【正文】 同步考慮。 同步運行2/2/2023 42信息 安全管理項目工程安全管理167。 同步規(guī)劃167。 系統(tǒng)的運行和維護階段。 信息系統(tǒng)生命周期可以劃分為兩個階段：167。信息安全保障也涉及到信息系統(tǒng)生命周期的各個階段。2/2/2023 40信息 安全管理基于信息系統(tǒng)生命周期的安全管理167。 數(shù)據(jù)安全在信息安全中占有非常重要的地位。對相應應用系統(tǒng)的安全管理要與具體的業(yè)務特點相結合。2/2/2023 38信息 安全管理應用和業(yè)務安全167。 主機及主機上的操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)以及各種支撐系統(tǒng)等，是承載業(yè)務系統(tǒng)的基礎平臺。網(wǎng)絡和通信安全，特別是全程全網(wǎng)的安全是信息安全保障工作的關鍵環(huán)節(jié)。2/2/2023 36信息 安全管理網(wǎng)絡和通信安全167。另外，文檔和介質是存儲數(shù)據(jù)的特殊載體，因此，也應當對其進行適度的管理。 也稱為物理安全 。 環(huán)境和設備安全、網(wǎng)絡和通信安全、主機和系統(tǒng)安全、應用和業(yè)務安全、數(shù)據(jù)安全。因此在信息系統(tǒng)的安全保護中也 存在層次的特點 ，對應各個層次也有相應的信息安全管理工作。2/2/2023 34信息 安全管理基于信息系統(tǒng)各個層次的安全管理167。167。 確保人員有明確的角色和責任；167。2/2/2023 33信息 安全管理在人員和組織管理方面，最基本的管理包括：167。 人員和組織管理是信息安全管理的基本過程。因此，信息安全保障工作需要有 長期、中期、短期的計劃。2/2/2023 31信息 安全管理信息安全規(guī)劃167。 信息安全保障工作需要有足夠的資金支撐。安全方針和策略需要有相應的制定、審核和改進過程。 方針和策略屬于一般管理中的策略管理。這些過程包括：安全方針和策略、資金投入管理和信息安全規(guī)劃等。信息安全管理的基本任務2/2/2023 28信息 安全管理信息安全方針與策略167。2/2/2023 26信息 安全管理信息安全管理內容流程規(guī)范性整體協(xié)調性執(zhí)行落實性變更可控性責任性持續(xù)改進型計劃性合規(guī)性信息安全管理內容2/2/2023 27信息 安全管理通過信息安全管理過程完成信息安全管理方面的要求。持 續(xù) 改 進 通 過 開展信息安全管理，不斷 發(fā)現(xiàn)問題 和解決 問題 ，形成持 續(xù) 改 進 的信息安全保障 態(tài)勢 。變 更可控性 信息系 統(tǒng) 中的任何 變 更需要有全程的 監(jiān) 控管理。因此，信息安全保障工作需要與其他方面的管理工作一起 協(xié)調 開展。要確保信息安全工作的相關 過 程具有 規(guī) 范性。2/2/2023 25信息 安全管理信息安全管理的目標如下 ：目 標 描 述合 規(guī) 性 管理的合 規(guī) 性，主要是指在有章可循的基 礎 之上，確保信息安全工作符合國家法律、法 規(guī) 、行 業(yè)標 準，機構內部的方 針 和 規(guī) 定。2/2/2023 24信息 安全管理普遍參與策略167。 成熟的技術提供了可靠性、穩(wěn)定性保證，采用新技術時要重視其成熟的程度。 任何實體（如用戶、管理員、進程、應用或系統(tǒng)）僅享有該實體需要完成其任務所必需的特權，不應享有任何多余的特權。 減少未授權的修改或濫用系統(tǒng)資源的機會，對特定職能或責任領域的管理能力實施分離、獨立審計，避免操作權力過分集中。 對安全事件的處理應有授權者適時披露并發(fā)布準確一致的有關信息，避免帶來不良的社會影響。同時，信息安全又是一種狀態(tài)和動態(tài)反饋過程，隨著安全利益和系統(tǒng)脆弱性時空分布的變化，威脅程度的提高，系統(tǒng)環(huán)境的變化以及人員對系統(tǒng)安全認識的深化等，應及時地將現(xiàn)有的安全策略、風險接受程度和保護措施進行復查、修改、調整以至提升安全管理等級。 信息安全管理工作的系統(tǒng)特征突出。同時，又要從組織和機構的實際情況出發(fā)，突出自身的安全管理重點。 全面防范是保障信息系統(tǒng)安全的關鍵。 安全需求的不斷增加和現(xiàn)實資源的局限性是安全決策處于兩難境地，恰當?shù)仄胶獍踩度肱c效果是從全局上處置好安全管理工作的出發(fā)點。加強信息安全教育、培訓和管理，強化安全意識和法制觀念，提升職業(yè)道德，掌握安全技術，確保措施落實是做好信息安全管理工作的重要保證。2/2/2023 16信息 安全管理以人為本原則167。主要領導負責原則2/2/2023 15信息 安全管理規(guī)范定級原則167。二、安全策略管理 分權制衡 最小特權 選用成熟技術 普遍參與。 ISO27001非常強調信息安全管理過程中文件化的工作， ISMS的文件體系應該包括安全策略、適用性聲明（選擇和未選擇的控制目標和控制措施）、實施安全控制所需的程序文件、 ISMS管理和操作程序，以及組織圍繞 ISMS開展的所有活動的證明材料。 ISO27001是建立和維護信息安全管理體系的標準，它要求應該通過這樣的過程來建立 ISMS框架：確定體系范圍，制定信息安全側率，明確管理職責，通過風險評估確定控制目標和控制方式。2/2/2023 11信息 安全管理1. 強化員工的信息安全意識，規(guī)范組織信息安全行為；2. 促使管理層貫徹信息安全保障體系；3. 對組織的關鍵信息資產(chǎn)進行全面系統(tǒng)的保護，維持競爭優(yōu)勢；4. 在信息系統(tǒng)受到侵襲時，確保業(yè)務持續(xù)開展并將損失降到最低程度；5. 使組織的生意伙伴和客戶對組織充滿信心；6. 如果通過體系認證，表明體系符合標準，證明組織有能力保障重要信息，可以提高組織的知名度與信任度。167。信息安全管理體系定義2/2/2023 10信息 安全管理建立信息安全管理體系的意義167。信息安全管理體系2/2/2023 8信息 安全管理物理層面物理層面網(wǎng)絡層面網(wǎng)絡層面系統(tǒng)層面系統(tǒng)層面應用層面應用層面管理層面管理層面安全管理制度安全管理制度業(yè)務處理流程業(yè)務處理流程 業(yè)務應用系統(tǒng)業(yè)務應用系統(tǒng) 數(shù)據(jù)庫應用系統(tǒng)數(shù)據(jù)庫應用系統(tǒng) 身份鑒別機制身份鑒別機制 強制訪問控制強制訪問控制防火墻防火墻入侵檢測系統(tǒng)入侵檢測系統(tǒng)物理設備安全物理設備安全環(huán)境安全環(huán)境安全信信息息安安全全體體系系信息系統(tǒng)安全體系結構2/2/2023 9信息 安全管理167。 信息安全管理覆蓋的內容非常廣泛，涉及到信息和網(wǎng)絡系統(tǒng)的各個層面，以及生命周期的各個階段。系統(tǒng)一般包括下列因素：一種產(chǎn)品或者組件，如計算機、所有的外部設備等；操作系統(tǒng)、通信系統(tǒng)和其他相關的設備、軟件，構成 了一個組織的基本結構；多個應用系統(tǒng)或軟件（財務、人事、業(yè)務等） it部門的員工內部用戶和管理層客戶和其他外部用戶周圍環(huán)境，包括媒體、競爭者、上層管理機構。 安全影響167。 安全事件167。 攻擊技術 越來越復雜167。 信息安全技術2/2/2023 2信息 安全管理信息技術 /網(wǎng)絡技術改變生活方式政府商業(yè)個人生活金融2/2/2023 3信息 安全管理信息安全現(xiàn)狀167。 信息安全管理標準167。信息 安全管理第二章 信息安全管理基礎 劉永華（教授）2/2/2023 1信息 安全管理本章內容167。 信息安全管理體系167。 信息安全策略167。 日益增長的安全威脅167。 入侵條件 越來越簡單2/2/2023 4信息 安全管理黑客攻擊猖獗網(wǎng)絡內部、外部泄密拒絕服務攻擊邏輯炸彈特洛伊木馬 黑客攻擊 計算機病毒后門、隱蔽通道蠕蟲2/2/2023 5信息 安全管理167。 每年都有上千家政府網(wǎng)站被攻擊167。 任何網(wǎng)絡都可能遭受入侵2/2/2023 6信息 安全管理系統(tǒng)的定義：系統(tǒng) 是由相互作用和相互依賴的若干部分結合成的具特定功能的整體。2/2/2023 7信息 安全管理167。不同方面的管理內容彼此之間存在著一定的關聯(lián)性，它們共同構成一個全面的有機整體，以使管理措施保障達到信息安全的目，這個有機整體被稱為 信息安全管理體系 。 定義： 信息安全管理體系（ Information Security Management System， ISMS）是組織在整體或特定范圍內建立的信息安全方針和目標，以及完成這些目標所用的方法和手段所構成的體系；信息安全管理體系是信息安全管理活動的直接結果，表示為方針、原則、目標、方法、計劃、活動、程序、過程和資源的集合。 ISMS是組織整體管理體系的一部分，是組織在整體或特定范圍內建立信息安全的方針和目標，以及完成這些目標所用的方法的體系。 安全管理體系是安全技術體系真正有效發(fā)揮保護作用的重要保障，安全管理體系的涉及立足于總體安全策略，并與安全技術體系相互配合，增強技術防護體系的效率和效果，同時，也彌補當前技術無法完全解決的安全缺陷。組織建立、實施與保持 ISMS將會產(chǎn)生如下作用 ：2/2/2023 12信息 安全管理167。167。信息安全管理體系標準2/2/2023 13信息 安全管理信息安全管理的基本原則一、總體原則 主要領導負責原則 規(guī)范定級原則 以人為本原則 適度安全原則 全面防范、突出重點原則 系統(tǒng)、動態(tài)原則 控制社會影響原則。2/2/2023 14信息 安全管理信息安全保證工作事關大局，企業(yè)、組織各級領導應該把信息安全列為其最重要的工作內容之一，并負責成提高、加強內部人員的安全意識，組織有效的技術和管理隊伍，調動優(yōu)化配置必要的資源和經(jīng)費，協(xié)調信息安全管理工作與各部門工作的關系，確保信息安全保障工作的落實和效果。 分級、分類是信息安全保障工作有的放矢的前提，是界定和保護重點信息系統(tǒng)的依據(jù)，只有通過合理、規(guī)范的分級、分類才能落實重點投資、重點防護。 信息安全保障在很大程度上受制于人為的因素。2/2/2023 17信息 安全管理適度安全原則167。2/2/2023 18信息 安全管理全面防范、突出重點的原則167。它需要從人員、管理和技術等方面，在預警、保護、檢測、反應、恢復和跟蹤等多個環(huán)節(jié)上采用多種技術實現(xiàn)。2/2/2023 19信息 安全管理系統(tǒng)、動態(tài)原則167。要按照系統(tǒng)工程的要求，注意各方面、各層次、各時期的相互協(xié)調、匹配和銜接，以便體現(xiàn)系統(tǒng)集成效果和前期投入的效益。2/2/2023 20信息 安全管理控制社會影響原則167。2/2/2023 21信息 安全管理分權制衡策略167。2/2/2023 22信息 安全管理最小特權策略167。2/2/2023 23信息 安全管理選用成熟技術策略167。如果新技術勢在必行，應該首先局部試點，然后逐步推廣，減少或避免可能出現(xiàn)的損失。 不論信息系統(tǒng)的安全等級如何，要求信息系統(tǒng)所涉及的人員普遍參與并與社會相關方面協(xié)同、協(xié)調，共同保障信息系統(tǒng)安全。流程 規(guī) 范性 管理是 過 程性的工作。整體 協(xié)調 性信息安全管理工作不能獨立 進 行，不可能超越機構其他方面的管理工作而達到更高的 級別 。執(zhí) 行落 實 性 通 過檢查 、 監(jiān) 督、 審計 、稽核等手段促 進 信息安全保障工作的落 實 。責 任性 確保信息安全 責任 能 夠 追究到人。計 劃性 信息安全保障工作能 夠 有 計 劃、分 階 段的展開，確保信息安全投 資 能夠產(chǎn) 生最大效益。通過信息安全管理過程驅動信息安全技術的實施，達到信息安全在技術方面的要求。 信息安全方針和策略 主要包括 對信息安全進行總體性指導和規(guī)劃的管理過程。2/2/2023 29信息 安全管理安全方針和策略167。方針和策略是信息安全保障工作的整體性指導和要求。2/2/2023 30信息 安全管理資金投入管理167。但從另一個方面來講，絕對的安全是無法實現(xiàn)的，因此，需要考慮資金投入和經(jīng)濟效益之間的平衡。 信息安全保障工作是一項涉及面較廣的工作，同時也是一項持續(xù)的、長期的工作。2/2/2023 32信息 安全管理信息安全人員和組織167。人員和組織是執(zhí)行信息安全保障工作的主體。 保障有足夠的人力資源從事信息安全保障工作；167。 保證從業(yè)人員經(jīng)過了適當?shù)男畔踩逃团嘤枺凶銐虻陌踩庾R。 機構中的信息安全相關人員能夠在有效的組織結構下展開工作。 信息系統(tǒng)是有層次的?；谛畔⑾到y(tǒng)的各個層次，可相應在如下層次中開展信息安全管理：167。2/2/2023 35信息 安全管理環(huán)境和設備安全167。在這類安全管理過程中，主要是涉及信息系統(tǒng)和信息工作所在的環(huán)境安全，以及信息設備方面的安全。物理安全是上層安全的基礎。 網(wǎng)絡系統(tǒng)和通信系統(tǒng)使得信息系統(tǒng)可以覆蓋各個地理位置和業(yè)務場所。2/2/2023 37信息 安全管理主機和系統(tǒng)安全167。主機和系統(tǒng)是信息系統(tǒng)威脅的主要目標之一。 應用和業(yè)務系統(tǒng)是最終實現(xiàn)各項業(yè)務工作的上層系統(tǒng)。2/2/2023 39信息 安全管理數(shù)據(jù)安全167。數(shù)據(jù)的 保密性 、數(shù)據(jù)的 完整性 、數(shù)據(jù)內容的 真實性 和 可靠性 等安全特性的要求在業(yè)務中都非常突出。 信息系統(tǒng)是由生命周期的。167。 系統(tǒng)投入前的工程設計和開發(fā)階段；167。2/2/2023 41信息 安全管理信息系統(tǒng)安全和信息系統(tǒng)本身的三同步167。 同步建設167。 在信息系統(tǒng)投入運行前，信息系統(tǒng)安全的能力、強度、脆弱性、可改進的潛力等方面有相當?shù)牟糠忠呀?jīng)確定和定型。2/2/2023 43信息 安全管理日常運行于維護