信息安全工程與管理第5章、信息安全管理概述本章目錄5.1信息安全管理相關(guān)概念5.2信息安全管理標(biāo)準(zhǔn)5.3信息安全管理的實(shí)施要點(diǎn)5.1信息安全管理相關(guān)概念僅依靠產(chǎn)品和技術(shù)，即使采購(gòu)和使用了足夠先進(jìn)、數(shù)量夠多的信息安全產(chǎn)品，仍無(wú)法避免一些安全事件。計(jì)算機(jī)安全事件原因分析:5.1.1什么是信息安全管理5.1信息安全管理相關(guān)概念總之，信息安全管理是組織中用于指導(dǎo)和管理各種控制信息安全風(fēng)險(xiǎn)、一組相互協(xié)調(diào)的活動(dòng)，有效的信息安全管理應(yīng)該是在有限的成本下，盡量做到安全“滴水不漏”。5.1.1什么是信息安全管理5.1信息安全管理相關(guān)概念由于計(jì)算機(jī)的開(kāi)放性和標(biāo)準(zhǔn)化等結(jié)構(gòu)特點(diǎn)，使計(jì)算機(jī)信息具有高度共享和易于擴(kuò)散等特性，從而導(dǎo)致計(jì)算機(jī)信息在處理、存儲(chǔ)、傳輸和應(yīng)用過(guò)程中很容易被泄露、竊取、篡改和破壞，或者受到計(jì)算機(jī)病毒的感染。國(guó)外相關(guān)信息安全事件：2014年雅虎被黑客竊取5億賬戶的數(shù)據(jù)2019年4月，F(xiàn)acebook兩個(gè)數(shù)據(jù)集被暴露在互聯(lián)網(wǎng)上2020年微軟長(zhǎng)達(dá)14年2.5億條客戶記錄泄露2022年6月美國(guó)得克薩斯州圣安東尼奧的BaptistMedicalCenter醫(yī)療中心和德克薩斯州新布朗費(fèi)爾斯的ResoluteHealthHospital附屬醫(yī)院發(fā)生涉及124萬(wàn)用戶的數(shù)據(jù)泄漏5.1.2信息安全管理現(xiàn)狀5.1信息安全管理相關(guān)概念我國(guó)信息安全管理現(xiàn)狀：2011年12月，CSDN的安全系統(tǒng)遭到黑客攻擊，超過(guò)600萬(wàn)個(gè)注冊(cè)郵箱賬號(hào)和對(duì)應(yīng)明文密碼被黑客盜取并泄露，部分用戶賬號(hào)面臨風(fēng)險(xiǎn)，網(wǎng)站將因此臨時(shí)關(guān)閉用戶登錄，涉及用戶600萬(wàn)。隨后，多玩、人人、天涯等也被指責(zé)存在用戶數(shù)據(jù)泄露問(wèn)題。盡管有部分網(wǎng)站否認(rèn)，但還是即刻引起互聯(lián)網(wǎng)用戶的關(guān)注。用戶數(shù)據(jù)大規(guī)模集中泄露對(duì)中國(guó)互聯(lián)網(wǎng)的信息安全漏洞敲響了警鐘據(jù)國(guó)家網(wǎng)信辦通報(bào)，滴滴公司違反《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》的違法違規(guī)行為事實(shí)清楚、證據(jù)確鑿、情節(jié)嚴(yán)重、性質(zhì)惡劣。經(jīng)查明，滴滴公司共存在16項(xiàng)違法事實(shí)。根據(jù)國(guó)家網(wǎng)信辦通報(bào)，滴滴公司還存在嚴(yán)重影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)，拒不履行監(jiān)管要求，給國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全帶來(lái)嚴(yán)重安全風(fēng)險(xiǎn)隱患。2022年7月21日，國(guó)家互聯(lián)網(wǎng)信息辦公室對(duì)滴滴處以人民幣80.26億元罰款。5.1.2信息安全管理現(xiàn)狀5.1信息安全管理相關(guān)概念5.1.2信息安全管理現(xiàn)狀我國(guó)信息安全管理當(dāng)前的成績(jī)：初步建成了國(guó)家信息安全組織保障體系。制定了一系列必須的信息安全管理法律法規(guī)。制定和引進(jìn)了一批重要的信息安全管理標(biāo)準(zhǔn)。

信息安全風(fēng)險(xiǎn)評(píng)估工作已經(jīng)得到重視和開(kāi)展。5.1信息安全管理相關(guān)概念5.1.3信息安全管理意義信息已經(jīng)成為維持社會(huì)經(jīng)濟(jì)活動(dòng)和生產(chǎn)活動(dòng)的重要基礎(chǔ)資源，成為政治、經(jīng)濟(jì)、文化、軍事乃至社會(huì)任何領(lǐng)域的基礎(chǔ)。信息安全管理是保護(hù)國(guó)家、組織和個(gè)人等各個(gè)層面上信息安全的重要基礎(chǔ)。在一個(gè)有效的信息安全管理體系上，通過(guò)完善信息安全管理結(jié)構(gòu)，綜合應(yīng)用信息安全管理策略和信息安全技術(shù)產(chǎn)品，才有可能建立起一個(gè)真正意義上的信息安全保障體系。5.1信息安全管理相關(guān)概念5.1.4信息安全管理的內(nèi)容和原則內(nèi)容：（1）落實(shí)安全管理機(jī)構(gòu)及安全管理人員，明確職責(zé)，制定安全規(guī)劃。（2）開(kāi)發(fā)安全策略。（3）實(shí)施風(fēng)險(xiǎn)管理。（4）制定業(yè)務(wù)持續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃。（5）選擇與實(shí)施安全措施。（6）保證配置、變更的正確與安全。（7）進(jìn)行安全審計(jì)。（8）保證維護(hù)支持。（9）進(jìn)行監(jiān)控、檢查，處理安全事件。（10）安全意識(shí)與安全教育。（11）人員安全管理等。5.1信息安全管理相關(guān)概念5.1.4信息安全管理的內(nèi)容和原則原則：（1）基于安全需求原則。（2）主要領(lǐng)導(dǎo)負(fù)責(zé)原則。（3）全員參與原則。（4）系統(tǒng)方法原則。（5）持續(xù)改進(jìn)原則。（6）依法管理原則。（7）分權(quán)和授權(quán)原則。（8）選用成熟技術(shù)原則。（9）分級(jí)保護(hù)原則。（10）管理與技術(shù)并重原則。（11）自保護(hù)和國(guó)家監(jiān)管結(jié)合原則。5.1信息安全管理相關(guān)概念5.1.5信息系統(tǒng)的安全因素5.1信息安全管理相關(guān)概念5.1.6信息安全管理模型本章目錄5.1信息安全管理相關(guān)概念5.2信息安全管理標(biāo)準(zhǔn)5.3信息安全管理的實(shí)施要點(diǎn)5.2信息安全管理標(biāo)準(zhǔn)5.2.1信息安全管理標(biāo)準(zhǔn)的發(fā)展5.2信息安全管理標(biāo)準(zhǔn)5.2.2BS7799的內(nèi)容BS7799-1控制方面控制目標(biāo)控制措施安全方針（1，2）為信息安全提供管理方向和支持建立安全方針文檔，并評(píng)審與評(píng)價(jià)方針安全組織（3，10）建立組織內(nèi)的管理體系，以便安全管理完善組織結(jié)構(gòu)，控制組織內(nèi)部信息安全，保證被第三方訪問(wèn)的設(shè)施和信息資產(chǎn)安全，進(jìn)行外部信息安全評(píng)審，確保外包合同安全資產(chǎn)分類與控制（2，3）維護(hù)組織資產(chǎn)的適當(dāng)保護(hù)系統(tǒng)制定資產(chǎn)清單，進(jìn)行信息標(biāo)簽分類，確保信息資產(chǎn)受到適當(dāng)保護(hù)人員安全（3，10）減少人為造成的風(fēng)險(xiǎn)減少錯(cuò)誤、盜竊、濫用等造成的風(fēng)險(xiǎn)，進(jìn)行教育培訓(xùn)，完善事故反應(yīng)機(jī)制，總結(jié)教訓(xùn)，獎(jiǎng)罰并用物理與環(huán)境安全（3，13）防止未許可的介入、損傷和干擾服務(wù)阻止對(duì)工作區(qū)和物理設(shè)備的非法進(jìn)入，防止資產(chǎn)的丟失、損壞或泄露造成業(yè)務(wù)活動(dòng)的中斷，桌面與屏幕管理阻止信息的泄露通信和運(yùn)營(yíng)管理（7，24）保證通信和操作設(shè)備的正確和安全確保信息處理設(shè)備的正確與安全操作，減少系統(tǒng)失效風(fēng)險(xiǎn)，保持軟件和信息的完整性，保持信息處理和通信的完整性和有效性，確保網(wǎng)絡(luò)中信息及其支持系統(tǒng)的安全，防止資產(chǎn)損壞和業(yè)務(wù)活動(dòng)中斷，防止組織間在交換信息時(shí)發(fā)生信息丟失、更改和誤用訪問(wèn)控制（8，31）控制對(duì)業(yè)務(wù)信息的訪問(wèn)控制信息訪問(wèn)，防止非授權(quán)訪問(wèn)設(shè)備、計(jì)算機(jī)、系統(tǒng)及信息，保護(hù)網(wǎng)絡(luò)服務(wù)，檢測(cè)非法行為，確保使用移動(dòng)式計(jì)算和遠(yuǎn)程工作設(shè)施時(shí)的信息安全系統(tǒng)開(kāi)發(fā)與維護(hù)（5，18）保證系統(tǒng)開(kāi)發(fā)與維護(hù)的安全確保安全性深入到操作系統(tǒng)中，防止應(yīng)用系統(tǒng)用戶數(shù)據(jù)的丟失、修改或誤用，保護(hù)信息的保密性、完整性和可靠性，保證IT方案及其支持活動(dòng)以安全的方式進(jìn)行，維護(hù)應(yīng)用系統(tǒng)軟件和信息的安全業(yè)務(wù)持續(xù)性管理（1，5）防止商業(yè)活動(dòng)中斷和事故的影響防止業(yè)務(wù)活動(dòng)的中斷，并保護(hù)關(guān)鍵業(yè)務(wù)過(guò)程不受重大事故或?yàn)?zāi)難影響法律符合性（3，11）避免任何違反法律法規(guī)、合同等行為避免與有關(guān)法律法規(guī)或合同約定事項(xiàng)相抵觸，確保安全體系按安全方針及標(biāo)準(zhǔn)執(zhí)行，將系統(tǒng)的審核效果最大化，并使其影響最小化5.2信息安全管理標(biāo)準(zhǔn)5.2.2BS7799的內(nèi)容BS7799-25.2信息安全管理標(biāo)準(zhǔn)5.2.3引入BS7799的好處通過(guò)認(rèn)證能向客戶、競(jìng)爭(zhēng)對(duì)手、投資商、供應(yīng)商等展示在其行業(yè)中的領(lǐng)導(dǎo)地位。定期監(jiān)督審核能加強(qiáng)系統(tǒng)的安全性，減少系統(tǒng)故障和潛在的風(fēng)險(xiǎn)隱患，節(jié)約資源。通過(guò)認(rèn)證相當(dāng)于是一種承諾，能提高企業(yè)的信譽(yù)度，增強(qiáng)客戶購(gòu)買(mǎi)或投資的信心。能夠向政府及行業(yè)主管部門(mén)證明企業(yè)對(duì)相關(guān)法律法規(guī)的符合性。可以改善企業(yè)的業(yè)績(jī)，消除不信任感，有利于拓展市場(chǎng)與業(yè)務(wù)。獲得國(guó)際認(rèn)可的認(rèn)證證書(shū)，能得到國(guó)際上的承認(rèn)。

本章目錄5.1信息安全管理相關(guān)概念5.2信息安全管理標(biāo)準(zhǔn)5.3信息安全管理的實(shí)施要點(diǎn)5.3信息安全管理的實(shí)施要點(diǎn)加強(qiáng)審計(jì)管理。加強(qiáng)行政管理。加強(qiáng)人事管理。加強(qiáng)安全管理。

要有效地保護(hù)信息系統(tǒng)的安全，涉及到信息系統(tǒng)研制單位、信息化應(yīng)用工程建設(shè)單位、乃至國(guó)家有關(guān)主管部門(mén)共同實(shí)施的大問(wèn)題，需要在立法、行政、技術(shù)三方面采取綜合措施。

有關(guān)管理工作方面的信息安全實(shí)施要點(diǎn)：本章總結(jié)信息安全管理是信息安全保障體系建設(shè)的重要組成部分。在我國(guó)，信息安全管理是對(duì)一個(gè)組織機(jī)構(gòu)中信息系統(tǒng)的生命