企業(yè)信息安全管理介紹

1、v1信息安全原理及從業(yè)人員安全素養(yǎng)培訓(xùn)01企業(yè)信息安全管理介紹第 2 頁信息安全原理及從業(yè)人員安全素養(yǎng)第 3 頁第十一章第一節(jié). 信息安全保障體系IT保障體系第 4 頁第十一章第一節(jié). 信息安全保障體系IT保障體系第 5 頁第十一章第二節(jié). 信息安全風(fēng)險管理風(fēng)險要素圖第 6 頁第十一章第二節(jié). 信息安全風(fēng)險管理 光有威脅還構(gòu)不成風(fēng)險，威脅只有利用了特定的弱點（即脆弱性）才可能對資產(chǎn)造成影響，所以，組織應(yīng)該針對每一項需要保護(hù)的信息資產(chǎn)，找到可被威脅利用的弱點。技術(shù)性弱點 系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷，比如結(jié)構(gòu)設(shè)計問題和編程漏洞。操作性弱點 軟件和系統(tǒng)在配置、操作、使用中的缺陷，包括人員日常

2、工作中的不良習(xí)慣，審計或備份的缺乏。管理性弱點 策略、程序、規(guī)章制度、人員意識、組織結(jié)構(gòu)等方面的不足。 123資產(chǎn)資產(chǎn)資產(chǎn)脆弱性脆弱性脆弱性脆弱性脆弱性安全措施安全措施安全措施安全措施風(fēng)險殘余風(fēng)險殘余風(fēng)險殘余風(fēng)險威脅威脅威脅威脅第 7 頁第十一章第二節(jié). 信息安全風(fēng)險管理風(fēng)險分析和評估流程第 8 頁第十一章第二節(jié). 信息安全風(fēng)險管理風(fēng)險分析矩陣和坐標(biāo)風(fēng)險控制策略在組織選擇并實施風(fēng)險評估結(jié)果中推薦的安全措施之前，首先要明確自己的風(fēng)險消減策略，也就是應(yīng)對各種風(fēng)險的途徑和決策方式。降低風(fēng)險（Reduce Risk）規(guī)避風(fēng)險（Avoid Risk） 轉(zhuǎn)移風(fēng)險（Transfer Risk） 接受風(fēng)險（A

3、ccept Risk） 第 9 頁第十一章第二節(jié). 信息安全風(fēng)險管理風(fēng)險控制風(fēng)險控制是風(fēng)險管理過程的第二個階段，牽涉到確定風(fēng)險控制策略、風(fēng)險和安全控制措施的優(yōu)先級選定、制定安全計劃并實施控制措施等活動。 規(guī)避轉(zhuǎn)移接受降低風(fēng)險第 10 頁第十一章第三節(jié). 信息安全應(yīng)急響應(yīng)應(yīng)急響應(yīng)是信息安全防護(hù)體系的最后一道屏障應(yīng)急計劃的維護(hù)測試、培訓(xùn)和演習(xí)確定業(yè)務(wù)連續(xù)性管理策略制訂應(yīng)急計劃業(yè)務(wù)影響性分析應(yīng)急計劃實施第 11 頁第十一章第三節(jié). 信息安全應(yīng)急響應(yīng)應(yīng)急響應(yīng)組織體系支撐中心客戶關(guān)系系統(tǒng)營帳計費系統(tǒng)數(shù)據(jù)分析系統(tǒng)管理支撐系統(tǒng)門戶網(wǎng)絡(luò)系統(tǒng)管理層各單位信息安全主管分管領(lǐng)導(dǎo)信息安全員、業(yè)務(wù)主管、技術(shù)主管各單位信