[精选]信息安全管理（PPT32页).pptx

《[精选]信息安全管理（PPT32页).pptx》由会员分享，可在线阅读，更多相关《[精选]信息安全管理（PPT32页).pptx（33页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、等级保护制度等级保护制度之之信息安全管理信息安全管理目录目录体系建立2基本概念1控制措施3客观、公正及时、满意客观、公正及时、满意基本概念1客观、公正及时、满意信息安全保护的是什么信息安全保护的是什么信息安全保护的是什么信息安全保护的是什么“信息资产可包括所有形式的数据、文件、通信件如email和 等、交谈如 等、消息、录音带和照片等。信息资产是被认为对组织具有“价值的，以任何方式存储的信息。通常，系统如信息系统和数据库等也可作为一类信息资产。Confidentiality保密性保密性Availability可用性可用性Integrity完整性完整性 组织的信息资产可面临许多威胁，包括人员内部

2、人员和外人员误操作 不管有意的，还是无意的、盗窃、恶意代码和自然灾害等。另一方面，组织本身存在某些可被威胁者利用或进行破坏的薄弱环节，包括员工缺乏安全意识、基础设施中的弱点和控制中的弱点等。这就导致组织的 信息资产和应用系统可能遭受未授权访问、修改、泄露或破坏，而使其造成损失，包括经济损失、公司形象损失和顾客信心损失等。信息安全风险信息安全风险信息安全风险信息安全风险风险防止，风险降低，风险转移，风险接受风险防止，风险降低，风险转移，风险接受安全性安全性风险性风险性安全需求安全需求 高高高高低低安全风险安全风险 支出平衡点支出平衡点信息安全风险的管理安全措施 抗击业务战略脆弱性安全需求威胁风险

3、残余风险安全事件依赖拥有被满足利用暴露降低增加增加导出演变 未被满足未控制可能诱发残留成本资产资产价值信息安全管理的本质是对信息安全风险的管理信息安全管理的本质是对信息安全风险的管理信息安全管理的本质是对信息安全风险的管理信息安全管理的本质是对信息安全风险的管理信息安全管理主要工作是不断识别与处理信息安全信息安全管理主要工作是不断识别与处理信息安全信息安全管理主要工作是不断识别与处理信息安全信息安全管理主要工作是不断识别与处理信息安全风险的过程风险的过程风险的过程风险的过程安全组织安全组织资产分级及控制资产分级及控制信息安全方针信息安全方针应用控制措施应用控制措施运营实现过程运营实现过程检查过

4、程检查过程纠正措施纠正措施管理评审管理评审 计划计划纠正纠正检查检查实施实施信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会BSI于1995年2月提出，并于1995年5月修订而成的。ISO27001:2005已经成为世界上应用最广泛与典型的信息安全管理标准，它是在BSI/DISC的BDD/2信息安全管理 会指导下制定完成，最新版本为ISO27001:2013。我国于2008年发布了重要信息系统信息安全等级保护基本要求GB/T22239 标准化标准化标准化标准化l有效的运行信息安全管理体系，可以强化员工的信息安全意识，标准组织信息安全行为，减少人为原因

5、造成的不必要的损失。责任l证明组织在各个层面的安全保护上都付出了卓有成效的努力，说明管理层履行了相关责任。l通过体系的方案、建立、运行与改进的全过程，逐步增强员工的安全意识、责任感和相关安全技能、标准组织信息安全行为，减少人为原因造成的不必要的损失。安全管理价值安全管理价值安安全全管管理理价价值值l有效的实现风险管理，有助于更好地了解信息系统，并找到存在的问题以及保护的方法，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。l降低成本ISMS的实施，能降低因为潜在安全事件发生而给组织带来的损失，在信息系统受到侵袭时，能确保业务持续开展并将损失降到最低

6、程度体系初步建立2制定信息安全方针为信息安全管理提供导向和支持控制目标和控制方式的选择建立在风险评估技术与管理测评基础之上预防控制为主的思想原则 动态管理原则 全员参与原则 遵循管理的一般循环模式PDCA持续改进模式安全管理的主要要素要包括：建立信息安全管理机构通过信息安全管理机构，可建立各级安全组织、确定相关人员职责、筹划信息安全活动和实践等。建立管理体系文件包括战略方针、过程程序文件、作业指导书和记录留痕的文件等。组织各类资源包括建立与实施安全管理体系所需要的合格人员、足够的资金和必要的设备等。安全管理体系建立要确保这些体系要素得到满足。1)信息安全管理机构的级别 信息安全管理机构的级别应

7、根据组织的规模和复杂性而决定。从管理效果看，对于中等以上规模的组织，最好设立三个不同级别的信息安全管理机构：a)高层：以总经理或管理者代表为领导，确保信息安全工作有一个明确的方向和提供管理承诺和必要的资源。b)中层：负责该组织日常信息安全的管理与监督活动。c)基层：基层部门指定一位兼职的信息安全检查员，实施对其本部门的日常信息安全监视和检查工作。信息安全管理机构信息安全管理机构管理体系文件管理体系文件四级文件体系基于国家等级保护基本要求1.信息安全方针2.管理制度程序文件3.作业指导书 操作指南4.运行记录留痕文件 1.信息安全方针需要遵从法律需要遵从法律和合同和合同要求要求信息安全定义，总目

8、标和范围，安全的信息安全定义，总目标和范围，安全的重要性重要性职责部门与人员职责部门与人员2.管理制度规定控制范围及程序注意持续改进闭环管理规定控制范围及程序注意持续改进闭环管理如：运维人员管理制度、网络管理制度、安全设备维护管理制度等如：运维人员管理制度、网络管理制度、安全设备维护管理制度等人员管理类人员管理类机构管理类机构管理类运行维护类运行维护类系统建设类系统建设类事务事务类如类如关于安全管理制度的修订方法关于安全管理制度的修订方法3.作业指导书标准化的操作流程与工艺标准化的操作流程与工艺如如XXXX业务终端的使用方法业务终端的使用方法 门禁系统的操作方法与本卷须知门禁系统的操作方法与本

9、卷须知4.运行记录控制过程的留痕控制过程的留痕如如效劳器外出维修申请单效劳器外出维修申请单 机房进出人员登记簿机房进出人员登记簿安全策略防安全策略防恶意代意代码控制措施控制措施管理制度管理制度操作指南操作指南运行运行记录对内外网边界进行恶意代码防范部署防毒墙，对网络边界实行恶意代码查杀关于防病毒网关的运行维护规定定义维护部门 人员 病毒库更新方法 供给商管理相关内容 防病毒网关的安装调试手册等略重点对内网主机进行恶意代码防范防止计算机病毒的在内网扩散部署终端防病毒软件，对终端实行恶意代码查杀关于终端防病毒软件的运行维护规定关于个人办公终端的使用标准中的终端防病毒局部内容防病毒系统效劳器维护方法

10、终端杀毒软件的安装等略组织各类资源组织各类资源资金基础安全设施建设、安全咨询机构、外部专家资金基础安全设施建设、安全咨询机构、外部专家人员三权分立人员三权分立 各司其职各司其职控制措施3管理管理OR技术？技术？通过识别风险确定控制通过识别风险确定控制目标，选择控制措施目标，选择控制措施方式：安全评估与测试方式：安全评估与测试决策层决策层管理层管理层业务安全决策 安全战略规划 安全保证决策信息安全领导小组信息安全领导小组信息安全管理部门信息安全管理部门安全管理 系统安全工程 安全保证管理信息安全执行部门信息安全执行部门实施与运作 运行管理 安全保证实施执行层执行层物理安全物理安全主机安全主机安全

11、网络安全网络安全应用应用安全安全数据安全数据安全防病毒安全域划分与边界整合入侵检测系统日志审计系统设备安全加固整体安全体系整体安全体系技术体系建设技术体系建设补丁分发应用系统代码审核抗拒绝效劳系统组织体系建设组织体系建设管理体系建设管理体系建设流量监控系统安全组织结构组织安全职责安全岗位设置岗位安全职责基础安全培训高级安全培训中级安全培训岗位考核管理安全管理培训安全巡检小组确定总体方针统一安全策略体系基础制度管理资产登记管理主机安全管理基础流程管理安全技术管理网络安全管理应用安全管理数据安全管理应急安全管理工程安全管理安全审计管理身份认证访问控制防火墙，网络设备，隔离设备安全通告漏洞扫描行为审

12、计系统终端管理系统应急灾备中心VPN 谢谢 谢！谢！江苏金盾检测技术江苏金盾检测技术9、静夜四无邻，荒居旧业贫。4月-234月-23Monday,April 17,202310、雨中黄叶树，灯下白头人。19:54:3519:54:3519:544/17/2023 7:54:35 PM11、以我独沈久，愧君相见频。4月-2319:54:3519:54Apr-2317-Apr-2312、故人江海别，几度隔山川。19:54:3519:54:3519:54Monday,April 17,202313、乍见翻疑梦，相悲各问年。4月-234月-2319:54:3519:54:35April 17,2023

13、14、他乡生白发，旧国见青山。17 四月 20237:54:35 下午19:54:354月-2315、比不了得就不比，得不到的就不要。四月 237:54 下午4月-2319:54April 17,202316、行动出成果，工作出财富。2023/4/17 19:54:3519:54:3517 April 202317、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。7:54:35 下午7:54 下午19:54:354月-239、没有失败，只有暂时停止成功！。4月-234月-23Monday,April 17,202310、很多事情努力了未必有结果，但是不努力却什么改变也没有。1

14、9:54:3519:54:3519:544/17/2023 7:54:35 PM11、成功就是日复一日那一点点小小努力的积累。4月-2319:54:3519:54Apr-2317-Apr-2312、世间成事，不求其绝对圆满，留一份缺乏，可得无限完美。19:54:3519:54:3519:54Monday,April 17,202313、不知香积寺，数里入云峰。4月-234月-2319:54:3519:54:35April 17,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17 四月 20237:54:35 下午19:54:354月-2315、楚塞三湘接，荆门九派通。四月 23

15、7:54 下午4月-2319:54April 17,202316、少年十五二十时，步行夺得胡马骑。2023/4/17 19:54:3619:54:3617 April 202317、空山新雨后，天气晚来秋。7:54:36 下午7:54 下午19:54:364月-239、杨柳散和风，青山澹吾虑。4月-234月-23Monday,April 17,202310、阅读一切好书如同和过去最杰出的人谈话。19:54:3619:54:3619:544/17/2023 7:54:36 PM11、越是没有本领的就越加自命非凡。4月-2319:54:3619:54Apr-2317-Apr-2312、越是无能的人

16、，越喜欢挑剔别人的错儿。19:54:3619:54:3619:54Monday,April 17,202313、知人者智，自知者明。胜人者有力，自胜者强。4月-234月-2319:54:3619:54:36April 17,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17 四月 20237:54:36 下午19:54:364月-2315、最具挑战性的挑战莫过于提升自我。四月 237:54 下午4月-2319:54April 17,202316、业余生活要有意义，不要越轨。2023/4/17 19:54:3619:54:3617 April 202317、一个人即使已登上顶峰，也仍要自强不息。7:54:36 下午7:54 下午19:54:364月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉