【正文】 的安全管理167。真正的安全效果需要通過日常運行中的安全管理來實現，工程過程中奠定的信息安全基礎需要通過管理手段加以發(fā)揮。 配置管理和變更管理是任何形式的管理中不可或缺的管理過程。167。167。需要建立正規(guī)的變更流程來控制變更可能導致的風險。 文檔化 是信息安全管理工作的重要部分。業(yè)務的運行以及單位自身的正常運營需要通過許多操作過程（ 流程 ）來具體實現，管理流程的規(guī)范化程度可以體現管理的水平。 不斷運用新技術、新方法是提高業(yè)務能力和競爭力水平的重要手段。甚至，為了保證競爭力的持續(xù)提高，還要進行前瞻性的技術和方法研究。因此，在采取任何較新的技術和方法之前，都要進行嚴格的安全評估。 風險管理是基本管理過程之一。在信息安全風險管理過程中，要實施如下工作：167。 威脅鑒別和評價167。 安全風險評估和評級 — 綜合資產、威脅、脆弱性的評估和評價，完成最終的風險評估和評級。 決策并實施風險處理措施 — 根據風險評估的結果，作出風險處理和控制的相關決策，并投入實施。 業(yè)務連續(xù)性管理不僅僅是災難恢復、危機管理、風險管理控制或者技術恢復，也不僅僅是一個專業(yè)的技術問題，更重要的是一個業(yè)務驅動和高層驅動的管理問題。2/2/2023 49信息 安全管理符合性審核167。此類管理過程可以將信息安全管理工作納入到一個良性的、持續(xù)改進的循環(huán)中。2/2/2023 50信息 安全管理信息安全管理體系構成167。 風險管理167。 環(huán)境與設備管理167。 主機與系統(tǒng)管理167。 數據 /文檔 /介質167。 運行維護管理167。 1合規(guī)性管理2/2/2023 51信息 安全管理數據 /文檔 /介質管理方針和策略管理應用與業(yè)務管理主機與系統(tǒng)管理網絡與通信管理環(huán)境與設備管理風險管理業(yè)務連續(xù)性管理項目工程管理運行維護管理人員和組織管理合規(guī)性管理合規(guī)性管理信息安全管理體系構成2/2/2023 52信息 安全管理方針與策略管理167。2/2/2023 53信息 安全管理風險管理167。沒有絕對的安全，風險總是存在的。2/2/2023 54信息 安全管理人員與組織管理167。2/2/2023 55信息 安全管理環(huán)境與設備管理167。管理的內容包括物理環(huán)境安全、設備安全、介質安全等。 控制、保護網絡和通信系統(tǒng)，防止受到破壞和濫用，避免和降低由于網絡和通信系統(tǒng)的問題對業(yè)務系統(tǒng)的損害。 控制和保護主機及其系統(tǒng)，防止受到破壞和濫用，避免和降低由此對業(yè)務系統(tǒng)的損害。 對各類應用和業(yè)務系統(tǒng)進行安全管理，防止受到破壞和濫用。 采用數據加密和完整性保護機制，防止數據被竊取和篡改，保護業(yè)務數據的安全。 保護信息系統(tǒng)項目過程的安全，確保項目的成果是可靠的安全系統(tǒng)。 保護信息系統(tǒng)在運行期間的安全，并確保系統(tǒng)維護工作的安全。 通過設計和執(zhí)行業(yè)務連續(xù)性計劃，確保信息系統(tǒng)在任何災難和攻擊下，都能夠保證業(yè)務的連續(xù)性。 確保信息安全保障工作符合國家法律、法規(guī)的要求；并且信息安全方針、規(guī)定和標準得到了遵循。 方針與策略管理 ：是整個信息安全管理工作的基礎和整體指導，對于其他所有的信息安全管理類都有指導和約束的關系。 人員與組織管理 ：是要根據方針和策略來執(zhí)行的信息安全管理工作。 合規(guī)性管理 ：指導如何檢查信息安全管理工作的效果。2/2/2023 67信息 安全管理12項信息安全管理類的作用關系167。在實施中主要從兩個角度來考慮問題，即風險管理和業(yè)務連續(xù)性管理。 根據信息系統(tǒng)的生命周期，可以將信息系統(tǒng)分為 兩個階段 ，即項目工程開發(fā)階段和運行維護階段。2/2/2023 69信息 安全管理第二節(jié) 信息安全管理標準167。 二、 其他標準2/2/2023 70信息 安全管理BS 7799簡介167。 BS 7799是英國標準委員會（ Britsh Standards Insstitute,BSI）針對信息安全管理而制定的標準。 分為兩個部分：167。167。2/2/2023 71信息 安全管理BS 7799發(fā)展歷程167。167。 1998年， BS 77992:1998《信息安全管理體系規(guī)范》發(fā)布167。 2023年國際信息化標準組織將其轉化為國際標準，即 ISO/IEC 17799:2023《信息技術 — 信息安全管理實施細則》167。 2023年 9月 BS 77992:2023正式發(fā)布167。 目前有 20多個國家和地區(qū)引用 BS 7799作為本國（地區(qū)）標準，有 40多個國家和地區(qū)開展了與此相關的業(yè)務。 在我國 ISO 17799:2023已經被轉化為 GB/T 1971620232/2/2023 72信息 安全管理BS7799的內容*BS77991:《信息安全管理實施規(guī)則》 主要是給負責開發(fā)的人員作為參考文檔使用，從而在他們的機構內部實施和維護信息安全。 2/2/2023 73信息 安全管理 信息安全管理實施細則將信息安全管理內容劃分為11個方面， 39個控制目標， 133項控制措施，供信息安全管理體系實施者參考使用，這 11個方面包括： 安全策略（ Security Policy）組織信息安全 (Organizing Information Security)資產管理 (Asset Mangement)人力資源安全 (Human Resources Security)物理與環(huán)境安全 (Physical and Environmental Security)BS77991(ISO/IEC17799)2/2/2023 74信息 安全管理 通信與操作管理 (Communication and Operation Management)訪問控制 (Access Control)信息系統(tǒng)獲取、開發(fā)與維護 (Information Systems Acquisition,Development and Maintenance)信息安全事件管理 (Information Security Incident Management)業(yè)務連續(xù)性管理 (Business Continuity Management)1符合性 (Compliance)2/2/2023 75信息 安全管理167。167。167。 人力資源安全 ：包括崗位安全責任和人員錄用安全要求，安全教育與培訓，安全意識，離職及變更職位等。 物理與環(huán)境安全 ：包括安全區(qū)域控制、設備安全管理等167。 訪問控制 ：包括訪問控制策略，用戶訪問控制，網絡訪問控制，操作系統(tǒng)訪問控制，應用訪問控制，監(jiān)控與審計，移動和遠程訪問BS77991(ISO/IEC17799)2/2/2023 77信息 安全管理167。 信息安全事件管理 ：報告信息安全事件、安全缺陷；責任和程序、從信息安全事件吸取教訓、證據收集。 業(yè)務連續(xù)性管理 ：業(yè)務連續(xù)性計劃的制訂，演習，審核，改進167。BS77991(ISO/IEC17799)2/2/2023 78信息 安全管理167。 133項控制措施未必適合全部的組織，應當有選擇的參考使用；167。BS77991(ISO/IEC17799)2/2/2023 79信息 安全管理ISO/IEC 17799:2023列舉了十項適用于幾乎所有組織和大多數環(huán)境的控制措施：與法律相關的控制措施：（ 1） 知識產權 ：遵守知識產權保護和軟件產品保護的法律；（ 2） 保護組織的記錄 ：保護重要的記錄不丟失，不被破壞和偽造；（ 3） 數據保護和個人信息隱私 ：遵守所在國的數據保護法律。（ 7）業(yè)務連續(xù)性管理：減少業(yè)務活動中斷，保護關鍵業(yè)務過程不受重大事故或災難影響。 信息安全管理體系規(guī)范 (Specification for Information Security Management System)167。 指導實施者如何利用 BS77991來建立一個有效的ISMS167。 定義 ISMS的范圍和策略167。 評估現有保證措施167。 取得管理層對殘留風險的認可，并獲得實施 ISMS的授權BS77992/ISO 270012/2/2023 84信息 安全管理實施 ISMS（ DO）167。 實施安全控制措施167。 實施檢測和響應安全機制BS77992/ISO 270012/2/2023 85信息 安全管理監(jiān)視和復查 ISMS（ CHECK）167。 定期復審 ISMS的效力167。 復查殘留風險和可接受風險的水平BS77992/ISO 270012/2/2023 86信息 安全管理改進 ISMS（ ACT）167。 實施糾正和預防措施167。 安全策略167。 實施安全控制的規(guī)程文檔167。 與 ISMS有關的其它文檔BS77992/ISO 270012/2/2023 88信息 安全管理建立 ISMS的過程167。 確定體系范圍167。 通過安全風險評估確定控制目標和控制措施167。2/2/2023 90信息 安全管理 CC（ 1）信息技術產品和系統(tǒng)安全性測評標準，是信息安全標準體系中非常重要的一個分支；是目前國際上最通行的信息技術產品及系統(tǒng)安全性測評標準，也是信息技術安全性評估結果國際互認的基礎。 （ 3） CC的組要目標讀者是用戶、開發(fā)者和評估者。2/2/2023 91信息 安全管理 ISO/IEC TR 13335（ 1）信息和通信技術安全管理，是由ISO/IEC JTC1制定的技術報告，是一個信息安全管理方面的指導性標準，其目的是為有效實施 IT安全管理提供建議和支持。2/2/2023 92信息 安全管理 SSECMM（ 1） SSECMM模型是 CMM在系統(tǒng)安全工程這個具體領域應用而產生的一個分支，是美國國家安全局（ NSA）領導開發(fā)的，是專門用于系統(tǒng)安全工程的能力程度度模型。我國國家信息安全測評認證中心在審核專業(yè)機構信息安全服務資質時，基本上就是依據 SSECMM來審核并劃分等級的。 ITIL 信息技術基礎設施庫（ IT Infrastructure Library），是由英國中央計算機與電信局（ CCTA）發(fā)布的關于 IT服務管理最佳實踐的建議和指導方針，旨在解決 IT服務質量不佳的情況。 2/2/2023 95信息 安全管理第三節(jié) 信息安全策略167。 二、制定信息安全策略167。 四、主要信息安全策略167。 信息安全策略是一種處理安全問題的管理策略的描述。2/2/2023 99信息 安全管理信息安全策略的重要性 信息安全策略是位于 核心地位 的方針和政策的集合，雖然它并不涉及具體的執(zhí)行細節(jié)，但是明確描述了安全保護的對象范圍，能夠保證后續(xù)的控制措施被合理的執(zhí)行，能夠對安全產品的選擇及管理實踐起到指導和約束作用。2/2/2023 100信息 安全管理制定信息安全策略的時間167。2/2/2023 101信息 安全管理安全員需要了解的幾個問題： 任何業(yè)務動作過程均存在不同程度的風險；167。 一個包括軟件開發(fā)策略在內的安全策略對與開發(fā)更安全的系統(tǒng)是有指導作用的。 在安全事故發(fā)生后，安全事故很可能重復發(fā)生，所以第一次發(fā)生后實施安全策略盡管太晚，卻十分必要；167。 安全策略給用戶的印象是企業(yè)對安全問題非常認真；167。 向用戶展示企業(yè)質量標準控制所要求的可評價安全程序來說，安全策略可以作為該程序的指導方針。 確定信息安全策略的范圍167。 信息安全策略的審查、批準和實施2/2/2023 103信息 安全管理制定信息安全策略167。 先進的網絡安全技術是網絡安全的根本保證167。 嚴格的法律法規(guī)是網絡安全的堅強后盾2/2/2023 104信息 安全管理先進的網絡安全技術是網絡安全的根本保證167。2/2/2023 105信息 安全管理嚴格的管理是確保信息安全策略落實的基礎167。2/2/2023 106信息 安全管理嚴格的法律法規(guī)是網絡安全的堅強后盾167。2/2/2023 107信息 安全管理信息安全策略的設計范圍167。 總體安全策略167。 針對特定系統(tǒng)的具體策略2/2/2023 108信息 安全管理總體安全策略文檔167。2/2/2023 109信息 安全管理針對特定問題的具體策略文檔167。2/2/2023 110信息 安全管理針對特定系統(tǒng)的具體策略文檔167。2/2/2023 111信息 安全管理信息安全策略的 15個制定范圍167。 網絡安全策略167。 數據備份策略167。 系統(tǒng)安全策略167。 災難恢復策略167。 安全教育策略167。 1補丁管理策略167。 1商業(yè)伙伴、客戶關系策略167。 物理安全策略 包括環(huán)境安全、設備安全、媒體安全、信息資產的物理分布、人員的訪問控制、審計紀錄、異常情況的追查等。 網絡安全策略包括網絡拓撲結構、網絡設備的管理、網絡安全訪問控制（防火墻、入侵檢測系統(tǒng)、 VPN等）、安全掃描、遠程訪問、不同級別網絡的訪問控制方式、識別 /認證機制等等。 數據加密策略包括加密算法、適用范圍、密鑰交換和管理等。 數據備份策略包括適用范圍、備份方式、備份數據的安全儲存、備份周期、負責人等。 病毒防護策略包括防病毒軟件