的控制措施：（略）（略）1、知识产权、知识产权2、保护组织的记录、保护组织的记录（保护重要的记录不丢失、（保护重要的记录不丢失、破坏、伪造）破坏、伪造）3、数据保护和个人信息隐私、数据保护和个人信息隐私宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院与最佳实践相关的措

40、施：与最佳实践相关的措施：（略）（略）1、信息安全策略文件2、信息安全责任分配3、信息安全意识、教育、培训4、正确处理应用程序5、漏洞管理6、管理信息安全事件和改进7、业务连续性管理宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院2、BS77992（ISO/IEC27001:2005）其主要特点一是提供了安全管理体系规范，其主要特点一是提供了安全管理体系规范，二是提供了建立信息安全管理体系的目标。二是提供了建立信息安全管理体系的目标。该标准强调信息安全管理是一个面向风险该标准强调信息安全管理是一个面向风险的、持续改进的过程，如下图

41、：的、持续改进的过程，如下图：宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院二、其他标准二、其他标准BS7799旨在为组织实施信息安全管理体系提供指导性框架，更多体现的是一种目标要求，总体上并没有提及实施的细节（通行标准的必然局限，普适性强则针对性就弱）具体组织要将BS7799标准落实，需补充必要的可实施内容，下面是国际上一些相关的标准宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院

42、宁波广播电视大学继续教育学院（一）（一）PD3000：PD3001PD3005（P44）特点：更具针对性特点：更具针对性（二）（二）CC：是国际上最通行的信息技术产品及系统：是国际上最通行的信息技术产品及系统安全性测评标准，也是信息技术安全性评估结果国安全性测评标准，也是信息技术安全性评估结果国际互认的基础，际互认的基础，CC标准由标准由3个文件构成：个文件构成：1、ISO/IEC15408-1，介绍和一般模型，介绍和一般模型2、ISO/IEC15408-2，安全功能要求，安全功能要求3、ISO/IEC15408-3，安全保证要求，安全保证要求与与BS7799相比，相比，CC侧重系统和产品的技

43、术指标评侧重系统和产品的技术指标评价上。价上。宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院（三）（三）ISO/IEC TR13335名称：曾用名，名称：曾用名，“IT安全管理指南安全管理指南”，现名，现名，“信息和通信技术安全管理信息和通信技术安全管理”，是一个信息，是一个信息安全管理方面的指导性标准，目的是为有效安全管理方面的指导性标准，目的是为有效实施实施IT安全管理提供建议和支持。安全管理提供建议和支持。共分共分5个部分：个部分：宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播

44、电视大学继续教育学院ISO/IEC 133351：1996 IT安全概念与模型安全概念与模型ISO/IEC 133352：1997 IT安全管理和计划安全管理和计划ISO/IEC 133353：1998 IT安全管理技术安全管理技术ISO/IEC 133354：2000 安全措施的选择安全措施的选择ISO/IEC 133355：2001 网络安全管理指南网络安全管理指南宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院ISO/IEC TR 13335 与与BS7799的比较：的比较：后者只是一个指导性的文件，并不是后者只是一个指导性

45、的文件，并不是可依据的认证标准，也没有给出一个可依据的认证标准，也没有给出一个全面完整的信息安全管理框架；但是全面完整的信息安全管理框架；但是后者在后者在IT安全的具体环节上切入点较安全的具体环节上切入点较深，可实施性较好，另外其风险评估深，可实施性较好，另外其风险评估方法过程较清晰。方法过程较清晰。宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院（四）（四）SSE-CMM由美国国家安全局开发，是专门用于系统安全工程能力成熟度模型。该模型将系统安全工程成熟度分为5个等级。几者比较：SSE-CMM和CC都是评估标准，均可将评估对象划

46、分为不同的等级，但后者针对的是安全系统或安全产品的测评，前者针对的是安全工程过程宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院SSE-CMM和和BS7799都提出了一系列最佳都提出了一系列最佳惯例，但后者是一个认证标准而无实现过惯例，但后者是一个认证标准而无实现过程；前者是一个评估标准，定义了实现最程；前者是一个评估标准，定义了实现最终安全目标所需要的一系列过程。二者可终安全目标所需要的一系列过程。二者可以互补使用。以互补使用。宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继

47、续教育学院（五）（五）NIST SP 800系列系列由美国国家标准技术协会发布，主要内容由美国国家标准技术协会发布，主要内容是针对信息安全技术和管理领域的实践参是针对信息安全技术和管理领域的实践参考指南，包括四项：考指南，包括四项：SP800-12：计算机安全介绍：计算机安全介绍SP800-30:IT系统风险管理指南系统风险管理指南SP800-34:IT系统应急计划指南系统应急计划指南SP800-26:IT系统安全自我评价指南系统安全自我评价指南宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院（六）（六）ITIL由英国中央计算机与

48、电信局发布关于IT服务管理最佳实践的建议和指导方针，目的是解决IT服务质量，是一种基于流程的管理方法，尤其适于企业的IT部门。其精髓体现为“一大功能一大功能”和“十大流程十大流程”，前者是服务台功能。宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院 十大流程：十大流程：1、服务支持、服务支持 2、服务交付、服务交付事件管理事件管理 服务水平管理服务水平管理问题管理问题管理 可用性管理可用性管理变更管理变更管理 IT服务财务管理服务财务管理发布管理发布管理 容量管理容量管理配置管理配置管理 IT服务持续性服务持续性管理管理宁波广播电

49、视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院功能比较功能比较ITIL与与BS7799相比：相比：ITIL关注的信息关注的信息技术更广泛，侧重于具体的实施流程，技术更广泛，侧重于具体的实施流程，但缺少信息安全的内容，但缺少信息安全的内容，BS7799可可作为作为ITIL在信息安全方面的补充。在信息安全方面的补充。宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院（七）（七）CobiT（信息及相关技术控制目标）（信息及相关技术控制目标）美国信息系统审计与控制协会发布美国信息系统审

50、计与控制协会发布是目前世界上最先进、最权威的安全与信是目前世界上最先进、最权威的安全与信息技术管理和控制标准。主要目的是为业息技术管理和控制标准。主要目的是为业界提供关于界提供关于IT控制的清晰政策和发展的良好控制的清晰政策和发展的良好典范典范。宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院宁波广播电视大学继续教育学院Cobit与与ITIL比较：比较：均关注广泛的均关注广泛的IT控制，但是更强调目标要求控制，但是更强调目标要求和度量指标，而后者更关注实施流程。和度量指标，而后者更关注实施流程。具体在具体在ISMS的建设上，的建设上，Cobit的框架和目的框