信息安全管理简要概述

1、第六章 信息安全治理 第一节 信息安全治理概述 一、信息安全治理的内容1、什么信息安全治理？ 通过打算、组织、领导、操纵等环节来协调人力、物力、财力等 资源，以期有效达到组织信息安全目标的活动。2、信息安全治理的要紧活动 制定信息安全目标和查找实现目标的途径； 建设信息安全组织机构，设置岗位、配置人员并分配职责； 实施信息安全风险评估和治理； 制定并实施信息安全策略； 为实现信息安全目标提供资源并实施治理； 信息安全的教育与培训； 信息安全事故治理； 信息安全的 持续改进。3、信息安全治理的差不多任务（1）组织机构建设 （ 2）风险评估 （ 3）信息安全策略的制 定和实施（4）信息安全工程项目

2、治理（5）资源治理 （ 1）组织机构建设 组织应建立专门信息安全组织机构，负责：确定信息安全要求和目标；制定实现信息安全目标的时刻表和预算 建立各级信息安全组织机构和设置相应岗位 分配相应职责和建立奖惩制度提出信息安全年度预算， 并监督预算的执行 组织实施信息安全风险评估并监督检查组织制定和实施信息安全策略， 检查组织实施信息安全工程项目理组织实施信息安全教育培训并对其有效性和效果进行监督信息安全事件的调查和处(11)组织信息安全审核和持续改进工作 组织应设立信息安全总负责人岗位，负责：向组织最高治理者负责并报告工作执行信息安全组织机构的决定提出信息安全年度工作打算总协调、联络 ( 2)风险评

3、估信息系统的安全风险 信息系统的安全风险， 是指由于系统存在的脆弱性， 人为或自然2 / 25的威胁导致安全事件发生的可能性及其造成的阻碍。信息安全风险评估是指依据国家有关信息技术标准，对信息系统及由其处理、 传输和存储的信息的保密性、 完整性和可用性等安全属性进行科 学评价的过程它要评估信息系统的脆弱性、 信息系统面临的威胁以及脆弱 性被威胁源利用后所产生的实际负面阻碍， 并依照安全事件发生 的可能性和负面阻碍的程度来识不信息系统的安全风险。 信息系统安全风险评估的总体目标是： 服务于国家信息化进展， 促进信息安全保障体系的建设， 提高信 息系统的安全爱护能力。信息系统安全风险评估的目的是：

4、认清信息安全环境、 信息安全状况； 有助于达成共识， 明确责任； 采取或完善安全保障措施， 使其更加经济有效， 并使信息安全策 略保持一致性和持续性。信息安全风险评估的差不多要素 使命：一个单位通过信息化实现的工作任务。 依靠度：一个单位的使命对信息系统和信息的依靠程度。 资产：通过信息化建设积存起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。价值：资产的重要程度和敏感程度。威胁：一个单位的信息资产的安全可能受到的侵害。 威胁由多种 属性来刻画：威胁的主体（威胁源） 、能力、资源、动机、途径、 可能性和后果。脆弱性： 信息资产及其防护措施在安全方面的不足和弱点。 脆弱 性也常常被

5、称为漏洞。风险：由于系统存在的脆弱性， 人为或自然的威胁导致安全事件 发生的可能性及其造成的阻碍。 它由安全事件发生的可能性及其 造成的阻碍这两种指标来衡量。残余风险：采取了安全防护措施，提高了防护能力后，仍然可能存在的风险。安全需求： 为保证单位的使命能够正常行使， 在信息安全防护措 施方面提出的要求。安全防护措施：应付威胁，减少脆弱性，爱护资产，限制意外事 件的阻碍，检测、响应意外事件，促进灾难恢复和打击信息犯罪 而实施的各种实践、规程和机制的总称。信息安全风险评估的标准制定工作2004 年全国信息安全标准化技术委员会将信息安全风险4 / 25评估指南列入 2005 年度国家信息安全标准制

6、定工作打算中 将信息安全风险治理指南 列入国家信息安全标准研究工作规 划中。目前信息安全风险评估指南 已完成评审 , 报国家标准治 理委员会颁布国信办已以国信【 2006】 9 号文的形式发各部委和省市 信息安全风险评估指南要紧内容 规定了信息安全风险评估的工作流程、 评估内容、 评估方法和风 险推断准则； 介绍了风险评估的定义、 风险评估的模型以及风险评估的实施过 程；详细描述了对资产、威胁和脆弱性的识不方法； 描述了风险评估在信息系统生命周期中的作用； 描述了风险 评估的不同形式；在附件中介绍了信息安全风险评估的方法、工具和实施案例 ( 3)信息安全策略的制定和实施 策略：解决某一方面问题

7、的目的、范围、流程、准则的集合 信息安全策略文件就每一个策略建立实施打算，落实所需资源策略公布后，实施培训 策略的评审和修订 ( 4)信息安全工程项目治理需求分析；规划立项；实施；验收；工程监理( 5)资源治理信息安全预算；人力资源；基础设施；信息安全教育培训二、信息安全治理体系1、 什么是治理体系 ISO9000-2000 中的相关定义体系 system 相互关联和相互作用的一组要素治理体系 management system 建立方针和目标并实现这些目标的体系目前流行的治理体系质量治理体系 QMS ISO/IEC9000, 9001, 9004等；环境治理体系 EMS ISO/IEC140

8、00 ;职业安全卫生治理体系0HMSAS18000 信息安全治理体系ISMSISO/IE17799&IS027001 ；2、信息安全治理体系 ISMS: In formatio n Security Man ageme nt System信息安全治 理体系指在信息安全方面指挥和操纵组织的以实现信息安全目标的 相互关联和相互作用的一组要素。信息安全目标应是可度量的信息安全治理体系要素包括信息安全方针、策略；信息安全组织结构；各种活动、过程；信息安全操纵措施;人力、物力等资源；其他信息安全治理体系方法图解：三、信息安全治理标准安全标准能够分成以下几大类:安全体系结构和框架标准；分层安全协议标准；安全技术 标准；具体应用安全标准；安全治理标准当前信息安全面临着“道高一尺，魔高一丈”的尴尬处 境，在信息安全技术进步的同时，信息安全问题却越来越严峻， 人们逐渐深刻地认识到，信息安全不只是个技术问题，而更多 地是商业