信息安全管理重点

admin管理员组

文章数量:1530989

2024年5月18日发(作者：)

====Word行业资料分享--可编辑版本--双击可删====

1国家宏观信息安全管理方面,主要有以下几方面问题：

（1）法律法规问题。健全的信息安全法律法规体系是确保国家信息安全的基础,是信息安全的第一道防

线.

（2）管理问题。（包括三个层次：组织建设、制度建设和人员意识）

（3）国家信息基础设施建设问题。目前,中国信息基础设施几乎完全是建立在外国的核心信息技术之上

的,导致我国在网络时代没有

制网权

.2005年度经济人物之首:

中国芯

创立者

邓中翰

.十五期间,国家863

计划和科技攻关的重要项目:信息安全与电子政务,金融信息化两个信息安全研究项目.

2微观信息安全管理方面存在的主要问题为：

（1）缺乏信息安全意识与明确的信息安全方针。

（2）重视安全技术，轻视安全管理。信息安全大约70%以上的问题是由管理原因造成的. （3）安全

管理缺乏系统管理的思想。

3信息安全的基本概念(重点CIA)

信息安全（Information security)是指信息的保密性（Confidentiality)、完整性（Integrity)和可用性

（Availability)的保持。

C:信息保密性是保障信息仅仅为那些被授权使用的人获取,它因信息被允许访问对象的多少而不同.

I:信息完整性是指为保护信息及其处理方法的准确性和完整性,一是指信息在利用,传输,储存等过程中

不被篡改,丢失,缺损等,另外是指信息处理方法的正确性.

A:信息可用性是指信息及相关信息资产在授权人需要时可立即获得.系统硬件,软件安全,可读性保障

等

国家组织持续发展的需要

个人隐私与财产的需要

5如何确定组织信息安全的要求：a.法律法规与合同要求b.风险评估的结果(保护程度与控制方式)c.组织

的原则、目标与要求

6信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动，关于信息安全风险的指导和

控制活动通常包括制定信息安全方针、风险评估、控制目标与方式选择、风险控制、安全保证等。信

息安全管理实际上是风险管理的过程,管理的基础是风险的识别与评估。

7 图1-1信息安全管理PDCA持续改进模式：.doc

系统的信息安全管理原则：

（1） 制订信息安全方针原则：制定信息安全方针为信息安全管理提供导向和支持

（2） 风险评估原则：控制目标与控制方式的选择建立在风险评估的基础之上

（3） 费用与风险平衡原则：将风险降至组织可接受的水平，费用太高不接受

（4） 预防为主原则：信息安全控制应实行预防为主，做到防患于未然

（5） 商务持续性原则：即信息安全问题一旦发生，我们应能从故障与灾难中恢复商务运作，不至

于发生瘫痪，同时应尽力减少故障与灾难对关键商务过程的影响

（6） 动态管理原则：即对风险实施动态管理

（7） 全员参与的原则：

（8） PDCA原则：遵循管理的一般循环模式--Plan(策划)---Do(执行)---Check(检查)---Action(措施)

的持续改进模式。

PDCA模式，如图

对方针与信息

方

针

信息安全方针

安全管理体系 根据风险评估、法律法规

进行评价， 要求、组织商务运作自

措施 策划

源-于-网-络-收-集

====Word行业资料分享--可编辑版本--双击可删====

寻找改进 身要求确定控制目

的机会， 标与控制方式商务

采取措施 持续性计划

持续发展

进行有关方针、 实施组织所

程序、标准与法律 选择的控制

法规的符合性检查， 与控制方式

对存在的问题采取措施

予以改进

因此，系统的信息安全管理是动态的、系统的、全员参与的、制度化的、预防为主的信息安全管理

方式，用最低的成本，达到可接受的信息安全水平，从根本上保证业务的连续性，它完全不同于传统

的信息安全管理模式：静态的、局部的、少数人负责的、突击式的、事后纠正式的，不能从根本上避

免、降低各类风险，也不能降低信息安全故障导致的综合损失，商务可能因此瘫痪，不能持续。

8 威胁(Threat),是指可能对资产或组织造成损害的事故的潜在原因。如病毒和黑客攻击,小偷偷盗等.

9薄弱点(Vulnerability),是指资产或资产组中能被威胁利用的弱点。如员工缺乏安全意识,口令简短易猜,

操作系统本身有安全漏洞等.

威胁是利用薄弱点而对资产或组织造成损害的.如无懈可击,有机可乘.

10风险(Risk),即特定威胁事件发生的可能性与后果的结合。特定的威胁利用资产的一种或一组薄弱点,

导致资产的丢失或损害的潜在可能性及其影响大小.

经济代理人面对的

随机

状态可以用某种具体的

概率

值表示.这里的风险只表示结果的不确定性及发生

的可能性大小.

11 风险评估(Risk Assessment),对信息和信息处理设施的威胁、影响(Impact)和薄弱点及三者发生的可能

性评估.它是确认安全风险及其大小的过程,即利用适当的风险评估工具,确定资产风险等级和优先控制

顺序,所以,风险评估也称为风险分析

12 风险管理（Risk Management),以可接受的费用识别、控制、降低或消除可能影响信息系统安全风

险的过程。

13

风 险 管 理

风险评估 风险控制 降低风险

a.安全控制(Security Control)，降低安全风险的惯例、程序或机制。

b.剩余风险(Residual Risk)，实施安全控制后，剩余的安全风险。

c.适用性声明(Applicability Statement)，适用于组织需要的目标和控制的评述。

14、术语概念之间的关系

威 胁 薄弱点

利用

防范 导致 导致 暴露

源-于-网-络-收-集

安全控制

降低

安全风险 资产

本文标签： 风险管理信息控制组织