返回
信息安全管理培训课件.ppt

信息安全管理培训课件.ppt

ID:59380087

大小:1.54 MB

页数:32页

时间:2020-09-20

信息安全管理培训课件.ppt_第1页
信息安全管理培训课件.ppt_第2页
信息安全管理培训课件.ppt_第3页
信息安全管理培训课件.ppt_第4页
信息安全管理培训课件.ppt_第5页
资源描述:

《信息安全管理培训课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第八章信息安全管理精品第八章信息安全管理8.1组织基础架构8.2管理要素和管理模型8.3身份管理8.4人员和物理环境安全精品8.1组织基础架构信息系统生命期安全管理问题安全管理贯穿于信息系统生命周期的各个阶段:开发(Development):包括需求分析、系统设计、组织设计和集成。制造(Manufacturing):包括试制和批量生产。验证(Verification):包括对设计的论证、试验、审查和分析(包括仿真),非正式的演示,全面的开发测试和评估,以及产品的验收测试。部署(Deployment):包括对系统及其组件的配备、分布和放置。运行(Operation):包括对系统及其组

2、件的操作以及系统的运转。支持和培训(SupportandTraining):包括对系统及其组件的维护,对操作、使用等的了解和指导。处置(Disposal):包括报废处理等。精品8.1组织基础架构信息系统生命期安全管理问题安全管理在信息系统整个生命期的各个阶段中的实施内容包括:制定策略:利用安全服务为组织提供管理、保护和分配信息系统资源的准则和指令。资产分类保护:帮助组织识别资产类别并采取措施进行适当的保护。人事管理:减少人为错误、盗窃、欺诈或设施误用所产生的风险。物理和环境安全:防止非授权的访问、损坏和干扰通信媒体和机房(及其附属建筑设施)以及信息泄露。通信与运营管理:确保信息处理

3、设施的正确和安全运营。访问控制:按照策略控制对信息资源的访问。系统开发和维护:确保将安全服务功能构建到信息系统中。业务连续性管理:制止中断业务的活动以及保护关键的业务过程不受大的故障或灾害影响,并具有灾难备份和快速恢复的能力。遵从:保持与信息安全有关的法律、法规、政策或合同规定的一致性,承担相应的责任。精品8.1组织基础架构信息安全中的分级保护问题信息系统保护的目标信息系统安全的保护目标与所属组织的安全利益是完全一致的,具体体现为对信息的保护和对系统的保护。信息保护是使所属组织有直接使用价值(用于交换服务或共享目的)的信息和系统运行中有关(用于系统管理和运行控制目的)的信息的机密性

4、、完整性、可用性和可控性不会受到非授权的访问、修改和破坏。系统保护则是使所属组织用于维持运行和履行职能的信息技术系统的可靠性、完整性和可用性不受到非授权的修改和破坏。系统保护的功能有两个:一是为信息保护提供支持,二是对信息技术系统自身进行保护。信息系统分级保护对信息和信息系统进行分级保护是体现统筹规划、积极防范、重点突出的信息安全保护原则的重大措施。最有效和科学的方法是在维护安全、健康、有序的网络运行环境的同时,以分级分类的方式确保信息和信息系统安全既符合政策规范,又满足实际需求。精品8.1组织基础架构计算机信息系统的安全保护等级GB17859—1999《计算机信息系统安全保护等级

5、划分准则》是我国计算机信息系统安全保护等级系列标准的基础,是进行计算机信息系统安全等级保护制度建设的基础性标准,也是信息安全评估和管理的重要基础。此标准将计算机信息系统安全保护从低到高划分为5个等级,即用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。高级别安全要求是低级别安全要求的超集。计算机信息系统安全保护能力随着安全保护等级的增高逐渐增强。精品8.1组织基础架构基于通用准则的安全等级GB/T18336中定义的7个评估保证级为:评估保证级1(EAL1)——功能测试。评估保证级2(EAL2)——结构测试。评估保证级3(EAL3)——系统地测试和检查。评

6、估保证级4(EAL4)——系统地设计、测试和复查。评估保证级5(EAL5)——半形式化设计和测试。评估保证级6(EAL6)——半形式化验证的设计和测试。评估保证级7(EAL7)——形式化验证的设计和测试。精品8.1组织基础架构信息安全管理的基本内容信息系统的安全管理涉及与信息系统有关的安全管理以及信息系统管理的安全两个方面。这两方面的管理又分为技术性管理和法律性管理两类。其中技术性管理以OSI安全机制和安全服务的管理以及物理环境的技术监控为主,法律性管理以法律法规遵从性管理为主。信息安全管理本身并不完成正常的业务应用通信,但却是支持与控制这些通信的安全所必需的手段。信息系统管理的安

7、全包括信息系统所有管理服务协议的安全,以及信息系统管理信息的通信安全,它们是信息系统安全的重要组成部分。这一类安全管理将借助对信息系统安全服务与机制做适当的选取,以确保信息系统管理协议与信息获得足够的保护。精品8.1组织基础架构信息安全管理的指导原则信息安全管理的基本原则包括:以安全保发展,在发展中求安全受保护资源的价值与保护成本平衡明确国家、企业和个人对信息安全的职责和可确认性信息安全需要积极防御和综合防范定期评估信息系统的残留风险综合考虑社会因素对信息安全的制约信

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。