17.1信息安全管理
17.1.1信息安全含义及目标
信息安全:保护信息的保密性、完整性、可用性,另外也包括其他属性,如真实性、可核查性、不可抵赖性、可靠性。
目标:保密性、完整性、可用性、其他属性(真实性、可核查性、不可抵赖性、可靠性);
17.1.2信息安全管理的内容
信息安全方针与策略;组织信息安全;资产管理;人力资源安全;物理和环境安全;通信和操作安全;访问控制;信息获取、开发和保持;信息安全事件管理;业务持续性管理;符合性;
17.2信息系统安全
17.2.1信息系统安全概念
信息系统:指由计算机及其相关和配套的设备、设施构成的、按照一定的应用目标和规则对信息进行存储、传输、处理的系统或网络。
信息系统安全:指信息系统及其所存储、传输、处理的信息的保密性、完整性、可用性的表征,一般包括保障计算机及其相关和配套的设备、设施的安全,运行环境安全、保障信息的安全。
17.2.2信息系统安全属性
保密性、完整性、可用性、不可抵赖性
17.2.3信息系统安全管理体系
信息安全管理是对一个组织机构中信息系统的生命周期全过程实施符合安全等级责任要求的管理。
l 组织机构体系、管理体系、技术体系
管理体系:配备安全管理人员;建立安全职能部门;成立安全领导小组;主要负责人出任领导;建立信息安全保密管理部门;
(GB/T20269-2006《信息系统安全技术 信息系统安全管理要求》)
技术体系: