信息安全管理与法律法规2.ppt

1
信息安全管理与法律法规复习 2012
管理制度篇
信息安全概念
安全
没有危险、不受威胁、不出事故。
安全理念
以风险大小来划分安全与否
没有绝对的安全和零风险
风险可接受即可视为安全
风险大小与安全投入的平衡
信息安全木桶原理
短板理论,系统的安全性取决于系统的最薄弱环节,加强其安全,才能提高整体安全性。
“信息安全”问题
“信息系统”安全问题
信息不安全引发的其他安全问题
信息系统安全的保护目标与所属组织的安全利益是完全一致的,具体体现为对信息的保护、对系统的保护和对信息使用的监管。
广义的信息安全
信息安全属性
信息安全属性
保密性Confidentiality
完整性Integrity
可用性Availability
不可否认性(抗抵赖)Non-repudiation
真实性Authentication
可控性/可治理性Controllability/Governability
可靠性Reliability…
信息安全风险评估
资产(保护对象)
软件、硬件、数据、人、业务、声誉(品牌)
脆弱性(隐患的关键因素)
软件、硬件、制度、人
威胁(威胁源与行为)
外部(如黑客攻击)、内部,有意、无意、自然、人为
可能性(动机和能力)
蓄谋、偶然,难度
后果
本身价值、直接和间接影响
信息安全的对策(管理部分)
国家层面
法律法规、政策、国家标准
社会层面
道德
行业层面
行规、行业标准
组织层面
规章制度
个人
最脆弱的环节
培训、意识、行为规范
信息安全技术与管理
技术必须与管理结合
技术有局限性,不是万能的,需要管理弥补
技术需要管理来实施和保障
很多(底层)技术不可控
技术的发展需要管理来调整以适应
技术可能被利用
内部原因的信息安全问题比重大
信息安全分类分级保护
对信息和信息系统进行分级保护是体现统筹规划、积极防范、突出重点的信息安全保护原则的重大措施。最有效和科学的方法是在维护安全、健康、有序的网络运行环境的同时,以分级分类的方式确保信息和信息系统安全既合符政策规范,又满足实际需求。实现安全成本与信息系统重要性的平衡。
等级保护内容
信息系统分等级保护
信息安全产品分等级管理
信息安全事件分等级响应、处置