這是一個(gè)關(guān)于信息安全管理體系認(rèn)證PPT課件，主要介紹信息安全管理、信息安全管理模型、信息安全管理體系。信息安全管理信息安全現(xiàn)狀黑客攻擊猖獗安全威脅日益嚴(yán)重信息安全事件回放（一）全國(guó)最大的網(wǎng)上盜竊通訊資費(fèi)案某合作方工程師，負(fù)責(zé)某電信運(yùn)營(yíng)商的設(shè)備安裝，獲得充值中心數(shù)據(jù)庫(kù)最高系統(tǒng)權(quán)限。從2005年2月開始，復(fù)制出了14000個(gè)充值密碼。獲利380萬(wàn)。 2005年7月16日才接到用戶投訴說(shuō)購(gòu)買的充值卡無(wú)法充值，這才發(fā)現(xiàn)密碼被人盜竊并報(bào)警。無(wú)法充值的原因是他最后盜取的那批密碼忘了修改有效日期反映的問(wèn)題：系統(tǒng)監(jiān)控不到位，未能探查出“后門” 信息安全事件回放（二）北京ADSL斷網(wǎng)事件 2006年7月12日14:35左右，北京地區(qū)互聯(lián)網(wǎng)大面積斷網(wǎng)。事故原因：路由器軟件設(shè)置發(fā)生故障，直接導(dǎo)致了這次大面積斷網(wǎng)現(xiàn)象。事故分析：操作設(shè)備的過(guò)程中操作失誤或軟件不完善屬于“天災(zāi)- 難以避免”，但問(wèn)題是事故出現(xiàn)后不能及時(shí)恢復(fù)，沒有應(yīng)急響應(yīng)機(jī)制或事件處理流程，實(shí)際反映的是管理缺失，歡迎點(diǎn)擊下載信息安全管理體系認(rèn)證PPT課件哦。

信息安全管理體系認(rèn)證PPT課件是由紅軟PPT免費(fèi)下載網(wǎng)推薦的一款學(xué)校PPT類型的PowerPoint.

信息安全管理信息安全現(xiàn)狀黑客攻擊猖獗安全威脅日益嚴(yán)重信息安全事件回放（一）全國(guó)最大的網(wǎng)上盜竊通訊資費(fèi)案某合作方工程師，負(fù)責(zé)某電信運(yùn)營(yíng)商的設(shè)備安裝，獲得充值中心數(shù)據(jù)庫(kù)最高系統(tǒng)權(quán)限。從2005年2月開始，復(fù)制出了14000個(gè)充值密碼。獲利380萬(wàn)。 2005年7月16日才接到用戶投訴說(shuō)購(gòu)買的充值卡無(wú)法充值，這才發(fā)現(xiàn)密碼被人盜竊并報(bào)警。無(wú)法充值的原因是他最后盜取的那批密碼忘了修改有效日期反映的問(wèn)題：系統(tǒng)監(jiān)控不到位，未能探查出“后門” 信息安全事件回放（二）北京ADSL斷網(wǎng)事件 2006年7月12日14:35左右，北京地區(qū)互聯(lián)網(wǎng)大面積斷網(wǎng)。事故原因：路由器軟件設(shè)置發(fā)生故障，直接導(dǎo)致了這次大面積斷網(wǎng)現(xiàn)象。事故分析：操作設(shè)備的過(guò)程中操作失誤或軟件不完善屬于“天災(zāi)- 難以避免”，但問(wèn)題是事故出現(xiàn)后不能及時(shí)恢復(fù)，沒有應(yīng)急響應(yīng)機(jī)制或事件處理流程，實(shí)際反映的是管理缺失。信息安全事件回放（三）百度被黑 2010年1月12日上午8時(shí)許，國(guó)內(nèi)著名搜索引擎百度遭遇DNS劫持攻擊，百度首頁(yè)被重定向至一署名為“伊朗網(wǎng)軍”的網(wǎng)頁(yè)。保障信息安全的途徑？ 第一節(jié) 概述一、信息安全管理 1、信息安全： 涵蓋了以下方面機(jī)密性完整性可用性不可抵賴性可靠性可控性真實(shí)性一、信息安全管理 1、信息安全管理特點(diǎn)：是一個(gè)系統(tǒng)工程： 信息的生命周期：產(chǎn)生、收集、加工、交換、存儲(chǔ)、檢索、銷毀（例：gps數(shù)據(jù)、超市商品價(jià)格及進(jìn)貨價(jià)格）多層面、綜合的、動(dòng)態(tài)的過(guò)程：木通理論（例：碟中諜） 一、信息安全管理 1、信息安全信息安全的概念： 二、信息安全管理模型信息安全需求信息安全管理范圍信息安全技術(shù)體系信息安全控制措施信息安全管理方法信息安全保障體系三、信息安全管理體系保障信息安全的途徑之一：信息安全管理體系（ISMS）基于業(yè)務(wù)風(fēng)險(xiǎn)方法，建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的體系，是一個(gè)組織整個(gè)管理體系的一部分。注：管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、規(guī)程、過(guò)程和資源。 [ISO/IEC 27001:2005] 為保護(hù)本組織的信息和信息系統(tǒng)的安全而建立、運(yùn)行和不斷改進(jìn)的管理架構(gòu)。結(jié)合信息安全管理標(biāo)準(zhǔn)匯集的最佳實(shí)踐和控制措施，形成安全管理的相關(guān)制度、過(guò)程、操作規(guī)程和日常活動(dòng)等。 信息安全管理體系標(biāo)準(zhǔn)信息安全管理體系的架構(gòu)信息安全管理體系的目的和特點(diǎn)目標(biāo)：提升信息安全管理能力，實(shí)現(xiàn)滿足安全要求和期望的結(jié)果 — 受控的信息安全特點(diǎn)：重點(diǎn)關(guān)注，全面布防基于對(duì)關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)評(píng)估，確定保護(hù)重點(diǎn)；通過(guò)對(duì)133項(xiàng)控制措施的選擇和落實(shí)，實(shí)現(xiàn)對(duì)信息安全的全面保障通過(guò)PDCA的持續(xù)循環(huán)，確保管理體系適應(yīng)安全環(huán)境和形勢(shì)的變化 信息安全管理的PDCA 模型信息安全管理涉及的領(lǐng)域信息資產(chǎn)分類管理信息資產(chǎn)管理列出資產(chǎn)清單:資產(chǎn)名稱，位置，安全級(jí)別信息:DB\數(shù)據(jù)文件\系統(tǒng)文件\用戶手冊(cè)\... 軟件資產(chǎn):應(yīng)用軟件\系統(tǒng)軟件\開發(fā)工具\(yùn)設(shè)備實(shí)物資產(chǎn):\計(jì)算機(jī)\存儲(chǔ)介質(zhì)\其他技術(shù)設(shè)備可計(jì)量:價(jià)值(直接價(jià)值，損失成本)\重要性指定所有權(quán)人\分配職責(zé)信息資產(chǎn)分類分類原則:考慮業(yè)務(wù)需求\信息共享;信息敏感度變化; 信息標(biāo)識(shí)和處理:定義信息的復(fù)制，存儲(chǔ)，輸出，銷毀的處理流程 信息資產(chǎn)安全屬性 A6 信息安全組織信息安全架構(gòu)，組織內(nèi)部管理，第三方訪問(wèn)信息安全基本架構(gòu)論壇(技術(shù)人員\高層\各重要部門參與) 協(xié)作責(zé)任分配信息處理方法授權(quán)過(guò)程組織間合作獨(dú)立檢查第三方訪問(wèn)安全 A9 物理和環(huán)境的安全重要性:反恐24小時(shí)-CTA下水道接入系統(tǒng)繞過(guò)防火墻安全區(qū)域:安全界線\進(jìn)入控制\保護(hù)辦公室\安全區(qū)域工作\隔離設(shè)備安全:設(shè)備定位\電力供應(yīng)\電纜安全\設(shè)備維護(hù)\外部設(shè)備完全\設(shè)備淘汰一般管理措施:財(cái)產(chǎn)轉(zhuǎn)移--不能把設(shè)備轉(zhuǎn)移到工作場(chǎng)所之外 A15 符合性要求組織高度重視有關(guān)信息安全相關(guān)法律法規(guī)的要求。確保組織及員工的行為合法合規(guī)，并符合本組織的信息安全方針和相關(guān)規(guī)定；防止因違反法律法規(guī)和相關(guān)要求而造成不良后果。 A15 符合性控制措施：防止濫用信息處理設(shè)施禁止使用信息處理設(shè)施用于未授權(quán)的目的。 案例通信公司內(nèi)部人員擅自利用通信系統(tǒng)的手機(jī)定位功能，向“偵探公司”提供用戶的位置信息，導(dǎo)致命案。 A8人力資源安全人力資源安全領(lǐng)域強(qiáng)調(diào)如何降低人員交互作用對(duì)組織造成的內(nèi)在風(fēng)險(xiǎn)，包括任用前的考察，任用中的管理和培訓(xùn)以及任用終止的處置。 A8人力資源安全人員安全是造成信息損毀的重要原因 A8人力資源安全公安部曾作過(guò)統(tǒng)計(jì) 70％的泄密犯罪來(lái)自于內(nèi)部；計(jì)算機(jī)應(yīng)用單位80％未設(shè)立相應(yīng)的安全管理體系； 58％無(wú)嚴(yán)格的管理制度。如果相關(guān)技術(shù)人員違規(guī)操作（如管理員泄露密碼），即便組織有最好的安全技術(shù)的支持，也保證不了信息安全。在信息技術(shù)高度發(fā)達(dá)的美國(guó)，信息安全中對(duì)人的管理也是一個(gè)大問(wèn)題。在近年一次對(duì)600名CIO的調(diào)查表明：有66%的被調(diào)查公司沒有完整的信息安全方針和策略，這就意味著無(wú)法對(duì)員工進(jìn)行有效的管理。有32%的被調(diào)查公司要求員工熟悉安全方針與指南只有23%的被調(diào)查公司的員工得到過(guò)信息安全的培訓(xùn) A8人力資源安全安全控制措施：管理職責(zé)管理者應(yīng)要求雇員、承包方人員和第三方人員按照組織已建立的方針策略和規(guī)程對(duì)安全盡心盡力。案例電信公司員工出賣用戶個(gè)人信息案 2010年6月8日，北京東方亨特商務(wù)調(diào)查中心等5家調(diào)查公司因涉嫌敲詐勒索等非法經(jīng)營(yíng)被查，牽出其信息來(lái)源竟是電信公司工作人員。最終中國(guó)移動(dòng)、中國(guó)聯(lián)通的三名被告被判2年5-6個(gè)月有期徒刑。 A10 通信和操作管理通信涉及信息的交流和傳輸，操作是對(duì)信息處理設(shè)施和系統(tǒng)的操作和運(yùn)行管理。通信和操作管理是信息安全管控的重要運(yùn)行領(lǐng)域，對(duì)這一領(lǐng)域的控制體現(xiàn)了組織安全可靠地運(yùn)行其信息資產(chǎn)的能力 A10 通信和操作管理操作過(guò)程責(zé)任記錄變更流程意外事故管理流程開發(fā)過(guò)程與運(yùn)行過(guò)程的分離--開發(fā)錯(cuò)誤\惡意系統(tǒng)規(guī)劃驗(yàn)收:預(yù)測(cè):容量\資源 A10 通信和操作管理控制惡意代碼應(yīng)實(shí)施惡意代碼的檢測(cè)、預(yù)防和恢復(fù)的控制措施，提高用戶安全意識(shí)。案例特洛伊木馬病毒在1998年7月，黑客 Cult of the Dead Cow（cDc）推出強(qiáng)大的遠(yuǎn)程控制工具 Back Orifice（或稱BO）可以使黑客通過(guò)網(wǎng)絡(luò)遠(yuǎn)程入侵并控制受攻擊的Win95系統(tǒng)，從而使受侵電腦“形同玩偶”。 2007年“灰鴿子”木馬曾在我國(guó)大量傳播，使09年 “照片門”事件的央視主持人馬斌 “落馬” A12 信息系統(tǒng)獲取、開發(fā)和維護(hù)信息系統(tǒng)獲取、開發(fā)和維護(hù)領(lǐng)域涉及信息系統(tǒng)的安全需求、信息和數(shù)據(jù)在應(yīng)用系統(tǒng)的確認(rèn)及處理、密碼、系統(tǒng)測(cè)試和技術(shù)脆弱性 管理等安全控制實(shí)踐，以確保將安全要求有機(jī)地集成到信息系統(tǒng) A12 信息系統(tǒng)獲取、開發(fā)和維護(hù)安全控制措施：技術(shù)脆弱性控制應(yīng)及時(shí)得到現(xiàn)用信息系統(tǒng)技術(shù)脆弱性的信息，評(píng)價(jià)組織對(duì)這些脆弱性的暴露程度，并采取適當(dāng)?shù)拇胧﹣?lái)處理相關(guān)的風(fēng)險(xiǎn)。 案例市政一卡通破解案。由于發(fā)現(xiàn)卡內(nèi)芯片的漏洞，及時(shí)升級(jí)系統(tǒng)，監(jiān)測(cè)出不法充值，使作案人被捕判刑。 A14 業(yè)務(wù)連續(xù)性管理關(guān)注于在發(fā)生重大災(zāi)難或故障時(shí)確保將業(yè)務(wù)中斷的影響最小化，保證組織的基本業(yè)務(wù)繼續(xù)運(yùn)行。業(yè)務(wù)連續(xù)性管理反映了組織對(duì)信息系統(tǒng)運(yùn)行中斷后的應(yīng)對(duì)及安全保障能力。 A14 業(yè)務(wù)連續(xù)性管理案例 911恐怖襲擊中位于世貿(mào)中心內(nèi)的著名財(cái)經(jīng)咨詢公司摩根斯坦利公司，由于實(shí)施了業(yè)務(wù)連續(xù)性戰(zhàn)略及規(guī)劃，災(zāi)后第二天成功地恢復(fù)了正常的業(yè)務(wù)運(yùn)營(yíng)，將突發(fā)危機(jī)的不利影響降低到了最低程度。 A14 業(yè)務(wù)連續(xù)性管理小結(jié)建立、實(shí)施、運(yùn)行、保持和改進(jìn)信息安全管理體系，或采取并保持體系化的安全管控可有效防范風(fēng)險(xiǎn)、降低損失；對(duì)信息安全缺乏全面準(zhǔn)備，損失的風(fēng)險(xiǎn)得不到控制。四、信息安全技術(shù)體系基礎(chǔ)支撐技術(shù)：提供包括機(jī)密性、完整性和抗抵賴性等在內(nèi)的最基本的信息安全服務(wù)，同時(shí)為信息安全攻防技術(shù)提供支撐主動(dòng)防御技術(shù)和被動(dòng)防御技術(shù)是兩類基本的信息安全防范思路主動(dòng)防御技術(shù)提供阻斷、控制信息安全威脅的能力被動(dòng)防御技術(shù)著眼信息安全威脅的發(fā)現(xiàn)和如何在信息安全威脅發(fā)生后將損失降到最低面向管理技術(shù)：以如何提高信息安全技術(shù)效率和集成使用信息安全技術(shù)為基本出發(fā)點(diǎn)，引入了管理的思想，是一種綜合的技術(shù)手段安全網(wǎng)管系統(tǒng)、網(wǎng)絡(luò)監(jiān)控、資產(chǎn)管理、威脅管理等屬于這類技術(shù) 四、信息安全技術(shù)體系基礎(chǔ)支撐技術(shù)密碼技術(shù)：密碼、簽名、PKI 認(rèn)證技術(shù)：消息認(rèn)證、身份鑒別訪問(wèn)控制：人員限制、數(shù)據(jù)標(biāo)識(shí)、權(quán)限控制、風(fēng)險(xiǎn)控制（例如：MAC地址邦定）身分認(rèn)證安全技術(shù)動(dòng)態(tài)口令認(rèn)證 PKI技術(shù)動(dòng)態(tài)口令身份認(rèn)證原理數(shù)字簽名數(shù)字簽名(cont.) 使用公鑰系統(tǒng)等效于紙上物理簽名如報(bào)文被改變，則與簽名不匹配只有有私鑰的人才可生成簽名，并用于證明報(bào)文來(lái)源于發(fā)送方 A使用其私鑰對(duì)報(bào)文簽名，B用公鑰查驗(yàn)（解密）報(bào)文數(shù)字信封報(bào)文摘要與數(shù)字簽名(cont.) 數(shù)字簽名較報(bào)文摘要昂貴，因其處理強(qiáng)度大為提高其效率，對(duì)一個(gè)長(zhǎng)文進(jìn)行簽名的常用方法是先生成一個(gè)報(bào)文摘要，然后再對(duì)報(bào)文摘要進(jìn)行簽名。使用這種方法，我們不但可以證明報(bào)文來(lái)源于A (A對(duì)報(bào)文簽名，不可否認(rèn))，而且確定報(bào)文在傳輸過(guò)程中未被修改 (報(bào)文摘要，機(jī)密性)。由于只有 A知道其私有密鑰，一旦他加密 (簽名)了報(bào)文摘要 (加密的報(bào)文)，他對(duì)報(bào)文負(fù)責(zé) (不可否認(rèn))。數(shù)字證書格式（X.509）證書的版本號(hào)數(shù)字證書的序列號(hào)證書擁有者的姓名證書擁有者的公開密鑰公開密鑰的有效期簽名算法頒發(fā)數(shù)字證書的驗(yàn)證 數(shù)字時(shí)間戳 數(shù)字時(shí)間戳服務(wù)（DTS）提供電子文件發(fā)表時(shí)間的安全保護(hù)和證明，由專門機(jī)構(gòu)提供。它包括三個(gè)部分：需要加時(shí)間戳的文件的摘要 DTS機(jī)構(gòu)收到文件的日期和時(shí)間 DTS機(jī)構(gòu)的數(shù)字簽名四、信息安全技術(shù)體系主動(dòng)防御技術(shù)防火墻：包過(guò)濾、應(yīng)用代理、地址翻譯NAT、安全路由 VPN：高層封裝底層反病毒：病毒特征碼 AAA認(rèn)證： 計(jì)算機(jī)病毒計(jì)算機(jī)病毒的定義編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼 ——《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》 計(jì)算機(jī)病毒的特征自我復(fù)制能力 感染性 潛伏性觸發(fā)性破壞性 病毒攻擊的操作系統(tǒng) Microsoft DOS Microsoft Windows 95/98/ME Microsoft Windows NT/2000/XP Unix(Linux) 其他操作系統(tǒng)計(jì)算機(jī)病毒的分類 按寄生方式分為引導(dǎo)型、病毒文件型病毒和復(fù)合型病毒引導(dǎo)型病毒是指寄生在磁盤引導(dǎo)區(qū)或主引導(dǎo)區(qū)的計(jì)算機(jī)病毒。此種病毒利用系統(tǒng)引導(dǎo)時(shí)，不對(duì)主引導(dǎo)區(qū)的內(nèi)容正確與否進(jìn)行判別的缺點(diǎn)，在引導(dǎo)系統(tǒng)的過(guò)程中侵入系統(tǒng)，駐留內(nèi)存，監(jiān)視系統(tǒng)運(yùn)行，待機(jī)傳染和破壞。 文件型病毒是指寄生在文件中的計(jì)算機(jī)病毒。這類病毒程序感染可執(zhí)行文件或數(shù)據(jù)文件。如COM和.EXE等可執(zhí)行文件;Macro/Concept、Macro/Atoms等宏病毒感染.DOC文件。復(fù)合型病毒是指具有引導(dǎo)型病毒和文件型病毒寄生方式的計(jì)算機(jī)病毒。這種病毒擴(kuò)大了病毒程序的傳染途徑，它既感染磁盤的引導(dǎo)記錄，又感染可執(zhí)行文件。四、信息安全技術(shù)體系被動(dòng)防御技術(shù) IDS Intrusion Detection Systems 網(wǎng)絡(luò)掃描蜜罐技術(shù)五、信息安全管理方法 1、信息安全風(fēng)險(xiǎn)評(píng)估依據(jù)信息安全技術(shù)與管理標(biāo)準(zhǔn)評(píng)估信息資產(chǎn)、威脅、脆弱點(diǎn)五、信息安全管理方法 2、信息安全事件管理--（應(yīng)急預(yù)案）識(shí)別風(fēng)險(xiǎn)后，預(yù)先制定管理機(jī)制：控制影響重要密碼泄露、系統(tǒng)崩潰、地震信息安全事件管理標(biāo)準(zhǔn)： GB/Z 20985-2007管理指南 GB/Z20986-2007分級(jí)指南 GB/Z20988-2007恢復(fù)規(guī)范 五、信息安全管理方法 3、信息安全測(cè)評(píng)認(rèn)證 4、信息安全工程管理 SSE-CMM系統(tǒng)安全工程能力成熟度模型--基于軟件生命周期理論第二節(jié) 信息安全管理標(biāo)準(zhǔn)一、 BS 7799 二、 其他標(biāo)準(zhǔn) BS 7799簡(jiǎn)介 BS 7799概述： BS 7799是英國(guó)標(biāo)準(zhǔn)委員會(huì)（Britsh Standards Insstitute，BSI）針對(duì)信息安全管理而制定的標(biāo)準(zhǔn)。分為兩個(gè)部分：第一部分：被國(guó)際標(biāo)準(zhǔn)化組織ISO采納成為ISO/IEC 17799:2005標(biāo)準(zhǔn)的部分，是信息安全管理實(shí)施細(xì)則（Code of Practice for Information Security Manage-ment），主要供負(fù)責(zé)信息安全系統(tǒng)開發(fā)的人員參考使用，其主要內(nèi)容分為11方面，提供了133項(xiàng)安全控制措施（最佳實(shí)踐）。第二部分：被國(guó)際標(biāo)準(zhǔn)化組織ISO采納成為ISO/IEC 20071:2005標(biāo)準(zhǔn)的部分，是建立信息安全管理體系（ISMS）的一套規(guī)范（Specification for Information Security Management Systems ），其中詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，可以用來(lái)指導(dǎo)相關(guān)人員應(yīng)用ISO/IEC 17799:2005，其最終目的在于建立適合企業(yè)需要的信息安全管理體系。 BS 7799發(fā)展歷程 BS 7799最初由英國(guó)貿(mào)工部立項(xiàng)，是業(yè)界、政府和商業(yè)機(jī)構(gòu)共同倡導(dǎo)的，旨在開發(fā)一套可供開發(fā)、實(shí)施和衡量有效信息安全管理實(shí)踐的通用框架。 1995年，BS 7799 -1:1995《信息安全管理實(shí)施細(xì)則》首次發(fā)布 1998年，BS 7799-2:1998《信息安全管理體系規(guī)范》發(fā)布 1999年4月，BS 7799的兩個(gè)部分被修訂，形成了完整的BS 7799-1:1999 2000年國(guó)際信息化標(biāo)準(zhǔn)組織將其轉(zhuǎn)化為國(guó)際標(biāo)準(zhǔn)，即ISO/IEC 17799:2000《信息技術(shù)—信息安全管理實(shí)施細(xì)則》 2002年BSI對(duì)BS 7799-2：1999進(jìn)行了重新修訂，正式引入PDCA過(guò)程模型； 2004年9月BS 7799-2:2002正式發(fā)布 2005年6月，ISO/IEC 17799:2000經(jīng)過(guò)改版，形成了新的ISO/IEC 17799:2005，同年10月推出了ISO/IEC 27001:2005 目前有20多個(gè)國(guó)家和地區(qū)引用BS 7799作為本國(guó)（地區(qū)）標(biāo)準(zhǔn)，有40多個(gè)國(guó)家和地區(qū)開展了與此相關(guān)的業(yè)務(wù)。在我國(guó)ISO 17799:2000已經(jīng)被轉(zhuǎn)化為GB/T 19716-2005 信息安全管理實(shí)施細(xì)則將信息安全管理內(nèi)容劃分為11個(gè)方面，39個(gè)控制目標(biāo)，133項(xiàng)控制措施，供信息安全管理體系實(shí)施者參考使用，這11個(gè)方面包括： 1、安全策略（Security Policy） 2、組織信息安全(Organizing Information Security) 3、資產(chǎn)管理(Asset Mangement) 4、人力資源安全(Human Resources Security) 5、物理與環(huán)境安全(Physical and Environmental Security) 6、通信與操作管理(Communication and Operation Management) 7、訪問(wèn)控制(Access Control) 8、信息系統(tǒng)獲取、開發(fā)與維護(hù)(Information Systems Acquisition，Development and Maintenance) 9、信息安全事件管理(Information Security Incident Management) 10、業(yè)務(wù)連續(xù)性管理(Business Continuity Management) 11、符合性(Compliance) 安全策略：包括信息安全策略文件和信息安全策略復(fù)查。組織安全：包括在組織內(nèi)建立發(fā)起和控制信息安全實(shí)施的管理框架；維護(hù)被外部伙伴訪問(wèn)、處理和管理的組織的信息，處理設(shè)施和信息資產(chǎn)的安全。資產(chǎn)管理：包括建立資產(chǎn)清單、進(jìn)行信息分類與分級(jí)人力資源安全：包括崗位安全責(zé)任和人員錄用安全要求，安全教育與培訓(xùn)，安全意識(shí)，離職及變更職位等。 物理與環(huán)境安全：包括安全區(qū)域控制、設(shè)備安全管理等通信與操作管理：包括操作程序和責(zé)任，系統(tǒng)規(guī)劃和驗(yàn)收，防范惡意軟件，內(nèi)務(wù)管理，網(wǎng)絡(luò)管理，介質(zhì)安全管理，信息與軟件交換安全訪問(wèn)控制：包括訪問(wèn)控制策略，用戶訪問(wèn)控制，網(wǎng)絡(luò)訪問(wèn)控制，操作系統(tǒng)訪問(wèn)控制，應(yīng)用訪問(wèn)控制，監(jiān)控與審計(jì)，移動(dòng)和遠(yuǎn)程訪問(wèn) 信息系統(tǒng)獲取、開發(fā)與維護(hù)：安全需求分析，安全機(jī)制設(shè)計(jì)（應(yīng)用系統(tǒng)安全，密碼控制，系統(tǒng)文件安全），開發(fā)和支持過(guò)程的安全控制信息安全事件管理：報(bào)告信息安全事件、安全缺陷；責(zé)任和程序、從信息安全事件吸取教訓(xùn)、證據(jù)收集。業(yè)務(wù)連續(xù)性管理：業(yè)務(wù)連續(xù)性計(jì)劃的制訂，演習(xí)，審核，改進(jìn)符合性管理：符合法律法規(guī)，符合安全策略等。 對(duì)控制措施的描述不夠細(xì)致，導(dǎo)致缺乏可操作性； 133項(xiàng)控制措施未必適合全部的組織，應(yīng)當(dāng)有選擇的參考使用； 133項(xiàng)控制措施未必全面，可以根據(jù)實(shí)際情況進(jìn)行增補(bǔ)。 ISO/IEC 17799:2005列舉了十項(xiàng)適用于幾乎所有組織和大多數(shù)環(huán)境的控制措施： 1、與法律相關(guān)的控制措施：（1）知識(shí)產(chǎn)權(quán)：遵守知識(shí)產(chǎn)權(quán)保護(hù)和軟件產(chǎn)品保護(hù)的法律；（2）保護(hù)組織的記錄：保護(hù)重要的記錄不丟失，不被破壞和偽造；（3）數(shù)據(jù)保護(hù)和個(gè)人信息隱私：遵守所在國(guó)的數(shù)據(jù)保護(hù)法律。 2、與最佳實(shí)踐相關(guān)的控制措施：（1）信息安全策略文件：高管批準(zhǔn)發(fā)布信息安全策略文件，并廣泛告知；（2）信息安全責(zé)任的分配：清晰地所有的信息安全責(zé)任；（3）信息安全意識(shí)、教育和培訓(xùn)：全體員工及相關(guān)人員應(yīng)該接受恰當(dāng)?shù)囊庾R(shí)培訓(xùn)； （4）正確處理應(yīng)用程序：防止應(yīng)用程序中的信息出錯(cuò)、丟失或被非授權(quán)篡改及誤用；（5）漏洞管理：防止利用已發(fā)布的漏洞信息來(lái)實(shí)施破壞；（6）管理信息安全事件和改進(jìn)：確保采取一致和有效的方法來(lái)管理信息安全事件。（7）業(yè)務(wù)連續(xù)性管理：減少業(yè)務(wù)活動(dòng)中斷，保護(hù)關(guān)鍵業(yè)務(wù)過(guò)程不受重大事故或?yàn)?zāi)難影響。 信息安全管理體系規(guī)范(Specification for Information Security Management System) 說(shuō)明了建立、實(shí)施、維護(hù)，并持續(xù)改進(jìn)ISMS的要求指導(dǎo)實(shí)施者如何利用BS7799-1來(lái)建立一個(gè)有效的ISMS BSI提供依據(jù)BS7799-2所建立ISMS的認(rèn)證 建立ISMS（PLAN）定義ISMS的范圍和策略識(shí)別和評(píng)估風(fēng)險(xiǎn)評(píng)估現(xiàn)有保證措施準(zhǔn)備適用性說(shuō)明取得管理層對(duì)殘留風(fēng)險(xiǎn)的認(rèn)可，并獲得實(shí)施ISMS的授權(quán) 實(shí)施ISMS（DO）制訂并實(shí)施風(fēng)險(xiǎn)處理計(jì)劃實(shí)施安全控制措施實(shí)施安全意識(shí)和安全教育培訓(xùn)實(shí)施檢測(cè)和響應(yīng)安全機(jī)制 監(jiān)視和復(fù)查ISMS（CHECK）實(shí)施監(jiān)視程序和控制定期復(fù)審ISMS的效力定期進(jìn)行ISMS內(nèi)部審計(jì)復(fù)查殘留風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的水平 改進(jìn)ISMS（ACT）對(duì)ISMS實(shí)施可識(shí)別的改進(jìn)實(shí)施糾正和預(yù)防措施確保改進(jìn)成果滿足預(yù)期目標(biāo) 強(qiáng)調(diào)文檔化管理的重要作用，文檔體系包括安全策略適用性聲明實(shí)施安全控制的規(guī)程文檔 ISMS管理和操作規(guī)程與ISMS有關(guān)的其它文檔 建立ISMS的過(guò)程制訂安全策略確定體系范圍明確管理職責(zé)通過(guò)安全風(fēng)險(xiǎn)評(píng)估確定控制目標(biāo)和控制措施復(fù)查、維護(hù)與持續(xù)改進(jìn)二、其他標(biāo)準(zhǔn) 1、PD3000 BS7799標(biāo)準(zhǔn)本身是不具有很強(qiáng)的可實(shí)施性的，為了指導(dǎo)組織更好地建立ISMS并應(yīng)對(duì)BS7799認(rèn)證審核的要求，BSIDISC提供了一組有針對(duì)性的指導(dǎo)文件，即PD3000系列。 2、CC （1）信息技術(shù)產(chǎn)品和系統(tǒng)安全性測(cè)評(píng)標(biāo)準(zhǔn)，是信息安全標(biāo)準(zhǔn)體系中非常重要的一個(gè)分支；是目前國(guó)際上最通行的信息技術(shù)產(chǎn)品及系統(tǒng)安全性測(cè)評(píng)標(biāo)準(zhǔn)，也是信息技術(shù)安全性評(píng)估結(jié)果國(guó)際互認(rèn)的基礎(chǔ)。 （2）CC、ISO/IEC15408、GB/T18336是同一個(gè)標(biāo)準(zhǔn)。 （3）CC的組要目標(biāo)讀者是用戶、開發(fā)者和評(píng)估者。 （4）與BS7799標(biāo)準(zhǔn)相比，CC的側(cè)重點(diǎn)放在系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)評(píng)價(jià)上；組織在依照BS7799標(biāo)準(zhǔn)來(lái)實(shí)施ISMS時(shí)，一些牽涉系統(tǒng)和產(chǎn)品安全的技術(shù)要求，可以借鑒CC標(biāo)準(zhǔn)。 3、ISO/IEC TR 13335 （1）信息和通信技術(shù)安全管理，是由ISO/IEC JTC1制定的技術(shù)報(bào)告，是一個(gè)信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn)，其目的是為有效實(shí)施IT安全管理提供建議和支持。 （2）對(duì)信息安全風(fēng)險(xiǎn)及其構(gòu)成要素間關(guān)系的描述非常具體，對(duì)風(fēng)險(xiǎn)評(píng)估方法過(guò)程的描述很清晰，可用來(lái)指導(dǎo)實(shí)施。 4、SSE-CMM （1）SSE-CMM模型是CMM在系統(tǒng)安全工程這個(gè)具體領(lǐng)域應(yīng)用而產(chǎn)生的一個(gè)分支，是美國(guó)國(guó)家安全局（NSA）領(lǐng)導(dǎo)開發(fā)的，是專門用于系統(tǒng)安全工程的能力程度度模型。 （2）ISO/IEC DIS 21827信息技術(shù)—系統(tǒng)安全工程—能力成熟度模型 （3）SSE-CMM將系統(tǒng)安全工程成熟度劃分為5個(gè)等級(jí) （4）SSE-CMM可以作為評(píng)估工程實(shí)施組織（如安全服務(wù)提供商）能力與資質(zhì)的標(biāo)準(zhǔn)。我國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心在審核專業(yè)機(jī)構(gòu)信息安全服務(wù)資質(zhì)時(shí)，基本上就是依據(jù)SSE-CMM來(lái)審核并劃分等級(jí)的。 5、NIST SP 800系列 美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)委員會(huì)（NIST）發(fā)布的Special Publication 800文檔是一系列針對(duì)信息安全技術(shù)和管理領(lǐng)域的實(shí)踐參考指南。 6、ITIL 信息技術(shù)基礎(chǔ)設(shè)施庫(kù)（IT Infrastructure Library），是由英國(guó)中央計(jì)算機(jī)與電信局（CCTA）發(fā)布的關(guān)于IT服務(wù)管理最佳實(shí)踐的建議和指導(dǎo)方針，旨在解決IT服務(wù)質(zhì)量不佳的情況。 7、CobiT 信息及相關(guān)技術(shù)控制目標(biāo)（Control Objectives for Information and related Technology，CobiT）是由美國(guó)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)針對(duì)IT過(guò)程管理制定的一套基于最佳實(shí)踐的控制目標(biāo)，是目前國(guó)際上公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)。 Thank You！dIK紅軟基地

信息安全管理相關(guān)理論P(yáng)PT課件：這是一個(gè)關(guān)于信息安全管理相關(guān)理論P(yáng)PT課件，主要介紹了信息安全管理基礎(chǔ)、信息安全管理相關(guān)理論與技術(shù)、信息安全管理工作方法等內(nèi)容。信息安全管理及基礎(chǔ)理論和工作方法信息安全管理基礎(chǔ)信息安全管理相關(guān)理論與技術(shù)信息安全管理工作方法信息安全管理基礎(chǔ)信息安全管理的意義人們對(duì)信息安全認(rèn)識(shí)的誤區(qū)安全管理建設(shè)網(wǎng)絡(luò)信息安全管理體系網(wǎng)絡(luò)安全管理策略信息安全管理的基本內(nèi)容 信息安全管理的意義信息安全管理的意義人們對(duì)信息安全認(rèn)識(shí)的誤區(qū)安全管理建設(shè)信息安全管理體系 網(wǎng)絡(luò)與信息安全 = 信息安全技術(shù) + 信息安全管理體系(ISMS) 《信息安全管理體系（ISMS）標(biāo)準(zhǔn)》 信息安全政策信息安全組織信息資產(chǎn)分類與管理個(gè)人信息安全，物理和環(huán)境安全通信和操作安全管理存取控制信息系統(tǒng)的開發(fā)和維護(hù)持續(xù)運(yùn)營(yíng)管理 網(wǎng)絡(luò)安全管理策略 在網(wǎng)絡(luò)安全中，加強(qiáng)網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章制度，對(duì)于確保網(wǎng)絡(luò)的安全、可靠地運(yùn)行，將起到十分有效的作用。網(wǎng)絡(luò)的安全管理策略包括：確定安全管理的等級(jí)和安全管理的范圍；制定有關(guān)網(wǎng)絡(luò)使用規(guī)程和人員出入機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。 信息安全管理的基本內(nèi)容 OSI安全體系結(jié)構(gòu)的第三個(gè)主要部分就是安全管理。它的主要內(nèi)容是實(shí)施一系列的安全政策，對(duì)系統(tǒng)和網(wǎng)絡(luò)上的操作進(jìn)行管理。它包括三部分內(nèi)容：系統(tǒng)安全管理安全服務(wù)管理安全機(jī)制管理 OSI安全管理涉及到OSI管理系統(tǒng)本身的安全，包括OSI管理協(xié)議的安全和OSI管理信息交換的安全等。 系統(tǒng)安全管理涉及整體OSI安全環(huán)境的管理。包括：總體安全策略的管理 OSI安全環(huán)境之間的安全信息交換安全服務(wù)管理和安全機(jī)制管理的交互作用安全事件的管理安全審計(jì)管理安全恢復(fù)管理 安全服務(wù)管理涉及特定安全服務(wù)的管理，其中包括：對(duì)某種安全服務(wù)定義其安全目標(biāo); 指定安全服務(wù)可使用的安全機(jī)制; 通過(guò)適當(dāng)?shù)陌踩珯C(jī)制管理及調(diào)動(dòng)需要的安全機(jī)制; 系統(tǒng)安全管理以及安全機(jī)制管理相互作用，歡迎點(diǎn)擊下載信息安全管理相關(guān)理論P(yáng)PT課件哦。

信息安全管理制度體系PPT課件：這是一個(gè)關(guān)于信息安全管理制度體系PPT課件，主要介紹了信息安全的保護(hù)機(jī)制、開放系統(tǒng)互連安全體系結(jié)構(gòu)、信息安全體系框架、信息安全技術(shù)、信息安全的產(chǎn)品類型、信息安全等級(jí)保護(hù)與分級(jí)認(rèn)證等內(nèi)容。掌握信息安全風(fēng)險(xiǎn)狀態(tài)和分布情況的變化規(guī)律，提出安全需求，建立起具有自適應(yīng)能力的信息安全模型，從而駕馭風(fēng)險(xiǎn)，使信息安全風(fēng)險(xiǎn)被控制在可接受的最小限度內(nèi)，并漸近于零風(fēng)險(xiǎn)。 安全與實(shí)現(xiàn)的方便性是矛盾的對(duì)立。必須犧牲方便性求得安全，我們必須在這兩者之間找出平衡點(diǎn)，在可接受的安全狀況下，盡力方便用戶的使用。根據(jù)OSI安全體系結(jié)構(gòu)ISO7498-2，提出安全服務(wù)(即安全功能)和安全機(jī)制，在此基礎(chǔ)上提出信息安全體系框架，結(jié)合ISC2提出的信息安全5重屏障，劃定信息安全技術(shù)類型，形成相應(yīng)的信息安全產(chǎn)品，歡迎點(diǎn)擊下載信息安全管理制度體系PPT課件哦。

信息安全管理體系介紹PPT：這是一個(gè)關(guān)于信息安全管理體系介紹PPT，主要介紹了信息安全基本要素、信息安全基本要素、信息安全概況、信息安全體系建設(shè)典型解決方案信息安全的目的、構(gòu)建入侵檢測(cè)系統(tǒng)、構(gòu)建入侵檢測(cè)系統(tǒng)建構(gòu)步驟等內(nèi)容。14-信息安全體系建設(shè) 1、信息安全基本要素信息安全的攻與防一些經(jīng)典的結(jié)論信息安全策略基本的安全建議阻止或禁用所有沒有顯式允許的行為總要設(shè)置足夠復(fù)雜的口令，并經(jīng)常更改認(rèn)真地使用廠商發(fā)布的補(bǔ)丁進(jìn)行更新使用最小的權(quán)限授權(quán)所有的訪問(wèn)有限的信任對(duì)所有的外部接口（包括撥號(hào)接口）心存懷疑啟用監(jiān)視、記錄、審查和檢測(cè)功能做好事件響應(yīng)能力和業(yè)務(wù)連續(xù)能力的規(guī)劃技術(shù)并不能保護(hù)你不受到來(lái)自社會(huì)的攻擊開發(fā)安全策略，獲得管理層的認(rèn)可并廣泛應(yīng)用進(jìn)行真實(shí)的風(fēng)險(xiǎn)評(píng)估比敵人更了解你的平臺(tái)和應(yīng)用程序 2、信息安全技術(shù)體系架構(gòu)信息安全模型（一）信息安全模型（二）基于OSI參考模型的安全技術(shù)信息安全網(wǎng)絡(luò)安全組件 網(wǎng)絡(luò)的整體安全是由安全操作系統(tǒng)、應(yīng)用系統(tǒng)、防火墻、網(wǎng)絡(luò)監(jiān)控、安全掃描、信息審計(jì)、通信加密、災(zāi)難恢復(fù)、網(wǎng)絡(luò)反病毒等多個(gè)安全組件共同組成的，每一個(gè)單獨(dú)的組件只能完成其中部分功能，而不能完成全部功能 主機(jī)網(wǎng)絡(luò)安全系統(tǒng)體系結(jié)構(gòu)信息安全技術(shù)技術(shù)體系信息安全防護(hù)信息安全檢測(cè)信息安全響應(yīng)信息安全恢復(fù)信息安全審計(jì)安全機(jī)制評(píng)估認(rèn)證授權(quán)監(jiān)控審計(jì)應(yīng)急 信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制作用: 及時(shí)發(fā)現(xiàn)安全隱患，便于事前響應(yīng)提供信息安全決策信息信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制組成: 信息資產(chǎn)健康檔案庫(kù)漏洞掃描系統(tǒng)安全滲透工具 信息安全認(rèn)證授權(quán)機(jī)制信息安全認(rèn)證授權(quán)機(jī)制作用: 防止非法者進(jìn)入限制合法者權(quán)限信息安全認(rèn)證授權(quán)機(jī)制組成: 身份識(shí)別系統(tǒng)授權(quán)系統(tǒng)密碼管理系統(tǒng) 信息安全防護(hù)機(jī)制信息安全防護(hù)機(jī)制作用: 防止信息安全攻擊發(fā)生切斷攻擊鏈信息安全防護(hù)機(jī)制組成: 防火墻系統(tǒng)網(wǎng)絡(luò)隔離系統(tǒng)病毒防范系統(tǒng)補(bǔ)丁管理系統(tǒng)，歡迎點(diǎn)擊下載信息安全管理體系介紹PPT哦。