正文內(nèi)容

o第十五周計(jì)算機(jī)安全策略與評(píng)估(第17-18章)安全服務(wù)實(shí)驗(yàn)4(編輯修改稿)

2025-01-30 04:19 本頁(yè)面

　

【文章內(nèi)容簡(jiǎn)介】術(shù)符合性評(píng)審，確保體系按照組織的安全方針及標(biāo)準(zhǔn)執(zhí)行；系統(tǒng)審核考慮因素，使效果最大化，并使系統(tǒng)審核過程的影響最小化。 ISMS Specifications ISMS Standards標(biāo)準(zhǔn)BS 7799 Part 2ISMS Guidelines (risk assessment, selection of controls) GMITS/MICTS ISO/IEC 18044 Incident handling PD 3000 series on risk and selection of controlsISMS Control Catalogues ISO/IEC 17799Management system certification and accreditation standards (auditing process, procedures etc) ISO Guide 62 EA7/03 EN45013EN45012 ISO19011ISO9001National schemes and standardsISMS StandardsBS 77992:2023PLANDOACTCHECKPDCA ModelDesign ISMSImplement use ISMSMonitor review ISMSMaintain improve ISMSRisk based continual improvement framework for information security management PDCA循環(huán)的概念最早是由美國(guó)質(zhì)量管理專家戴明提出來的，所以又稱為 “戴明環(huán) ”。ＰＤＣＡ循環(huán)即計(jì)劃（Ｐｌａｎ）、執(zhí)行（Ｄｏ）、檢查（Ｃｈｅｃｋ）和處理（Ａｃｔｉｏｎ），它是一個(gè)標(biāo)準(zhǔn)的管理工作程序，也是進(jìn)行質(zhì)量管理的四個(gè)步驟。?Ｐ（計(jì)劃）：即根據(jù)用戶的要求，制定相應(yīng)的技術(shù)經(jīng)濟(jì)指標(biāo)、質(zhì)量目標(biāo)，以及實(shí)現(xiàn)這些目標(biāo)的具體措施和方法。?Ｄ（執(zhí)行）：按照所制定的計(jì)劃和措施付諸實(shí)施。?Ｃ（檢查）：對(duì)照計(jì)劃，檢查執(zhí)行的情況和效果，及時(shí)發(fā)現(xiàn)問題。?Ａ（處理）：根據(jù)檢查結(jié)果采取措施，鞏固成績(jī)，吸取教訓(xùn)，防止重蹈覆轍，并將未解決的問題轉(zhuǎn)到下一次ＰＤＣＡ循環(huán)中去。ＰＤＣＡ循環(huán)有兩個(gè)特點(diǎn)：① 大環(huán)套小環(huán)，ＰＤＣＡ能應(yīng)用于企業(yè)的各個(gè)方面和各個(gè)層次，整個(gè)企業(yè)的質(zhì)量管理運(yùn)作是一個(gè)大的ＰＤＣＡ循環(huán)，而其中的某一車間或部門乃至個(gè)人的行動(dòng)也按ＰＤＣＡ循環(huán)進(jìn)行，形成大環(huán)套小環(huán)的綜合循環(huán)系統(tǒng)，相互推動(dòng)。② 螺旋式上升，每次ＰＤＣＡ循環(huán)都不是在原地踏步，而是每次循環(huán)都能解決一些問題，下次循環(huán)就在一個(gè)較高的層面上進(jìn)一步解決新的問題。所以，它在不斷循環(huán)的同時(shí)，還在不斷上升，呈螺旋上升狀態(tài)。52 第一步制訂信息安全方針BS77992對(duì) ISMS的要求：組織應(yīng)定義信息安全方針。? 信息安全是指保證信息的保密性、完整性和可用性不受破壞。建立信息安全管理體系的目標(biāo)是對(duì)公司的信息安全進(jìn)行全面管理。? 信息安全方針是由組織的最高管理者正式制訂和發(fā)布的該組織的信息安全的目標(biāo)和方向，用于指導(dǎo)信息安全管理體系的建立和實(shí)施過程。252。要經(jīng)最高管理者批準(zhǔn)和發(fā)布252。體現(xiàn)了最高管理者對(duì)信息安全的承諾與支持252。要傳達(dá)給組織內(nèi)所有的員工252。要定期和適時(shí)進(jìn)行評(píng)審? 目的和意義252。為組織提供了關(guān)注的焦點(diǎn)，指明了方向，確定了目標(biāo)；252。確保信息安全管理體系被充分理解和貫徹實(shí)施；252。統(tǒng)領(lǐng)整個(gè)信息安全管理體系。建立 ISMS框架53 第一步制訂信息安全方針信息安全方針的內(nèi)容包括但不限于：? 組織對(duì)信息安全的定義? 信息安全總體目標(biāo)和范圍? 最高管理者對(duì)信息安全的承諾與支持的聲明? 符合相關(guān)標(biāo)準(zhǔn)、法律法規(guī)、和其它要求的聲明? 對(duì)信息安全管理的總體責(zé)任和具體責(zé)任的定義? 相關(guān)支持文件注意事項(xiàng)? 簡(jiǎn)單明了? 易于理解? 可實(shí)施? 避免太具體建立 ISMS框架54 第二步確定 ISMS范圍BS77992對(duì) ISMS的要求：? 組織應(yīng)定義信息安全管理體系的范圍，范圍的邊界應(yīng)依據(jù)組織的結(jié)構(gòu)特征、地域特征、資產(chǎn)和技術(shù)特點(diǎn)來確定。? 可以根據(jù)組織的實(shí)際情況，將組織的一部分定義為信息安全管理范圍，也可以將組織整體定義為信息安全管理范圍；? 信息安全管理范圍必須用正式的文件加以記錄。ISMS范圍文件? 文件是否明白地描述了信息安全管理體系的范圍? 范圍的邊界和接口是否已清楚定義建立 ISMS框架55 第三步風(fēng)險(xiǎn)評(píng)估BS77992對(duì) ISMS的要求：? 組織應(yīng)進(jìn)行適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)評(píng)估應(yīng)識(shí)別資產(chǎn)所面對(duì)的威脅、脆弱性、以及對(duì)組織的潛在影響，并確定風(fēng)險(xiǎn)的等級(jí)。? 是否執(zhí)行了正式的和文件化的風(fēng)險(xiǎn)評(píng)估？? 是否經(jīng)過一定數(shù)量的員工驗(yàn)證其正確性？? 風(fēng)險(xiǎn)評(píng)估是否識(shí)別了資產(chǎn)的威脅、脆弱性和對(duì)組織的潛在影響？? 風(fēng)險(xiǎn)評(píng)估是否定期和適時(shí)進(jìn)行？建立 ISMS框架56第四步風(fēng)險(xiǎn)管理BS77992對(duì) ISMS的要求：? 組織應(yīng)依據(jù)信息安全方針和組織要求的安全保證程度來確定需要管理的信息安全風(fēng)險(xiǎn)。? 根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，選擇風(fēng)險(xiǎn)控制方法，將組織面臨的風(fēng)險(xiǎn)控制在可以接受的范圍之內(nèi)。? 是否定義了組織的風(fēng)險(xiǎn)管理方法？? 是否定義了所需的信息安全保證程度？? 是否給出了可選擇的控制措施供管理層做決定？建立 ISMS框架57第五步選擇控制目標(biāo)和控制措施BS77992對(duì) ISMS的要求：? 組織應(yīng)選擇適當(dāng)?shù)目刂拼胧┖涂刂颇繕?biāo)來滿足風(fēng)險(xiǎn)管理的要求，并證明選擇結(jié)果的正確性。? 選擇控制措施的示意圖? 選擇的控制措施是否建立在風(fēng)險(xiǎn)評(píng)估的結(jié)果之上？? 是否能從風(fēng)險(xiǎn)評(píng)估中清楚地看出哪一些是基本控制措施，哪一些是必須的，哪一些是可以考慮選擇的控制措施？? 選擇的控制措施是否反應(yīng)了組織的風(fēng)險(xiǎn)管理戰(zhàn)略？? 針對(duì)每一種風(fēng)險(xiǎn)，控制措施都不是唯一的，要根據(jù)實(shí)際情況進(jìn)行選擇建立 ISMS框架安全問題安全需求控制目標(biāo) 控制措施解決指出定義被滿足58第五步選擇控制目標(biāo)和控制措施BS77992對(duì) ISMS的要求：? 未選擇某項(xiàng)控制措施的原因252。風(fēng)險(xiǎn)原因沒有識(shí)別出相關(guān)的風(fēng)險(xiǎn)252。財(cái)務(wù)原因財(cái)務(wù)預(yù)算的限制252。環(huán)境原因安全設(shè)備、氣候、空間等252。技術(shù) 某些控制措施在技術(shù)上不可行252。文化社會(huì)環(huán)境的限制252。時(shí)間某些要求目前無法實(shí)施252。其它？建立 ISMS框架59第六步準(zhǔn)備適用聲明BS77992對(duì) ISMS的要求：? 組織應(yīng)準(zhǔn)備適用聲明，記錄已選擇的控制措施和理由，以及未選擇的控制措施及其理由。? 在選擇了控制目標(biāo)和控制措施后，對(duì)實(shí)施某項(xiàng)控制目標(biāo)、措施和不實(shí)施某項(xiàng)控制目標(biāo)、措施進(jìn)行記錄，并對(duì)原因進(jìn)行解釋的文件。建立 ISMS框架未來實(shí)現(xiàn)公司 ISMS適用聲明60BS7799與 CC的比較n BS 7799完全從管理角度制定，并不涉及具體的安全技術(shù)，實(shí)施不復(fù)雜，主要是告訴管理者一些安全管理的注意事項(xiàng)和安全制度，例如磁盤文件交換和處理的安全規(guī)定、設(shè)備的安全配置管理、工作區(qū)進(jìn)出的控制等一些很容易理解的問題。這些管理規(guī)定一般的單位都可以制定，但要想達(dá)到 BS 7799的全面性則需要一番努力。n 同 BS 7799相比，信息技術(shù)安全性評(píng)估準(zhǔn)則 (CC)和美國(guó)國(guó)防部可信計(jì)算機(jī)評(píng)估準(zhǔn)則

點(diǎn)擊復(fù)制文檔內(nèi)容

環(huán)評(píng)公示相關(guān)推薦

[精選]計(jì)算機(jī)安全技術(shù)第5章-資料下載頁(yè)

【總結(jié)】第五章密碼技術(shù)密碼技術(shù)概述密碼學(xué)（Cryptology）是一門古老而深?yuàn)W的學(xué)科，有著悠久、燦爛的歷史。密碼技術(shù)是研究數(shù)據(jù)加密、解密及變換的科學(xué)，涉及數(shù)學(xué)、計(jì)算機(jī)科學(xué)、電子與通訊等諸多學(xué)科。雖然其理論相當(dāng)高深，但概念卻十分簡(jiǎn)單。密碼技術(shù)包含兩方面密切相關(guān)的內(nèi)容，即加密和解密。加密就是研究、編寫密碼系統(tǒng)，把數(shù)據(jù)

2025-02-13 19:31

[精選]計(jì)算機(jī)安全技術(shù)第8章-資料下載頁(yè)

【總結(jié)】第八章網(wǎng)絡(luò)安全技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)安全概述隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和網(wǎng)絡(luò)覆蓋范圍的迅速擴(kuò)大，計(jì)算機(jī)網(wǎng)絡(luò)安全問題也日益顯得復(fù)雜和突出起來。網(wǎng)絡(luò)安全涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科，是指網(wǎng)絡(luò)系統(tǒng)的硬

2025-02-13 19:56

[精選]計(jì)算機(jī)安全技術(shù)第6章-資料下載頁(yè)

【總結(jié)】第六章數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)安全是一個(gè)廣闊的領(lǐng)域，從傳統(tǒng)的備份與恢復(fù)，認(rèn)證與訪問控制，到數(shù)據(jù)存貯和通信環(huán)節(jié)的加密，它作為操作系統(tǒng)之上的應(yīng)用平臺(tái)，其安全與網(wǎng)絡(luò)和主機(jī)安全息息相關(guān)，本章著重從數(shù)據(jù)庫(kù)安全管理和內(nèi)部自身安全的角度討論相關(guān)問題。6-1數(shù)據(jù)庫(kù)安全概述數(shù)據(jù)庫(kù)系統(tǒng)，一般可以理解成兩部分：一

2025-02-13 19:48

[精選]計(jì)算機(jī)安全技術(shù)第10章-資料下載頁(yè)

【總結(jié)】第十章黑客的攻擊與防范初識(shí)黑客“黑客”一詞是由英文“hacker”音譯來過的，原是指熱心于計(jì)算機(jī)技術(shù)，水平高超的計(jì)算機(jī)專家，尤其是程序設(shè)計(jì)人員。顯然，真正的黑客是指真正了解系統(tǒng)，對(duì)計(jì)算機(jī)的發(fā)展有創(chuàng)造和貢獻(xiàn)的人們，而不是以破壞為目的的入侵者。到了今天，黑客一詞已被用于泛指那些未經(jīng)許可就闖入別人計(jì)算機(jī)系統(tǒng)進(jìn)

2025-02-13 19:48

計(jì)算機(jī)維護(hù)與維修第17章-資料下載頁(yè)

【總結(jié)】計(jì)算機(jī)組裝與維護(hù)培訓(xùn)教程第17課安全防護(hù)?本章要點(diǎn)?具體要求?本章導(dǎo)讀計(jì)算機(jī)組裝與維護(hù)培訓(xùn)教程本章要點(diǎn)?安全防護(hù)的基本知識(shí)?采取措施保障系統(tǒng)安全計(jì)算機(jī)組裝與維護(hù)培訓(xùn)教程具體要求?了解計(jì)算機(jī)病毒的種類和特點(diǎn)?了解黑客的攻擊方式?掌握殺毒軟件及防火墻的安裝計(jì)算機(jī)組裝與維護(hù)培訓(xùn)教

2025-09-30 16:18

計(jì)算機(jī)維護(hù)與維修第18章-資料下載頁(yè)

【總結(jié)】計(jì)算機(jī)組裝與維護(hù)培訓(xùn)教程第18課系統(tǒng)優(yōu)化?本章要點(diǎn)?具體要求?本章導(dǎo)讀計(jì)算機(jī)組裝與維護(hù)培訓(xùn)教程本章要點(diǎn)?手動(dòng)設(shè)置優(yōu)化系統(tǒng)?使用工具優(yōu)化系統(tǒng)計(jì)算機(jī)組裝與維護(hù)培訓(xùn)教程具體要求?掌握手動(dòng)設(shè)置優(yōu)化系統(tǒng)的方法?掌握使用工具優(yōu)化系統(tǒng)的方法計(jì)算機(jī)組裝與維護(hù)培訓(xùn)教程本章導(dǎo)讀?由于系

2025-09-25 20:06

第十五章促銷策略-資料下載頁(yè)

【總結(jié)】第十五章促銷策略2020/11/23廣東工業(yè)大學(xué)市場(chǎng)營(yíng)銷教研室2學(xué)習(xí)目標(biāo)?把握促銷及促銷組合的相關(guān)概念、理解促銷的實(shí)質(zhì)?掌握促銷的基本程序?了解廣告、公共關(guān)系、人員推銷和銷售促進(jìn)決策的主要內(nèi)容?理解整合營(yíng)銷傳播的核心思想2020/11/23廣東工業(yè)大學(xué)市場(chǎng)營(yíng)銷教研室33促銷基本概念?促銷是指營(yíng)銷

2025-10-08 11:58

系統(tǒng)評(píng)估準(zhǔn)則與安全策略-資料下載頁(yè)

【總結(jié)】1第7章系統(tǒng)評(píng)估準(zhǔn)則與安全策略2系統(tǒng)評(píng)估準(zhǔn)則信息安全測(cè)評(píng)認(rèn)證準(zhǔn)則安全管理的實(shí)施制定安全策略系統(tǒng)備份和緊急恢復(fù)方法審計(jì)與評(píng)估容災(zāi)技術(shù)及其典型應(yīng)用3系統(tǒng)評(píng)估準(zhǔn)則可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則歐洲信息技術(shù)安全評(píng)估準(zhǔn)則加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)估

2025-01-09 22:53

計(jì)算機(jī)網(wǎng)絡(luò)安全策略-本科畢業(yè)論-資料下載頁(yè)

【總結(jié)】鄭州輕工業(yè)學(xué)院本科畢業(yè)設(shè)計(jì)（論文）題目計(jì)算機(jī)網(wǎng)絡(luò)安全策略學(xué)生姓名專業(yè)班級(jí)網(wǎng)絡(luò)工程13-01學(xué)號(hào)54130

2025-06-07 05:34

[精選]第十五章生產(chǎn)與服務(wù)循環(huán)審計(jì)-資料下載頁(yè)

【總結(jié)】第十五章生產(chǎn)與服務(wù)循環(huán)審計(jì)15計(jì)劃和安排生產(chǎn)發(fā)出原材料生產(chǎn)產(chǎn)品發(fā)出產(chǎn)成品儲(chǔ)存產(chǎn)成品核算產(chǎn)品成本一、生產(chǎn)循環(huán)概述生產(chǎn)循環(huán)的主要業(yè)務(wù)活動(dòng)生產(chǎn)業(yè)務(wù)及其控制測(cè)試生產(chǎn)指令領(lǐng)料單生產(chǎn)成本計(jì)算單存貨明細(xì)賬產(chǎn)量記錄工時(shí)記錄制造費(fèi)用明細(xì)表

2025-01-18 22:32

[精選]第3章計(jì)算機(jī)硬件與環(huán)境安全-資料下載頁(yè)

【總結(jié)】第3章計(jì)算機(jī)硬件與環(huán)境安全2/1/20231信息安全原理與技術(shù)本章主要內(nèi)容對(duì)計(jì)算機(jī)硬件的安全威脅計(jì)算機(jī)硬件安全技術(shù)環(huán)境安全技術(shù)2/1/20232信息安全原理與技術(shù)計(jì)算機(jī)硬件及其運(yùn)行環(huán)境是計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行的基礎(chǔ)，它們的安全直接影響著網(wǎng)絡(luò)信息的安全。由于自然災(zāi)害、設(shè)備自然損壞

2025-01-08 08:14

[精選]第3章計(jì)算機(jī)輔助安全分析-資料下載頁(yè)

【總結(jié)】　主講：楊應(yīng)迪　　　　　　　　安全信息工程E-mail:學(xué)時(shí)：44Del:139554604201第3章?計(jì)算機(jī)輔助安全分析uCAI計(jì)算機(jī)輔助教學(xué)uCAD計(jì)算機(jī)輔助設(shè)計(jì)?uCAE計(jì)算機(jī)輔助工程?uCAM計(jì)算機(jī)輔助制造uCAPP?計(jì)算機(jī)輔助工藝計(jì)劃?uCAT計(jì)算機(jī)輔助翻譯

2025-01-20 16:28

信息安全技術(shù)與安全策略-資料下載頁(yè)

【總結(jié)】信息安全基礎(chǔ)與策略主要內(nèi)容n一信息安全概況n二入侵手段n三安全概念與安全體系n四安全技術(shù)n五安全策略一信息安全概況n安全威脅n威脅來源n產(chǎn)品和市場(chǎng)n國(guó)家安全戰(zhàn)略n研究與開發(fā)n安全人才一安全威脅n政府、軍事、郵電和金融網(wǎng)絡(luò)是黑客攻擊的主要目標(biāo)。即便已經(jīng)擁有高性能防火墻

2025-02-07 01:15

第10章信息系統(tǒng)的安全策略-資料下載頁(yè)

【總結(jié)】第10章信息系統(tǒng)的安全策略?信息安全策略（InformationSecurityPolicies）是對(duì)信息安全管理系統(tǒng)（informationsecuritymanagementsystemISMS）的目的和意

2025-03-08 01:12

[其它]第9章計(jì)算機(jī)與信息安全-資料下載頁(yè)

【總結(jié)】2022/4/141第9章計(jì)算機(jī)與信息安全本章要點(diǎn)：計(jì)算機(jī)與信息安全概述常見的安全威脅計(jì)算機(jī)與信息安全防護(hù)網(wǎng)絡(luò)行為規(guī)范2022/4/142計(jì)算機(jī)與信息安全概念硬件、網(wǎng)絡(luò)安全軟件系統(tǒng)安全數(shù)據(jù)安全計(jì)算機(jī)安全從其本質(zhì)上就是計(jì)算機(jī)及網(wǎng)絡(luò)上的信息安全信息傳輸、處理、使用安全2022/

2025-03-22 06:56

freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片