第一章信息安全管理

1、信息安全管理 教材: 信息安全管理 王春东 武汉大学出版社参考:1.信息安全工程与管理 中国信息安全产品测评中心 人民邮电2.信息安全测评与风险评估 向宏等著电子工业出版社3.Information security management concepts and practice 电子讲义为准 考评: 平时(考勤和平时作业)30%,期末考试70%为什么需要这门课为什么需要这门课?信息安全问题主要由哪些方面的原因引起?计算机安全事件引起的原因:简单归类:属于管理因素多达70%以上自然因素（自然因素（25%25%）技术错误（技术错误（10%10%）组织内人员作案（组织内人员作案（10%10%）黑

2、客攻击（黑客攻击（3%3%）人为因素（人为因素（52%）三分技术，七分管理l 引起信息安全问题的主要因素：引起信息安全问题的主要因素： 一，一，技术因素技术因素，系统本身存在安全脆弱性；，系统本身存在安全脆弱性； 二，二，管理因素管理因素，组织内部没有建立并严格执行相，组织内部没有建立并严格执行相应的信息安全管理制度。应的信息安全管理制度。l 解决信息安全问题，不仅应从技术上着手，解决信息安全问题，不仅应从技术上着手，更应加强信息安全的管理工作。更应加强信息安全的管理工作。如何学习这门课如何学习这门课? 知识体系介绍 学习目标课程内容 安全管理基础：概念、ISMS要求、管理措施概述 基本安全管

3、理措施：策略、组织和人员 重要安全管理措施：资产管理、物理管理、运行和操作管理知识体系安全管安全管理体系理体系信息安全管理概念信息安全管理概念信息安全管理体系要求信息安全管理体系要求信息安全管理措施信息安全管理措施安全组织体系安全组织体系运行和运行和操作管理操作管理基本安全管理措施基本安全管理措施信息安全管理基础信息安全管理基础知识体知识体知识域知识域知识子域知识子域安全策略安全策略人员安全人员安全重要安全管理措施重要安全管理措施资产管理资产管理物理管理物理管理符合符合性性(法律与法规法律与法规)课程目标 掌握信息安全管理的基本概念 认识和了解ISO27001和ISO27002标准 初步掌握建

4、立信息安全管理体系的基本要求 较深入的了解策略、组织和人员等基本安全管理措施的概念和实施方法 较深入的了解资产管理、 物理管理、运行和操作管理、符合性等重要安全管理措施的概念和实施方法 了解信息安全的法律法规信息安全管理基础 信息安全管理概念信息安全管理概念 信息安全管理体系要求 信息安全管理措施信息安全管理概念（1） 什么是信息？ ISO17799中的描述中的描述“Information is an asset which, like other important business assets, has value to an organization and consequently

5、needs to be suitably protected. ” “Information can exist in many forms. It can be printed or written on paper, stored electronically, transmitted by post or using electronic means, shown on films, or spoken in conversation. 强调信息：强调信息： 是一种资产是一种资产 同其它重要的商业资产一样同其它重要的商业资产一样 对组织具有价值对组织具有价值 需要适当的保护需要适当的保护

6、 以各种形式存在：纸、电子、影片、交谈等以各种形式存在：纸、电子、影片、交谈等信息安全管理概念（2） 什么是信息安全？安全 Security：事物保持不受损害的能力;(安全是一种能力)信息安全属性: 通常指”保密性,完整性,可用性”(三种属性)也有认为”保密性,完整性,可用性,可认证性,抗抵赖性”(五种属性) 信息安全属性也是安全应该达到的目标信息安全：信息资产的保密性、完整性和可用性不受损害的能力，是通过信息安全保障措施实现的.权威机构的定义：ISO/IEC17799：2000 与与 美国联邦信息安全管理法案美国联邦信息安全管理法案（FISMA）：）：2002对信息安全的定义对信息安全的定义

7、ISO/IEC 17799:2000：保持信息的保密性、完整性、可用性；另外，也包括其他属性，如：真实性、可核查性、抗抵赖性和可靠性 。FISMA:2002：保护信息与信息系统，防止未授权的访问、使用、泄露、中断、修改或破坏，以保护信息资产的A）完整性，即防止对信息的不当修改或破坏，包括确保信息的不可否认性和真实性；（B）保密性，即对信息的访问和泄露施加授权的约束，包括保护个人隐私和专属信息的手段； （C）可用性，即确保能及时、可靠地访问并使用信息。信息安全管理概念（3） 什么是管理？(人治与法治)administeradministrationadministratormanagemanag

8、ementmanager1818世纪工业革命（1700S）管管理理康熙19年（1680）“管管”“理理”中国古代管理的定义l ISO9000:2000 质量管理体系质量管理体系 基础和术语基础和术语 管理管理management：指挥和控制组织的协调的活动：指挥和控制组织的协调的活动l管理学管理学 管理是指通过计划、组织、领导、控制等环节来管理是指通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达成组织目标协调人力、物力、财力等资源，以期有效达成组织目标的过程的过程。管理管理是利用现有的整套资源达到目标的一个过程是利用现有的整套资源达到目标的一个过程.而管而管理者就是理者

9、就是“与其他人共事并协调他人工作以实现机构目与其他人共事并协调他人工作以实现机构目标的人标的人”.其作用是配置其作用是配置,管理资源以及协调任务的完成管理资源以及协调任务的完成,并处理那些为了完成预定目标而必不可少的事务并处理那些为了完成预定目标而必不可少的事务.管理管理者的角色有信息处置者的角色有信息处置,关系协调和决策关系协调和决策.见见P5管理的职能l计划计划：为实现目标而开发：为实现目标而开发,制定和实施战略的过程称为制定和实施战略的过程称为计划计划.即即:为为组织确定任务、宗旨、目标；实现目标的战组织确定任务、宗旨、目标；实现目标的战略、措施、程序；以及实现目标的时间表和预算略、措施

10、、程序；以及实现目标的时间表和预算 。计划分为三个等级计划分为三个等级: 战略计划战略计划,战术计划和操作计划战术计划和操作计划(见见P5 )l组织：组织：根据组织的目标、战略和内外环境设计组织结根据组织的目标、战略和内外环境设计组织结构，并为不同岗位配置人力资源的过程。构，并为不同岗位配置人力资源的过程。l领导：领导：对组织成员施加影响，以推动其实现组织目标的过对组织成员施加影响，以推动其实现组织目标的过程。程。l控制控制：监视计划进度监视计划进度,衡衡量和纠正下属活动，以保证量和纠正下属活动，以保证事态发展符合计划要求的过程事态发展符合计划要求的过程。4种控制工具(见P6)什么是什么是“信

11、息安全管理信息安全管理”？ 信息安全管理概念（信息安全管理概念（4）n组织中为了完成信息安全目标，针对信息系统，遵循组织中为了完成信息安全目标，针对信息系统，遵循安全策略，按照规定的程序，运用恰当的方法，而进行安全策略，按照规定的程序，运用恰当的方法，而进行的规划、组织、指导、协调和控制等活动的规划、组织、指导、协调和控制等活动什么是什么是“信息安全管理信息安全管理”？-另一种定义另一种定义 信息安全管理概念（信息安全管理概念（4）信息安全管理是这样一个信息安全管理是这样一个过程过程：能够：能够（1）准确地识别机构的计算环境、定义它的关键程度并且区分对机构商业价）准确地识别机构的计算环境、定义它的关键程度并且区分对机构商业价值形成的能力的大小；值形成的能力的大小；（2）准确识别并