信息安全管理重点

信息安全管理弟一章什么是信息安全？答：在网络基础上其安全定义是：保护信息系统的硬件，软件及相关数据，是指不因偶然或恶意侵犯而遭受破坏，更改及泄露，保证信息系统能够连续，可靠，正常的运行。在商业和经济领域：消减并控制风险，保持业务操作的连续性，并将风险造成的损失和影响降到最低。叙述信息安全管理的内容。答：包括指定信息安全政策，风险评估，控制目标，选择方式，制定规范的操作流程，对人员进行安全意识培训等一系列工作。弟二章信息安全管理体系(ISMS)是组织在整体或特定范围内建立的信息安全方针和目标，以及完善这些目标所用的方法和手段所构成的体系；ISMS的作用一、强化员工的信息安全意识，规范组织信息安全行为；二、 促使管理层贯彻信息安全保障体系；三、 对组织的关键信息字长进行全面的系统保护，维持竞争优势；四、 在信息组织受到侵袭时，确保业务持续开张并将损失降到最低；五、 使组织的生意伙伴和客户对组织充满信心；六、 如果通过体系认证，表明体系符合标准，证明组织有能力保障重要信息，可以提高组织的知名度和信任度。建立ISMS的步骤1。信息安全管理体系的策划与准备；信息安全管理体系文件的编制；建立信息安全体系框架；信息安全管理体系的运行；信息安全管理体系的审核；信息安全管理体系的管理评审；SSE-CMM将安全工程划分为3个基本的过程区域，即风险，工程，和保证；即风险，工程，和保证；其含义〜风险就是有害事件发生的可能性；工程：是一个包括概念，设计，实现，测试，部署，运行，维护和退出的完整过程。保证：安全需求得到满足的信任程度；PCDA的含义：P(PLAN)计划，确定方针和目标，确定活动的计划；D、实施，采取实际措施，事先计划中的内容；C、检查，检查并总结执行计划的结果，评价效果，找出问题；A、行动，对检查总结的结果进行处理，成果的经验加以肯定并适当推广，标准化；失败的教训加以总结，以免重现；g―*M弟三章风险评估的基本步骤：1、按照组织业务运作流程进行资产识别，并根据估价原则对资产进行估价；2、 根据资产所处的环境进行威胁评估；3、 对应每一威胁，对资产或组织存在的脆弱性进行评估；4、 对已采取的安全机制进行识别和确认；5、 建立风险测量的方法及风险等级评价原则，确定风险的大小与等级；第四章在我国信息安全管理组织有4个层面：1,各部委信息安全管理部门2,各省信息安全管理部门，3,各基层信息安全管理部门4经营单位；信息安全组织的基本任务是：是在政府主管部门的指导下，由与系统有关的各方面专家，定期或适时进行风险评估，根据本单位的实际情况和需要，确定信息系统的的安全等级和管理总体目标，提出相应的对策并监督实施，似的本单位和信息系统的安全保护工作能够与信息系统的建设、应用和发张同步进行；信息安全教育包括：法规教育（法规教育是信息安全教育的核心）、安全技术教育（信息及信息安全技术是信息安全的技术保证）、安全意识教育（包括组织信息安全方针与控制目标，适用的法律法规等）；-J-*Vr.弟五早信息系统在实际应用中采用的防泄漏措施主要有哪些？答：1，选用低辐射设备2,利用噪声干扰源3,采取屏蔽措施4,具体防护5，采用微波吸收材料信息系统的记录按照其重要性和机密程度可分为以下四类；一类记录关键性记录；二类记录 重要记录；三类记录一一有用记录；四类记录一一不重要记录；保证电子文档安全的技术措施：签名措施，加密技术、身份认证、防火墙。弟六早1、系统的整体开发过程可以划分为 规划、分析、设计、实现和运行五个阶段。、2、 系统面临的技术安全问题包括网虹安全性、系统安全性、用户安全性、应用安全性、应用程序安全性和数据安全性5个方面。3、系统安全检验的方法一般有两种，分别为系统鉴定和破坏性分析；4、 系统安全原则包括：保护薄弱环节一一系统薄弱部分一般是最易受到攻击影响的部分，所以系统安全程度与薄弱的环节密切相关，在进行系统策划时必须重点考虑可能存在的薄弱环节以及对薄弱环节的保护；纵深防御一一使用多重防御测略来管理风险，一边在一层防御不够时另一层防御将会阻止完全的破坏；故障控制一一任何复杂的系统都会有故障发生，这是很难避免的，可以避免的是同故障有关的安全性问题。一次必须通过有效的故障管理，确保及时发现故障，分离故障，找出实效的原因，并在可能的情况下解决故障，避免因系统故障而导致系统安全问题的产生；最小特一一，是指只授予主体执行操作所必须的最小访问权限并且对于该访问权限只准许使用所需的最少时间；分隔一一其基本思想是如果系统分成尽可能多的独立单元，那么就可以将对系统可能造成的损害降到最低；5、系统开发应遵循的原则：主管参与、优化与创新、充实利用信息资源、实用和实效、规范化、有效安全控制、适应发张变化；6、系统安全性检验就是对系统的安全性进行测试验证，并评价其安全性所达到的程度的过程。系统的安全验证的方法一般有两种分别是系统鉴定和破坏性分析。系统鉴定：破坏性分析:把一些在系统使用方面具有丰富经验的专家和一些富有设计经验的专家组织起来，对被测试的系统进行安全脆弱性分析，专门查找可能的弱点和缺点。第七章1、 信息安全策略分为信息安全方针和具体信息安全策略；2、 系统运行安全管理的目标是确保系统运行过程中的安全性，主要包括可靠性、可用性、保密性、完整性、不可抵赖和可控性等几个方面；3网络故障管理的基本步骤包括：发现问题、分离问题找出实效的原因、解决问题；4、 系统安全审计是指对安全活动进行识别、记录、存储和分析，以查证是否发生安全事件的一种信息安全技术，它能够为管理人员提供有关追踪安全事件和入侵行为的有效证据，提高信息系统的安全管理能力。作用是一、对潜在的攻击者起到震慑或警告作用；二、 对于已经发生的系统破坏行为有效的追究证据；三、 提供有价值的系统使用日志，帮助管理人员及时发现系统入侵行为或潜在的系统漏洞；四、 提供系统运行的统计日志，是管理范闲人员能够系统性能上的不足或需