版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
信息安全管理概论重点填空:1’*10名词解释:5’3简答:5’*4判断叙理:5’*5案例分析:1、国家信息安全管理存在的问题宏观:(1)法律法规问题。健全的信息安全法律法规体系是保证国家信息安全的基础,是信息安全的第一道防线.(2)管理问题。(涉及三个层次:组织建设、制度建设和人员意识)(3)国家信息基础设施建设问题。目前,中国信息基础设施几乎完全是建立在外国的核心信息技术之上的,导致我国在网络时代没有制网权.2023年度经济人物之首:中国芯创建者邓中翰.十五期间,国家863计划和科技攻关的重要项目:信息安全与电子政务,金融信息化两个信息安全研究项目.微观:(1)缺少信息安全意识与明确的信息安全方针。(2)重视安全技术,轻视安全管理。信息安全大约70%以上的问题是由管理因素导致的.(3)安全管理缺少系统管理的思想。2、信息安全概念信息安全是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)、真实性、准确性的保持。信息保密性:保障信息仅仅为那些被授权使用的人获取,它因信息被允许访问对象的多少而不同.信息完整性:指为保护信息及其解决方法的准确性和完整性,一是指信息在运用,传输,储存等过程中不被篡改,丢失,缺损等,此外是指信息解决方法的对的性.信息可用性:指信息及相关信息资产在授权人需要时可立即获得.系统硬件,软件安全,可读性保障等.3、信息安全重要性a.信息安全是国家安全的需要国家军事安全、政治稳定、社会安定、经济有序运营美国与俄罗斯先后推出<信息系统保护国家计划>和<国家信息安全学说>b.信息安全是组织连续发展的需要任何组织的正常运作都离不开信息资源的支持.组织的商业秘密,系统的正常运营等,信息安全特性已成为许多组织的服务质量的重要特性之一.c.信息安全是保护个人隐私与财产的需要4、如何拟定组织信息安全的规定a.法律法规与协议规定b.风险评估的结果(保护限度与控制方式)c.组织的原则、目的与规定5、传统信息安全管理模式特点(传统管理模式的弊端与技术手段的局限性)传统管理模式:静态的、局部的、少数人负责的、突击式的、事后纠正式的缺陷:a、不能从主线上避免和减少各类风险,也不能减少信息安全故障导致的综合损失b、信息安全技术是信息安全控制不可或缺的重要手段,但单靠技术手段实现安全的能力是有限的,甚至丧失,信息安全来自:三分技术,七分管理c、信息安全不能迷信技术,应当在适宜技术条件下加强管理.6、系统的信息安全管理原则:(1)制订信息安全方针原则:制定信息安全方针为信息安全管理提供导向和支持(2)风险评估原则:控制目的与控制方式的选择建立在风险评估的基础之上(3)费用与风险平衡原则:将风险降至组织可接受的水平,费用太高不接受(4)防止为主原则:信息安全控制应实行防止为主,做到防患于未然(5)商务连续性原则:即信息安全问题一旦发生,我们应能从故障与劫难中恢复商务运作,不至于发生瘫痪,同时应尽力减少故障与劫难对关键商务过程的影响(6)动态管理原则:即对风险实行动态管理(7)全员参与的原则:(8)PDCA原则:遵循管理的一般循环模式--Plan(策划)---Do(执行)---Check(检查)---Action(措施)的连续改善模式。现代系统的信息安全管理是动态的、系统的、全员参与的、制度化的、防止为主的信息安全管理方式,用最低的成本,达成可接受的信息安全水平,从主线上保证业务的连续性,它完全不同于传统的信息安全管理模式:静态的、局部的、少数人负责的、突击式的、事后纠正式的,不能从主线上避免、减少各类风险,也不能减少信息安全故障导致的综合损失,商务也许因此瘫痪,不能连续。7、风险评估a.威胁(Threat),是指也许对资产或组织导致损害的事故的潜在因素。如病毒和黑客袭击,小偷偷盗等.b.薄弱点(Vulnerability),是指资产或资产组中能被威胁运用的弱点。如员工缺少安全意识,口令简短易猜,操作系统自身有安全漏洞等.关系:威胁是运用薄弱点而对资产或组织导致损害的.如无懈可击,有机可乘.c.风险(Risk),即特定威胁事件发生的也许性与后果的结合。特定的威胁运用资产的一种或一组薄弱点,导致资产的丢失或损害的潜在也许性及其影响大小.经济代理人面对的随机状态可以用某种具体的概率值表达.这里的风险只表达结果的不拟定性及发生的也许性大小.d.风险评估(RiskAssessment),对信息和信息解决设施的威胁、影响(Impact)和薄弱点及三者发生的也许性评估.它是确认安全风险及其大小的过程,即运用适当的风险评估工具,拟定资产风险等级和优先控制顺序,所以,风险评估也称为风险分析.8、风险管理(判断、填空)风险管理(RiskManagement),以可接受的费用辨认、控制、减少或消除也许影响信息系统安全风险的过程。风险管理过程结构图a.安全控制(SecurityControl),减少安全风险的惯例、程序或机制。b.剩余风险(ResidualRisk),实行安全控制后,剩余的安全风险。c.合用性声明(ApplicabilityStatement),合用于组织需要的目的和控制的评述。风险评估与管理的术语关系图(其实,安全控制与薄弱点间、安全控制与资产间、安全风险与资产间、威胁与资产间均存在有直接或间接的关系)(1)资产具有价值,并会受到威胁的潜在影响。(2)薄弱点将资产暴露给威胁,威胁运用薄弱点对资产导致影响。(3)威胁与薄弱点的增长导致安全风险的增长。(4)安全风险的存在对组织的信息安全提出规定(5)安全控制应满足安全规定。(6)组织通过实行安全控制防范威胁,以减少安全风险。9、风险评估过程a.风险评估应考虑的因素(1)信息资产及其价值(2)对这些资产的威胁,以及他们发生的也许性(3)薄弱点(4)已有的安全控制措施b.风险评估的基本环节(1)按照组织商务运作流程进行信息资产辨认,并根据估价原则对资产进行估价(2)根据资产所处的环境进行威胁辨认与评价(3)相应每一威胁,对资产或组织存在的薄弱点进行辨认与评价(4)对已采用的安全控制进行确认(5)建立风险测量的方法及风险等级评价原则,拟定风险的大小与等级c.进行风险评估时,应考虑的相应关系风险评估过程图资产、威胁和薄弱点相应关系图资产、威胁和薄弱点相应关系:1、每一项资产也许存在多个威胁2、威胁的来源也许不只一个,应从人员(涉及内部与外部)、环境(如自然灾害)、资产自身(如设备故障)等方面加以考虑10、资产辨认与评估组织应列出与信息安全有关的资产清单,对每一项资产进行确认和适当的评估,资产辨认时常应考虑:(1)数据与文档(2)书面文献(3)软件资产(4)实物资产(5)人员(6)服务11、信息资产的广义与狭义理解资产估价是一个主观的过程,资产价值不是以资产的账面价格来衡量的,而是指其相对价值。在对资产进行估价时,不仅要考虑资产的账面价格,更重要的是要考虑资产对于组织商务的重要性,即根据资产损失所引发的潜在的商务影响来决定。建立一个资产的价值尺度(资产评估标准).一些信息资产的价值是有时效性的,如数据保密.新产品数据在产品面市之前的高度机密性.采用精确的财务方式来给资产拟定价值有时是很困难的,一般采用定性的方式来建立资产的价值或重要度,即按照事先拟定的价值尺度将资产的价值划分为不同等级或说对资产赋值.从而可以拟定需要保护的关键资产.12、信息资产价值理解、价值时效性13、威胁辨认与评价威胁发生的也许性分析:拟定威胁发生的也许性是风险评估的重要环节,组织应根据经验和(或)有关的记录数据来判断威胁发生的频率或者威胁发生的概率。威胁发生的也许性受下列因素的影响:(1)资产的吸引力,如金融信息、国防信息等(2)资产转化成报酬的容易限度(3)威胁的技术含量(4)薄弱点被运用的难易限度威胁发生的也许性大小(具体根据需要定,也许取大于1的值,也也许取小于1的值,但肯定不小于0)可以采用分级赋值的方法予以拟定。如将也许性分为三个等级:非常也许=3;大约也许=2;不太也许=1威胁事件发生的也许性大小与威胁事件发生的条件是密切相关的。如消防管理好的部门发生火灾的也许性要比消防管理差的部门发生火灾的也许性小。因此,具体环境下某一威胁发生的也许性应考虑具体资产的薄弱点对这一威胁发生也许性的社会均值予以修正。14、薄弱点评价与已有控制措施的确认A薄弱点的辨认与评估有关实物和环境安全面的薄弱点薄弱点运用薄弱点的威胁对建筑、房屋和办公室实物访问控制故意破坏的不充足或疏忽对于建筑、门和窗缺少物理保护盗窃位于易受洪水影响的区域洪水未被保护的储藏库盗窃缺少维护程序或维护作业指导维护错误缺少定期的设备更新计划存储媒体的老化设备缺少必要防护措施空气中的颗粒/灰尘设备对温度变化敏感或缺少空调设施极端温度(高温或低温)设备易受电压变化的影响、不稳定的高压输电网、缺少供电保护设施电压波动可见,威胁也许是人为的、袭击的,也也许是环境的、自然的。组织应对每一项需要保护的信息资产,找出每一种威胁所能运用的薄弱点,并对薄弱点的严重性进行评价,即对薄弱点被威胁运用的也许性PV进行评价,可以采用分级赋值的方法(同PT同样,具体大小根据需要定,也许取大于1的值,也也许取小于1的值,但肯定不小于0)。如:非常也许=4;很也许=3;也许=2;不太也许=1;不也许=0B对已有的安全控制进行确认威┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅胁保护措施发预生防的风险曲线3措可施能性风险曲线2、薄弱点被风险曲线1利用的程度威胁所产生的潜在影响限度图2-5控制措施与风险限度关系图组织应将已采用的控制措施进行辨认并对控制措施的有效性进行确认,继续保持有效的安全控制,以避免不必要的工作和费用,防止控制的反复实行。对于那些确认为不适当的控制应当检查是否应被取消,或者用更合适的控制代替。此外,应当注意,在风险评估之后选择的安全控制与现有的和计划的控制应保持一致。安全控制可分为防止性控制措施和保护性措施(如商务连续性计划、商业保险等),防止性措施可以减少威胁发生的也许性和减少安全薄弱点,而保护性措施可以减少威胁发生所导致的影响。15、风险评估①风险测量方法—风险大小和等级评价原则风险是威胁发生的也许性,薄弱点被威胁运用的也许性和威胁的潜在影响的函数:R=R(PT,PV,I) 其中:R---资产受到某一威胁所拥有的风险②风险测量方法事例:(不知道该如何整理!太多了!!!)16、风险控制过程风险控制途径:减少风险途径①避免风险,也称规避风险,属去除威胁②转移风险③减少威胁④减少薄弱点⑤减少威胁也许的影响限度⑥探测有害事故,对其做出反映并恢复,属及时捕获威胁17、风险接受:信息系统绝对安全(即零风险)是不也许的.组织在实行选择的控制后,总仍有残留的风险,称之为残留风险或残余风险或剩余风险。导致残余风险的因素:也许是某些资产未被故意识保护所致,如假设的低风险;或者被提及的控制需要高费用而未采用应有的控制残余风险应在可接受的范围内,即应满足:残余风险Rr=原有风险Ro-控制△R残余风险Rr≤可接受风险Rt风险接受就是一个对残余风险进行确认和评价的过程:按照风险评估拟定的风险测量方法对实行安全控制后的资产风险进行重新计算,以获得残余风险的大小,并将残余风险分为可接受或不可接受的风险.风险是随时间而变化的,风险管理应是一个动态的管理过程,因此组织要动态地定期进行风险评估,甚至在以下情况进行临时评估,以便及时辨认需要控制的风险并进行有效的控制:⑴当组织新增信息资产时.⑵当系统发生重大变更时.⑶发生严重信息安全事故时.⑷组织认为有必要时.18、基本风险评估基本的风险评估是指应用直接和简易的方法达成基本的安全水平,就能满足组织及其商业环境的所有规定。合用范围:合用于商业运作不是非常复杂的组织,并且组织对信息解决和网络的依赖限度不高。优点:(1)风险评估所需资源最少,简便易行(2)同样或类似的控制能被许多信息安全管理体系所采用,不需要花费很大的精力。假如多个商业规定类似,并且在相同的环境中运作,这些控制可以提供一个经济有效的解决方案。缺陷:(1)假如安全水平被设立的太高,就也许需要过多的费用或控制过度;假如水平太低,对一些组织来说,也许会得不到充足的安全。(由于方法是基本的,不细,较粗,因此,评估结果也许也较粗,不够精确,有一定的出入)(2)对管理相关的安全进行更改也许有困难。如一个信息安全管理体系被升级,评估最初的控制是否仍然充足就有一定的困难。19、具体风险评估具体的风险评估是指对资产的具体辨认和估价,以及那些对资产形成威胁和相关薄弱点水平的具体评估,在此基础上开展风险评估并随后被用于安全控制的辨认和选择。优点:(1) 能获得一个更精确的安全风险的结识,从而更为精确地辨认反映组织安全规定的安全水平。(2)ﻩ可以从具体的风险评估中获得额外信息,使与组织更改相关的安全管理受益。缺陷:(1)ﻩ需要非常仔细制订被评估的信息系统范围内的商务环境、运作、信息和资产边界,需要管理者连续关注,因
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 政府采购合同纠纷解决
- 软件优化维护合同
- 2024安全生产责任合同书安全生产合同
- 2024山林买卖合同范本书
- 不同地区的白酒文化差异考核试卷
- 家居纺织品的材料创新与绿色环保考核试卷
- 烤面筋加盟合同范例
- 样机展示租赁合同范例
- 搪瓷制品的食品安全与卫生认证考核试卷
- 法语劳动合同模板
- 急救课程培训
- xx学校未成年人性教育工作方案
- 抖音带货主播小白培训
- 什么是美术作品 课件-2024-2025学年高中美术湘美版(2019)美术鉴赏
- 职业卫生技术服务机构检测人员考试真题题库
- 国家开放大学《实-用管理基础》形考任务1-4参考答案
- 上海市交大附中附属嘉定德富中学2024-2025学年九年级上学期期中考数学卷
- 2024黑龙江省交通投资集团招聘38人高频难、易错点500题模拟试题附带答案详解
- 人工智能智能制造设备维护与管理手册
- 2024年大学生就业创业知识竞赛题库及答案(共350题)
- 基于SICAS模型的区域农产品品牌直播营销策略研究
评论
0/150
提交评论