第八章信息安全管理
第八章 信息安全管理
第八章信息安全管理 ■8.1组织基础架构 ■8.2管理要素和管理模型 ■8.3身份管理 ■8.4人员和物理环境安全
第八章 信息安全管理 ◼ 8.1 组织基础架构 ◼ 8.2 管理要素和管理模型 ◼ 8.3 身份管理 ◼ 8.4 人员和物理环境安全
81组织基础架构 信息系统生命期安全管理问题 安全管理贯穿于信息系统生命周期的各个阶段: 开发(Development):包括需求分析、系统设计、组织设计和集 成 制造(Manufacturing):包括试制和批量生产。 验证(Verification),:包括对设计的论证、试验、审查和 含标高收的养,益的并发演试 部署(Deployment):包括对系统及其组件的配备、分 布和放置。 运行,(Operation):包括对系统及其组件的操作以及系 统的运转。 支持和培训(Support and Training),:包括对系统及其 组件的维护,对操作、使用等的了解和指导。 处置(Disposal):包括报废处理等
8.1 组织基础架构 ◼ 信息系统生命期安全管理问题 ◼ 安全管理贯穿于信息系统生命周期的各个阶段: ◼ 开发(Development):包括需求分析、系统设计、组织设计和集 成。 ◼ 制造(Manufacturing):包括试制和批量生产。 ◼ 验证(Verification):包括对设计的论证、试验、审查和 分析(包括仿真),非正式的演示,全面的开发测试和评 估,以及产品的验收测试。 ◼ 部署(Deployment):包括对系统及其组件的配备、分 布和放置。 ◼ 运行(Operation):包括对系统及其组件的操作以及系 统的运转。 ◼ 支持和培训(Support and Training):包括对系统及其 组件的维护,对操作、使用等的了解和指导。 ◼ 处置(Disposal):包括报废处理等
81组织基础架构 信息系统生命期安全管理问题 安全管理在信息系统整个生命期的各个阶段中的实施内容包括: 。制定策略:利用安全服务为组织提供管理、保护和分配信息系统资源的准则和指令。 ■资产分类保护:帮助组织识别资产类别并采取措施进行适当的保护。 ■人事管理:减少人为错误、盗窃、欺诈或设施误用所产生的风险。 物理和环境安全:防止非授权的访问、损坏和干扰通信媒体和机房(及 其附属建筑设施)以及信息泄露。 ■通信与运营管理:确保信息处理设施的正确和安全运营。 访问控制:按照策略控制对信息资源的访问。 系统开发和维护:确保将安全服务功能构建到信息系统中。 业务连续性管理:制止中断业务的活动以及保护关键的业务过程不受大 的故障或灾害影响,并具有灾难备份和快速恢复的能力。 遵从:保持与信息安全有关的法律、法规、政策或合同规定的一致性, 承担相应的责任
8.1 组织基础架构 ◼ 信息系统生命期安全管理问题 ◼ 安全管理在信息系统整个生命期的各个阶段中的实施内容包括: ◼ 制定策略:利用安全服务为组织提供管理、保护和分配信息系统资源的准则和指令。 ◼ 资产分类保护:帮助组织识别资产类别并采取措施进行适当的保护。 ◼ 人事管理:减少人为错误、盗窃、欺诈或设施误用所产生的风险。 ◼ 物理和环境安全:防止非授权的访问、损坏和干扰通信媒体和机房(及 其附属建筑设施)以及信息泄露。 ◼ 通信与运营管理:确保信息处理设施的正确和安全运营。 ◼ 访问控制:按照策略控制对信息资源的访问。 ◼ 系统开发和维护:确保将安全服务功能构建到信息系统中。 ◼ 业务连续性管理:制止中断业务的活动以及保护关键的业务过程不受大 的故障或灾害影响,并具有灾难备份和快速恢复的能力。 ◼ 遵从:保持与信息安全有关的法律、法规、政策或合同规定的一致性, 承担相应的责任
8.1组织基础架构 信息安全中的分级保护问题 ■信息系统保护的目标 信息系统安全的保护目标与所属组织的安全利益是完全,致的 体现方对信氯的保护和对紧统的保护。一信囂保我嘉使蕲逼 组织有直接使用价道(用宇茭换眼影载去享目的)的信息和紧 统运行中有关八用宝家统管理知运行 制目的)的信息的机密 莞整捱、可用难和可握裤不会受淘非授这的迥、修数和 破 。 统保护如桌使所属箱织用宇维持运和行职能的值 意技术统的可靠链,完整性和可用性不受到] 的修改和 系统保护的迈能有两个:一 是为信息保折 三 提供支持 是对信息技米系统首身进行保护。 ■信息系统分级保护 ■ 对信鼻和信息系统洪行岔级保护是体秘统筹松划、积极防范: 重 是在维护安全、 类的方式确保信息和信意系统安全睬符合政策规范,父满定 实际需求
8.1 组织基础架构 ◼ 信息安全中的分级保护问题 ◼ 信息系统保护的目标 ◼ 信息系统安全的保护目标与所属组织的安全利益是完全一致的, 具体体现为对信息的保护和对系统的保护。信息保护是使所属 组织有直接使用价值(用于交换服务或共享目的)的信息和系 统运行中有关(用于系统管理和运行控制目的)的信息的机密 性、完整性、可用性和可控性不会受到非授权的访问、修改和 破坏。系统保护则是使所属组织用于维持运行和履行职能的信 息技术系统的可靠性、完整性和可用性不受到非授权的修改和 破坏。系统保护的功能有两个:一是为信息保护提供支持,二 是对信息技术系统自身进行保护。 ◼ 信息系统分级保护 ◼ 对信息和信息系统进行分级保护是体现统筹规划、积极防范、 重点突出的信息安全保护原则的重大措施。最有效和科学的方 法是在维护安全、健康、有序的网络运行环境的同时,以分级 分类的方式确保信息和信息系统安全既符合政策规范,又满足 实际需求