第一章信息安全管理

1、信息安全管理 教材: 信息安全管理 王春東 武漢大學(xué)出版社參考:1.信息安全工程與管理 中國信息安全產(chǎn)品測評中心 人民郵電2.信息安全測評與風(fēng)險評估 向宏等著電子工業(yè)出版社3.Information security management concepts and practice 電子講義為準 考評: 平時(考勤和平時作業(yè))30%,期末考試70%為什么需要這門課為什么需要這門課?信息安全問題主要由哪些方面的原因引起?計算機安全事件引起的原因:簡單歸類:屬于管理因素多達70%以上自然因素（自然因素（25%25%）技術(shù)錯誤（技術(shù)錯誤（10%10%）組織內(nèi)人員作案（組織內(nèi)人員作案（10%10%）黑

2、客攻擊（黑客攻擊（3%3%）人為因素（人為因素（52%）三分技術(shù)，七分管理l 引起信息安全問題的主要因素：引起信息安全問題的主要因素： 一，一，技術(shù)因素技術(shù)因素，系統(tǒng)本身存在安全脆弱性；，系統(tǒng)本身存在安全脆弱性； 二，二，管理因素管理因素，組織內(nèi)部沒有建立并嚴格執(zhí)行相，組織內(nèi)部沒有建立并嚴格執(zhí)行相應(yīng)的信息安全管理制度。應(yīng)的信息安全管理制度。l 解決信息安全問題，不僅應(yīng)從技術(shù)上著手，解決信息安全問題，不僅應(yīng)從技術(shù)上著手，更應(yīng)加強信息安全的管理工作。更應(yīng)加強信息安全的管理工作。如何學(xué)習(xí)這門課如何學(xué)習(xí)這門課? 知識體系介紹 學(xué)習(xí)目標課程內(nèi)容 安全管理基礎(chǔ)：概念、ISMS要求、管理措施概述 基本安全管

3、理措施：策略、組織和人員 重要安全管理措施：資產(chǎn)管理、物理管理、運行和操作管理知識體系安全管安全管理體系理體系信息安全管理概念信息安全管理概念信息安全管理體系要求信息安全管理體系要求信息安全管理措施信息安全管理措施安全組織體系安全組織體系運行和運行和操作管理操作管理基本安全管理措施基本安全管理措施信息安全管理基礎(chǔ)信息安全管理基礎(chǔ)知識體知識體知識域知識域知識子域知識子域安全策略安全策略人員安全人員安全重要安全管理措施重要安全管理措施資產(chǎn)管理資產(chǎn)管理物理管理物理管理符合符合性性(法律與法規(guī)法律與法規(guī))課程目標 掌握信息安全管理的基本概念 認識和了解ISO27001和ISO27002標準 初步掌握建

4、立信息安全管理體系的基本要求 較深入的了解策略、組織和人員等基本安全管理措施的概念和實施方法 較深入的了解資產(chǎn)管理、 物理管理、運行和操作管理、符合性等重要安全管理措施的概念和實施方法 了解信息安全的法律法規(guī)信息安全管理基礎(chǔ) 信息安全管理概念信息安全管理概念 信息安全管理體系要求 信息安全管理措施信息安全管理概念（1） 什么是信息？ ISO17799中的描述中的描述“Information is an asset which, like other important business assets, has value to an organization and consequently

5、needs to be suitably protected. ” “Information can exist in many forms. It can be printed or written on paper, stored electronically, transmitted by post or using electronic means, shown on films, or spoken in conversation. 強調(diào)信息：強調(diào)信息： 是一種資產(chǎn)是一種資產(chǎn) 同其它重要的商業(yè)資產(chǎn)一樣同其它重要的商業(yè)資產(chǎn)一樣 對組織具有價值對組織具有價值 需要適當(dāng)?shù)谋Ｗo需要適當(dāng)?shù)谋Ｗo

6、 以各種形式存在：紙、電子、影片、交談等以各種形式存在：紙、電子、影片、交談等信息安全管理概念（2） 什么是信息安全？安全 Security：事物保持不受損害的能力;(安全是一種能力)信息安全屬性: 通常指”保密性,完整性,可用性”(三種屬性)也有認為”保密性,完整性,可用性,可認證性,抗抵賴性”(五種屬性) 信息安全屬性也是安全應(yīng)該達到的目標信息安全：信息資產(chǎn)的保密性、完整性和可用性不受損害的能力，是通過信息安全保障措施實現(xiàn)的.權(quán)威機構(gòu)的定義：ISO/IEC17799：2000 與與 美國聯(lián)邦信息安全管理法案美國聯(lián)邦信息安全管理法案（FISMA）：）：2002對信息安全的定義對信息安全的定義

7、ISO/IEC 17799:2000：保持信息的保密性、完整性、可用性；另外，也包括其他屬性，如：真實性、可核查性、抗抵賴性和可靠性 。FISMA:2002：保護信息與信息系統(tǒng)，防止未授權(quán)的訪問、使用、泄露、中斷、修改或破壞，以保護信息資產(chǎn)的A）完整性，即防止對信息的不當(dāng)修改或破壞，包括確保信息的不可否認性和真實性；（B）保密性，即對信息的訪問和泄露施加授權(quán)的約束，包括保護個人隱私和專屬信息的手段； （C）可用性，即確保能及時、可靠地訪問并使用信息。信息安全管理概念（3） 什么是管理？(人治與法治)administeradministrationadministratormanagemanag

8、ementmanager1818世紀工業(yè)革命（1700S）管管理理康熙19年（1680）“管管”“理理”中國古代管理的定義l ISO9000:2000 質(zhì)量管理體系質(zhì)量管理體系 基礎(chǔ)和術(shù)語基礎(chǔ)和術(shù)語 管理管理management：指揮和控制組織的協(xié)調(diào)的活動：指揮和控制組織的協(xié)調(diào)的活動l管理學(xué)管理學(xué) 管理是指通過計劃、組織、領(lǐng)導(dǎo)、控制等環(huán)節(jié)來管理是指通過計劃、組織、領(lǐng)導(dǎo)、控制等環(huán)節(jié)來協(xié)調(diào)人力、物力、財力等資源，以期有效達成組織目標協(xié)調(diào)人力、物力、財力等資源，以期有效達成組織目標的過程的過程。管理管理是利用現(xiàn)有的整套資源達到目標的一個過程是利用現(xiàn)有的整套資源達到目標的一個過程.而管而管理者就是理者

9、就是“與其他人共事并協(xié)調(diào)他人工作以實現(xiàn)機構(gòu)目與其他人共事并協(xié)調(diào)他人工作以實現(xiàn)機構(gòu)目標的人標的人”.其作用是配置其作用是配置,管理資源以及協(xié)調(diào)任務(wù)的完成管理資源以及協(xié)調(diào)任務(wù)的完成,并處理那些為了完成預(yù)定目標而必不可少的事務(wù)并處理那些為了完成預(yù)定目標而必不可少的事務(wù).管理管理者的角色有信息處置者的角色有信息處置,關(guān)系協(xié)調(diào)和決策關(guān)系協(xié)調(diào)和決策.見見P5管理的職能l計劃計劃：為實現(xiàn)目標而開發(fā)：為實現(xiàn)目標而開發(fā),制定和實施戰(zhàn)略的過程稱為制定和實施戰(zhàn)略的過程稱為計劃計劃.即即:為為組織確定任務(wù)、宗旨、目標；實現(xiàn)目標的戰(zhàn)組織確定任務(wù)、宗旨、目標；實現(xiàn)目標的戰(zhàn)略、措施、程序；以及實現(xiàn)目標的時間表和預(yù)算略、措施

10、、程序；以及實現(xiàn)目標的時間表和預(yù)算 。計劃分為三個等級計劃分為三個等級: 戰(zhàn)略計劃戰(zhàn)略計劃,戰(zhàn)術(shù)計劃和操作計劃戰(zhàn)術(shù)計劃和操作計劃(見見P5 )l組織：組織：根據(jù)組織的目標、戰(zhàn)略和內(nèi)外環(huán)境設(shè)計組織結(jié)根據(jù)組織的目標、戰(zhàn)略和內(nèi)外環(huán)境設(shè)計組織結(jié)構(gòu)，并為不同崗位配置人力資源的過程。構(gòu)，并為不同崗位配置人力資源的過程。l領(lǐng)導(dǎo)：領(lǐng)導(dǎo)：對組織成員施加影響，以推動其實現(xiàn)組織目標的過對組織成員施加影響，以推動其實現(xiàn)組織目標的過程。程。l控制控制：監(jiān)視計劃進度監(jiān)視計劃進度,衡衡量和糾正下屬活動，以保證量和糾正下屬活動，以保證事態(tài)發(fā)展符合計劃要求的過程事態(tài)發(fā)展符合計劃要求的過程。4種控制工具(見P6)什么是什么是“信

11、息安全管理信息安全管理”？ 信息安全管理概念（信息安全管理概念（4）n組織中為了完成信息安全目標，針對信息系統(tǒng)，遵循組織中為了完成信息安全目標，針對信息系統(tǒng)，遵循安全策略，按照規(guī)定的程序，運用恰當(dāng)?shù)姆椒?，而進行安全策略，按照規(guī)定的程序，運用恰當(dāng)?shù)姆椒?，而進行的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動什么是什么是“信息安全管理信息安全管理”？-另一種定義另一種定義 信息安全管理概念（信息安全管理概念（4）信息安全管理是這樣一個信息安全管理是這樣一個過程過程：能夠：能夠（1）準確地識別機構(gòu)的計算環(huán)境、定義它的關(guān)鍵程度并且區(qū)分對機構(gòu)商業(yè)價）準確地識別機構(gòu)的計算環(huán)境、定義它的關(guān)鍵程度并且區(qū)分對機構(gòu)商業(yè)價值形成的能力的大??；值形成的能力的大??；（2）準確識別并