信息安全管理
-
信息安全保护等级的(),国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。 -
CIA三大要素:保密性、完整性、可用性。
-
在ISO/IEC 27000系列标准中,给出了组织、人员、物理和技术方面的控制参考,这些控制参考是组织需要策划、实施和监测信息安全管理的主要内容。
-
《信息安全等级保护管理办法》将信息系统的安全保护等级分为( )。 5
-
信息安全管理内容:(1)组织控制。(2)人员控制。(3)物理控制。(4)技术控制。
-
信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害,属于信息安全等级的()。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
-
()在自身遭到损害后,能够较快恢复绝大部分功能。第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。
-
“等保2.0”的技术变更:
物理和环境安全实质性变更;
网络和通信安全实质性变更;
设备和计算安全实质性变更;
应用和数据安全实质性变更。
“等保2.0”的管理变更:
安全策略和管理制度实质性变更;
安全管理机构和人员实质性变更;
安全建设管理实质性变更;
安全运维管理实质性变更。
信息安全系统
- X轴是“安全机制”,Y轴是“OSI网络参考模型”,Z轴是“安全服务”。
- 数据安全不属于基础设施实体安全。
- 信息安全系统:
X轴是“安全机制”、
Y轴是“OSI网络参考模型”、
Z轴是“安全服务”。
由X、Y、Z三个轴形成的信息安全系统三维空间就是信息系统的“安全空间”。
随着网络逐层扩展,这个空间不仅范围逐步加大,安全的内涵也更加丰富,具有认证、权限、完整、加密和不可否认五大要素,也叫作“安全空间”的五大属性。 - 组织可以结合WPDRRC能力模型,从人员、技术、政策(包括法律、法规、制度、管理)三大要素来构成宏观的信息网络安全保障体系结构的框架。
- 组织安全防范体系的建立可以更好地发挥以下6项能力,包括预警(Warn)、保护(Protect)、检测(Detect)、反应(Response)、恢复(Recover)和反击(Counter-attack),即综合的WPDRRC信息安全保障体系。
- 访问控制服务:访问控制是指通信双方应该能够对通信的过程、通信的内容具有不同强度的控制能力,其目的在于保护信息免于被未经授权的实体访问,这是有效和高效通信的保障。访问控制可分为自主访问控制、强制访问控制、基于角色的访问控制。
工程体系架构
-
ISSE将信息安全系统工程实施过程分解为工程过程、风险过程、保证过程3个基本的部分。
-
公共特性分为5个级别:
(1)Level 1:非正规实施级(执行基本实施);
(2)Level 2:规划和跟踪级(规划执行、规范化执行、验证执行、跟踪执行);
(3)Level 3:充分定义级(定义标准化过程、执行已定义的过程、协调安全实施);
(4)Level 4:量化控制级(建立可测度的质量目标、对执行情况实施客观管理);
(5)Level 5:持续改进级(改进组织能力、改进过程的效能)。 -
ISSE-CMM主要适用于:工程组织、获取组织、评估组织。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
