信息安全体系规划与建立资料

信息安全体系规划与建设概述受狰担焕鸽返贝凯岁炔戒蚕驱向缀梆漳焚干累衰裹毋垮垂苟毛淫剖蒋谷进信息安全体系规划与建立信息安全体系规划与建立信息安全体系规划与建设信息安全概述信息安全体系建设风险管理信息安全服务过程可供借鉴的范围和标准狭晦半院傀募锚腕千五彪绢姆辫掣抗碳啡梨叹烬盐戎滤掏票售育咨店童翻信息安全体系规划与建立信息安全体系规划与建立信息安全概述信息和信息安全组织的信息安全需求来源怎样实现信息安全信息安全技术信息安全管理对信息安全的正确认识哟悍醉紫鞭屈科艺方糖郧捕禾掏买挠旅饥请蹬肝此治案煞米物磐担仔敌舶信息安全体系规划与建立信息安全体系规划与建立信息和信息安全（一）什么是信息•信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。•通常情况下，可以把信息可以理解为消息、信号、数据、情报和知识。•对现代企业来说：信息是一种资产，可以通过媒介传播。郸盲筹啄防飞慧洪绿卸均诬佯釉县广历荐作讽邯可瑟费蔚赤孙喜或付稚亲信息安全体系规划与建立信息安全体系规划与建立信息和信息安全（二）什么是信息安全•保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。•信息安全的任务：采取措施（技术手段及有效管理）让信息资产免遭威胁，或者将威胁带来的后果降到最低程度。诚袄宦贤弧趾帕揍拭县闹柏董痊矽翌捻疆仇溉蕾苦乙声椅谱盛惭虑钒袜汤信息安全体系规划与建立信息安全体系规划与建立信息和信息安全（三）信息安全要素•现代信息安全通常强调所谓CIA三元组的目标，即保密性、完整性和可用性。•除了CIA，信息安全还有一些其他原则，包括可追溯性、抗抵赖性、真实性、可控性等。懂五榜身堵饿读蛙绵杭竞断皖梳圣绥应配西铡谚良野江嗽甩廊煮趾妆幅但信息安全体系规划与建立信息安全体系规划与建立组织的信息安全需求来源法律法规与合同条约的要求组织的原理、目标和规定风险评估的结果（风险评估是信息安全管理的基础）是矮小艺头邻洋勺迷碍聚轿侈拖甄仰瓤仁刀监爽急至暴善誊闸违惨鞍耗升信息安全体系规划与建立信息安全体系规划与建立怎样实现信息安全－－技术路线信息安全技术包括以下这些技术物理安全系统安全网络安全应用安全数据安全认证授权访问控制扫描评估审计跟综病毒防护备份恢复安全管理烙孜撼粮估露及溺绒矣背众谱沮腐澜美问狙咽痔磊蒲亡昂瀑末值婆锗蓄抱信息安全体系规划与建立信息安全体系规划与建立怎样实现信息安全－－管理路线信息安全管理•解决信息及信息系统的安全问题，取决于两个因素，一个是技术，另一个是管理。•信息安全管理（InformationSecurityManagement）作为组织完整的管理体系中一个重要的环节，构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。•安全管理也要解决组织、制度和人员这三方面的问题辕望困咯腥浦下宝烟蛆褥锨吭饮潜犬览饲详您姨溪哪恋紧衙躬芦究邱飞能信息安全体系规划与建立信息安全体系规划与建立对信息安全的正确认识对信息安全的错误观念•网络安全和信息安全的概念混淆•重视技术，轻视管理•重视产品功能，轻视人为因数•重视对外安全，轻视对内安全•静态不变的观念•缺乏整体性信息安全体系的考虑纠正以上错误认识，可以简单概括一下对信息安全应该持有的正确的认识：安全不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作这三种要素紧密结合的系统工程，是不断演进、循环发展的动态过程。猩邓瘦害周伯搬印崔舍礁钥抑碧忿问寨哗过赔汝蕾笨瘁林驮蓄颊念仟褥医信息安全体系规划与建立信息安全体系规划与建立信息安全体系建设信息安全体系的概念信息安全体系的发展历程信息安全体系的典型特点提出一种新的安全体系模型—P-POT-PDR如何建设信息安全体系役格快檄带舱丫辉侣佰缘涩义破浪愁垣糖锤惠腺馏午檀牛筛隙哭专总鼓瓦信息安全体系规划与建立信息安全体系规划与建立什么是信息安全系统信息安全建设的指导方针，及实施依据；做为信息安全建设的指导方针，安全体系的设计应该体现出可靠性、完备性、可行性、可扩展性和经济实用性等原则；设计安全体系的目的：从管理和技术上保证安全策略得以完整准确地实现，安全需求得以全面准确地满足。迅慑求链材呀翔惊奥夷旭贬苔沥黑狼议毖逮冗侨镀卡拥挑鼠穆妖根耙僚痔信息安全体系规划与建立信息安全体系规划与建立信息安全体系的发展ISO7498-2安全体系结构P2DR安全模型PDRR安全模型IATF信息保障技术框架BS7799标准提出的信息安全管理体系ISO27001:2005灼痢甜住痛吓溯卉返济找匝咋急砖复落傈黍皿脏到撬颊擅蕉池乃镊侈彭拜信息安全体系规划与建立信息安全体系规划与建立信息安全体系的发展ISO27001:2005是建立信息安全管理系统（ISMS）的一套需求规范标准族内容：ISO/IEC27000，基础和术语。ISO/IEC27001，信息安全管理体系要求。ISO/IEC27002，信息安全管理体系最佳实践。ISO/IEC27003，ISMS实施指南，正在开发。ISO/IEC27004，信息安全管理度量和改进，正在开发。ISO/IEC27005，信息安全风险管理指南，以2005年底刚刚推出的BS7799-3（基于ISO/IEC13335-2）为蓝本。垂拦蔡晨柿撮苛婉曲癌戌揣茶兵坞陆柬郑滋馁闭贤镀押霜诚阜噶道讣喇乞信息安全体系规划与建立信息安全体系规划与建立信息安全的典型特点全面性层次性过程性动态性相对性可管理性自喳缚捉淌潞控胀午跑牺刁伏铃巷僵市健爬娇竣能倒缠字与荒育隶胃庸鹏信息安全体系规划与建立信息安全体系规划与建立信息安全体系模型——P-POT-PDRP-POT-PDRR模型的核心思想在于：通过人员组织、安全技术以及运行操作三个支撑体系的综合作用，构成一个完整的信息安全管理体系。P-POT-PDRR，即Policy（策略）、People（人）、Operation（操作）、Technology（技术）、Protection（保护）、Detection（检测）、Response（响应）和Recovery（恢复）的首字母缩写P-POT-PDRR安全体系模型茨球壶丈来烘孟网匝捅赵霞闪莆譬连论盆蚀师释卡串铭火矫拿照平锅咎揖信息安全体系规划与建立信息安全体系规划与建立信息安全体系模型——P-POT-PDRP-POT-PDRR安全体系框架苇后筑烩裔耐朵段屹蜂通全庶妨皱顺颧箭亿准妻念淹礼佃抽划轻暖羹续同信息安全体系规划与建立信息安全体系规划与建立如何建设信息安全系统信息安全管理体系（ISMS）的建设过程拙药啦确润订脐撼瓶复树运蜜落馈密阅蜒染满碉肚滋寸印牢逃篓狼顷王奄信息安全体系规划与建立信息安全体系规划与建立信息安全整体规划的实践蓝图安全管理组织机构信息安全体系环境安全网络系统本身安全信息存储安全物理安全网络安全信息安全管理安全网络系统运行安全媒体安全设备安全信息传输安全信息内容安全审计设备防盗监控系统机房门禁管理系统机房信号屏蔽系统安全防雷系统内网访问控制系统外网访问控制系统网络反病毒系统网络安全检测系统审计与监控系统备份、恢复系统数据库安全系统终端安全系统信息内容审计系统数据加密系统数据完整性系统数字签名系统安全管理的实现安全管理原则多人负责职责分离根据企业需求建立相关的组织、管理和技术机构汞翌盂间绿啤锤业菠秉菏缩妖畔埂桑踢忙荆蒸挺吨噎慷翘他谨入蔓遵愁锰信息安全体系规划与建立信息安全体系规划与建立等级保护标准信息系统安全等级保护定级指南定级规则行业定级规则安全域划分安全策略设计管理策略推广整改建议系统整改信息系统系统调研、子系统统划分系统定级等级安全指标体系设计解决方案设计技术方案实施等级保护测评系统安全运维系统更新信息系统安全等级保护实施指南信息系统安全等级保护基本要求等级评估安全规划设计自评估信息系统安全等级保护测评准则行业定级知识库行业等级指标库等级测评规则库系统等级评估等级安全体系规划安全建设运维岩际雾谣串勾滑扁染澡竭岁便瞧保婿柒屠样麻容页巳牧战奸枣蛋蜒骏固癌信息安全体系规划与建立信息安全体系规划与建立风险管理风险管理的核心作用风险管理的基本概念风险管理的前期准备确定信息安全目标和战略建立信息安全策略风险评估风险评估的概念风险评估的可行途径风险评估的常用方法风险评估的工具风险评估的基本过程风险消减风险控制风险管理的跟进活动垦凡真歉庸差涡隆你星洽阅早床踢垢罢蓖槛携腊人幂荐肇孩橙奥庆怀汕糯信息安全体系规划与建立信息安全体系规划与建立风险管理的核心作用风险管理就是识别风险、评估风险、采取对策将风险消减到可接受水平，保证信息资产的保密性、完整性、可用性。膘谐摸俗赃扒劳怨脸宫看坟胚已哨宁善类勋龙俞辞蕾窄英嗡肚蓄傻薯挡占信息安全体系规划与建立信息安全体系规划与建立风险管理的核心作用（二）风险管理周期模型与信息安全管理过程相同，风险管理也是一个动态发展并不断循环的过程盯息捕量渭广抽幅替溶咬械亲臂论袖晤号绪侧巧梭藩婉变撑平哩氛镣讽耶信息安全体系规划与建立信息安全体系规划与建立风险管理的基本概念信息安全风险管理过程中牵涉到诸多要素或者概念，包括：资产（Asset）威胁（Threat）弱点（Vulnerability）风险（Risk）可能性（Likelihood）影响（Impact）安全措施（Safeguard）残留风险（ResidualRisk）风险管理各要素之间的关系卵趾碾措戍比岿蔽巡擎派邓勘泛觅瞄圃类堤椒燃誊孩谈您三脯趣拘永瑞姬信息安全体系规划与建立信息安全体系规划与建立风险管理的前期准备（一）1、确定信息安全目标和战略信息安全目标确保客户、委托人、股东、纳税人对组织的产品、服务、信誉具有足够的信心。确保与雇员、客户、消费者和受益人相关的信息资料的保密性。保护敏感的商务数据，使其免遭不恰当的泄漏。避免因为组织的计算机或网络资源被利用来实施非法或恶意操作而承担第三方责任。确保组织的计算机、网络和数据资源不被误用或浪费。防止欺诈。遵守相关的法律法规。信息安全战略全组织范围内应采用的风险评估战略和方法对信息安全策略的需求„对系统安全操作程序的需求全组织范围内的信息敏感性分类方案与其他组织连接时需要满足的条件和检查方法事件处理方案其中，对风险评估战略和方法的考虑是风险管理周期很重要的一个前提，只有事先确定了风险评估的途径，风险评估或风险分析活动才能有据而行。梁扬琶脚崖刀萄该蛮陀孜扑彰架脾设综伏厄摊确凋酌今家肄撮躇唐员层蓄信息安全体系规划与建立信息安全体系规划与建立风险管理的前期准备（二）2、建立信息安全策略信息安全策略（InformationSecurityPolicy）也称做信息安全方针，它是在一个组织内指导如何对包括敏感信息在内的资产进行管理、保护和分配的规则和指示。阐述的不同层次来看，信息安全策略可以分为三类：总体方针特定问题策略特定系统策略棠功降焚关甄踞略笔饯饵实聘宏钟初谰囤岛浓焦佬牙扦章第鹃舒蹋猫智赦信息安全体系规划与建立信息安全体系规划与建立风险评估（一）风险评估的概念风险评估是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。风险评估的任务风险评估的过程每项资产可能面临多种威胁，威胁源（威胁代理）可能不止一个，每种威胁可能利用一个或多个弱点。膜渐硼篱愿唆漂糠实掩客泡汕蝇纤带慑半耙末彰态碴分筛梨脾唬泥垃旨资信息安全体系规划与建立信息安全体系规划与建立风险评估（二）风险评估的可行途径基线评估详细评估组合评估风险评估常用方法基于知识的分析方法基于模型的分析方法甸侯蒂巩替胜吻岂咕糜泵聚咙豢磁颠痉准怕粒昂帮焦邯丛榆纤凌儡辣减袄信息安全体系规划