8.1 信息安全管理
8.1.1 保障要求(掌握)
网络与信息安全保障体系中的安全管理建设,通常需要满足以下原则:
(1) 网络语信息安全管理要做到总体策划
(2) 建立相关组织机构
(3) 使用技术方法解决通信与操作的安全、访问控制、系统开发与维护
(4) 实施检查安全管理的措施与审计
网络安全与管理至少要成立一个安全运行组织,制定一套按去哪管理制度并建立一个应急响应机制,组织需要确保以下3个方面满足保障要求:
(1) 安全运行组织应包括主管领导、信息中总协和业务应用等相关部门,领导是核心,信息中心是实体,业务部门是使用者
(2) 做到多人负责、任期有限、职责分离的原则
(3) 应急响应机制是主要由管理人员和技术人员共同参与的内部机制
8.1.2 管理内容(了解)
信息安全管理涉及信息系统治理、管理、运行、退役等各个方面;在ISO/IEC27000系列标准中,列出了组织、人员、物理和技术方面的控制参考
8.1.3 管理体系(掌握)
在组织机构中应建立安全管理机构,不同安全等级的安全管理机构逐步建立自己的信息系统安全组织机构管理体系,包括:
配备安全管理人员
建立安全职能部门
成立安全领导小组
主要负责人出任领导
建立信息安全保密管理部门
8.1.4 等级保护(掌握)
1、安全保护等级划分
《信息安全等级保护管理方法》将信息系统的安全等级分为以下5级:
8.2 信息安全系统(掌握)
“宏观”三维空间图来反映信息安全系统的体系架构及其组成
由X、Y、Z三个轴形成的信息安全系统三维空间就是信息系统的“安全空间”
安全空间的五大属性:认证、权限、完整、加密、不可否认。
8.2.1 安全机制(掌握)
8.2.2 安全服务(掌握)
8.3 工程体系架构
8.3.1 安全工程基础(掌握)
信息安全系统不能脱离业务应用信息系统而存在,信息系统安全工程活动离不开其他相关工程。
8.3.2 ISSE-CMM基础(掌握)
信息安全系统工程能力成熟度模型(ISSE-CMM)是一种衡量信息安全系统工程实施能力的方法,是使用面向工程过程的一种方法。ISSE-CMM是建立在统计过程控制理论基础上的。
ISSE-CMM模型是信息安全系统工程实施的度量标准,它覆盖了:
全生命周期:包括工程开发、运行、维护和终止
管理、组织和工程活动:
与其他规范(如系统、软件、硬件、人的因素、测试工程、系统管理、运行和维护等)并行的相互作用;
与其他组织(包括获取、系统管理、认证、认可和评估组织)的相互作用。
ISSE-CMM主要适用于工程组织(乙方自我评估)、获取组织(甲方)和评估组织(第三方)
8.3.3 ISSE过程(掌握)
ISSE过程的目的是使信息安全系统成为系统工程和系统获取过程整体的必要部分。将信息系统安全的安全选项集成到系统工程中,获得最优的信息安全系统解决方案。
ISSE并不是一个独立的过程,它依赖并支持系统工程和获取(保证)过程,而且是后者不可分割的一部分。
ISSE就爱那个信息安全系统工程实施过程分解为:工程工程、风险过程和保证过程三个基本的部分。
1.工程过程
信息安全系统工程过程与其他工程活动一样,是一个包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程。
2.风险过程
信息安全系统工程的一个主要目标是降低信息系统运行的风险。一个有害事件由威胁、脆弱和影响3个部分组成。
3.保证过程
保证过程是指安全需求得到满足的可信程度,它是信息安全系统工程非常重要的部分。
8.3.4 ISSE-CMM体系结构(掌握)
这个体系结构的目标是落实安全策略,该模型采用两维设计,其中一维是“域”,另一维是“能力”。
1.域维/安全工程过程域
域维汇集了定义信息安全系统过程的所有实施活动,这些实施活动被称为过程域
能力维代表组织能力,它由过程管理能力和制度化能力构成,这些实施活动被称作公共特性。
ISSE包括6个基本实施,这些基本实施被组织成11个信息安全工程过程域。
2.能力维/公共特性
3.能力级别
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
