信息安全管理需求 信息系统是人机交互系统 设备的有效利用是人为的管理过 应对风险需要人为的管理过程 程
信息安全管理需求 信息系统是人机交互系统 设备的有效利用是人为的管理过 程 应对风险需要人为的管理过程
三分技术,七分管理 ■ 据有关统计,信息安全事件中大约有70%以上的问题都是由于管理方面 的原因造成的。 2007年网络安全事件类型分布 CNOERTICC 计算机安全事件 ■人为因崇 ■自然灾多 ■技术性误 毒,统求成木马.韩顺军将欢击.2以1号 黑两 ■组织内部人员作来■外部不法人员攻击 同格仿写152品55 ■阴传罗 10% 3% ■的家影将 10% 丝同其学意代玛 每落用 网沉满安代风 11512% 病毒。帆虫联木可 ■柜约限秀取击 25% 垃领M.11977写 数据来源 CNCERT/CC
三分技术,七分管理 据有关统计,信息安全事件中大约有70%以上的问题都是由于管理方面 的原因造成的。 数据来源 CNCERT/CC
信息安全工程 信息安全需要对信息系统的各个环节进行统一的综合考虑、规划和架构, 并需要兼顾组织内外不断变化的发生的变化。 木桶原理:信息系统安全水平将由与信息安全有关的所有环节中最薄弱 的环节所决定 要实现信息安全目标,一个组织必须使构成安全防范体系的这只“木桶” 的所有木板都达到一定的长度。 要实现良好的信息安全,需要信息安全技术和信息安全管理有效地配合
信息安全需要对信息系统的各个环节进行统一的综合考虑、规划和架构, 并需要兼顾组织内外不断变化的发生的变化。 木桶原理:信息系统安全水平将由与信息安全有关的所有环节中最薄弱 的环节所决定 要实现信息安全目标,一个组织必须使构成安全防范体系的这只“木桶” 的所有木板都达到一定的长度。 信息安全工程 要实现良好的信息安全,需要信息安全技术和信息安全管理有效地配合
信息安全工程 ■ 信息安全技术层面 建设安全的主机系统和安全的网络系统,包括物理层安全、系统层安全、网络层 安全和应用层安全等 配备一定的安全产品,如数据加密产品、数据存储备份产品、系统容错产品、防 病毒产品、安全网关产品等 ■ 信息安全管理层面 构建信息安全管理体系
信息安全工程 信息安全技术层面 建设安全的主机系统和安全的网络系统,包括物理层安全、系统层安全、网络层 安全和应用层安全等 配备一定的安全产品,如数据加密产品、数据存储备份产品、系统容错产品、防 病毒产品、安全网关产品等 信息安全管理层面 构建信息安全管理体系
信息安全管理 ■ 信息安全管理(Information Security Management)的概念没有统一的 定义。 信息安全管理:组织为了实现信息安全目标和信息资产保护,用来指导 和管理各种控制信息安全风险的、一组相互协调的活动。 要实现组织中信息的安全性、高效性和动态性管理,就需要依据信息安 全管理模型和信息安全管理标准构建信息安全管理体系
信息安全管理 信息安全管理(Information Security Management)的概念没有统一的 定义。 信息安全管理:组织为了实现信息安全目标和信息资产保护,用来指导 和管理各种控制信息安全风险的、一组相互协调的活动。 要实现组织中信息的安全性、高效性和动态性管理,就需要依据信息安 全管理模型和信息安全管理标准构建信息安全管理体系
信息安全管理体系 ■ 信息安全管理体系(Information Security Management System,ISMS) 组织以信息安全风险评估为基础的系统化、程序化和文件化的管理体系,包括建 立、实施、运行、监视、评审、保持和改进信息安全等一系列的管理活动。 ■ ISMS是整个管理体系的一部分。 ISMS的建立是基于组织,立足于信息安全风险评估,体现以预防为主 的思想,并且是全过程和动态控制
信息安全管理体系 信息安全管理体系(Information Security Management System, ISMS) 组织以信息安全风险评估为基础的系统化、程序化和文件化的管理体系,包括建 立、实施、运行、监视、评审、保持和改进信息安全等一系列的管理活动。 ISMS是整个管理体系的一部分。 ISMS的建立是基于组织,立足于信息安全风险评估,体现以预防为主 的思想,并且是全过程和动态控制
信息安全管理体系 ■ BS7799-2《信息安全管理体系规范》:详细说明了建立、实施和维护 信息安全管理体系的要求。 ■ BS7799-2的修订版本BS7799-2:2002中引入了PDCA(Plan-Do Check-Action)过程方法,用于建立、实施和持续改进ISMS。 PDCA循环又称“戴明环”,由美国质量管理专家Edwards Deming博士在2O世 纪50年代提出,是全面质量管理所应遵循的科学程序。 P心CA强调应将业务过程看作连续的反馈循环,在反馈循环的过程中识别需要改 进的部分,以使过程得到持续的改进,质量得到螺旋式上升
信息安全管理体系 BS7799-2《信息安全管理体系规范》:详细说明了建立、实施和维护 信息安全管理体系的要求。 BS7799-2 的修订版本 BS7799-2: 2002 中引入了 PDCA(Plan-DoCheck-Action)过程方法,用于建立、实施和持续改进ISMS。 PDCA循环又称“戴明环”,由美国质量管理专家Edwards Deming博士在20世 纪50年代提出,是全面质量管理所应遵循的科学程序。 PDCA强调应将业务过程看作连续的反馈循环,在反馈循环的过程中识别需要改 进的部分,以使过程得到持续的改进,质量得到螺旋式上升