這是一個關于信息安全管理體系認證PPT課件，主要介紹信息安全管理、信息安全管理模型、信息安全管理體系。信息安全管理信息安全現(xiàn)狀黑客攻擊猖獗安全威脅日益嚴重信息安全事件回放（一）全國最大的網(wǎng)上盜竊通訊資費案某合作方工程師，負責某電信運營商的設備安裝，獲得充值中心數(shù)據(jù)庫最高系統(tǒng)權限。從2005年2月開始，復制出了14000個充值密碼。獲利380萬。 2005年7月16日才接到用戶投訴說購買的充值卡無法充值，這才發(fā)現(xiàn)密碼被人盜竊并報警。無法充值的原因是他最后盜取的那批密碼忘了修改有效日期反映的問題：系統(tǒng)監(jiān)控不到位，未能探查出“后門” 信息安全事件回放（二）北京ADSL斷網(wǎng)事件 2006年7月12日14:35左右，北京地區(qū)互聯(lián)網(wǎng)大面積斷網(wǎng)。事故原因：路由器軟件設置發(fā)生故障，直接導致了這次大面積斷網(wǎng)現(xiàn)象。事故分析：操作設備的過程中操作失誤或軟件不完善屬于“天災- 難以避免”，但問題是事故出現(xiàn)后不能及時恢復，沒有應急響應機制或事件處理流程，實際反映的是管理缺失，歡迎點擊下載信息安全管理體系認證PPT課件哦。

信息安全管理體系認證PPT課件是由紅軟PPT免費下載網(wǎng)推薦的一款學校PPT類型的PowerPoint.

信息安全管理信息安全現(xiàn)狀黑客攻擊猖獗安全威脅日益嚴重信息安全事件回放（一）全國最大的網(wǎng)上盜竊通訊資費案某合作方工程師，負責某電信運營商的設備安裝，獲得充值中心數(shù)據(jù)庫最高系統(tǒng)權限。從2005年2月開始，復制出了14000個充值密碼。獲利380萬。 2005年7月16日才接到用戶投訴說購買的充值卡無法充值，這才發(fā)現(xiàn)密碼被人盜竊并報警。無法充值的原因是他最后盜取的那批密碼忘了修改有效日期反映的問題：系統(tǒng)監(jiān)控不到位，未能探查出“后門” 信息安全事件回放（二）北京ADSL斷網(wǎng)事件 2006年7月12日14:35左右，北京地區(qū)互聯(lián)網(wǎng)大面積斷網(wǎng)。事故原因：路由器軟件設置發(fā)生故障，直接導致了這次大面積斷網(wǎng)現(xiàn)象。事故分析：操作設備的過程中操作失誤或軟件不完善屬于“天災- 難以避免”，但問題是事故出現(xiàn)后不能及時恢復，沒有應急響應機制或事件處理流程，實際反映的是管理缺失。信息安全事件回放（三）百度被黑 2010年1月12日上午8時許，國內(nèi)著名搜索引擎百度遭遇DNS劫持攻擊，百度首頁被重定向至一署名為“伊朗網(wǎng)軍”的網(wǎng)頁。保障信息安全的途徑？ 第一節(jié) 概述一、信息安全管理 1、信息安全： 涵蓋了以下方面機密性完整性可用性不可抵賴性可靠性可控性真實性一、信息安全管理 1、信息安全管理特點：是一個系統(tǒng)工程： 信息的生命周期：產(chǎn)生、收集、加工、交換、存儲、檢索、銷毀（例：gps數(shù)據(jù)、超市商品價格及進貨價格）多層面、綜合的、動態(tài)的過程：木通理論（例：碟中諜） 一、信息安全管理 1、信息安全信息安全的概念： 二、信息安全管理模型信息安全需求信息安全管理范圍信息安全技術體系信息安全控制措施信息安全管理方法信息安全保障體系三、信息安全管理體系保障信息安全的途徑之一：信息安全管理體系（ISMS）基于業(yè)務風險方法，建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的體系，是一個組織整個管理體系的一部分。注：管理體系包括組織結構、方針策略、規(guī)劃活動、職責、實踐、規(guī)程、過程和資源。 [ISO/IEC 27001:2005] 為保護本組織的信息和信息系統(tǒng)的安全而建立、運行和不斷改進的管理架構。結合信息安全管理標準匯集的最佳實踐和控制措施，形成安全管理的相關制度、過程、操作規(guī)程和日�；顒拥�。 信息安全管理體系標準信息安全管理體系的架構信息安全管理體系的目的和特點目標：提升信息安全管理能力，實現(xiàn)滿足安全要求和期望的結果 — 受控的信息安全特點：重點關注，全面布防基于對關鍵資產(chǎn)的風險評估，確定保護重點；通過對133項控制措施的選擇和落實，實現(xiàn)對信息安全的全面保障通過PDCA的持續(xù)循環(huán)，確保管理體系適應安全環(huán)境和形勢的變化 信息安全管理的PDCA 模型信息安全管理涉及的領域信息資產(chǎn)分類管理信息資產(chǎn)管理列出資產(chǎn)清單:資產(chǎn)名稱，位置，安全級別信息:DB\數(shù)據(jù)文件\系統(tǒng)文件\用戶手冊\... 軟件資產(chǎn):應用軟件\系統(tǒng)軟件\開發(fā)工具\設備實物資產(chǎn):\計算機\存儲介質(zhì)\其他技術設備可計量:價值(直接價值，損失成本)\重要性指定所有權人\分配職責信息資產(chǎn)分類分類原則:考慮業(yè)務需求\信息共享;信息敏感度變化; 信息標識和處理:定義信息的復制，存儲，輸出，銷毀的處理流程 信息資產(chǎn)安全屬性 A6 信息安全組織信息安全架構，組織內(nèi)部管理，第三方訪問信息安全基本架構論壇(技術人員\高層\各重要部門參與) 協(xié)作責任分配信息處理方法授權過程組織間合作獨立檢查第三方訪問安全 A9 物理和環(huán)境的安全重要性:反恐24小時-CTA下水道接入系統(tǒng)繞過防火墻安全區(qū)域:安全界線\進入控制\保護辦公室\安全區(qū)域工作\隔離設備安全:設備定位\電力供應\電纜安全\設備維護\外部設備完全\設備淘汰一般管理措施:財產(chǎn)轉(zhuǎn)移--不能把設備轉(zhuǎn)移到工作場所之外 A15 符合性要求組織高度重視有關信息安全相關法律法規(guī)的要求。確保組織及員工的行為合法合規(guī)，并符合本組織的信息安全方針和相關規(guī)定；防止因違反法律法規(guī)和相關要求而造成不良后果。 A15 符合性控制措施：防止濫用信息處理設施禁止使用信息處理設施用于未授權的目的。 案例通信公司內(nèi)部人員擅自利用通信系統(tǒng)的手機定位功能，向“偵探公司”提供用戶的位置信息，導致命案。 A8人力資源安全人力資源安全領域強調(diào)如何降低人員交互作用對組織造成的內(nèi)在風險，包括任用前的考察，任用中的管理和培訓以及任用終止的處置。 A8人力資源安全人員安全是造成信息損毀的重要原因 A8人力資源安全公安部曾作過統(tǒng)計 70％的泄密犯罪來自于內(nèi)部；計算機應用單位80％未設立相應的安全管理體系； 58％無嚴格的管理制度。如果相關技術人員違規(guī)操作（如管理員泄露密碼），即便組織有最好的安全技術的支持，也保證不了信息安全。在信息技術高度發(fā)達的美國，信息安全中對人的管理也是一個大問題。在近年一次對600名CIO的調(diào)查表明：有66%的被調(diào)查公司沒有完整的信息安全方針和策略，這就意味著無法對員工進行有效的管理。有32%的被調(diào)查公司要求員工熟悉安全方針與指南只有23%的被調(diào)查公司的員工得到過信息安全的培訓 A8人力資源安全安全控制措施：管理職責管理者應要求雇員、承包方人員和第三方人員按照組織已建立的方針策略和規(guī)程對安全盡心盡力。案例電信公司員工出賣用戶個人信息案 2010年6月8日，北京東方亨特商務調(diào)查中心等5家調(diào)查公司因涉嫌敲詐勒索等非法經(jīng)營被查，牽出其信息來源竟是電信公司工作人員。最終中國移動、中國聯(lián)通的三名被告被判2年5-6個月有期徒刑。 A10 通信和操作管理通信涉及信息的交流和傳輸，操作是對信息處理設施和系統(tǒng)的操作和運行管理。通信和操作管理是信息安全管控的重要運行領域，對這一領域的控制體現(xiàn)了組織安全可靠地運行其信息資產(chǎn)的能力 A10 通信和操作管理操作過程責任記錄變更流程意外事故管理流程開發(fā)過程與運行過程的分離--開發(fā)錯誤\惡意系統(tǒng)規(guī)劃驗收:預測:容量\資源 A10 通信和操作管理控制惡意代碼應實施惡意代碼的檢測、預防和恢復的控制措施，提高用戶安全意識。案例特洛伊木馬病毒在1998年7月，黑客 Cult of the Dead Cow（cDc）推出強大的遠程控制工具 Back Orifice（或稱BO）可以使黑客通過網(wǎng)絡遠程入侵并控制受攻擊的Win95系統(tǒng)，從而使受侵電腦“形同玩偶”。 2007年“灰鴿子”木馬曾在我國大量傳播，使09年 “照片門”事件的央視主持人馬斌 “落馬” A12 信息系統(tǒng)獲取、開發(fā)和維護信息系統(tǒng)獲取、開發(fā)和維護領域涉及信息系統(tǒng)的安全需求、信息和數(shù)據(jù)在應用系統(tǒng)的確認及處理、密碼、系統(tǒng)測試和技術脆弱性 管理等安全控制實踐，以確保將安全要求有機地集成到信息系統(tǒng) A12 信息系統(tǒng)獲取、開發(fā)和維護安全控制措施：技術脆弱性控制應及時得到現(xiàn)用信息系統(tǒng)技術脆弱性的信息，評價組織對這些脆弱性的暴露程度，并采取適當?shù)拇胧﹣硖幚硐嚓P的風險。 案例市政一卡通破解案。由于發(fā)現(xiàn)卡內(nèi)芯片的漏洞，及時升級系統(tǒng)，監(jiān)測出不法充值，使作案人被捕判刑。 A14 業(yè)務連續(xù)性管理關注于在發(fā)生重大災難或故障時確保將業(yè)務中斷的影響最小化，保證組織的基本業(yè)務繼續(xù)運行。業(yè)務連續(xù)性管理反映了組織對信息系統(tǒng)運行中斷后的應對及安全保障能力。 A14 業(yè)務連續(xù)性管理案例 911恐怖襲擊中位于世貿(mào)中心內(nèi)的著名財經(jīng)咨詢公司摩根斯坦利公司，由于實施了業(yè)務連續(xù)性戰(zhàn)略及規(guī)劃，災后第二天成功地恢復了正常的業(yè)務運營，將突發(fā)危機的不利影響降低到了最低程度。 A14 業(yè)務連續(xù)性管理小結建立、實施、運行、保持和改進信息安全管理體系，或采取并保持體系化的安全管控可有效防范風險、降低損失；對信息安全缺乏全面準備，損失的風險得不到控制。四、信息安全技術體系基礎支撐技術：提供包括機密性、完整性和抗抵賴性等在內(nèi)的最基本的信息安全服務，同時為信息安全攻防技術提供支撐主動防御技術和被動防御技術是兩類基本的信息安全防范思路主動防御技術提供阻斷、控制信息安全威脅的能力被動防御技術著眼信息安全威脅的發(fā)現(xiàn)和如何在信息安全威脅發(fā)生后將損失降到最低面向管理技術：以如何提高信息安全技術效率和集成使用信息安全技術為基本出發(fā)點，引入了管理的思想，是一種綜合的技術手段安全網(wǎng)管系統(tǒng)、網(wǎng)絡監(jiān)控、資產(chǎn)管理、威脅管理等屬于這類技術 四、信息安全技術體系基礎支撐技術密碼技術：密碼、簽名、PKI 認證技術：消息認證、身份鑒別訪問控制：人員限制、數(shù)據(jù)標識、權限控制、風險控制（例如：MAC地址邦定）身分認證安全技術動態(tài)口令認證 PKI技術動態(tài)口令身份認證原理數(shù)字簽名數(shù)字簽名(cont.) 使用公鑰系統(tǒng)等效于紙上物理簽名如報文被改變，則與簽名不匹配只有有私鑰的人才可生成簽名，并用于證明報文來源于發(fā)送方 A使用其私鑰對報文簽名，B用公鑰查驗（解密）報文數(shù)字信封報文摘要與數(shù)字簽名(cont.) 數(shù)字簽名較報文摘要昂貴，因其處理強度大為提高其效率，對一個長文進行簽名的常用方法是先生成一個報文摘要，然后再對報文摘要進行簽名。使用這種方法，我們不但可以證明報文來源于A (A對報文簽名，不可否認)，而且確定報文在傳輸過程中未被修改 (報文摘要，機密性)。由于只有 A知道其私有密鑰，一旦他加密 (簽名)了報文摘要 (加密的報文)，他對報文負責 (不可否認)。數(shù)字證書格式（X.509）證書的版本號數(shù)字證書的序列號證書擁有者的姓名證書擁有者的公開密鑰公開密鑰的有效期簽名算法頒發(fā)數(shù)字證書的驗證 數(shù)字時間戳 數(shù)字時間戳服務（DTS）提供電子文件發(fā)表時間的安全保護和證明，由專門機構提供。它包括三個部分：需要加時間戳的文件的摘要 DTS機構收到文件的日期和時間 DTS機構的數(shù)字簽名四、信息安全技術體系主動防御技術防火墻：包過濾、應用代理、地址翻譯NAT、安全路由 VPN：高層封裝底層反病毒：病毒特征碼 AAA認證： 計算機病毒計算機病毒的定義編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼 ——《中華人民共和國計算機信息系統(tǒng)安全保護條例》 計算機病毒的特征自我復制能力 感染性 潛伏性觸發(fā)性破壞性 病毒攻擊的操作系統(tǒng) Microsoft DOS Microsoft Windows 95/98/ME Microsoft Windows NT/2000/XP Unix(Linux) 其他操作系統(tǒng)計算機病毒的分類 按寄生方式分為引導型、病毒文件型病毒和復合型病毒引導型病毒是指寄生在磁盤引導區(qū)或主引導區(qū)的計算機病毒。此種病毒利用系統(tǒng)引導時，不對主引導區(qū)的內(nèi)容正確與否進行判別的缺點，在引導系統(tǒng)的過程中侵入系統(tǒng)，駐留內(nèi)存，監(jiān)視系統(tǒng)運行，待機傳染和破壞。 文件型病毒是指寄生在文件中的計算機病毒。這類病毒程序感染可執(zhí)行文件或數(shù)據(jù)文件。如COM和.EXE等可執(zhí)行文件;Macro/Concept、Macro/Atoms等宏病毒感染.DOC文件。復合型病毒是指具有引導型病毒和文件型病毒寄生方式的計算機病毒。這種病毒擴大了病毒程序的傳染途徑，它既感染磁盤的引導記錄，又感染可執(zhí)行文件。四、信息安全技術體系被動防御技術 IDS Intrusion Detection Systems 網(wǎng)絡掃描蜜罐技術五、信息安全管理方法 1、信息安全風險評估依據(jù)信息安全技術與管理標準評估信息資產(chǎn)、威脅、脆弱點五、信息安全管理方法 2、信息安全事件管理--（應急預案）識別風險后，預先制定管理機制：控制影響重要密碼泄露、系統(tǒng)崩潰、地震信息安全事件管理標準： GB/Z 20985-2007管理指南 GB/Z20986-2007分級指南 GB/Z20988-2007恢復規(guī)范 五、信息安全管理方法 3、信息安全測評認證 4、信息安全工程管理 SSE-CMM系統(tǒng)安全工程能力成熟度模型--基于軟件生命周期理論第二節(jié) 信息安全管理標準一、 BS 7799 二、 其他標準 BS 7799簡介 BS 7799概述： BS 7799是英國標準委員會（Britsh Standards Insstitute，BSI）針對信息安全管理而制定的標準。分為兩個部分：第一部分：被國際標準化組織ISO采納成為ISO/IEC 17799:2005標準的部分，是信息安全管理實施細則（Code of Practice for Information Security Manage-ment），主要供負責信息安全系統(tǒng)開發(fā)的人員參考使用，其主要內(nèi)容分為11方面，提供了133項安全控制措施（最佳實踐）。第二部分：被國際標準化組織ISO采納成為ISO/IEC 20071:2005標準的部分，是建立信息安全管理體系（ISMS）的一套規(guī)范（Specification for Information Security Management Systems ），其中詳細說明了建立、實施和維護信息安全管理體系的要求，可以用來指導相關人員應用ISO/IEC 17799:2005，其最終目的在于建立適合企業(yè)需要的信息安全管理體系。 BS 7799發(fā)展歷程 BS 7799最初由英國貿(mào)工部立項，是業(yè)界、政府和商業(yè)機構共同倡導的，旨在開發(fā)一套可供開發(fā)、實施和衡量有效信息安全管理實踐的通用框架。 1995年，BS 7799 -1:1995《信息安全管理實施細則》首次發(fā)布 1998年，BS 7799-2:1998《信息安全管理體系規(guī)范》發(fā)布 1999年4月，BS 7799的兩個部分被修訂，形成了完整的BS 7799-1:1999 2000年國際信息化標準組織將其轉(zhuǎn)化為國際標準，即ISO/IEC 17799:2000《信息技術—信息安全管理實施細則》 2002年BSI對BS 7799-2：1999進行了重新修訂，正式引入PDCA過程模型； 2004年9月BS 7799-2:2002正式發(fā)布 2005年6月，ISO/IEC 17799:2000經(jīng)過改版，形成了新的ISO/IEC 17799:2005，同年10月推出了ISO/IEC 27001:2005 目前有20多個國家和地區(qū)引用BS 7799作為本國（地區(qū)）標準，有40多個國家和地區(qū)開展了與此相關的業(yè)務。在我國ISO 17799:2000已經(jīng)被轉(zhuǎn)化為GB/T 19716-2005 信息安全管理實施細則將信息安全管理內(nèi)容劃分為11個方面，39個控制目標，133項控制措施，供信息安全管理體系實施者參考使用，這11個方面包括： 1、安全策略（Security Policy） 2、組織信息安全(Organizing Information Security) 3、資產(chǎn)管理(Asset Mangement) 4、人力資源安全(Human Resources Security) 5、物理與環(huán)境安全(Physical and Environmental Security) 6、通信與操作管理(Communication and Operation Management) 7、訪問控制(Access Control) 8、信息系統(tǒng)獲取、開發(fā)與維護(Information Systems Acquisition，Development and Maintenance) 9、信息安全事件管理(Information Security Incident Management) 10、業(yè)務連續(xù)性管理(Business Continuity Management) 11、符合性(Compliance) 安全策略：包括信息安全策略文件和信息安全策略復查。組織安全：包括在組織內(nèi)建立發(fā)起和控制信息安全實施的管理框架；維護被外部伙伴訪問、處理和管理的組織的信息，處理設施和信息資產(chǎn)的安全。資產(chǎn)管理：包括建立資產(chǎn)清單、進行信息分類與分級人力資源安全：包括崗位安全責任和人員錄用安全要求，安全教育與培訓，安全意識，離職及變更職位等。 物理與環(huán)境安全：包括安全區(qū)域控制、設備安全管理等通信與操作管理：包括操作程序和責任，系統(tǒng)規(guī)劃和驗收，防范惡意軟件，內(nèi)務管理，網(wǎng)絡管理，介質(zhì)安全管理，信息與軟件交換安全訪問控制：包括訪問控制策略，用戶訪問控制，網(wǎng)絡訪問控制，操作系統(tǒng)訪問控制，應用訪問控制，監(jiān)控與審計，移動和遠程訪問 信息系統(tǒng)獲取、開發(fā)與維護：安全需求分析，安全機制設計（應用系統(tǒng)安全，密碼控制，系統(tǒng)文件安全），開發(fā)和支持過程的安全控制信息安全事件管理：報告信息安全事件、安全缺陷；責任和程序、從信息安全事件吸取教訓、證據(jù)收集。業(yè)務連續(xù)性管理：業(yè)務連續(xù)性計劃的制訂，演習，審核，改進符合性管理：符合法律法規(guī)，符合安全策略等。 對控制措施的描述不夠細致，導致缺乏可操作性； 133項控制措施未必適合全部的組織，應當有選擇的參考使用； 133項控制措施未必全面，可以根據(jù)實際情況進行增補。 ISO/IEC 17799:2005列舉了十項適用于幾乎所有組織和大多數(shù)環(huán)境的控制措施： 1、與法律相關的控制措施：（1）知識產(chǎn)權：遵守知識產(chǎn)權保護和軟件產(chǎn)品保護的法律；（2）保護組織的記錄：保護重要的記錄不丟失，不被破壞和偽造；（3）數(shù)據(jù)保護和個人信息隱私：遵守所在國的數(shù)據(jù)保護法律。 2、與最佳實踐相關的控制措施：（1）信息安全策略文件：高管批準發(fā)布信息安全策略文件，并廣泛告知；（2）信息安全責任的分配：清晰地所有的信息安全責任；（3）信息安全意識、教育和培訓：全體員工及相關人員應該接受恰當?shù)囊庾R培訓； （4）正確處理應用程序：防止應用程序中的信息出錯、丟失或被非授權篡改及誤用；（5）漏洞管理：防止利用已發(fā)布的漏洞信息來實施破壞；（6）管理信息安全事件和改進：確保采取一致和有效的方法來管理信息安全事件。（7）業(yè)務連續(xù)性管理：減少業(yè)務活動中斷，保護關鍵業(yè)務過程不受重大事故或災難影響。 信息安全管理體系規(guī)范(Specification for Information Security Management System) 說明了建立、實施、維護，并持續(xù)改進ISMS的要求指導實施者如何利用BS7799-1來建立一個有效的ISMS BSI提供依據(jù)BS7799-2所建立ISMS的認證 建立ISMS（PLAN）定義ISMS的范圍和策略識別和評估風險評估現(xiàn)有保證措施準備適用性說明取得管理層對殘留風險的認可，并獲得實施ISMS的授權 實施ISMS（DO）制訂并實施風險處理計劃實施安全控制措施實施安全意識和安全教育培訓實施檢測和響應安全機制 監(jiān)視和復查ISMS（CHECK）實施監(jiān)視程序和控制定期復審ISMS的效力定期進行ISMS內(nèi)部審計復查殘留風險和可接受風險的水平 改進ISMS（ACT）對ISMS實施可識別的改進實施糾正和預防措施確保改進成果滿足預期目標 強調(diào)文檔化管理的重要作用，文檔體系包括安全策略適用性聲明實施安全控制的規(guī)程文檔 ISMS管理和操作規(guī)程與ISMS有關的其它文檔 建立ISMS的過程制訂安全策略確定體系范圍明確管理職責通過安全風險評估確定控制目標和控制措施復查、維護與持續(xù)改進二、其他標準 1、PD3000 BS7799標準本身是不具有很強的可實施性的，為了指導組織更好地建立ISMS并應對BS7799認證審核的要求，BSIDISC提供了一組有針對性的指導文件，即PD3000系列。 2、CC （1）信息技術產(chǎn)品和系統(tǒng)安全性測評標準，是信息安全標準體系中非常重要的一個分支；是目前國際上最通行的信息技術產(chǎn)品及系統(tǒng)安全性測評標準，也是信息技術安全性評估結果國際互認的基礎。 （2）CC、ISO/IEC15408、GB/T18336是同一個標準。 （3）CC的組要目標讀者是用戶、開發(fā)者和評估者。 （4）與BS7799標準相比，CC的側(cè)重點放在系統(tǒng)和產(chǎn)品的技術指標評價上；組織在依照BS7799標準來實施ISMS時，一些牽涉系統(tǒng)和產(chǎn)品安全的技術要求，可以借鑒CC標準。 3、ISO/IEC TR 13335 （1）信息和通信技術安全管理，是由ISO/IEC JTC1制定的技術報告，是一個信息安全管理方面的指導性標準，其目的是為有效實施IT安全管理提供建議和支持。 （2）對信息安全風險及其構成要素間關系的描述非常具體，對風險評估方法過程的描述很清晰，可用來指導實施。 4、SSE-CMM （1）SSE-CMM模型是CMM在系統(tǒng)安全工程這個具體領域應用而產(chǎn)生的一個分支，是美國國家安全局（NSA）領導開發(fā)的，是專門用于系統(tǒng)安全工程的能力程度度模型。 （2）ISO/IEC DIS 21827信息技術—系統(tǒng)安全工程—能力成熟度模型 （3）SSE-CMM將系統(tǒng)安全工程成熟度劃分為5個等級 （4）SSE-CMM可以作為評估工程實施組織（如安全服務提供商）能力與資質(zhì)的標準。我國國家信息安全測評認證中心在審核專業(yè)機構信息安全服務資質(zhì)時，基本上就是依據(jù)SSE-CMM來審核并劃分等級的。 5、NIST SP 800系列 美國國家標準技術委員會（NIST）發(fā)布的Special Publication 800文檔是一系列針對信息安全技術和管理領域的實踐參考指南。 6、ITIL 信息技術基礎設施庫（IT Infrastructure Library），是由英國中央計算機與電信局（CCTA）發(fā)布的關于IT服務管理最佳實踐的建議和指導方針，旨在解決IT服務質(zhì)量不佳的情況。 7、CobiT 信息及相關技術控制目標（Control Objectives for Information and related Technology，CobiT）是由美國信息系統(tǒng)審計與控制協(xié)會針對IT過程管理制定的一套基于最佳實踐的控制目標，是目前國際上公認的最先進、最權威的安全與信息技術管理和控制標準。 Thank You！xTE紅軟基地

信息安全管理相關理論PPT課件：這是一個關于信息安全管理相關理論PPT課件，主要介紹了信息安全管理基礎、信息安全管理相關理論與技術、信息安全管理工作方法等內(nèi)容。信息安全管理及基礎理論和工作方法信息安全管理基礎信息安全管理相關理論與技術信息安全管理工作方法信息安全管理基礎信息安全管理的意義人們對信息安全認識的誤區(qū)安全管理建設網(wǎng)絡信息安全管理體系網(wǎng)絡安全管理策略信息安全管理的基本內(nèi)容 信息安全管理的意義信息安全管理的意義人們對信息安全認識的誤區(qū)安全管理建設信息安全管理體系 網(wǎng)絡與信息安全 = 信息安全技術 + 信息安全管理體系(ISMS) 《信息安全管理體系（ISMS）標準》 信息安全政策信息安全組織信息資產(chǎn)分類與管理個人信息安全，物理和環(huán)境安全通信和操作安全管理存取控制信息系統(tǒng)的開發(fā)和維護持續(xù)運營管理 網(wǎng)絡安全管理策略 在網(wǎng)絡安全中，加強網(wǎng)絡的安全管理，制定有關規(guī)章制度，對于確保網(wǎng)絡的安全、可靠地運行，將起到十分有效的作用。網(wǎng)絡的安全管理策略包括：確定安全管理的等級和安全管理的范圍；制定有關網(wǎng)絡使用規(guī)程和人員出入機房管理制度；制定網(wǎng)絡系統(tǒng)的維護制度和應急措施等。 信息安全管理的基本內(nèi)容 OSI安全體系結構的第三個主要部分就是安全管理。它的主要內(nèi)容是實施一系列的安全政策，對系統(tǒng)和網(wǎng)絡上的操作進行管理。它包括三部分內(nèi)容：系統(tǒng)安全管理安全服務管理安全機制管理 OSI安全管理涉及到OSI管理系統(tǒng)本身的安全，包括OSI管理協(xié)議的安全和OSI管理信息交換的安全等。 系統(tǒng)安全管理涉及整體OSI安全環(huán)境的管理。包括：總體安全策略的管理 OSI安全環(huán)境之間的安全信息交換安全服務管理和安全機制管理的交互作用安全事件的管理安全審計管理安全恢復管理 安全服務管理涉及特定安全服務的管理，其中包括：對某種安全服務定義其安全目標; 指定安全服務可使用的安全機制; 通過適當?shù)陌踩珯C制管理及調(diào)動需要的安全機制; 系統(tǒng)安全管理以及安全機制管理相互作用，歡迎點擊下載信息安全管理相關理論PPT課件哦。

信息安全管理制度體系PPT課件：這是一個關于信息安全管理制度體系PPT課件，主要介紹了信息安全的保護機制、開放系統(tǒng)互連安全體系結構、信息安全體系框架、信息安全技術、信息安全的產(chǎn)品類型、信息安全等級保護與分級認證等內(nèi)容。掌握信息安全風險狀態(tài)和分布情況的變化規(guī)律，提出安全需求，建立起具有自適應能力的信息安全模型，從而駕馭風險，使信息安全風險被控制在可接受的最小限度內(nèi)，并漸近于零風險。 安全與實現(xiàn)的方便性是矛盾的對立。必須犧牲方便性求得安全，我們必須在這兩者之間找出平衡點，在可接受的安全狀況下，盡力方便用戶的使用。根據(jù)OSI安全體系結構ISO7498-2，提出安全服務(即安全功能)和安全機制，在此基礎上提出信息安全體系框架，結合ISC2提出的信息安全5重屏障，劃定信息安全技術類型，形成相應的信息安全產(chǎn)品，歡迎點擊下載信息安全管理制度體系PPT課件哦。

信息安全管理體系介紹PPT：這是一個關于信息安全管理體系介紹PPT，主要介紹了信息安全基本要素、信息安全基本要素、信息安全概況、信息安全體系建設典型解決方案信息安全的目的、構建入侵檢測系統(tǒng)、構建入侵檢測系統(tǒng)建構步驟等內(nèi)容。14-信息安全體系建設 1、信息安全基本要素信息安全的攻與防一些經(jīng)典的結論信息安全策略基本的安全建議阻止或禁用所有沒有顯式允許的行為總要設置足夠復雜的口令，并經(jīng)常更改認真地使用廠商發(fā)布的補丁進行更新使用最小的權限授權所有的訪問有限的信任對所有的外部接口（包括撥號接口）心存懷疑啟用監(jiān)視、記錄、審查和檢測功能做好事件響應能力和業(yè)務連續(xù)能力的規(guī)劃技術并不能保護你不受到來自社會的攻擊開發(fā)安全策略，獲得管理層的認可并廣泛應用進行真實的風險評估比敵人更了解你的平臺和應用程序 2、信息安全技術體系架構信息安全模型（一）信息安全模型（二）基于OSI參考模型的安全技術信息安全網(wǎng)絡安全組件 網(wǎng)絡的整體安全是由安全操作系統(tǒng)、應用系統(tǒng)、防火墻、網(wǎng)絡監(jiān)控、安全掃描、信息審計、通信加密、災難恢復、網(wǎng)絡反病毒等多個安全組件共同組成的，每一個單獨的組件只能完成其中部分功能，而不能完成全部功能 主機網(wǎng)絡安全系統(tǒng)體系結構信息安全技術技術體系信息安全防護信息安全檢測信息安全響應信息安全恢復信息安全審計安全機制評估認證授權監(jiān)控審計應急 信息安全風險評估機制信息安全風險評估機制作用: 及時發(fā)現(xiàn)安全隱患，便于事前響應提供信息安全決策信息信息安全風險評估機制組成: 信息資產(chǎn)健康檔案庫漏洞掃描系統(tǒng)安全滲透工具 信息安全認證授權機制信息安全認證授權機制作用: 防止非法者進入限制合法者權限信息安全認證授權機制組成: 身份識別系統(tǒng)授權系統(tǒng)密碼管理系統(tǒng) 信息安全防護機制信息安全防護機制作用: 防止信息安全攻擊發(fā)生切斷攻擊鏈信息安全防護機制組成: 防火墻系統(tǒng)網(wǎng)絡隔離系統(tǒng)病毒防范系統(tǒng)補丁管理系統(tǒng)，歡迎點擊下載信息安全管理體系介紹PPT哦。