企业信息安全体系设计和实践.pdf

Design and Practice on Information SecurityManagementSystem of EnterpriseThesisSubmitted toNanjing University of Posts and munications for the Degree of Master ofEngineeringByZhou KaiSupervisor: Prof. Xu Jian-zhenApril 2013南京邮电大学学位论文原创性声明本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得南京邮电大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。本人学位论文及涉及相关资料若有不实,愿意承担一切相关的法律责任。南京邮电大学学位论文使用授权声明本人授权南京邮电大学可以保留并向国家有关部门或机构送交论文的复印件和电子文档;允许论文被查阅和借阅;可以将学位论文的全部或部分内容编入有关数据库进行检索;可以采用影印、缩印或扫描等复制手段保存、汇编本学位论文。本文电子文档的内容和纸质论文的内容相一致。论文的公布(包括刊登)授权南京邮电大学研究生院办理。涉密学位论文在解密后适用本授权书。研究生签名:_____________ 日期:____________研究生签名:____________导师签名:____________ 日期:_____________I摘要信息安全研究是近几十年随着信息大爆炸而兴起并迅速发展的研究方向。信息安全相关理论研究已具有相当系统和丰富的成果,国内、国际上也发布了各种信息安全标准。本文主要研究了如何在企业中实施信息安全的管理,即针对企业在实际生产过程中存在的信息安全风险,运用信息安全相关理论并参考国际国内相关标准,设计适合企业实际的信息安全体系,并通过体系的运行提高企业抵抗信息安全风险的能力。本文首先阐述了信息安全的相关理论,之后在对几大主流的信息安全风险管理体系进行深入研究的基础上,分析了企业信息安全风险形成的机制并找到适合企业使用的相关信息安全管理体系标准。阐述了如何基于IS027001体系对企业进行信息安全风险评估,并依据相关标准建立相关信息安全制度,全面建设企业信息安全体系的过程。这个过程遵循ISO27001中PDCA原则:首先设计一套信息安全管理体系,然后分析现状与体系的差距,根据分析结果进行改进,达到体系要求之后执行体系。其中重点阐述了结合企业以资产为核心的情况下设计的相关资产安全CIA三性赋值表单,对资产威胁发生可能性和脆弱性进行评估分析,评估结果进行风险处置,最后运行企业信息安全体系的过程。关键词:信息安全;ISO 27001;信息安全体系;风险评估;风险控制IIAbstractTheoretical research of information security systems already has quite fruitful,also released a variety of information security paper mainly studied how to manage implementation of information security in the enterprise,that the actual production process for the enterprises in the information security risks exist,the use of information security theory and with reference to international and domestic standards,designed to fit the actual business information security system,and running through the system improve resistance to information security ,this paper describesthetheoryofinformation security. Secondly,in-depth study ofseveral majorinformation securityrisk management systemsbased on theanalysis oft