企事业单位信息安全管理教材

第15章企事业单位信息安全管理

15.1信息安全管理概述

15.2企事业单位信息安全管理模型15.3企事业单位信息安全管理中的关键环节15.4ISO/IEC27000系列标准简介

思考题

实验15学院网站安全方案设计

内容导读企事业单位信息安全管理的最终目标是保护其信息资产，保证其业务的安全平稳运行。企业信息安全管理模型遵循管理的一般循环模式，即计划(Plan)、执行(Do)、检查(Check)和行动(Action)的持续改进模式，简称PDCA模式。每一次的安全管理活动循环都是在已有的安全管理策略指导下进行的，每次循环都会通过检查环节发现新的问题，然后采取行动予以改进，从而形成了安全管理策略和活动的螺旋式提升。

信息安全管理策略的制订、信息系统的安全运行管理和信息安全应急管理是企事业单位信息安全管理的关键环节。风险评估是安全策略制订的重要依据，而以“信息安全应急响应预案、加强应急机制建设，建立健全应急体制，依据相关法制”的一案三制为核心内容的应急管理体系建设是做好信息安全应急管理工作的基础。

建立完善的信息安全管理体系是企事业单位进行科学信息安全管理的客观要求。ISO/IEC27000系列标准中的27001《信息安全管理体系要求》和27002《信息安全管理实用规则》，阐述了一个组织建立信息安全管理体系的标准相关过程和活动，对提高组织的实际安全管理水平具有重要指导意义。15.1信息安全管理概述15.1.1信息安全管理的概念国家、组织或个人为了实现信息安全目标，运用一定的手段或技术体系，对涉及信息安全的非技术因素进行系统管理的活动称为信息安全管理。

该定义揭示了信息安全管理的主体(即国家、组织或个体)、对象(即信息安全的非技术因素)与目的(即实现信息安全目标)，并强调手段或技术体系的运用与系统管理的活动过程。该定义还明确了信息安全管理的对象主要是非技术因素，范围广泛，符合当前的综合治理理论，也提醒人们要用系统的观点来审视信息安全问题。

信息安全管理具有广义和狭义之分，广义的信息安全管理是指宏观层面上的国家的信息安全管理，狭义的信息安全管理则指微观层面上的组织或个体的信息安全管理。15.1.2人们对信息安全管理重要性的认识

随着对信息安全问题认识的不断深入，人们越来越认识到，做好信息安全工作不仅要靠信息安全技术，更要靠信息安全管理。通过深化这种思想，信息安全的实践活动可划分为三个阶段来体现。

第一阶段，技术浪潮。这个阶段主要通过技术手段保障信息的安全。第二阶段，管理浪潮。因为高层管理人员对安全问题的关注，关于信息安全的文件化规定迅速发展起来。第三阶阶段，，制度度浪潮潮。人人们很很自然然地关关心自自己的的组织织比其其他的的组织织在信信息安安全活活动上上是否否更成成功。。信息息安全全标准准化可可以解解决用用户““如何何得知知在实实践中中漏掉掉了哪哪些方方面””，信信息安安全认认证可可以解解决““怎么么向合合作伙伙伴证证明组组织的的信息息安全全”，，培育育组织织自己己的信信息安安全文文化可可以消消除““组织织内部部用户户是组组织的的最大大敌人人”等等问题题。15.1.3信信息安安全管管理的的内容容构成成不同的的信息息安全全管理理主体体具有有不同同的信信息安安全管管理目目标和和任务务，因因而其其信息息安全全管理理的内内容构构成也也不相相同。。对于于国家家层面面的信信息安安全管管理机机构和和组织织来说说，主主要致致力于于信息息安全全战略略、信信息安安全政政策及及法律律法规规、信信息安安全标标准与与认证证、信信息安安全治治理、、信息息安全全国际际合作作等方方面的的规划划与实实施；；对于企企业、、公司司和学学校这这种普普通组组织机机构而而言，，其信信息安安全管管理的的主要要任务务则是是通过过信息息安全全体系系规划划、信信息安安全策策略制制定、、信息息分级级保护护、信信息安安全风风险管管理、、信息息安全全措施施实施施与协协调、、信息息安全全危机机与应应急管管理、、信息息安全全文化化培育育等来来保障障组织织业务务的连连续性性；而而对于于用户户而言言，则则更侧侧重于于个人人权力力的行行使和和个人人财产产和隐隐私的的保护护。另外，，对于于普通通组织织和机机构而而言，，业务务性质质的不不同，，其信信息安安全管管理的的内容容和侧侧重点点也不不相同同。各各行业业或部部门的的信息息安全全管理理均体体现出出本行行业或或部门门的特特点，，反映映其特特殊规规律。。例如如，我我们可可以根根据行行业特特点把把普通通组织织和机机构的的信息息安全全管理理划分分为电电子政政务信信息安安全管管理、、电子子商务务信息息安全全管理理、军军队信信息安安全管管理、、校园园网信信息安安全管管理和和银行行信息息安全全管理理等。。总之，，信息息安全全管理理的内内容构构成非非常广广泛和和丰富富，随随着时时代的的发展展和技技术的的进步步，信信息安安全管管理的的内容容、方方法和和手段段也都都在不不断地地变化化和更更新。。下面对对信息息安全全管理理领域域的一一些内内容构构成作作简单单介绍绍。(1)信信息安安全战战略管管理。。在当前前全球球化、、信息息化、、网络络化的的背景景下，，信息息安全全在整整个国国家安安全中中具有有极其其重要要的战战略地地位与与意义义，因因此，，信息息安全全战略略管理理成为为当前前各国国信息息安全全管理理的一一项基基本内内容。。信息安安全战战略管管理主主要通通过战战略的的研究究、制制定、、实施施与评评估等等，对对信息息安全全复杂杂多变变与不不确定定性的的环境境预先先规划划好目目标及及应对对措施施；从从维护护国家家安全全和保保障国国家信信息化化建设设健康康发展展的高高度，，提出出信息息安全全战略略发展展的指指导思思想、、战略略目标标、推推进策策略、、运作作机制制和实实施路路线等等，以以利于于统一一思想想、综综合协协调、、形成成合力力。进进而指指导、、动员员和促促进信信息安安全的的全面面建设设。(2)信信息安安全政政策及及法律律法规规。信息安安全政政策及及法律律法规规是联联结信信息安安全战战略目目标与与信息息安全全工作作成果果的““中控控环节节”，，是信信息安安全保保障的的具体体规则则及制制度，，明确确反映映了国国家及及组织织高层层对特特定领领域的的信息息安全全意志志或理理念。。这方方面的的管理理主要要涉及及信息息安全全政策策及法法律法法规的的制定定、实实施、、监控控、评评价、、反馈馈与完完善等等。(3)信信息安安全标标准与与认证证。信息安安全标标准是是由国国家权权威部部门制制定，，相关关机构构遵守守的一一套具具体规规范及及依据据。管管理内内容主主要包包括信信息安安全技技术与与管理理标准准的制制定、、实施施、评评估及及反馈馈等。。在颁颁布标标准的的基础础上，，权威威部门门还建建立了了信息息安全全测评评认证证体系系，实实行““准入入”制制度，，要求求对信信息安安全产产品、、信息息系统统安全全、信信息安安全服服务资资质和和信息息安全全人员员资质质等实实施认认证，，对符符合标标准与与达到到要求求者，，颁发发相应应证书书。(4)信信息安安全组组织结结构。。信息安安全组组织结结构作作为信信息安安全管管理体体制和和机制制层面面的问问题，，是信信息安安全管管理的的重要要内容容之一一。该该方面面的管管理主主要通通过信信息安安全组组织结结构的的设立立、精精简、、整合合或撤撤销等等，以以优化化结构构、理理顺关关系、、明确确职责责，进进而支支撑信信息安安全战战略的的顺利利实施施。信息安安全领领导是是引领领信息息安全全事业业实现现持续续快速速发展展的前前提。。只有有通过过科学学合理理、坚坚强有有力的的引导导，促促使信信息安安全工工作人人员安安心并并不遗遗余力力地工工作，，才能能有效效保障障信息息安全全战略略的顺顺利实实现，，进而而带动动信息息安全全事业业的发发展。。(5)信信息安安全人人力资资源开开发与与管理理。人力资资源开开发与与管理理是现现代信信息安安全管管理的的核心心。加加强信信息安安全人人力资资源管管理，，有利利于扭扭转重重技术术轻管管理、、重物物质资资源轻轻人力力资源源的倾倾向，，并有有利于于消除除内部部人员员管理理上的的漏洞洞，解解决信信息安安全人人才不不足的的问题题。这这方面面的具具体内内容包包括：：信息息安全全工作作分析析与设设计，，信息息安全全人力力资源源规划划，信信息安安全人人员招招聘，，信息息安全全人员员绩效效管理理，信信息安安全人人员薪薪酬管管理，，信息息安全全人员员培训训开发发，信信息安安全人人员职职业发发展，，信息息安全全人员员使用用、调调配与与离职职管理理，信信息安安全团团队建建设，，信息息安全全人才才教育育与管管理等等。(6)信信息安安全等等级保保护。。信息安安全等等级保保护是是我国国信息息安全全保障障的一一项基基本制制度，，主要要是指指有关关方面面对信信息系系统进进行安安全等等级分分级，，并加加以贯贯彻落落实、、监控控与评评估等等。(7)信信息安安全治治理。。信息安安全治治理就就是落落实““综合合防范范”的的方针针，即即综合合运用用行政政、法法律、、技术术等多多种手手段，，强调调国家家、企企业和和个人人共同同的责责任，，各个个部门门齐抓抓共管管，用用系统统工程程和体体系建建设的的思路路来抓抓信息息安全全。它它的基基本内内容或或要求求是统统筹规规划、、群防防群治治、多多方联联动、、责任任分担担、成成果共共享。。(8)信信息安安全策策略。。信息安安全策策略一一般也也称作作信息息安全全方针针，是是有关关信息息安全全的行行为规规范。。它是是整个个安全全管理理体系系的起起始点点和基基本原原则，，是实实现信信息系系统安安全目目标的的根本本保证证。与与宏观观层面面的信信息安安全政政策相相比，，信息息安全全策略略更侧侧重于于组织织内部部微观观的信信息安安全管管理，，是一一个组组织所所颁布布的对对组织织信息息安全全的定定义和和理解解，主主要内内容是是界定定与管管理组组织的的安全全目标标、安安全范范围、、安全全技术术、安安全标标准和和安全全责任任等。。(9)信信息安安全风风险管管理。。目前，，风险险管理理已经经是信信息安安全管管理的的一个个主流流范式式。它它以风风险为为主线线，通通过风风险战战略规规划、、风险险评估估、风风险控控制、、风险险防范范等基基本环环节，，对信信息、、信息息载体体、信信息环环境进进行安安全管管理以以达到到安全全目标标。其其中，，风险险评估估为关关键，，但又又不否否定其其他环环节的的重要要性，，它们们相辅辅相成成，共共同构构成一一个完完整的的信息息安全全风险险管理理体系系。信信息安安全风风险管管理与与信息息安全全标准准关系系尤为为密切切，往往往以以标准准为依依据，，实施施针对对性的的管理理。(10)信信息息安全全危机机与应应急管管理。。安全问问题必必定涉涉及到到危机机与应应急问问题，，因此此危机机与应应急管管理是是信息息安全全管理理必然然具备备的基基本内内容。。这方方面主主要通通过构构建信信息安安全应应急响响应与与处置置体系系，在在预警警、应应急、、响应应、处处置等等方面面实现现联动动，通通过事事前预预警、、灾难难备份份、事事中应应急协协调、、事后后灾难难恢复复等，，来提提高应应对信信息安安全危危机或或突发发事件件的处处理能能力。。(11)信信息息安全全文化化培育育。安全文文化是是以精精神、、价值值观为为导向向，反反映个个人和和集体体的价价值观观、态态度、、能力力和行行为方方式的的综合合产物物。安安全文文化作作为组组织文文化的的一个个子概概念，，具有有无形形管理理、全全面管管理、、能动动管理理的特特点。。把安安全管管理放放到社社会文文化背背景的的大视视野中中去研研究思思考，，用文文化的的核心心元素素，用用文化化管理理的更更高境境界，，创新新和提提升安安全管管理的的水平平，这这是““以人人为本本”的的科学学发展展观对对安全全生产产提出出的客客观要要求。。通过信信息网网络安安全文文化建建设，，能够够实现现安全全认识识的导导向功功能、、安全全思想想的凝凝聚功功能、、安全全行为为的规规范功功能。。通过过加大大信息息网络络安全全文化化宣传传力度度，能能够使使上网网人员员主动动接受受正确确的安安全意意识、、态度度和信信念；；通过过信息息网络络安全全文化化知识识的传传播、、教育育，能能够形形成人人人需需要网网络安安全的的共识识，使使上网网人员员从““要我我安全全”变变为““我要要安全全”；；通过加加强信信息网网络安安全文文化建建设，，将会会使上上网人人员加加深对对网络络安全全法律律、法法规、、标准准的理理解和和认识识，学学习网网络安安全知知识及及技能能，增增强信信息素素质，，从而而对上上网人人员起起到重重要规规范作作用或或产生生自觉觉的约约束功功能。。(12)信信息息安全全国际际合作作。当前，，信息息安全全问题题不只只是某某个国国家的的国内内安全全问题题，也也不单单是凭凭一个个国家家、一一个企企业或或一种种技术术就能能解决决得了了的问问题，，而是是需要要通过过各国国政府府、各各种国国际组组织、、民间间团体体、私私营企企业和和个人人之间间的充充分合合作，，才有有可能能解决决的全全球性性安全全问题题。信信息安安全国国际合合作的的内容容包括括参加加国际际性的的安全全会议议、加加入国国际安安全组组织、、把中中国的的信息息安全全技术术和理理念推推向世世界等等。15.2企企事业业单位位信息息安全全管理理模型型企事业业单位位信息息安全全管理理的最最终目目标是是保护护其信信息资资产，，保证证其业业务的的安全全平稳稳运行行。由由于新新的风风险在在不断断出现现，系系统的的安全全需求求也在在不断断变化化，因因此，，企事事业单单位的的信息息安全全管理理应该该是一一个动动态的的不断断改进进的持持续发发展过过程。。由美国国管理理学博博士戴戴明(W.E.Deming)于于20世纪纪50年代代初提提出的的戴明明环，，即规规划(Plan)、、执行行(Do)、检检查(Check)和行行动(Action)的的持续续改进进模型型(简简称PDCA模模型)，是是进行行质量量管理理的基基本方方法。。逐渐渐的管管理实实践表表明，，PDCA循环环管理理模式式是能能使任任何一一项活活动有有效进进行的的一种种合乎乎逻辑辑的工工作程程序，，是管管理学学中的的一个个通用用模型型。上述持持续改改进PDCA过过程模模式同同样适适用于于企事事业单单位的的信息息安全全管理理，只只不过过这里里P、、D、、C、、A的的具体体涵义义均应应体现现信息息安全全管理理特色色，如如图15-1所所示。。图15-1企企事事业单单位信信息安安全管管理PDCA模模型Plan(规划划)。。规划划阶段段的活活动包包括：：建立立组织织机构构，明明晰责责任，，确定定安全全目标标、战战略和和策略略，进进行风风险评评估，，选择择安全全措施施，并并在明明确安安全需需求的的基础础上制制定安安全计计划、、业务务连续续性计计划、、意识识培训训等信信息安安全管管理程程序和和过程程。规规划是是信息息安全全管理理周期期的起起点，，作为为安全全管理理的准准备阶阶段，，为后后续活活动提提供基基础和和依据据。Do(执执行)。实实施阶阶段是是实现现计划划阶段段确定定目标标的过过程，，包括括安全全策略略、所所选择择的安安全措措施或或控制制、安安全意意识和和培训训程序序等。。Check(检检查)。信信息安安全实实施过过程的的效果果如何何，需需要通通过监监视、、审计计、复复查、、评估估等手手段来来进行行检查查，检检查的的依据据就是是计划划阶段段建立立的安安全策策略、、目标标、程程序，，以及及标准准、法法律法法规和和实践践经验验，检检查的的结果果是进进一步步采取取措施施的依依据。。Action(改进进)。。如果果检查查发现现安全全实施施的效效果不不能满满足计计划阶阶段建建立的的需求求，或或者有有意外外事件件发生生和由由某些些因素素引起起了新新的变变化，，可经经过管管理层层认可可，采采取相相应的的措施施进行行改进进，并并按照照已经经建立立的响响应机机制来来行事事，必必要时时进入入新一一轮的的信息息安全全管理理周期期，以以便持持续改改进和和发展展信息息安全全。上述每每一次次的安安全管管理活活动循循环都都是在在已有有的安安全管管理策策略指指导下下进行行的，，每次次循环环都会会通过过检查查环节节发现现新的的问题题，然然后采采取行行动予予以改改进，，从而而形成成了安安全管管理策策略和和活动动的螺螺旋式式提升升。15.3企企事业业单位位信息息安全全管理理中的的关键环环节15.3.1企企业信信息安安全管管理策策略的的制订订企业信信息安安全管管理策策略的的制订订依据据来源源于如如下三三个方方面：：(1)法法律法法规与与合同同条约约的要要求。。与信信息安安全相相关的的法律律法规规是对对组织织的强强制性性要求求。(2)组组织的的原则则、目目标和和规定定。组组织从从自身身业务务和经经营管管理的的需求求出发发，必必然会会在信信息技技术方方面提提出一一些方方针、、目标标、原原则和和要求求，据据此明明确自自己的的信息息安全全要求求，确确保支支持业业务运运作的的信息息处理理活动动的安安全性性。(3)风风险评评估的的结果果。组组织对对信息息资产产的保保护程程度和和控制制方式式的确确定都都应建建立在在风险险评估估的基基础之之上。。一般般来讲讲，通通过综综合考考虑每每项资资产所所面临临的威威胁、、自身身的弱弱点、、威胁胁造成成的潜潜在影影响和和发生生的可可能性性等因因素，，组织织可以以分析析并确确定具具体的的安全全需求求。风风险评评估是是信息息安全全管理理的基基础。。15.3.2企企事业业单位位信息息安全全风险险评估估信息安安全风风险评评估，，是从从风险险管理理角度度，运运用科科学的的方法法和手手段，，系统统地分分析网网络与与信息息系统统所面面临的的威胁胁及其其存在在的脆脆弱性性，评评估安安全事事件一一旦发发生可可能造造成相相当的的危害害，必必须提提出有有针对对性的的抵御御威胁胁的防防护对对策和和整改改措施施，将将风险险控制制在可可接受受的水水平，，从而而最大大限度度地保保障网网络和和信息息的安安全。。信息安全全风险评评估过程程是依据据信息安安全技术术与管理理标准，，对信息息系统及及由其处处理、传传输和存存储的信信息的安安全属性性进行评评价的过过程。它它要评估估资产面面临的威威胁以及及威胁利利用脆弱弱性导致致安全事事件的可可能性，，并结合合安全事事件所涉涉及的资资产价值值来判断断安全事事件一旦旦发生对对组织造造成的影影响。信息安全全风险评评估的实实施步骤骤如下：：(1)风风险评评估的准准备；(2)资资产识识别；(3)威威胁识识别；(4)脆脆弱性性识别；；(5)已已有安安全措施施的确认认；(6)风风险分分析；(7)风风险评评估文件件记录。。风险险评估的的实施流流程如图图15-2所示示。图15-2风风险评评估的实实施流程程信息安全全风险评评估的具具体方法法可参见见国家标标准《信信息安全全风险评评估指南南》。15.3.3企企事事业单位位信息系系统的安安全运行行管理为确保信信息系统统安全稳稳定运行行，企事事业单位位的相关关业务部部门应根根据业务务特点，，对信息息系统安安全生产产运行提提前做出出安排，，确保信信息系统统平稳安安全运行行。具体体做法应应强调如如下几点点：(1)加加强信信息运作作队伍建建设，努努力提升升信息运运行人员员的业务务能力。。(2)分分级控控制，责责任到人人。组织织管理和和运行维维护管理理应按不不同层次次分别负负责。(3)加加强值值班制度度，确保保信息联联系渠道道畅通。。(4)加加强网网络系统统监控，，及时发发现问题题并及时时排除。。15.3.4企企事事业单位位信息安安全应急急管理所谓的应应急管理理，就是是指一旦旦危机爆爆发，如如何用最最小的成成本、以以最快的的速度把把损失降降到最低低。以““一案三三制”为为核心内内容的应应急管理理体系建建设是做做好信息息安全应应急管理理工作的的基础。。1.一一案一案指信信息安全全应急响响应预案案。应急急响应预预案实际际上是一一个透明明和标准准化的反反应程序序,使应应急响应应活动能能按照预预先周密密的计划划和最有有效的实实施步骤骤有条不不紊地进进行。这这些计划划和步骤骤是快速速响应和和有效防防护的基基本保证证。制订订、修订订应急预预案是加加强应急急体系建建设的基基础性工工作和首首要任务务。应急急预案的的完整框框架包括括：(1)目目的、、工作原原则、法法律法规规依据、、适用范范围；(2)应应急处处置指挥挥机构的的组成和和相关部部门的职职责及权权限，包包括各类类应急组组织机构构与职责责、组织织体系的的框架等等；(3)信信息安安全事件件监测与与预警，，包括预预测与预预警系统统、预警警级别、、预警行行动、预预警支持持系统等等；(4)信信息安安全事件件信息的的收集；；包括信信息收集集、分析析、报告告、通报报和新闻闻发布的的制度；；(5)信信息安安全事件件的应急急响应，，包括事事件的分分级、分分级负责责、指挥挥协调、、先期处处置、控控制等；；(6)信信息安安全事件件应急保保障，包包括人力力资源、、财力、、通讯、、应急技技术、应应急设施施设备的的保障；；(7)信信息安安全事件件后的恢恢复与重重建等；；(8)应应急预预案的管管理，包包括预案案演练、、培训教教育、责责任与奖奖励、预预案更新新等。制订和修修订信息息安全应应急预案案的过程程是一个个不断总总结经验验教训的的过程，，一个查查找薄弱弱环节的的过程，，一个改改进工作作的过程程，一个个拓宽视视野不断断学习的的过程，，一个与与时俱进进的过程程。2.三三制三制指加加强应急急机制建建设、建建立健全全应急体体制、依依据相关关法制。。企事业单单位的信信息安全全管理不不仅需要要制订和和完善信信息安全全应急预预案，还还需要建建立健全全应急信信息传递递机制，，坚持早早发现、、早报告告、早控控制、早早解决的的应急处处置原则则，同时时落实领领导、相相关部门门和个人人的责任任，建立立健全社社会预警警体系，，形成统统一指挥挥、功能能齐全、、反应灵灵敏、运运转高效效的应急急机制，，提高保保障公共共安全和和处置突突发事件件的能力力；最后后还要依依法行事事，努力力使应急急处置逐逐步走向向规范化化、制度度化和法法制化轨轨道。《突发事事件应对对法》是是应对严严峻公共共安全形形势的法法宝。《《信息安安全事件件分类分分级指南南》和《《信息安安全事件件管理》》两项国国家标准准，是指指导用户户对信息息安全事事件进行行分类、、定级、、管理，，对信息息安全事事件进行行应急处处理和通通报的指指导性标标准。应急事件件处理流流程：准准备工作作→事件件认定→→控制事事态发展展→事件件消除→→事件恢恢复→事事件追踪踪。例15-1病病毒事事件处理理流程如如图15-3所所示。图15-3病病毒事事件处理理流程15.4ISO/IEC27000系列标标准简介介15.4.1企企业业信息安安全管理理与ISO/IEC27000系列列标准建立完善善的信息息安全管管理体系系是企事事业单位位进行科科学信息息安全管管理的客客观要求求。ISO/IEC27000系列标标准中的的27001《《信息安安全管理理体系要要求》和和27002《《信息安安全管理理实用规规则》，，从一个个组织如如何建立立信息安安全管理理体系的的角度阐阐述了相相关的过过程和活活动，以以及过程程活动中中需要完完成的输输入输出出。ISO/IEC27001标标准已在在世界范范围内被被公认为为认证、、合同及及法规要要求标准准，对提提高组织织的实际际安全管管理水平平具有重重要指导导意义。。ISO/IEC27001，即《《信息安安全管理理体系要要求》，，是ISO27000系列的的主标准准，该标标准规定定了一个个组织建建立、实实施、运运行、监监视、评评审、保保持、改改进信息息安全管管理体系系的要求求。它基基于风险险管理的的思想，，旨在通通过持续续改进的的过程(PDCA模型型)使组组织达到到有效的的信息安安全。ISO/IEC27001使用了了和ISO9001、ISO14001相同同的管理理体系过过程模型型，是一一个用于于认证和和审核的的标准。。ISO/IEC27001标准准与ISO/IEC27002共共同使用用，一个个组织在在按照27001实施施其信息息安全管管理体系系的过程程中，应应选择27002中推推荐的控控制措施施。ISO/IEC27002《信息息技术-安全技技术-信信息安全全管理实实施细则则》包括括11个个安全控控制要项项、39个控制制目标、、133项控制制措施，，给负责责开发的的人员作作为参考考文档使使用，作作为组织织的安全全标准和和有效的的安全管管理实施施指南。。15.4.2ISO/IEC27000系系列其他他标准简简介2005年4月月，国际际上正式式通过了了信息安安全管理理体系系系列标准准的开发发计划，，即ISO/IEC27000系系列标准准。ISO/IEC27000系系列标准准目前共共有10余个，，前面已已经对27001和27002作了了描述，，其他标标准简介介如下：：ISO/IEC27000，即《《信息安安全管理理体系基基础和和词汇》》。它将将主要以以ISO/IEC13335-1:2004《《信息和和通信技技术安全全管理第第1部部分：信信息和通通信技术术安全管管理的概概念和模模型》为为基础进进行研究究。该标标准将规规定27000系列标标准所共共用的基基本原则则、概念念和词汇汇ISO/IEC27003，即《《信息安安全管理理体系实实施指指南》，，目前处处于工作作草案阶阶段。该该标准提提供了27001具体体实施的的指南，，包括PDCA过程程的详细细指导和和帮助。。ISO/IEC27004，即《《信息安安全管理理测量》》。目前前处于工工作草案案阶段。。该标准准主要是是测量组组织信息息安全管管理体系系实施的的有效性性、过程程的有效效性和控控制措施施的有效效性。ISO/IEC27005，即《《信息安安全风险险管理》》。目前前处于委委员会草草案阶段段。该标标准主要要以ISO/IEC13335-2《信信息技术术信息和和通信技技术安全全管理第第2部部分：信信息安全全风险管管理》为为基础进进行制定定。描述述了信息息安全风风险管理理的一般般过程及及每个过过程的详详细内容容，包括括风险分分析、风风险评价价、风险险处理、、监视和和评审风风险、保保持和改改进风险险等。ISO/IEC27015-金融和和保险服服务部门门。该标标准是ISO/IEC27001标标准在金金融和保保险业的的特殊运运用。15.4.3ISO/IEC27000标标准展展望从信息安安全管理理体系国国际标准准的发展展形势来来看，ISO/IEC27000将用于于国际互互认，可可以使面面向市场场的社会会企业向向合作方方及用户户证明其其信息安安全管理理水平，，成为组组织彼此此之间信信任的基基础。就就其影响响范围来来看，不不管是出出于认证证考虑，，还是以以提高组组织的实实际安全全管理水水平为出出发点，，该系列列标准都都将受到到越来越越多的关关注和应应用。思考考题题(1)信信息安安全管理理的内容容构成主主要有哪哪些？(2)解解释PDCA管理模模型。(3)企企事业业单位信信息安全全管理策策略制订订的依据据是什么么？(4)什什么是是风险评评估，其其作用是是什么？？(5)什什么是是应急响响应，如如何构建建一个企企业内部部的应急急响应组组织？(6)应应急响响应处理理流程有有几步，，每步完完成什么么工作？？(7)企企事业业单位信信息安全全管理的的关键环环节有哪哪些，在在日常运运行管理理中应强强调哪些些问题？？(8)简简述ISO/IEC27001和ISO/IEC27002的的主要内内容。实验15学学院网站站安全方方案设计计一、实验验目的(1)对对一般般电子商商务网站站、企业业网站和和校园网网的安全全性方案案有一个个整体认认识。(2)对对一个个小型网网站，能能综合应应用安全全技术设设计实现现其安全全性目标标。二、实验验准备(1)查查阅有有关资料料，理解解网站建建设安全全方案应应包括的的内容。。(2)调调查信信息学院院网站建建设和使使用情况况。(3)思思考信信息学院院网站目目前采用用的安全全方案和和改进办办法。(4)本本实验验要求分分成三人人组，自自由组合合。三、实验验内容(1)描描述信信息学院院网站的的建设目目标。(2)描描述信信息学院院网站建建设现状状和拓扑扑结构。。(3)描描述信信息学院院网站面面临的网网络威胁胁与安全全性需求求。(4)描描述信信息学院院网站建建设应遵遵循的安安全性原原则。(5)分分析信信息学院院网站目目前的安安全性方方案。(6)概概述你你设计的的信息学学院网站站总体安安全方案案。(7)描描述你你设计的的信息学学院网站站采用的的认证方方法。(8)描描述你你设计的的信息学学院网站站采用的的访问控控制方法法。(9)描描述你你设计的的信息学学院网站站入侵检检测和流流量监控控方法。。(10)描述述你设计计的信息息学院网网站病毒毒防护体体系。(11)为信信息学院院网站制制订应急急响应措措施和灾灾害恢复复计划。。(12)为信信息学院院网站制制订出安安全管理理规章。。四、实验验报告1.通通过实验验回答下下列问题题(1)一一般地地，网络络建设安安全方案案应包括括哪些内内容？(2)你你认为为目前的的信息学学院网站站存在哪哪些风险险，你的的依据是是什么？？(3)请请描述述审核员员的职责责和审核核步骤。。2．简答答题(1)电电子商商务网站站与信息息学院网网站的安安全性需需求有何何不同？？(2)信信息学学院网站站的安全全方案设设计和校校园网的的安全方方案设计计有何不不同？(3)面面对众众多的网网络安全全产品和和新技术术，你的的选择标标准是什什么？(4)给给出你你所在小小组对其其他两个个小组所所设计方方案的评评议意见见，并说说明你的的评议依依据。9、静夜四无邻邻，荒居旧业业贫。。12月-2212月-22Wednesday,December28,202210、雨中黄叶树树，灯下白头头人。。20:26:2820:26:2820:2612/28/20228:26:28PM11、以我我独沈沈久，，愧君君相见见频。。。12月月-2220:26:2820:26Dec-2228-Dec-2212、故人江海海别，几度度隔山川。。。20:26:2820:26:2820:26Wednesday,December28,202213、乍见翻疑梦梦，相悲各问问年。。12月-2212月-2220:26:2820:26:28December28,202214、他乡生白白发，旧国国见青山。。。28十二二月20228:26:28下下午20:26:2812月-2215、