資源簡介

(共17張PPT)
信息系統的安全
四
信息系統安全技術
1
信息系統安全風險
2
信息系統安全管理
3
目 錄
信息系統安全管理
03
“技術”和“管理”哪個重要？
某快遞公司的數據維護人員在一次飲酒上班時，由于酒精作用，精神不集中，一不小心刪除了部分數據庫，導致上萬件包裹滯留。為此公司全員加班，持續24小時才恢復數據。
這些人為因素是造成信息系統安全風險，可以通過什么方式來降低？
情景引入
造成本次事故的因素是什么？
管理
人為操作不當
一般來說信息系統安全事件發生的原因主要有三大方面：
1、信息設備使用人員認識不足；70%
2、操作不當；
3、不法分子惡意攻擊破壞。
活動1 探討學校機房的管理制度
進入學校機房，同學們會發現學校制定了一些機房管理制度。為什么需要這些制度呢？請同學們討論，學校機房的規章制度可以降低哪些風險發生的可能性。
增加病毒傳播的可能
造成電路短路
學校機房制定的規章制度能規范教職員工、學生的操作和使用行為。從廣泛的意義上看，可以降低信息系統的安全風險。
①信息安全方針與政策 ⑦訪問控制
② ⑧信息系統的獲取、開發和保持
③ ⑨信息安全事件管理
④人力資源安全 ⑩
⑤物理和環境安全
⑥通信與操作安全
結合以下標準對機房的制度進行核查和評價
信息安全組織
資產管理
業務持續性管理
符合性檢查
表4.3.2 信息安全管理調查表
參考：ISO/IEC 27002《信息技術 安全技術 信息安全管理體系實踐準則》
一、信息系統的安全管理體系
二、信息系統安全管理的階段
信息系統安全管理可劃分為：①事先防御階段
內網
外網
圍墻隔離
門衛核查
特殊接送
網絡隔離
訪問控制
加密傳輸
二、信息系統安全管理的階段
信息系統安全管理可劃分為：②實時監測階段
視頻監控
保衛巡邏
火災探測
病毒監控
入侵檢測
用戶行為監控
二、信息系統安全管理的階段
信息系統安全管理可劃分為：③事后響應階段
報警、急救
事故認定、問責
修復、加固
報警、急救
取證、問責
修復、加固
在不同的安全管理階段，利用病毒監控、加密傳輸、防火墻等安全技術，是信息系統安全防護的重要措施和手段。
三、信息系統安全管理的階段
信息系統安全管理可劃分為：事先防御階段、實時監測階段和事后響應階段。
所屬階段 校園安全防護 信息系統安全管理
事先防御 圍墻隔離 門衛核查 特殊接送 網絡隔離
訪問控制
加密傳輸
實時監控 視頻監控 保衛巡邏 火災探測 病毒監控
入侵檢測
系統/用戶行為監控
事后響應 報警、急救 事故認定、問責 修復、加固 報警、急救
取證、問責
修復、加固
在不同的安全管理階段，利用病毒監控、加密傳輸、防火墻等安全技術，是信息系統安全防護的重要措施和手段。
個人或企業等不同用戶群體在安全策略上又有什么區別？
企業高度重視人員安全問題
為降低內部員工人為帶來的差錯、盜竊、欺詐及濫用設施的風險，避免引發法律風險，組織應該采取措施，加強內部人員的安全管理， 主要包括以下幾個方面：
對工作申請者實施背景檢查
01
簽訂雇傭合同和保密協議
02
加強在職人員的安全管理
03
嚴格控制人員離職程序，立即撤銷離職者的訪問權限
04
三、信息系統的安全管理策略
為保障網絡安全，維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，我國頒布了相關的法律。
2017年6月1日，《中華人民共和國網絡安全法》
2021年9月1日，《中華人民共和國數據安全法》
2021年11月1日，《中華人民共和國個人信息保護法》
四、系統安全管理模型
針對檢查結果采取應對措施，改進安全狀況。
依據策略、程序、標準和法律法規，對安全措施的實施情況進行符合性檢查
根據風險評估結果、法律法規要求、組織業務運作自身需要來確定控制目標與控制措施。
實施所選的安全控制措施
措施Action
計劃Plan
檢查Check
實施Do
管理周期
信息系統安全必須從整體考慮， 做到遵循“有計劃有目標、發現問題、分析問題、采取措施解決問題、后續監督避免再現” 的全程管理思路， 建立一套完整的信息系統安全管理體系。
總結：信息系統安全管理決策要點
1.制定信息安全管理方針和多層次的安全策略，以便為各項信息安
全管理活動提供指引和支持。
2.通過風險評估來充分發掘組織真實的信息安全需要。
3.遵循預防為主的理念。
4.加強人員的安全意識和安全教育。
5.足夠重視并提供切實有效的支持。
6.持有動態管理、持續改進的思想。
7.以業務持續發展為目標，達成信息安全控制的力度、使用的便利
性以及成本投入之間的平衡。
小結
歸根到底，信息安全并不只是技術過程，更重要的是管理過程。
PRESENTATION TEMPELETE TITLE
謝謝觀看
THANK YOU

展開更多......

收起↑