信息安全工程方案

PAGEPAGE4 小組名稱

信息安全工程方案年 月 日信息安全管理與風(fēng)險評估課程總結(jié)1對信息安全與管理的基本概念予以闡述，讓我們知道信息安全管理的目的以及要在實(shí)施時所遵循的規(guī)范與原則。2這章主要對國外信息安全管理標(biāo)準(zhǔn)與我國信息安全管理標(biāo)準(zhǔn)的闡述和具體介紹，國外的主要介紹了： BS7799（BS7799-1BS7799-2ISO/IEC1333（5部分構(gòu)成，即ISO/IEC13335-1～5。主要安全管理過程包括；風(fēng)險管理、風(fēng)險評估、安全意識、監(jiān)控與一致性檢驗(yàn)等。獨(dú)特的安全要素模型；資產(chǎn)、威脅、漏洞、影、ISO/IEC27001:2005（保持、和改進(jìn)其ｉｓｍｓ，確保信息資產(chǎn)的保密性、可用性和完CC準(zhǔn)則（國際最通用的信息技術(shù)產(chǎn)品與系統(tǒng)安全評估標(biāo)準(zhǔn)。GB/T19715（為ＩＴ安全管理方案指南，而不是解決方案GB/T19716-200（出建議，供負(fù)責(zé)在其組織啟動、實(shí)施或維護(hù)安全的人員使用。本標(biāo)準(zhǔn)為開發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ)，并提供組織間交往的信任。本標(biāo)準(zhǔn)的推薦內(nèi)容應(yīng)按照適用的）第3章信息安全管理的實(shí)施 本節(jié)主要講企業(yè)信息安全管理的現(xiàn)狀進(jìn)行了分析，得出了標(biāo)準(zhǔn)實(shí)施中出現(xiàn)的誤區(qū)以及BS7799析，BS7799對于信息安全管理體系的實(shí)施最大意義不在于顯著改善企業(yè)的安全控制措框架下安全產(chǎn)品與技術(shù)實(shí)現(xiàn)；安全方針、組織安全、資產(chǎn)的分類與控制、人員安全、物理和環(huán)境的安全、通信和操給了我們企業(yè)和專業(yè)廠商。4而對風(fēng)險管理AS/NZS4360:1999、NISTSP800-30、TheSecurityRiskManagementGuiGB/T20269-20065風(fēng)險評估的方法：從數(shù)字上對安全風(fēng)險進(jìn)行分析評估。慣例為風(fēng)險管理諸多要素的大小或高低城都定性分級）主要的信息安全標(biāo)準(zhǔn)體系國內(nèi)：信息安全風(fēng)險評估標(biāo)準(zhǔn)（GB/T20984--2007實(shí)施過程。等級保護(hù)體系（GB17859，信息安全保障體系（GB/T4國外：信息安全風(fēng)險評估標(biāo)準(zhǔn)（OCTAVE、SSE-CMM、GAO/AIMD-99-139技術(shù)體系（RFC、NIST-SP800）管理體系（ISO27001/ISO27002）評估體系（ISO15408） 第6章信息安全風(fēng)險評估工具風(fēng)險評估鋪助工具、信息安全評估工具的發(fā)展方向等，進(jìn)行了詳細(xì)的分析。具體如下：（MBSACOBRACRAMMASSETREWH系統(tǒng)基礎(chǔ)平臺風(fēng)險評估工具：脆弱性掃描工具、流光、極光遠(yuǎn)程安全評估系統(tǒng)····工具以及評估指示庫等）7要的環(huán)節(jié)。一、安全風(fēng)險評估準(zhǔn)備1確定風(fēng)險評估的范圍制定風(fēng)險評估表報(bào)告階段。1、列出完成的評估任務(wù)清單；2風(fēng)險等級；3、列出防范這些檢測到的威脅和弱點(diǎn)的保障措施；4、說明這些安全建議是屬于物理、管理、還是技術(shù)控制；5、說明實(shí)施這些給出的安全建議后會帶來的效果；6、說明每一個具體的安全建議，能將風(fēng)險減少到什么程度；7、安全修補(bǔ)后，評估對象能達(dá)到什么樣的安全等級；8步控制；9四、后期安全維護(hù)階段后期安全維護(hù)其實(shí)只是信息系統(tǒng)安全風(fēng)險評估過程中的一個附加階段。對于專門