CISP0303基本管理措施.pptx

基本安全管理措施
培训机构名称
讲师名字
学习内容
2
安全管理
措施
知识体
知识域
基本安全
管理措施
重要安全
管理过程
知识子域
安全策略
人员安全管理
访问控制
物理与环境安全
系统获取、开发和维护
通信及操作管理
安全组织机构
资产管理
符合性管理
信息安全事件管理与应急响应
业务连续性管理
与灾难恢复
信息安全管理措施
理解安全管理控制措施是管理风险的具体手段
了解8个基本安全管理控制措施的基本内容
知识子域:安全策略
知识子域:人员安全管理
知识子域:安全组织机构
知识子域:资产管理
知识子域:物理与环境安全
知识子域:访问控制
知识子域:符合性管理
基本安全管理措施
3
信息安全的内涵与定义
内涵
保障企业各类信息资产免于“不可承受的风险”的所有战略、程序与机制
考虑所有信息资产的:
保密性(Confidentiality):保证信息只让合法用户访问;
完整性(Integrity):保障信息及其处理方法的准确性(accuracy)、pleteness);
可用性(Availability):保证合法用户在需要时可以访问到信息及相关资产。
范围:
关心的群体(总/分/子公司)、信息系统设备、人员、信息记录、服务
完整性
保密性
可用性
风险
4
为什么要信息安全管理
信息安全的成败取决于两个因素:技术和管理。
安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂。
一项令人沮丧的调查结果:虽然90%的系统安装有防病毒软件,但这些系统中依然有85%感染了计算机病毒;虽然89%的系统安装有防火墙,60%的系统安装有入侵检测系统,但这些系统中依然有90%有安全漏洞,40%遭受了外来的入侵。
“We've deployed firewalls, virus scanning, and even intrusion detection.
Yet we are still getting hit.
Hmmm, maybe technology is not the whole solution?”
人们常说,三分技术,七分管理,可见管理对信息安全的重要性。
5
信息安全管理
现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的,理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标来说尤其重要。
信息安全管理(Information Security Management)作为组织完整的管理体系中一个重要的环节,它构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动,其针对对象就是组织的信息资产。
6
基于风险分析的安全管理方法
信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动。
信息安全策略方针为信息安全管理提供导向和支持。
控制目标与控制措施的选择应该建立在风险评估的基础上。
考虑控制成本与风险平衡的原则,将风险降低到组织可接受的水平。
需要全员参与。
遵循管理的一般模式——PDCA模型。
7
什么是控制措施
什么是控制措施
管理风险的方法。为达成企业目标提供合理保证,并能预防、检查和纠正风险。
它们可以是行政、技术、管理、法律等方面的措施。
控制措施的分类:
预防性控制
检查性控制
纠正性控制
8
控制措施分类
预防性控制措施:在问题发生前潜在问题,并作出纠正
仅雇佣胜任的人员
职责分工
使用访问控制软件,只允许授权用户访问敏感文件
检查性控制:检查控制发生的错误、疏漏或蓄意行为
生产作业中设置检查点
网络通信过程中的Echo控制
内部审计
纠正性控制:减少危害影响,修复检查性控制发现的问题
意外处理计划
备份流程
恢复运营流程
9
信息安全管理控制措施的作用
符合控制标准?
持续改进
调整
完善信息安全
治理结构
风险评估
安全规划
信息安全
管理框架
管理措施
技术手段
信息系统
安全审计
信息安全
管理框架
10