信息安全管理.ppt

信息安全管理基础2020/6/231本章内容信息安全管理体系信息安全管理标准信息安全策略信息安全技术2020/6/232信息技术/网络技术改变生活方式政府商业个人生活金融2020/6/233信息安全现状日益增长的安全威胁攻击技术越来越复杂入侵条件越来越简单2020/6/234黑客攻击猖獗网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒后门、隐蔽通道蠕虫2020/6/235安全事件每年都有上千家政府网站被攻击安全影响任何网络都可能遭受入侵2020/6/236系统的定义:系统是由相互作用和相互依赖的若干部分结合成的具特定功能的整体。系统一般包括下列因素:1、一种产品或者组件,如计算机、所有的外部设备等;2、操作系统、通信系统和其他相关的设备、软件,构成了一个组织的基本结构;3、多个应用系统或软件(财务、人事、业务等)4、it部门的员工5、内部用户和管理层6、客户和其他外部用户7、周围环境,包括媒体、竞争者、上层管理机构。2020/6/237信息安全管理覆盖的内容非常广泛,涉及到信息和网络系统的各个层面,以及生命周期的各个阶段。不同方面的管理内容彼此之间存在着一定的关联性,它们共同构成一个全面的有机整体,以使管理措施保障达到信息安全的目,这个有机整体被称为信息安全管理体系。信息安全管理体系2020/6/238物理层面网络层面系统层面应用层面管理层面安全管理制度业务处理流程业务应用系统数据库应用系统身份鉴别机制强制访问控制防火墙入侵检测系统物理设备安全环境安全信息安全体系信息系统安全体系结构2020/6/239定义:信息安全管理体系(InformationSecurityManagementSystem,ISMS)是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和手段所构成的体系;信息安全管理体系是信息安全管理活动的直接结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。信息安全管理体系定义2020/6/2310