第12章信息安全管理与审计 信息安全管理体系 信息安全风险评估 信息安全审计 本章小结
第12章 信息安全管理与审计 信息安全管理体系 信息安全风险评估 信息安全审计 本章小结
信息安全管理体系
信息安全管理体系
信息安全管理需求 信息系统是人机交互系统 设备的有效利用是人为的管理过 应对风险需要人为的管理过程 程
信息安全管理需求 信息系统是人机交互系统 设备的有效利用是人为的管理过 程 应对风险需要人为的管理过程
三分技术,七分管理 ■ 据有关统计,信息安全事件中大约有70%以上的问题都是由于管理方面 的原因造成的。 2007年网络安全事件类型分布 CNOERTICC 计算机安全事件 ■人为因崇 ■自然灾多 ■技术性误 毒,统求成木马.韩顺军将欢击.2以1号 黑两 ■组织内部人员作来■外部不法人员攻击 同格仿写152品55 ■阴传罗 10% 3% ■的家影将 10% 丝同其学意代玛 每落用 网沉满安代风 11512% 病毒。帆虫联木可 ■柜约限秀取击 25% 垃领M.11977写 数据来源 CNCERT/CC
三分技术,七分管理 据有关统计,信息安全事件中大约有70%以上的问题都是由于管理方面 的原因造成的。 数据来源 CNCERT/CC
信息安全工程 信息安全需要对信息系统的各个环节进行统一的综合考虑、规划和架构, 并需要兼顾组织内外不断变化的发生的变化。 木桶原理:信息系统安全水平将由与信息安全有关的所有环节中最薄弱 的环节所决定 要实现信息安全目标,一个组织必须使构成安全防范体系的这只“木桶” 的所有木板都达到一定的长度。 要实现良好的信息安全,需要信息安全技术和信息安全管理有效地配合
信息安全需要对信息系统的各个环节进行统一的综合考虑、规划和架构, 并需要兼顾组织内外不断变化的发生的变化。 木桶原理:信息系统安全水平将由与信息安全有关的所有环节中最薄弱 的环节所决定 要实现信息安全目标,一个组织必须使构成安全防范体系的这只“木桶” 的所有木板都达到一定的长度。 信息安全工程 要实现良好的信息安全,需要信息安全技术和信息安全管理有效地配合