【正文】 基于信息系統(tǒng)的各個(gè)層次，可相應(yīng)在如下層次中開(kāi)展信息安全管理：167。 機(jī)構(gòu)中的信息安全相關(guān)人員能夠在有效的組織結(jié)構(gòu)下展開(kāi)工作。 保障有足夠的人力資源從事信息安全保障工作；167。2/2/2023 32信息 安全管理信息安全人員和組織167。但從另一個(gè)方面來(lái)講，絕對(duì)的安全是無(wú)法實(shí)現(xiàn)的，因此，需要考慮資金投入和經(jīng)濟(jì)效益之間的平衡。方針和策略是信息安全保障工作的整體性指導(dǎo)和要求。 信息安全方針和策略 主要包括 對(duì)信息安全進(jìn)行總體性指導(dǎo)和規(guī)劃的管理過(guò)程。計(jì) 劃性 信息安全保障工作能 夠 有 計(jì) 劃、分 階 段的展開(kāi)，確保信息安全投 資 能夠產(chǎn) 生最大效益。執(zhí) 行落 實(shí) 性 通 過(guò)檢查 、 監(jiān) 督、 審計(jì) 、稽核等手段促 進(jìn) 信息安全保障工作的落 實(shí) 。流程 規(guī) 范性 管理是 過(guò) 程性的工作。如果新技術(shù)勢(shì)在必行，應(yīng)該首先局部試點(diǎn)，然后逐步推廣，減少或避免可能出現(xiàn)的損失。2/2/2023 22信息 安全管理最小特權(quán)策略167。2/2/2023 20信息 安全管理控制社會(huì)影響原則167。2/2/2023 19信息 安全管理系統(tǒng)、動(dòng)態(tài)原則167。2/2/2023 18信息 安全管理全面防范、突出重點(diǎn)的原則167。 信息安全保障在很大程度上受制于人為的因素。2/2/2023 14信息 安全管理信息安全保證工作事關(guān)大局，企業(yè)、組織各級(jí)領(lǐng)導(dǎo)應(yīng)該把信息安全列為其最重要的工作內(nèi)容之一，并負(fù)責(zé)成提高、加強(qiáng)內(nèi)部人員的安全意識(shí)，組織有效的技術(shù)和管理隊(duì)伍，調(diào)動(dòng)優(yōu)化配置必要的資源和經(jīng)費(fèi)，協(xié)調(diào)信息安全管理工作與各部門(mén)工作的關(guān)系，確保信息安全保障工作的落實(shí)和效果。167。 安全管理體系是安全技術(shù)體系真正有效發(fā)揮保護(hù)作用的重要保障，安全管理體系的涉及立足于總體安全策略，并與安全技術(shù)體系相互配合，增強(qiáng)技術(shù)防護(hù)體系的效率和效果，同時(shí)，也彌補(bǔ)當(dāng)前技術(shù)無(wú)法完全解決的安全缺陷。 定義： 信息安全管理體系（ Information Security Management System， ISMS）是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和手段所構(gòu)成的體系；信息安全管理體系是信息安全管理活動(dòng)的直接結(jié)果，表示為方針、原則、目標(biāo)、方法、計(jì)劃、活動(dòng)、程序、過(guò)程和資源的集合。2/2/2023 7信息 安全管理167。 每年都有上千家政府網(wǎng)站被攻擊167。 日益增長(zhǎng)的安全威脅167。 信息安全管理體系167。 信息安全管理標(biāo)準(zhǔn)167。 攻擊技術(shù) 越來(lái)越復(fù)雜167。 安全影響167。 信息安全管理覆蓋的內(nèi)容非常廣泛，涉及到信息和網(wǎng)絡(luò)系統(tǒng)的各個(gè)層面，以及生命周期的各個(gè)階段。信息安全管理體系定義2/2/2023 10信息 安全管理建立信息安全管理體系的意義167。2/2/2023 11信息 安全管理1. 強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為；2. 促使管理層貫徹信息安全保障體系；3. 對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競(jìng)爭(zhēng)優(yōu)勢(shì)；4. 在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開(kāi)展并將損失降到最低程度；5. 使組織的生意伙伴和客戶對(duì)組織充滿信心；6. 如果通過(guò)體系認(rèn)證，表明體系符合標(biāo)準(zhǔn)，證明組織有能力保障重要信息，可以提高組織的知名度與信任度。 ISO27001非常強(qiáng)調(diào)信息安全管理過(guò)程中文件化的工作， ISMS的文件體系應(yīng)該包括安全策略、適用性聲明（選擇和未選擇的控制目標(biāo)和控制措施）、實(shí)施安全控制所需的程序文件、 ISMS管理和操作程序，以及組織圍繞 ISMS開(kāi)展的所有活動(dòng)的證明材料。主要領(lǐng)導(dǎo)負(fù)責(zé)原則2/2/2023 15信息 安全管理規(guī)范定級(jí)原則167。加強(qiáng)信息安全教育、培訓(xùn)和管理，強(qiáng)化安全意識(shí)和法制觀念，提升職業(yè)道德，掌握安全技術(shù)，確保措施落實(shí)是做好信息安全管理工作的重要保證。 全面防范是保障信息系統(tǒng)安全的關(guān)鍵。 信息安全管理工作的系統(tǒng)特征突出。 對(duì)安全事件的處理應(yīng)有授權(quán)者適時(shí)披露并發(fā)布準(zhǔn)確一致的有關(guān)信息，避免帶來(lái)不良的社會(huì)影響。 任何實(shí)體（如用戶、管理員、進(jìn)程、應(yīng)用或系統(tǒng)）僅享有該實(shí)體需要完成其任務(wù)所必需的特權(quán)，不應(yīng)享有任何多余的特權(quán)。2/2/2023 24信息 安全管理普遍參與策略167。要確保信息安全工作的相關(guān) 過(guò) 程具有 規(guī) 范性。變 更可控性 信息系 統(tǒng) 中的任何 變 更需要有全程的 監(jiān) 控管理。2/2/2023 26信息 安全管理信息安全管理內(nèi)容流程規(guī)范性整體協(xié)調(diào)性執(zhí)行落實(shí)性變更可控性責(zé)任性持續(xù)改進(jìn)型計(jì)劃性合規(guī)性信息安全管理內(nèi)容2/2/2023 27信息 安全管理通過(guò)信息安全管理過(guò)程完成信息安全管理方面的要求。這些過(guò)程包括：安全方針和策略、資金投入管理和信息安全規(guī)劃等。安全方針和策略需要有相應(yīng)的制定、審核和改進(jìn)過(guò)程。2/2/2023 31信息 安全管理信息安全規(guī)劃167。 人員和組織管理是信息安全管理的基本過(guò)程。 確保人員有明確的角色和責(zé)任；167。2/2/2023 34信息 安全管理基于信息系統(tǒng)各個(gè)層次的安全管理167。 環(huán)境和設(shè)備安全、網(wǎng)絡(luò)和通信安全、主機(jī)和系統(tǒng)安全、應(yīng)用和業(yè)務(wù)安全、數(shù)據(jù)安全。另外，文檔和介質(zhì)是存儲(chǔ)數(shù)據(jù)的特殊載體，因此，也應(yīng)當(dāng)對(duì)其進(jìn)行適度的管理。網(wǎng)絡(luò)和通信安全，特別是全程全網(wǎng)的安全是信息安全保障工作的關(guān)鍵環(huán)節(jié)。2/2/2023 38信息 安全管理應(yīng)用和業(yè)務(wù)安全167。 數(shù)據(jù)安全在信息安全中占有非常重要的地位。信息安全保障也涉及到信息系統(tǒng)生命周期的各個(gè)階段。 系統(tǒng)的運(yùn)行和維護(hù)階段。 同步運(yùn)行2/2/2023 42信息 安全管理項(xiàng)目工程安全管理167。 一個(gè)信息系統(tǒng)及其信息安全系統(tǒng)建設(shè)完成后，其安全工作并沒(méi)有結(jié)束。在信息安全管理中，這兩方面管理的作用尤為突出。 變更管理 ：人員、設(shè)備、流程等各個(gè)方面的變化，都可能導(dǎo)致信息安全風(fēng)險(xiǎn)的變化，因此，要對(duì)信息系統(tǒng)中重要的變更進(jìn)行管理。只有將各種管理辦法、管理過(guò)程、管理要求等通過(guò)文檔的形式明確下來(lái)，才能保證信息安全管理工作進(jìn)一步得到落實(shí)和貫徹。因此，對(duì)于新技術(shù)和新方法要不斷跟蹤，并有計(jì)劃地將新技術(shù)和新方法應(yīng)用到業(yè)務(wù)系統(tǒng)中。2/2/2023 47信息 安全管理風(fēng)險(xiǎn)管理167。 資產(chǎn)鑒別、分類和評(píng)價(jià)167。167。它是一個(gè) 全盤(pán)的管理過(guò)程 ，重在識(shí)別潛在的影響，建立整體的恢復(fù)能力和順應(yīng)能力，在危機(jī)或?yàn)?zāi)害發(fā)生時(shí)保護(hù)信息系統(tǒng)所有者的聲譽(yù)和利益。 需要考慮的審核內(nèi)容包括： 法律和法規(guī)、內(nèi)部的方針和制度、技術(shù)標(biāo)準(zhǔn)以及其他需要遵循的各種范圍要求。 人員與組織管理167。 應(yīng)用于業(yè)務(wù)管理167。 1業(yè)務(wù)連續(xù)性管理167。 信息安全建設(shè)不是避免風(fēng)險(xiǎn)的過(guò)程，而是管理風(fēng)險(xiǎn)的過(guò)程。 建立組織機(jī)構(gòu)，明確人員崗位職責(zé)，提供安全教育和培訓(xùn)，對(duì)第三方人員進(jìn)行管理，協(xié)調(diào)信息安全監(jiān)管部門(mén)與行內(nèi)其他部門(mén)之間的關(guān)系，保證信息安全工作的人力資源要求，避免由于人員和組織上的錯(cuò)誤產(chǎn)生信息安全風(fēng)險(xiǎn)。2/2/2023 56信息 安全管理網(wǎng)絡(luò)與通信安全167。2/2/2023 58信息 安全管理應(yīng)用與業(yè)務(wù)管理167。2/2/2023 60信息 安全管理項(xiàng)目工程管理167。2/2/2023 62信息 安全管理業(yè)務(wù)連續(xù)性管理167。2/2/2023 64信息 安全管理12項(xiàng)信息安全管理類的作用關(guān)系167。2/2/2023 66信息 安全管理12項(xiàng)信息安全管理類的作用關(guān)系167。 根據(jù)方針與策略，由人員與組織實(shí)施信息安全管理工作。這兩個(gè)信息安全管理類體現(xiàn)了信息系統(tǒng)和信息安全工作的生命周期特性。 BS 7799概述：167。 第一部分：被國(guó)際標(biāo)準(zhǔn)化組織 ISO采納成為 ISO/IEC 17799:2023標(biāo)準(zhǔn)的部分，是信息安全管理實(shí)施細(xì)則（ Code of Practice for Information Security Management），主要供負(fù)責(zé)信息安全系統(tǒng)開(kāi)發(fā)的人員參考使用，其主要內(nèi)容分為 11方面，提供了 133項(xiàng)安全控制措施（最佳實(shí)踐）。 BS 7799最初由英國(guó)貿(mào)工部立項(xiàng)，是業(yè)界、政府和商業(yè)機(jī)構(gòu)共同倡導(dǎo)的，旨在開(kāi)發(fā)一套可供開(kāi)發(fā)、實(shí)施和衡量有效信息安全管理實(shí)踐的通用框架。 1999年 4月， BS 7799的兩個(gè)部分被修訂，形成了完整的 BS 77991:1999167。 2023年 6月， ISO/IEC 17799:2023經(jīng)過(guò)改版，形成了新的 ISO/IEC 17799:2023,同年 10月推出了 ISO/IEC 27001:2023167。 *BS77992:《信息安全管理體系規(guī)范》 詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，指出實(shí)施組織需要通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)鑒定最適宜的控制對(duì)象，并根據(jù)自己的需求采取適當(dāng)?shù)陌踩刂啤?組織安全 ：包括在組織內(nèi)建立發(fā)起和控制信息安全實(shí)施的管理框架；維護(hù)被外部伙伴訪問(wèn)、處理和管理的組織的信息，處理設(shè)施和信息資產(chǎn)的安全。BS77991(ISO/IEC17799)2/2/2023 76信息 安全管理167。 信息系統(tǒng)獲取、開(kāi)發(fā)與維護(hù) ：安全需求分析，安全機(jī)制設(shè)計(jì)（應(yīng)用系統(tǒng)安全，密碼控制，系統(tǒng)文件安全），開(kāi)發(fā)和支持過(guò)程的安全控制167。 符合性管理 ：符合法律法規(guī)，符合安全策略等。 133項(xiàng)控制措施未必全面，可以根據(jù)實(shí)際情況進(jìn)行增補(bǔ)。BS77991(ISO/IEC17799)2/2/2023 82信息 安全管理167。 BSI提供依據(jù) BS77992所建立 ISMS的認(rèn)證BS77992/ISO 270012/2/2023 83信息 安全管理 建立 ISMS（ PLAN）167。 準(zhǔn)備適用性說(shuō)明167。 實(shí)施安全意識(shí)和安全教育培訓(xùn)167。 定期進(jìn)行 ISMS內(nèi)部審計(jì)167。 確保改進(jìn)成果滿足預(yù)期目標(biāo)BS77992/ISO 270012/2/2023 87信息 安全管理強(qiáng)調(diào)文檔化管理的重要作用，文檔體系包括167。 ISMS管理和操作規(guī)程167。 明確管理職責(zé)167。 （ 2） CC、 ISO/IEC1540 GB/T18336是同一個(gè)標(biāo)準(zhǔn)。 （ 2）對(duì)信息安全風(fēng)險(xiǎn)及其構(gòu)成要素間關(guān)系的描述非常具體，對(duì)風(fēng)險(xiǎn)評(píng)估方法過(guò)程的描述很清晰，可用來(lái)指導(dǎo)實(shí)施。2/2/2023 93信息 安全管理 NIST SP 800系列 美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)委員會(huì)（ NIST）發(fā)布的Special Publication 800文檔是一系列針對(duì)信息安全技術(shù)和管理領(lǐng)域的實(shí)踐參考指南。 一、信息安全策略概述167。 五、信息安全策略的執(zhí)行和維護(hù)2/2/2023 96信息 安全管理安全策略包括：? 總體方針 ，指導(dǎo)性的戰(zhàn)略綱領(lǐng)文件，闡明了企業(yè)對(duì)于信息安全的看法和立場(chǎng)、信息安全的目標(biāo)和戰(zhàn)略、信息安全所涉及的范圍、管理組織構(gòu)架和責(zé)任認(rèn)定、以及對(duì)于信息資產(chǎn)的管理辦法等內(nèi)容? 針對(duì)特定問(wèn)題的具體策略，闡述了企業(yè)對(duì)于特定安全問(wèn)題的聲明、立場(chǎng)、適用辦法、強(qiáng)制要求、角色、責(zé)任認(rèn)定等內(nèi)容? 針對(duì)特定系統(tǒng)的具體策略，更為具體和細(xì)化，闡明了特定系統(tǒng)與信息安全有關(guān)的使用和維護(hù)規(guī)則等內(nèi)容2/2/2023 97信息 安全管理安全策略的特點(diǎn)：? 力求全面和明確，不必過(guò)于具體和深入? 需要一個(gè)逐漸完善的過(guò)程，不可能一蹴而就? 應(yīng)當(dāng)保持適當(dāng)?shù)姆€(wěn)定性2/2/2023 98信息 安全管理信息安全策略定義 信息安全策略 是一組經(jīng)過(guò)高級(jí)管理層批準(zhǔn)，正式發(fā)布和實(shí)施的綱領(lǐng)性文件，描述了一個(gè)企業(yè)、組織的高層安全目標(biāo)，它描述應(yīng)該做什么，而不是如何去做，一份信息安全策略就像是一份工程管理計(jì)劃書(shū)，這意味著它隱藏了執(zhí)行的細(xì)節(jié)。遵循安全策略的信息系統(tǒng)建設(shè)和管理將會(huì)形成一個(gè)統(tǒng)一的有機(jī)整體，使得系統(tǒng)具有更好的安全性。 保險(xiǎn)公司不愿向沒(méi)有信息安全策略的企業(yè)投保；167。 發(fā)生安全事故制定安全策略時(shí)，不要把重點(diǎn)放在攻破的地方，要從全局考慮安全問(wèn)題；167。2/2/2023 102信息 安全管理信息安全策略開(kāi)發(fā)流程167。 制定信息安全策略的原則：167。 用戶對(duì)自身面臨的威脅進(jìn)行風(fēng)險(xiǎn)評(píng)估，決定其所需的安全服務(wù)種類，選擇相應(yīng)的安全機(jī)制，然后集成先進(jìn)的安全技術(shù)，形成一個(gè)全方位的安全系統(tǒng)。 面對(duì)日趨嚴(yán)重的網(wǎng)絡(luò)犯罪，必須建立與網(wǎng)絡(luò)安全相關(guān)的法律、法規(guī)，使非法分子不會(huì)輕易發(fā)動(dòng)攻擊。 針對(duì)特定問(wèn)題的具體策略167。 闡述了企業(yè)對(duì)于特定安全問(wèn)題的聲明、立場(chǎng)、適用辦法、強(qiáng)制要求、角色、責(zé)任的認(rèn)定等內(nèi)容，例如：針對(duì) Inter訪問(wèn)操作、計(jì)算機(jī)和網(wǎng)絡(luò)病毒防治、口令的使用和管理等特定問(wèn)題，制定用針對(duì)性的安全策略。 物理安全策略167。 病毒防護(hù)策略167。 事故處理、緊急響應(yīng)策略167。 1系統(tǒng)變更控制策略167。2/2/2023 114信息 安全管理網(wǎng)絡(luò)安全策略167。2/2/2023 116信息 安全管理數(shù)據(jù)備份策略167。2/2/2023 118信息 安全管理系統(tǒng)安全策略2/2/2023 119信息 安全管理身份認(rèn)證及授權(quán)策略167。2/2/2023 121信息 安全管理事故處理、緊急響應(yīng)策略167。2/2/2023 123信息 安全管理口令管理策略167。2/2/2023 125信息 安全管理系統(tǒng)變更控制策略167。2/2/2023 127信息 安全管理復(fù)查審計(jì)策略167。 清晰，無(wú)須借助過(guò)多的需求文檔描述；167。 可接受的加密控制；167。 應(yīng)用程序