文档详情

《信息安全工程与管理(第二版)》第5章_信息安全管理概述.ppt

发布:2025-04-11约7.38千字共20页下载文档
文本预览下载声明

*/21Edityourcompanyslogan依据国家互联网应急中心发布的数据,所有的计算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起的,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部非法人员的攻击造成的。简单归类,属于管理方面的原因比重高达70%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来避免的。因此,管理已成为信息安全保障能力的重要基础,管理在解决信息安全问题中具有重要作用。只有将有效的安全管理从始至终贯彻落实到信息安全建设的各个方面,信息安全的有效性和长期性才能得到保障。*信息安全管理(ISM)是通过维护信息的保密性、完整性和可用性等来管理和保护信息资源的一项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过程。信息安全管理是信息安全保障体系建设的重要组成部分,对于保护信息资源、降低信息系统安全风险、指导信息安全体系建设具有重要的作用。信息安全管理涉及信息安全的各个方面,包括制定信息安全政策、风险评估、控制目标和方式选择、制定规范的操作流程、对人员进行安全意识培训等一系列工作。信息安全的建设是一个系统工程,它需要对信息系统的各个环节进行统一的综合考虑、规划和构架,并要时时兼顾组织内外不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。因此实现信息安全是一个需要完整体系来保证的持续过程,这也是组织需要信息安全管理的基本出发点。*我国面临的计算机信息安全问题可能比发达国家更为严重。我国目前的网络安全现状令人担忧,有些单位和组织根本没有意识到网络安全的重要性,即使是对外宣称采用了安全防范措施的单位,实际上也有许多安全隐患。*(1)基于安全需求原则。组织机构应根据其信息系统担负的使命、积累的信息资产的重要性、可能受到的威胁及面临的风险分析安全需求,按照信息系统等级要求确定相应的信息系统保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与安全效果。(2)主要领导负责原则。主要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效的安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门的关系,关确保其落实、有效。(3)全员参与原则。信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全。(4)系统方法原则。按照系统工程的要求,识别和理解信息安全保障相互关系的层面和过程,采用管理和技术结合的方法,提高实现安全保障目标的有效性的效率。(5)持续改进原则。安全管理是一种动态反馈过程,贯穿整个安全管理的生命周期,随着安全需求和系统脆弱性的时空分布变化、威胁程度的提高、系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性。(6)依法管理原则。信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不利的社会影响。(7)分权和授权原则。对特定职能或责任领域的管理功能实施分离,对独立审计实行分权,避免权力过分集中所带来的隐患,以减少未授权的修改或滥用系统资源的机会。任何实体(例如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限。(8)选用成熟技术原则。成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误。(9)分级保护原则。按等级划分标准确定信息系统的安全保护等级,实行分级保护,对多个子系统构成的大型信息系统,确定系统的基本安全保护等级,并根据实际安全需求,分别确定各子系统的安全保护等级,实行多级安全保护。(10)管理与技术并重原则。坚持积极防御和综合防范,全面提高信息系统安全防护能力,立足国情,采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标。(11)自保护和国家监管结合原则。对信息系统安全实行自保护和国家监管相结合。组织机构要对自己的信息系统安全保护负责,政府相关部门有责任对信息系统的安全进行指导、监督和检查,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护能力和水平,保障国家信息安全。*信息安全管理从信息系统的安全需求出发,以信息安全管理相关标准为指导,结合组织的信息系统安全建设情况,引入合乎要求的信息安全等级保护的技术控制措施和管理控制规范与方法,在信息安全保障体系基础上建立信息安全管理体系。*BS7799

显示全部
相似文档