信息安全管理知识体系主要包括信息安全管理体系、信息安全策略、信息安全系统、信息安全技术体系等。
一、信息安全管理
1、信息安全管理体系(ISMS)。ISO27001是国际标准化组织(ISO)和国际电工委员会(ICE)联合发布的信息安全管理体系(ISMS)标准。该标准为组织提供了一套全面的方法,基于业务风险来建立、实施、运行、监视、评审、保持和改进信息安全管理。主要内容和步骤包括定义安全管理范围、制定信息安全方针、实施信息安全风险评估、风险处置、选择控制措施、制定安全知识文档、实施运行安全策略、监控与评审、持续改进等。
2、信息安全管理的基本属性。完整性、可用性、保密性、可控性、可靠性。
3、信息安全的三要素。保密性、完整性、可用性。
二、信息安全策略
信息系统安全策略是指针对本单位的计算机业务应用系统的安全风险进行有效的识别、评估后,所采取的各种措施、手段,以及建立的各种管理制度、规章等。
1、安全策略的立足点。一个单位的安全策略一定是定制的,都是针对本单位的安全风险和威胁来进行防护的,安全策略的归宿点就是单位的资产能够得到充分的保护。
2、安全策略的核心内容。
定方案 | 明确组织结构、方针政策、规划活动、职责、实践、程序、过程和资源等 |
定岗 | 岗位职责明确 |
定位 | 明确安全方针策略、保护等级、执行标准等要求 |
定员 | 角色明确 |
定目标 | 提取KPI |
定制度 | 制度不能与业务脱节 |