信息安全管理.doc

1、信息安全的定义
信息安全（ InfoSec）就是保护信息及其关键要素，包括使用、存储以及传输信息的系统和硬件。（基于美国国家安全系统委员会（ CNSS，Committee onNationalSecurity Systems）发布的标准。该委员会以前被称为国家安全通信以及信息系统安全委员会（ NSTISSC，NationalSecurity Telecommunications and InformationSystemsSecurity Committee）。）
2、信息安全的3种特性
机密性（confidentiality ）
完整性（integrity ）
可用性 （availability ）
机密性
信息的机密性确保了只有那些有足够权限并且经证实有这个需要的人，才能够访问该信息。为了保护信息的机密性，我们采取了一系列措施，包括：
信息分类
确保文档存储安全
运用一般的安全策略
对信息所有者和终端用户进行教育
使用密码技术
完整性
完整性即指整体性（whole）、完全性（complete）以及未受侵蚀（uncorrupted）的特性或状态。一方面它指在信息使用、传输、存储的过程中不发生篡改、丢失、错误；另一方面是指信息处理方法的正确性（执行不正当的操作可能造成重要文件的丢失，甚至整个系统的瘫痪）。
当信息受到侵蚀（corruption）、损坏（damage）、毁坏（destruction）或其他干扰时，信息的完整性受到极大威胁。不当的编程甚至是传输信道或传输介质上的噪声都会使数据完整性受到损坏。
可用性
可用性也是信息的一种特性，在信息处于可用状态时， 信息及相关的信息资产在授权人需要的时候可以立即获得。可用性是信息资源服务功能和性能可靠性的度量，涉及到物理、网络、系统、数据、应用和用户等多方面的因素，是对信息网络总体可靠性的要求。
3、信息安全管理的概念
信息安全管理是通过维护信息的机密性、完整性和可用性等，来管理和保护信息资产的一项体制，是对信息安全保障进行指导、规范和管理的一系列活动和过程。
4、计划的分级
一旦机构的总体战略计划转化成各个主要部门的战略目标（ 比如信息安全组），下一步就是把这些战略转化成具体的、可评估的、可达到的以及时间明确的任务。然后，战略计划就开始从综合的、全面的陈述朝着更具体的应用目标转化。战略计划用以制定战术计划，而战术计划用以开发操作计划。
与战略计划相比，战术计划着眼于更短的时期（通常 1 ~ 3 年），它把每一个应用性的战略目标细分成一系列递增目标，每一目标必须是具体的并且最好在一年内有一个交代。
预算、资源分配和人力是战术性计划的关键部分，战术计划经常包括项目计划和资源获取计划文档（如产品说明书）、项目预算、项目复审、月度和年度报告。
操作计划源于战术性计划,管理者和雇员运用它们来管理日常的事务。一个操作计划包括跨部门的协调活动、需求交流、每周会议、总结、进度报告和合作任务。
例如，信息安全操作计划的目标包括防火墙的选择、配置和应用，或者包括
SETA（安全的教育、培训和提升安全意识）项目的设计和实施。每项任务（项目）都需要一个有效的、贯穿整个任务开发过程的战术性计划。
5信息安全计划的实施
在总体战略计划转化成战术计划和操作计划的过程中，CIO 和 CISO（ 首席信息安全官）起着重要作用。
CIO 负责对 CISO 和其他的 IT 部门主管制定和实施的计划进行管理，这些计划支持机构的整体战略并与其保持一致。
CIO 也必须确保机构各个 IT 职能部门能对计划提供广泛的支持，而且没有一个部门被遗漏。
同 CIO 相 比，CISO 在 详 细 计 划 制 定 中 将 起 到 更 积 极 的 作 用。
一旦 CIO 将机构的整体战略计划转化成 IT 和信息安全部门的目标，并进一步由 CISO 转化成战术性和可操作性的计划，信息安全计划的实施就可以开始了。
信息安全计划的实施可以通过自下而上和自上而下两种途径来实现 ：
自下而上方法
指系统管理员试图从系统的底层来增强系统的安全。
这种方法的主要优势在于它可以利用单个系统管理员的专业技术，这些管理员每天都在从事信息系统工作。系统和网络管理员所具备的高度的专业知识能在很大程度上改善一个机构的信息安全状况。这些专业人员懂得并理解他们系统可能受到的威胁以及成功保护系统所必须采用的机制。
遗憾的是，因为缺乏大量的关键信息和资源，诸如来自上层管理的调整计划、部门间的协调和充足的资源，这种方法很少能起到真正的作用。
自上而下方法
高层管理者提供资源和指导，发布政策、措施以及处理步骤，指定项目