ppt第16章 信息安全管理与法律法规-精品课件(PPT)

类型:PPT 文档 上传时间:2020-04-20 14:48 文档页数:共 50 页
第16章 信息安全管理与法律法规-精品课件(PPT).ppt
可下载到电脑 可随意编辑修改 支持电脑打印 下载后无网站水印
版权说明:本文档由用户提供并上传,若内容存在侵权,请举报 投诉
高清阅读
高清版阅读如果不显示内容,请按以下操作

如果您当前使用的不是360极速版浏览器,请使用360极速版访问

使用360极速版浏览器仍不显示内容,请升级flash(三个版都安装)

下载360极速浏览器 安装最新flash插件 (提取码:8k65)

* 若安装flash某个版本时提示失败,不用管它,继续安装下一个,安装重启浏览器

亲,若需阅读全文,请切换到高清版
下载的内容即为高清版所展现的内容

下载需知:

1 该PPT不包含附件(如视频、讲稿),本站只保证下载后内容跟在线阅读一样,不确保内容完整性,请务必认真阅读

2 有的文档阅读时显示本站(www.woc88.com)水印的,下载后是没有本站水印的(仅在线阅读显示),请放心下载

3 除PDF格式下载后需转换成word才能编辑,其他下载后均可以随意编辑修改

4 有的标题标有”最新”、多篇,实质内容并不相符,下载内容以在线阅读为准,请认真阅读全文再下载

5 该文档为会员上传,下载所得收益全部归上传者所有,若您对文档版权有异议,可联系客服认领,既往收入全部归您

如何下载?

1 点击【下载】按钮,注册或登陆账号 2 登陆后再点【下载】按钮,在弹出的窗口选择下载方式,扫码付款
3 付款后关掉下载提示,重新点【下载】按钮 4 在弹出的窗口,点【下载文档到电脑】,便可以在电脑打开编辑了

帮帮文库知识店辅热招
闲置文档上传,实现知识变现
上传
可批量上传
下载
100%下载分成
提现
无金额限制
精品推荐
温馨提示
该文档为付费文档原价 28.8 元, 您可以通过加入不同的VIP获得折扣优惠,VIP级别越高优惠越多。
下载该文档需支付( 超级VIP: 8.8 钻石VIP: 11.8 金卡VIP: 14.8

1、该PPT不包含附件(如视频、讲义),本站只保证下载后内容跟在线阅读一样,不确保内容完整性,请务必认真阅读

2、未认真阅读就下载,下载后发现内容未达到自己要求,本站概不负责。再次申明,下载后的内容跟高清阅读完全一致

3、有的文档阅读时显示本站(www.woc88.com)水印的,下载后是没有本站水印的(仅在线阅读显示),请放心下载

下载文档需先注册或登陆

《第16章 信息安全管理与法律法规-精品课件(PPT).ppt》由会员分享,可在线阅读全文,更多相关《第16章 信息安全管理与法律法规-精品课件(PPT)》请在www.woc88.com上搜索。

1、义方针•()确定风险评估的方法•()识别风险•()评估风险•()识别并评估风险处理的措施•()为处理风险选择控制目标和控制措施•()准备适用性声明版权所有,盗版必纠构建信息安全管理体系步骤•构建信息安全管理体系的关键因素•构建一个成功的信息安全管理体系的关键成功因素在于:•()最高领导层对管理体系的承诺;•()体系与整个组织文化的一致性,与业务营运目标的一致性;•()理清职责权限;•()有效的宣传、培训,提升意识,个人角度来看有职业要求、个人隐私、行为学、心理学等问题。在信息安全的技术防范措施上,可以综合采用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动反击等多种技术与产品来保护信息系统安全,但不应把部署所有安全产品与技术和追求信息安全的零风险为目标,安全成本太高,安全也就失去其意义。组织实现信息安全应采用“适度防范”(Rightsizing)的原则,就是在风险评估的前提下,引入恰当的控制。

2、ity)、完整性(Integrity)和可用性(Availability)的保持。保密性定义为保障信息仅仅为那些被授权使用的人获取。完整性定义为保护信息及其处理方法的准确性和完整性。可用性定义为保障授权使用人在需要时可以获取信息和使用相关的资产。标准对“为什么需要信息安全”时介绍,信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。然而,越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁,诸如计算机病毒、计算机入侵、DOS攻击等手段造成的信息灾难已变得更加普遍,有计划而不易被察觉。组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏,公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。许多信息系统本身就不是按照安全系统的要求来设计的,所以仅依靠技术手段来实现信息安全有其局限。少防范意识,外来人员很容易直接进入生产和工作场所;•组织信息系统管理制度不够健全;•组织信息系统主机房安全存在隐患,如:防火设施存在问题,与危险品仓库同处一幢办公楼等;版权所有,盗版必纠信息安全管理体系的作用•组织信息系统备份设备仍有欠缺;•组织信息系统安全防范技术投入欠缺;•软件知识产权保护欠缺;•计算机房、办公场所等物理防范措施欠缺;•档案、记录等缺少可靠贮存场所;•缺少一旦发生意外时的保证生产经营连续性的措施和计划。版权所有,盗版必纠信息安全管理体系的作用•其实,组织可以参照信息安全管理模型,按照先进的信息安全管理标准BS标准建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,就可以从根本上保证业务的连续性。组织建立、实施与保持信息安全管理体系将会产生如下作用:版权所有,盗版必纠信息安全管理体系的作用•强化员工的信息安全意识,规范组织信息安全行为;•对组织的关键信息资产进行全面系统的保护,维持竞争优势;•在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;•使组织的生意伙伴和客户对组织充满信心,如果通过体系认证,表明体系符合标准,证明组织有能力保障重要信息,提高组织的知名度与信任度;•促使管理层坚持贯彻信息安全保障体系。版权所有,盗版必纠构建信息安全管理体系步骤•建立一个完整的信息安全管理体系步骤•建立一个完整的信息安全管理体系可以采用如下步骤:•()定义范围•()。

3、模式版权所有,盗版必纠信息安全管理模式•PDCA(Plan、Do、Check和Act)是管理学惯用的一个过程模型,最早是由休哈特(WalterShewhart)于世纪年代构想的,后来被戴明(EdwardsDeming)采纳、宣传并运用于持续改善产品质量的过程当中。随着全面质量管理理念的深入发展,PDCA最终得以普及。•作为一种抽象模型,PDCA把相关的资源和活动抽象为过程进行管理,而不是针对单独的管理要素开发单独的管理模式,这样的循环具有广泛的通用性,因而很快从质量管理体系(QMS)延伸到其他各个管理领域,包括环境管理体系(EMS)、职业健康安全管理体系(OHSMS)和信息安全管理体系(ISMS)。版权所有,盗版必纠信息安全管理模式•为了实现ISMS,组织应该在计划(Plan)阶段通过风险评估来了解安全需求,然后根据需求设计解决方案;在实施(Do)阶段将解决方案付诸实现;解决方案是否有效?是否有新的变化?应该在检查(Check)阶段予以监视和审查;一旦发。

4、S、ISOIEC和ISO•信息安全产品测评认证•信息安全相关法律法规•国内信息安全相关法律法规•国外信息安全相关法律法规•思考题版权所有,盗版必纠信息系统安全管理•俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度,相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。版权所有,盗版必纠信息安全管理概述•信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的安全性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。然而,越来越多的组织及其信。全标准与最佳实践过程,考虑到组织对信息安全的各个层面的实际需求,在风险分析的基本上引入恰当控制,建立合理安全管理体系,从而保证组织赖以生存的信息资产的安全性、完整性和可用性;另一方面,这个安全体系统还应当随着组织环境的变化、业务发展和信息技术提高而不断改进,不能一劳永逸,一成不变。因此实现信息安全需要完整的体系来保证。版权所有,盗版必纠BS、ISOIEC和ISO•信息安全管理标准的产生•年月,英国标准协会(BSI)就提出制定信息安全管理标准,并迅速于年月制订完成,且于年重新修改了该标准。BS分为两个部分:BS,《信息安全管理实施规则》;BS《信息安全管理体系规范》;其中BS:于年月通过ISOIECJTC(国际标准化组织和国际电工委员会的联合技术委员会)认可,正式成为国际标准,即ISOIEC:《信息技术信息安全管理实施细则》。这是通过ISO表决最快的一个标准,足见世界各国对该标准的关注和接受程度。而在年月日英国标准化协会又发布了新版本BS:替代了BS:。版权所有,盗版必纠BS、ISOIEC和ISO•BS(ISOIEC:)《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则,主要为组织制定其信息安全策略和进行有效的信息安全控制提供了一个大众化的最佳惯例。BS《信息安全管理体系规范》规定了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。正如该标准的适用范围介绍的一样,本标准适用以下场合:组织按照本标准要求建立并实。

5、进的模式;•每经过一次PDCA循环,都要进行总结,巩固成绩,改进不足,同时提出新的目标,以便进入下一次更高级的循环。版权所有,盗版必纠信息安全管理体系的作用•任何组织,不论它在信息技术方面如何努力以及采纳如何新的信息安全技术,实际上在信息安全管理方面都还存在漏洞,例如:•缺少信息安全管理论坛,安全导向不明确,管理支持不明显;•缺少跨部门的信息安全协调机制;•保护特定资产以及完成特定安全过程的职责还不明确;•雇员信息安全意识薄弱,缺少防范意识,外来人员很容易直接进入生产和工作场所;•组织信息系统管理制度不够健全;•组织信息系统主机房安全存在隐患,如:防火设施存在问题,与危险品仓库同处一幢办公楼等;版权所有,盗版必纠信息安全管理体系的作用•组织信息系统备份设备仍有欠缺;•组织信息系统安全防范技术投入欠缺;•软件知识产权保护欠缺;•计算机房、办公场所等物理防范措施欠缺;•档案、记录等缺少可靠贮存场所;•缺少一旦发生意外时的保证生产经营连续性的措施和计划。版权所。

6、,所以信息安全的实现必须得到管理和程序控制的适当支持。版权所有,盗版必纠第章信息安全管理与法律法规李剑北京邮电大学信息安全中心Email:lijian@buteducn电话:-版权所有,盗版必纠概论•保障信息安全有三个支柱,一个是技术、一个是管理、一个是法律法规。而日常提及信息安全时,多是在技术相关的领域,例如入侵检测技术、防火墙技术、反病毒技术、加密技术、VPN技术等等。这是因为信息安全技术和产品的采纳,能够快速见到直接效益,同时,技术和产品的发展水平也相对较高,此外,技术厂商对市场的培育,不断提升着人们对信息安全技术和产品的认知度。虽然在面对信息安全事件时总是在叹息:“道高一尺、魔高一丈”,在反思自身技术的不足,实质上人们此时忽视的是另外两个层面的保障。本章来讲述信息安全管理与法律法规的相关知识。版权所有,盗版必纠目录•第章信息安全管理与法律法规•信息系统安全管理•信息安全管理概述•信息安全管理模式•信息安全管理体系的作用•构建信息安全管理体系步骤•。

7、措施,使组织的风险降到可以接受的水平,保证组织的业务的连续性和商业价值最大化就达到了安全的目的。版权所有,盗版必纠构建信息安全管理体系步骤•信息安全不是一个孤立静止的概念,信息安全是一个多层面、多因素的、综合的、动态的过程。一方面,如果组织凭着一时的需要,想当然去制定一些控制措施和引入某些技术产品,都难免存在挂一漏万、顾此失彼的问题,使得信息安全这只“木桶”出现若干“短木块”,从而无法提高安全水平。正确的做法是遵循国内外相关信息安全标准与最佳实践过程,考虑到组织对信息安全的各个层面的实际需求,在风险分析的基本上引入恰当控制,建立合理安全管理体系,从而保证组织赖以生存的信息资产的安全性、完整性和可用性;另一方面,这个安全体系统还应当随着组织环境的变化、业务发展和信息技术提高而不断改进,不能一劳永逸,一成不变。因此实现信息安全需要完整的体系来保证。版权所有,盗版必纠BS、ISOIEC和ISO•信息安全管理标准的产生•年月,英国标准协会(BSI)就提出制定信息。义方针•()确定风险评估的方法•()识别风险•()评估风险•()识别并评估风险处理的措施•()为处理风险选择控制目标和控制措施•()准备适用性声明版权所有,盗版必纠构建信息安全管理体系步骤•构建信息安全管理体系的关键因素•构建一个成功的信息安全管理体系的关键成功因素在于:•()最高领导层对管理体系的承诺;•()体系与整个组织文化的一致性,与业务营运目标的一致性;•()理清职责权限;•()有效的宣传、培训,提升意识,个人角度来看有职业要求、个人隐私、行为学、心理学等问题。在信息安全的技术防范措施上,可以综合采用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动反击等多种技术与产品来保护信息系统安全,但不应把部署所有安全产品与技术和追求信息安全的零风险为目标,安全成本太高,安全也就失去其意义。组织实现信息安全应采用“适度防范”(Rightsizing)的原则,就是在风险评估的前提下,引入恰当的控制措施,使组织的风险降到可以接受的水平,保证组织的业务的连续性和商业价值最大化就达到了安全的目的。版权所有,盗版必纠构建信息安全管理体系步骤•信息安全不是一个孤立静止的概念,信息安全是一个多层面、多因素的、综合的、动态的过程。一方面,如果组织凭着一时的需要,想当然去制定一些控制措施和引入某些技术产品,都难免存在挂一漏万、顾此失彼的问题,使得信息安全这只“木桶”出现若干“短木块”,从而无法提高安全水平。正确的做法是遵循国内外相关信息安。

8、全管理标准,并迅速于年月制订完成,且于年重新修改了该标准。BS分为两个部分:BS,《信息安全管理实施规则》;BS《信息安全管理体系规范》;其中BS:于年月通过ISOIECJTC(国际标准化组织和国际电工委员会的联合技术委员会)认可,正式成为国际标准,即ISOIEC:《信息技术信息安全管理实施细则》。这是通过ISO表决最快的一个标准,足见世界各国对该标准的关注和接受程度。而在年月日英国标准化协会又发布了新版本BS:替代了BS:。版权所有,盗版必纠BS、ISOIEC和ISO•BS(ISOIEC:)《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则,主要为组织制定其信息安全策略和进行有效的信息安全控制提供了一个大众化的最佳惯例。BS《信息安全管理体系规范》规定了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。正如该标准的适用范围介绍的一样,本标准适用以下场合:组织按照本标准要求建立并实。

9、从质量管理体系(QMS)延伸到其他各个管理领域,包括环境管理体系(EMS)、职业健康安全管理体系(OHSMS)和信息安全管理体系(ISMS)。版权所有,盗版必纠信息安全管理模式•为了实现ISMS,组织应该在计划(Plan)阶段通过风险评估来了解安全需求,然后根据需求设计解决方案;在实施(Do)阶段将解决方案付诸实现;解决方案是否有效?是否有新的变化?应该在检查(Check)阶段予以监视和审查;一旦发现问题,需要在措施(Act)阶段予以解决,以便改进ISMS。通过这样的过程周期,组织就能将确切的信息安全需求和期望转化为可管理的信息安全体系。版权所有,盗版必纠信息安全管理模式•概括起来,PDCA模型具有以下特点,同时也是信息安全管理工作的特点:•PDCA顺序进行,依靠组织的力量来推动,像车轮一样向前进,周而复始,不断循环,持续改进;•组织中的每个部门,甚至每个人,在履行相关职责时,都是基于PDCA这个过程的,如此一来,对管理问题的解决就成了大环套小环并层层递。信息安全管理体系,进行有效的信息安全风险管理,确保商务可持续性发展;作为寻求信息安全管理体系第三方认证的标准。BS明确提出信息安全管理要求,BS则对应给出了通用的控制方法(措施),因此,BS才是认证的依据,严格的说组织获得的认证是获得了BS的认证,BS为BS的具体实施提供了指南,但标准中的控制目标、控制方式的要求并非信息安全管理的全部,组织可以根据需要考虑另外的控制目标和控制方式。•ISO组织在年对ISO再次修订,BS也于年被采用为ISO:国际标准。版权所有,盗版必纠BS、ISOIEC和ISO•BS:《信息安全管理实施细则》内容介绍•BS:(ISOIEC:)标准在正文前设立了“前言”和“介绍”,其“介绍”中“对什么是信息安全、为什么需要信息安全、如何确定安全需要、评估安全风险、选择控制措施、信息安全起点、关键的成功因素、制定自己的准则”等内容作了说明,标准中介绍,信息安全(Informationsecurity)是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。保密性定义为保障信息仅仅为那些被授权使用的人获取。完整性定义为保护信息及其处理方法的准确性和完整性。可用性定义为保障授权使用人在需要时可以获取信息和使用相关的资产。标准对“为什么需要信息安全”时介绍,信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业。

10、,盗版必纠信息安全管理体系的作用•其实,组织可以参照信息安全管理模型,按照先进的信息安全管理标准BS标准建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,就可以从根本上保证业务的连续性。组织建立、实施与保持信息安全管理体系将会产生如下作用:版权所有,盗版必纠信息安全管理体系的作用•强化员工的信息安全意识,规范组织信息安全行为;•对组织的关键信息资产进行全面系统的保护,维持竞争优势;•在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;•使组织的生意伙伴和客户对组织充满信心,如果通过体系认证,表明体系符合标准,证明组织有能力保障重要信息,提高组织的知名度与信任度;•促使管理层坚持贯彻信息安全保障体系。版权所有,盗版必纠构建信息安全管理体系步骤•建立一个完整的信息安全管理体系步骤•建立一个完整的信息安全管理体系可以采用如下步骤:•()定义范围•()。

11、息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁,诸如计算机病毒、计算机入侵、Dos攻击、黑客等手段造成的信息灾难已变得更加普遍,有计划而不易被察觉。组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏,公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。许多信息系统本身就不是按照安全系统的要求来设计的,仅依靠技术手段来实现信息安全有其局限性,所以信息安全的实现必须得到信息安全管理的支持。确定应采取哪些控制方式则需要周密计划,并注意细节。信息安全管理至少需要组织中的所有雇员的参与,此外还需要供应商、顾客或股东的参与和信息安全的专家建议。在信息系统设计阶段就将安全要求和控制一体化考虑,则成本会更低、效率会更高。版权所有,盗版必纠信息安全管理模式•在信息安全管理方面,BS标准提供了指导性建议,即基于PDCA(Plan、Do、Check和Act,即戴明环)的持续改进的管理模式,如图所示。版权所有,盗版必纠信息安全管 。

12、信息安全管理体系,进行有效的信息安全风险管理,确保商务可持续性发展;作为寻求信息安全管理体系第三方认证的标准。BS明确提出信息安全管理要求,BS则对应给出了通用的控制方法(措施),因此,BS才是认证的依据,严格的说组织获得的认证是获得了BS的认证,BS为BS的具体实施提供了指南,但标准中的控制目标、控制方式的要求并非信息安全管理的全部,组织可以根据需要考虑另外的控制目标和控制方式。•ISO组织在年对ISO再次修订,BS也于年被采用为ISO:国际标准。版权所有,盗版必纠BS、ISOIEC和ISO•BS:《信息安全管理实施细则》内容介绍•BS:(ISOIEC:)标准在正文前设立了“前言”和“介绍”,其“介绍”中“对什么是信息安全、为什么需要信息安全、如何确定安全需要、评估安全风险、选择控制措施、信息安全起点、关键的成功因素、制定自己的准则”等内容作了说明,标准中介绍,信息安全(Informationsecurity)是指信息的保密性(Confidential形象都是至关重要的。然而,越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁,诸如计算机病毒、计算机入侵、DOS攻击等手段造成的信息灾难已变得更加普遍,有计划而不易被察觉。组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏,公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。许多信息系统本身就不是按照安全系统的要求来设计的,所以仅依靠技术手段来实现信息安全有其局限性,所以信息安全的实现必须得到管理和程序控制的适当支持。版权所有,盗版必纠第章信息安全管理与法律法规李剑北京邮电大学信息安全中心Email:lijian@buteducn电话:-版权所有,盗版必纠概论•保障信息安全有三个支柱,一个是技术、一个是管理、一个是法律法规。而日常提及信息安全时,多是在技术相关的领域,例如入侵检测技术、防火墙技术、反病毒技术、加密技术、VPN技术等等。这是因为信息安全技术和产品的采纳,能够快速见到直接效益,同时,技术和产品的发展水平也相对较高,此外,技术厂商对市场的培育,不断提升着人们对信息安全技术和产品的认知度。虽然在面对信息安全事件时总是在叹息:“道高一尺、魔高一丈”,在反思自身技术的不足,实质上人们此时忽视的是另外两个层面的保障。本章来讲述信息安全管理与法律法规的相关知识。版权所有,盗版必纠目录•第章信息安全管理与法律法规•信息系统安全管理•信息安全管理概述•信息安全管理模式•信息安全管理体系的作用•构建信息安全管理体系步骤•。

内容太模糊?
点此阅读高清版
阅读请将浏览器窗口最大化!
高清版需电脑安装最新版flash阅读器

如果您当前使用的不是360极速版浏览器,请使用360极速版访问

使用360极速版浏览器仍不显示内容,请升级flash(三个版都安装)

下载360极速浏览器 安装最新flash插件

* 若安装flash某个版本时提示失败,不用管它,继续安装下一个。