信息安全管理简要概述

第六章信息安全管理。

第一节信息安全管理概述。

一、信息安全管理的内容。

1、什么信息安全管理。

通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达到组织信息安全目标的活动。

2、信息安全管理的主要活动。

制定信息安全目标和寻找实现目标的途径；

建设信息安全组织机构，设置岗位、配置人员并分配职责；

实施信息安全风险评估和管理；制定并实施信息安全策略；

为实现信息安全目标提供资源并实施管理；

信息安全的教育与培训；信息安全事故管理；信息安全的持续改进。

3、信息安全管理的基本任务。

1）组织机构建设（2）风险评估（3）信息安全策略的制定和实施。

4）信息安全工程项目管理（5）资源管理。

（1）组织机构建设。

组织应建立专门信息安全组织机构，负责：

确定信息安全要求和目标制定实现信息安全目标的时间表和预算。

建立各级信息安全组织机构和设置相应岗位 ④分配相应职责和建立奖惩制度。

提出信息安全年度预算，并监督预算的执行 ⑥组织实施信息安全风险评估并监督检查。

组织制定和实施信息安全策略，并对其有效性和效果进行监督检查。

组织实施信息安全工程项目 ⑨信息安全事件的调查和处理。

组织实施信息安全教育培训 ⑾组织信息安全审核和持续改进工作。

组织应设立信息安全总负责人岗位，负责：

向组织最高管理者负责并报告工作执行信息安全组织机构的决定。

提出信息安全年度工作计划总协调、联络。

（2）风险评估。

信息系统的安全风险。

信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。

信息安全风险评估。

是指依据国家有关信息技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。

它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。

信息系统安全风险评估的总体目标是：

服务于国家信息化发展，促进信息安全保障体系的建设，提高信息系统的安全保护能力。

信息系统安全风险评估的目的是：

认清信息安全环境、信息安全状况；有助于达成共识，明确责任；采取或完善安全保障措施，使其更加经济有效，并使信息安全策略保持一致性和持续性。

信息安全风险评估的基本要素。

使命：一个单位通过信息化实现的工作任务。

依赖度：一个单位的使命对信息系统和信息的依靠程度。

资产：通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。

价值：资产的重要程度和敏感程度。

威胁：一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果。

脆弱性：信息资产及其防护措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。

风险：由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两种指标来衡量。

残余风险：采取了安全防护措施，提高了防护能力后，仍然可能存在的风险。

安全需求：为保证单位的使命能够正常行使，在信息安全防护措施方面提出的要求。

安全防护措施：对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。

信息安全风险评估的标准制定工作。

2023年全国信息安全标准化技术委员会将《信息安全风险评估指南》列入2023年度国家信息安全标准制定工作计划中，将《信息安全风险管理指南》列入国家信息安全标准研究工作规划中。

目前《信息安全风险评估指南》已完成评审，报国家标准管理委员会颁布。

国信办已以国信【2006】9号文的形式发各部委和省市。

《信息安全风险评估指南》主要内容。

规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则；

介绍了风险评估的定义、风险评估的模型以及风险评估的实施过程；

详细描述了对资产、威胁和脆弱性的识别方法；

描述了风险评估在信息系统生命周期中的作用；描述了风险评估的不同形式；

在附件中介绍了信息安全风险评估的方法、工具和实施案例。

（3）信息安全策略的制定和实施。

策略：解决某一方面问题的目的、范围、流程、准则的集合。

信息安全策略文件。

就每一个策略建立实施计划，落实所需资源。

策略发布后，实施培训。

策略的评审和修订。

（4）信息安全工程项目管理。

需求分析；规划立项；实施；验收；工程监理。

（5）资源管理。

信息安全预算；人力资源；基础设施；信息安全教育培训。

二、信息安全管理体系。

1、什么是管理体系。

iso9000-2000中的相关定义。

体系 system——相互关联和相互作用的一组要素。

管理体系 management system——建立方针和目标并实现这些目标的体系。

目前流行的管理体系。

质量管理体系 qms——iso/iec9000，9001，9004等；环境管理体系 ems——iso/iec14000；职业安全卫生管理体系—— ohmsas18000；信息安全管理体系 isms——iso/ie17799&iso27001；

2、信息安全管理体系。

isms：information security management system 信息安全管理体系。

指在信息安全方面指挥和控制组织的以实现信息安全目标的相互关联和相互作用的一组要素。

信息安全目标应是可度量的。

信息安全管理体系要素包括。

信息安全方针、策略；◇信息安全组织结构；◇各种活动、过程；◇信息安全控制措施；

人力、物力等资源；◇其他……

信息安全管理体系方法**：

三、信息安全管理标准

安全标准可以分成以下几大类：

安全体系结构和框架标准；分层安全协议标准；安全技术标准；具体应用安全标准；安全管理标准。

当前信息安全面临着“道高一尺，魔高一丈”的尴尬处境，在信息安全技术进步的同时，信息安全问题却越来越严重，人们逐渐深刻地认识到，信息安全不只是个技术问题，而更多地是商业、管理和法律的问题。实现信息安全不仅仅需要采用技术措施，还需要更多地借助于技术以外的其它手段，如规范安全标准和进行信息安全管理，这一观点被越来越多的人们所接受。单纯的技术不能提供信息全面的安全保护，仅靠安全产品并不能完全解决信息的安全问题已逐渐成为共识。

在全社会普遍关注信息安全的情况下，各个企业或机构又都面临遵循保密标准与安全法规的要求，越来越多的经理人和董事会或领导层也逐渐认识到自己在信息安全管理中所必须担负的责任和义务。同时，有关信息安全标准、法律和法规的数量正在迅速增加，许多机构都面临遵守各种安全标准和法规的要求。随着越来越多的标准、法律和法规的出台，统一安全标准的需求自然成为一个很现实的问题。

信息安全管理国际标准的发展过程

2023年，世界经济合作与发展组织（oecd）发表了《信息系统安全指南》，旨在帮助成员和非成员的**和企业组织增强信息系统的风险意识，提供一般性的安全知识框架。美国、oecd的其他23个成员，以及十几个非oecd成员都批准了这一指南。

该指南旨在提高信息系统风险意识和安全措施，提供一个一般性的框架以辅助针对信息系统安全的有效的度量方法、实践和程序的制定和实施，鼓励关心信息系统安全的公共和私有部门间的合作。促进人们对信息系统的信心，促进人们应用和使用信息系统，方便国家间和国际间信息系统的开发、使用和安全防护。这个框架包括法律、行动准则、技术评估、管理和用户实践，及公众教育/宣传活动。

该指南的最终目的是作为**、公众和私有部门的信息安全管理的基准，相关机构能通过此基准来衡量本身在信息安全管理方面的进展。

2023年，国际会计师联合会发表了一个有关《信息安全管理》的文件，认为信息系统安全的目标有三个：可用性，即确保信息系统在需要的时候可用；保密性，即对数据信息的访问控制设计完备的策略；完整性，即保证数据信息不受未经授权的修改。

2023年1月，英国标准协会（britishstandards institution,简称bsi）成立了信息安全的行业工作小组。2023年9月，信息安全管理体系实施要则出版。2023年2月，英国标准协会制定的信息安全管理体系标准bs7799-1出版。

2023年2月，bs7799-2 出版。bs7799对信息安全的控制范围、安全准则、安全管理等要素做出了规范性的表述。2023年9月：

bs7799-2: 2002出版。

信息安全管理简要概述

信息管理信息概述安全管理信息系统

信息管理信息概述安全管理信息系统

信息管理信息概述安全管理信息系统

其他用户还读了

信息安全管理简要概述

信息 管理信息概述 安全管理信息系统

信息 管理信息概述 安全管理信息系统

信息 管理信息概述 安全管理信息系统

其他用户还读了

信息管理信息概述安全管理信息系统

信息管理信息概述安全管理信息系统

信息管理信息概述安全管理信息系统