【正文】 :17:0823:17Mar238Mar23 1越是無能的人，越喜歡挑剔別人的錯(cuò)兒。 。 本 章 小 結(jié) 109 近年來信息安全管理在國際上有了很大的發(fā)展，我國信息安全管理雖然起步較晚，但我國政府主管部門以及各行各業(yè)已經(jīng)認(rèn)識(shí)到了信息與信息安全的重要性，已開始出臺(tái)一系列相關(guān)政策策略，直接指導(dǎo)、推進(jìn)信息安全的應(yīng)用和發(fā)展。 104 3. 加強(qiáng)人事管理 信息安全威脅大多來自人的因素，因?yàn)橛?jì)算機(jī)是由人來制造和使用，而人是受社會(huì)的影響，所以為了私利，就有可能鋌而走險(xiǎn)。對(duì)潛在的攻擊者起到震懾和警告的作用。 96 BS 7799可以有效地保護(hù)信息資源，保護(hù)信息化進(jìn)行健康、有序、可持續(xù)發(fā)展，目前已發(fā)展成最新的 ISO/IEC 27001:2023和 ISO/IEC 27002:2023標(biāo)準(zhǔn)。風(fēng)險(xiǎn)會(huì)隨著過程的更改、組織的變化、技術(shù)的發(fā)展及新出現(xiàn)的潛在威脅而變化。即本標(biāo)準(zhǔn)適用于組織按照標(biāo)準(zhǔn)要求建立并實(shí)施 ISMS，進(jìn)行有效的信息安全風(fēng)險(xiǎn)管理，確保業(yè)務(wù)可持續(xù)性發(fā)展，另一方面作為尋求信息安全管理體系第三方認(rèn)證的標(biāo)準(zhǔn)。 80 5. 我國相關(guān)標(biāo)準(zhǔn) 我國也制定了與信息安全管理相關(guān)的國家標(biāo)準(zhǔn)，如： SP 80060《信息和信息類型與安全目標(biāo)及風(fēng)險(xiǎn)級(jí)別對(duì)應(yīng)指南》。 71 目前， ISO/IEC 13335的新版本《信息和通信技術(shù)安全管理》 (ISO/IEC 13335 MICTS) MICTS(Management of Information and Communications Technology Security)已取代GMITS部分內(nèi)容，例如：已發(fā)布的 MICTS第 1部分《信息和通信技術(shù)安全管理的概念和模型》與第 2部分《信息和通信技術(shù)安全風(fēng)險(xiǎn)管理技術(shù)》分別取代了 ISO/IEC133351:1996和 ISO/IEC133352:1997。ISO/IEC 27001:2023《信息技術(shù) — 安全技術(shù) — 信息安全管理體系要求》； 67 2023年 9月， BSI發(fā)布了 BS 77992:2023。信息安全管理范圍是由信息系統(tǒng)安全需求決定的具體信息安全控制點(diǎn)，對(duì)這些實(shí)施適當(dāng)?shù)目刂拼胧┛纱_保組織相應(yīng)環(huán)節(jié)的信息安全，從而保證整個(gè)組織的整體信息安全水平。 (4) 意外事件影響。無形資產(chǎn) (例如信譽(yù)、形象等 )。 46 信息系統(tǒng)的安全因素 信息系統(tǒng)的主要安全因素包括資產(chǎn)、威脅、脆弱性、意外事件影響、風(fēng)險(xiǎn)和保護(hù)措施等。安全管理是一種動(dòng)態(tài)反饋過程，貫穿整個(gè)安全管理的生命周期，隨著安全需求和系統(tǒng)脆弱性的時(shí)空分布變化、威脅程度的提高、系統(tǒng)環(huán)境的變化以及對(duì)系統(tǒng)安全認(rèn)識(shí)的深化等，應(yīng)及時(shí)地將現(xiàn)有的安全策略、風(fēng)險(xiǎn)接受程度和保護(hù)措施進(jìn)行復(fù)查、修改、調(diào)整以至提升安全管理等級(jí)，維護(hù)和持續(xù)改進(jìn)信息安全管理體系的有效性。 (5) 選擇與實(shí)施安全措施。由于軌道電路發(fā)碼異常，導(dǎo)致其三次轉(zhuǎn)目視行車模式起車受阻， 35 7分 40秒后才轉(zhuǎn)為目視行車模式以低于 20公里 /小時(shí)的速度向溫州南站緩慢行駛，未能及時(shí)駛出 5829閉塞分區(qū)。顯然，信息安全管理方面我們應(yīng)該做的工作還有很多，做好這項(xiàng)工作也是任重而道遠(yuǎn)。 19 2023年 CNCERT在我國大陸 31個(gè)省市、自治區(qū)、直轄市成立分中心，完成了跨網(wǎng)絡(luò)、跨系統(tǒng)、跨地域的公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急技術(shù)支撐體系建設(shè)，形成了全國性的互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息共享、技術(shù)協(xié)同能力，在協(xié)調(diào)國內(nèi)網(wǎng)絡(luò)信息安全應(yīng)急組織 (CERT)共同處理互聯(lián)網(wǎng)安全事件方面發(fā)揮著重要作用。 12 CSDN官方已確認(rèn)超過 600萬個(gè)注冊(cè)郵箱賬號(hào)和對(duì)應(yīng)明文密碼被黑客盜取并泄露，部分用戶賬號(hào)面臨風(fēng)險(xiǎn)，網(wǎng)站將因此臨時(shí)關(guān)閉用戶登錄，涉及用戶 600萬。因此實(shí)現(xiàn)信息安全是一個(gè)需要完整體系來保證的持續(xù)過程，這也是組織需要信息安全管理的基本出發(fā)點(diǎn)。 4 圖 51 造成計(jì)算機(jī)安全事件的原因分析 5 簡(jiǎn)單歸類，屬于管理方面的原因比重高達(dá) 70%以上，而這些安全問題中的 95%是可以通過科學(xué)的信息安全管理來避免的。這些文件涉及到患者、合作伙伴和醫(yī)院職員的健康和財(cái)政信息，時(shí)間跨度為 15年。計(jì)算機(jī)安全問題解決不好，不僅會(huì)造成巨大的經(jīng)濟(jì)損失，甚至?xí)＜皣业陌踩蜕鐣?huì)的穩(wěn)定。 為了更好地推進(jìn)我國信息安全管理工作，公安部主持制定、國家質(zhì)量技術(shù)監(jiān)督局發(fā)布了中華人民共和國國家標(biāo)準(zhǔn) GB 17895— 1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》，并引進(jìn)了國際上著名的《信息安全管理實(shí)施準(zhǔn)則》(ISO 17799— 2023)、《信息安全管理體系實(shí)施規(guī)范》 (BS 77992— 2023)、《信息技術(shù)安全性評(píng)估準(zhǔn)則》 (ISO/IEC 15408— 1999)、《 SSECMM：系統(tǒng)安全工程能力成熟度模型》等信息安全管理相關(guān)標(biāo)準(zhǔn)。 32 這次事故正如國務(wù)院事故調(diào)查組組長(zhǎng)、安監(jiān)總局局長(zhǎng)王君所說，是一起典型的由于管理上的失誤導(dǎo)致的事故，不是天災(zāi)，而是人禍，是一場(chǎng)人為引起的、完全可以避免的事故。許多對(duì)企業(yè)不滿的員工“黑”掉公司的網(wǎng)站、偷竊并散布客戶敏感資料、為競(jìng)爭(zhēng)對(duì)手提供機(jī)密技術(shù)或商業(yè)數(shù)據(jù)，甚至破壞關(guān)鍵計(jì)算機(jī)系統(tǒng)，使企業(yè)遭受巨大的損失。 ② 主要領(lǐng)導(dǎo)負(fù)責(zé)原則。 ⑨ 分級(jí)保護(hù)原則。 47 圖 52 信息系統(tǒng)的主要安全因素之間的關(guān)系 48 處理類型的威脅 (例如插入假的輸入、隱瞞某個(gè)輸出、電子欺騙、非授權(quán)改變文件、修改程序和更改設(shè)備配置等 )。 52 應(yīng)考慮采用保護(hù)措施實(shí)現(xiàn)下述一種或多種功能：預(yù)防、延緩、阻止、檢測(cè)、限制、修正、恢復(fù)、監(jiān)控以及意識(shí)性提示或強(qiáng)化。 1999年，鑒于最新的信息處理技術(shù)應(yīng)用，特別是網(wǎng)絡(luò)和通訊的發(fā)展情況， BSI對(duì)信息安全管理體系標(biāo)準(zhǔn)進(jìn)行了修訂，即 BS 77991:1999和 BS 77992:1999。 63 總的來說， ISO/IEC 27001:2023是建立信息安全管理體系 (ISMS， Information Security Management System)的一套需求規(guī)范，其中詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，其內(nèi)容非常全面，是一個(gè)真正基于風(fēng)險(xiǎn)的方法。 ISO/IEC 13335只是一個(gè)技術(shù)報(bào)告和指導(dǎo)性文件，屬于 TR(Technical Report)系列，即 ISO/IEC TR 13335，它是作為具體實(shí)踐時(shí)的參考，并不是可依據(jù)的認(rèn)證標(biāo)準(zhǔn)，信息安全體系建設(shè)則需要參考 ISO/IEC 27001:2023和 ISO/IEC 27002:2023等。SP 80014《信息技術(shù)系統(tǒng)安全的公認(rèn)原則與實(shí)踐》 2023 年通過的《聯(lián)邦信息安全管理法案》 (FISMA，The Federal Information Security Management Act)賦予 NIST制定標(biāo)準(zhǔn)和指南的職責(zé)。第一部分主要是給負(fù)責(zé)開發(fā)的人員作為參考文檔使用，從而在他們的機(jī)構(gòu)內(nèi)部實(shí)施和維護(hù)信息安全；第二部分詳細(xì)說明了建立、實(shí)施和維護(hù) ISMS的要求，指出實(shí)施組織需要通過風(fēng)險(xiǎn)評(píng)估來鑒定最適宜的控制對(duì)象，并對(duì)自己的需求采取適當(dāng)?shù)目刂啤Ｔ诒倦A段，應(yīng)將組織劃分成不同的信息安全控制領(lǐng)域，以易于組織對(duì)有不同需求的領(lǐng)域進(jìn)行適當(dāng)?shù)男畔踩芾怼? 94 引入 BS 7799的好處 保證信息安全不是僅靠一些安全設(shè)備，或?qū)で笮畔踩?wù)公司幫助就可以達(dá)到，而是需要全面的綜合管理。在實(shí)施過程中一定要注意， BS 7799里所描述的所有控制措施不可能適合企業(yè)內(nèi)的每一種情況。加強(qiáng)行政管理工作，要求管理機(jī)構(gòu)要把以下幾點(diǎn)做到位，而不流于形式： 安全管理主要基于以下原則： 113 靜夜四無鄰，荒居舊業(yè)貧。 2023年 3月 8日星期三 下午 11時(shí) 17分 8秒 23:17: 1楚塞三湘接，荊門九派通。 下午 11時(shí) 17分 8秒 下午 11時(shí) 17分 23:17: MOMODA POWERPOINT Lorem ipsum dolor sit amet, consectetur adipiscing elit. Fusce id urna blandit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis ut cursus. 感 謝 您 的 下 載 觀 看 專家告訴 。 23:17:0823:17:0823:17Wednesday, March 8, 2023 1不知香積寺，數(shù)里入云峰。 企業(yè)或組織具體選擇 ISMS的范圍模式，取決于組織的實(shí)際需要，一個(gè)組織可以為企業(yè)的不同部分、不同方面定義不同的 ISMS，并且關(guān)鍵在于企業(yè)的重視程度和制度落實(shí)的情況。 106 4. 加強(qiáng)安全管理 在健全管理機(jī)構(gòu)和人事管理制度后，具體的工作就是安全管理。 為了支持審計(jì)工作，要求數(shù)據(jù)庫管理系統(tǒng)具有高可靠性和高完整性，在審計(jì)數(shù)據(jù)的獲取、傳輸、存儲(chǔ)過程中都應(yīng)該注意安全問題。 98 (6) 獲得國際認(rèn)可的認(rèn)證證書，能得到國際上的承認(rèn)。 93 除此之外，在建立信息安全管理體系的過程中，需要按標(biāo)準(zhǔn)要求建立管理的證據(jù)，即信息安全管理體系文件，它一般包括方針、適用性聲明、方針手冊(cè)、程序文件、作業(yè)指導(dǎo)書和記錄等。 89 (2) 確定 ISMS的范圍。其方法是通過風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理引導(dǎo)企業(yè)的信息安全要求，并提供 10大管理控制方面， 36個(gè)管理控制目標(biāo)， 127種安全控制措施的三級(jí)結(jié)構(gòu)供選擇和使用。 77 聯(lián)邦信息處理標(biāo)準(zhǔn) (FIPS， Federal Information Processing Standards)是一套描述文件處理、加密算法和其他信息技術(shù)標(biāo)準(zhǔn) (在非軍用、政府機(jī)構(gòu)和與這些機(jī)構(gòu)合作的政府承包商及供應(yīng)商中應(yīng)用的標(biāo)準(zhǔn) )的標(biāo)準(zhǔn)。 74 截止 2023年底， NIST發(fā)布 SP 800系列共 126篇，例如： ISO 27799:2023《健康信息 — 應(yīng)用 ISO/IEC 27002的醫(yī)療信息安全管理》。 由于 BS 77991采用指導(dǎo)和建議的方式編寫，不適合作為認(rèn)證標(biāo)準(zhǔn)使用。 (6) 保護(hù)措施。破壞類型的威脅 (例如破壞設(shè)備、破壞數(shù)據(jù)文件、引入惡意代碼等 )。 44 ⑧ 選用成熟技術(shù)原則。 在進(jìn)行信息安全管理的過程中，需要遵循的原則有： ① 基于安全需求原則。而今天的計(jì)算機(jī)使用者大都很少受到嚴(yán)格的培訓(xùn)，每天都在以不安全的方式處理著企業(yè)的大量重要信息， 37 而且企業(yè)的貿(mào)易伙伴、咨詢顧問、合作單位等外部人員都以不同的方式使用著企業(yè)的信息系統(tǒng)，他們都對(duì)企業(yè)的信息系統(tǒng)構(gòu)成了潛在的威脅。例如最近國內(nèi)發(fā)生的兩起重大鐵路交通事故：“ ”膠濟(jì)鐵路特別重大交通事故和“ ”甬溫線特別重大鐵路交通事故。 從 20世紀(jì) 90年代初起，為配合信息安全管理的需要，國家、相關(guān)部門、行業(yè)和地方政府相繼制定了《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、《商用密碼管理?xiàng)l例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《計(jì)算機(jī)病毒防治管理辦法》、《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》、《軟件產(chǎn)品管理辦法》、《電信網(wǎng)間互聯(lián)管理暫行規(guī)定》、《電子簽名法》等有關(guān)信息安全管理的法律法規(guī)文件。 15 我國目前的計(jì)算機(jī)安全防護(hù)能力還只處于發(fā)展的初級(jí)階段，許多計(jì)算機(jī)基本上處于不設(shè)防狀態(tài)，從防范意識(shí)、管理措施、核心技術(shù)到安全產(chǎn)品，還遠(yuǎn)未構(gòu)成一個(gè)較成熟的體系。 2023年 8月，一部保存 感資料的無加密手提計(jì)算機(jī)在舊金山國際機(jī)場(chǎng)被人偷去，手提計(jì)算機(jī)中保存有申請(qǐng)者姓名、地址和出生日期， 10 部分有駕駛執(zhí)照、護(hù)照或綠卡號(hào)碼等信息。 信息安全管理相關(guān)概念 3 更何況，對(duì)于組織中人員信息的安全問題、信息安全成本投入和回報(bào)的平衡問題、信息安全目標(biāo)、業(yè)務(wù)連續(xù)性、信息安全相關(guān)法規(guī)符合性等問題，依靠產(chǎn)品和技術(shù)是解決不了的。 8 信息安全管理現(xiàn)狀 在計(jì)算機(jī)時(shí)代到來之前，人們會(huì)將重要的文件資料鎖到文件柜或保險(xiǎn)柜中進(jìn)行保存