信息安全管理(第一章-绪论)课件.ppt

LOGO第一章第一章 绪论绪论信息安全管理LOGO本讲内容本讲内容什么是信息安全什么是信息安全1235什么是信息安全管理什么是信息安全管理信息安全管理的指导原则信息安全管理的指导原则3LOGO本讲内容本讲内容135信息安全管理的意义信息安全管理的意义4信息安全管理的国内外研究发展信息安全管理的国内外研究发展5本书内容安排本书内容安排6LOGO什么是信息安全什么是信息安全 v信息安全的现状：信息安全的现状：19881988年年1111月月2 2日，康奈尔大学的研究生罗伯特日，康奈尔大学的研究生罗伯特.莫里斯莫里斯(22(22岁岁)设计了第一个蠕虫程序，设计初设计了第一个蠕虫程序，设计初始目的是验证网络中自动传播程序的可行性始目的是验证网络中自动传播程序的可行性20002000年年5 5月月4 4日，日，“爱虫（爱虫（LOVE BUGLOVE BUG）”病毒大病毒大爆发主要表现是邮件群发、修改文件、消耗爆发主要表现是邮件群发、修改文件、消耗网络资源网络资源不断发生的信息安全事件，对信息安全提出了不断发生的信息安全事件，对信息安全提出了严峻的挑战严峻的挑战，信息安全已成为信息社会重要的信息安全已成为信息社会重要的研究课题。

研究课题LOGO什么是信息安全什么是信息安全 v信息安全的概念：信息安全的概念：信息信息安全安全属性：属性：机密性机密性完整性完整性可用性可用性真实性真实性抗抵赖抗抵赖性性可靠性可靠性可控性可控性LOGO什么是信息安全什么是信息安全 重要特点：重要特点：必然性必然性配角特性配角特性动态性动态性重大战略价值：重大战略价值：信息安全的政治意义信息安全的政治意义信息安全的经济意义信息安全的经济意义信息安全与社会稳定的意义信息安全与社会稳定的意义LOGO什么是信息安全什么是信息安全 v信息安全威胁：信息安全威胁：日益严重的计算机病毒日益严重的计算机病毒人为的因素人为的因素信息安全管理自身的不足信息安全管理自身的不足LOGO什么是信息安全管理什么是信息安全管理 v信息安全管理概念：信息安全管理概念：信息是一个组织的血液，它的存在方式各异信息是一个组织的血液，它的存在方式各异可以是打印，手写，也可以是电子，演示和口可以是打印，手写，也可以是电子，演示和口述的当今商业竞争日趋激烈，来源于不同渠述的当今商业竞争日趋激烈，来源于不同渠道的威胁，威胁到信息的安全性这些威胁可道的威胁，威胁到信息的安全性这些威胁可能来自内部，外部，意外的，还可能是恶意的。

能来自内部，外部，意外的，还可能是恶意的随着信息存储、发送新技术的广泛使用，信息随着信息存储、发送新技术的广泛使用，信息安全面临的威胁也越来越严重了安全面临的威胁也越来越严重了LOGO什么是信息安全管理什么是信息安全管理 v信息安全管理的基本内容信息安全管理的基本内容：信息系统的安全管理涉及与信息系统有关的安信息系统的安全管理涉及与信息系统有关的安全管理以及信息系统管理的安全两个方面这全管理以及信息系统管理的安全两个方面这两方面的管理又分为技术性管理和法律性管理两方面的管理又分为技术性管理和法律性管理两类其中技术性管理以两类其中技术性管理以OSIOSI安全机制和安全服安全机制和安全服务的管理以及对物理环境的技术监控为主，法务的管理以及对物理环境的技术监控为主，法律性管理以法律法规遵从性管理为主信息安律性管理以法律法规遵从性管理为主信息安全管理本身并不完成正常的业务应用通信，但全管理本身并不完成正常的业务应用通信，但却是支持与控制这些通信的安全所必需的却是支持与控制这些通信的安全所必需的LOGO信息安全管理的指导原则 v策略原则：策略原则：以安全保发展，在发展中求安全以安全保发展，在发展中求安全受保护资源的价值与保护成本平衡受保护资源的价值与保护成本平衡明确国家、企业和个人对信息安全的职责和可明确国家、企业和个人对信息安全的职责和可确认性确认性信息安全需要积极防御和综合防范信息安全需要积极防御和综合防范定期评估信息系统的残留风险定期评估信息系统的残留风险综合考虑社会因素对信息安全的制约综合考虑社会因素对信息安全的制约信息安全管理体现以人为本信息安全管理体现以人为本LOGO信息安全管理的指导原则 v工程原则：工程原则：基本保证基本保证适度安全适度安全实用和标准化实用和标准化保护层次化和系统保护层次化和系统降低复杂度降低复杂度安全设计机构化安全设计机构化LOGO信息安全管理的意义 信息安全管理通过维护信息的机密性、完整性信息安全管理通过维护信息的机密性、完整性和可用性等，来管理和保护信息资产的一项体和可用性等，来管理和保护信息资产的一项体制，是对信息安全保障进行指导、规范和管理制，是对信息安全保障进行指导、规范和管理的一系列活动和过程。

的一系列活动和过程中国工程院院长徐匡迪曾指出：中国工程院院长徐匡迪曾指出：“没有安全的没有安全的工程就是豆腐渣工程工程就是豆腐渣工程”LOGO信息安全管理的国内外研究发展 v国内信息安全管理现状国内信息安全管理现状：我国已初步建成了国家信息安全组织保障体系我国已初步建成了国家信息安全组织保障体系制定和引进了一批重要的信息安全管理标准制定和引进了一批重要的信息安全管理标准制定了一系列必需的信息安全管理的法律法规制定了一系列必需的信息安全管理的法律法规信息安全风险评估工作已经得到重视和开展信息安全风险评估工作已经得到重视和开展LOGO信息安全管理的国内外研究发展 v我国信息安全管理存在的问题我国信息安全管理存在的问题：信息安全管理现状比较混乱，缺乏一个国家层信息安全管理现状比较混乱，缺乏一个国家层面上的整体策略，实际管理力度不够，政策执面上的整体策略，实际管理力度不够，政策执行和监督力度也不够行和监督力度也不够具有我国特点的、动态的和涵盖组织机构、文具有我国特点的、动态的和涵盖组织机构、文件、控制措施、操作过程和程序及相关资源等件、控制措施、操作过程和程序及相关资源等要素的信息安全管理体系还未建立起来。

要素的信息安全管理体系还未建立起来具有我国特点的信息安全风险评估标准体系还具有我国特点的信息安全风险评估标准体系还有待完善，信息安全的需求难以确定，缺乏系有待完善，信息安全的需求难以确定，缺乏系统、全面的信息安全风险评估和评价体系以及统、全面的信息安全风险评估和评价体系以及全面、完善的信息安全保障体系全面、完善的信息安全保障体系LOGO信息安全管理的国内外研究发展 信息安全意识缺乏，普遍存在重产品、轻服务，信息安全意识缺乏，普遍存在重产品、轻服务，重技术、轻管理的思想重技术、轻管理的思想专项经费投入不足，管理人才极度缺乏，基础专项经费投入不足，管理人才极度缺乏，基础理论研究和关键技术薄弱，严重依靠国外理论研究和关键技术薄弱，严重依靠国外技术创新不够，信息安全管理产品水平和质量技术创新不够，信息安全管理产品水平和质量不高LOGO信息安全管理的国内外研究发展 v国外信息安全管理现状国外信息安全管理现状：国际信息安全管理已步入标准化与系统化管理时国际信息安全管理已步入标准化与系统化管理时代在2020世纪世纪9090年代之前，信息安全主要依靠安年代之前，信息安全主要依靠安全技术手段与不成体系的管理规章来实现。

随着全技术手段与不成体系的管理规章来实现随着2020世纪世纪8080年代年代ISO9000ISO9000质量管理体系标准的出现及质量管理体系标准的出现及随后在全世界的推广应用，系统管理的思想在其随后在全世界的推广应用，系统管理的思想在其他领域也被借鉴与采用，信息安全管理也同样在他领域也被借鉴与采用，信息安全管理也同样在2020世纪世纪9090年代步入了标准化与系统化的管理时代年代步入了标准化与系统化的管理时代LOGO本书内容安排本书内容安排 v第一章为绪论第一章为绪论v第二章为信息安全法律法规第二章为信息安全法律法规v第三章为信息安全管理体系（第三章为信息安全管理体系（ISMSISMS）v第四章为信息安全风险评估第四章为信息安全风险评估v第五章为信息系统安全测评第五章为信息系统安全测评v第六章为业务连续性与灾难恢复第六章为业务连续性与灾难恢复v第七章为信息系统安全审计第七章为信息系统安全审计v第八章为身份认证技术第八章为身份认证技术LOGO思考题 谢谢！谢谢！。