信息安全管理概論

第一章信息安全管理概述零一信息安全管理引入與內(nèi)涵零二信息安全管理內(nèi)容ContentsPage目錄零三信息安全管理重要零四信息安全管理發(fā)展及有關(guān)標(biāo)準(zhǔn)本課程是以信息安全管理基本理論為基礎(chǔ),以信息安全管理體系為內(nèi)容框架,講解信息安全管理體系地建設(shè)內(nèi)容及其實(shí)施技術(shù)方法,并緊扣學(xué)科發(fā)展前沿,介紹信息安全管理領(lǐng)域地新知識(shí),新信息。課程目地第一章信息安全管理概述１）通信保密時(shí)代:二十世紀(jì)四零-五零年代時(shí)代標(biāo)志:一九四九香農(nóng)發(fā)表地《保密通信地信息理論》２）計(jì)算機(jī)安全時(shí)代:二十世紀(jì)七零-八零年代時(shí)代標(biāo)志:《可信計(jì)算機(jī)評(píng)估準(zhǔn)則》（TCSEC）３）網(wǎng)絡(luò)安全時(shí)代:二十世紀(jì)九零年代４）信息安全保障時(shí)代:入二十一世紀(jì)時(shí)代標(biāo)志:《信息保障技術(shù)框架》（IATF）。一.一.一信息安全管理地引入第一節(jié)信息安全管理引入與內(nèi)涵第一章信息安全管理概述信息安全發(fā)展過(guò)程及階段一.一.一信息安全管理地引入第一節(jié)信息安全管理引入與內(nèi)涵第一章信息安全管理概述信息安全發(fā)展過(guò)程及階段孔茨:管理就是設(shè)計(jì)與保持一種良好環(huán)境,使在群體里高效率地完成既定目地。一.一.二信息安全管理地內(nèi)涵第一節(jié)信息安全管理引入與內(nèi)涵第一章信息安全管理概述管理追求效益效率法約爾:管理是所有地類組織（不論是家庭,企業(yè)或政府）都有地一種活動(dòng),這種活動(dòng)由五項(xiàng)要素組成:計(jì)劃,組織,指揮,協(xié)調(diào)與控制。管理就是實(shí)行計(jì)劃,組織,指揮,協(xié)調(diào)與控制。一.一.二信息安全管理地內(nèi)涵第一節(jié)信息安全管理引入與內(nèi)涵第一章信息安全管理概述管理是一個(gè)由計(jì)劃,組織,事,領(lǐng)導(dǎo)與控制組成地完整地過(guò)程。彼得?F?德魯克:歸根到底,管理是一種實(shí)踐,其本質(zhì)不在于"知"而在于"行",其驗(yàn)證不在于邏輯,而在于成果;其唯一權(quán)威就是成就。一.一.二信息安全管理地內(nèi)涵第一節(jié)信息安全管理引入與內(nèi)涵第一章信息安全管理概述管理強(qiáng)調(diào)結(jié)果（一）誰(shuí)來(lái)管:管理主體,回答由誰(shuí)管地問(wèn)題;（二）管什么:管理客體,回答管什么地問(wèn)題;（三）怎么管:組織地目地要求,回答如何管地問(wèn)題;（四）靠什么管:組織環(huán)境或條件,回答在什么情況下管地問(wèn)題。（五）管得怎么樣:管理能力與效果,回答管理成效問(wèn)題。一.一.二信息安全管理地內(nèi)涵第一節(jié)信息安全管理引入與內(nèi)涵第一章信息安全管理概述管理活動(dòng)地五個(gè)基本要素信息安全管理:是通過(guò)維護(hù)信息地機(jī)密,完整與可用等,來(lái)管理與保護(hù)信息資產(chǎn)地一項(xiàng)體制,是對(duì)信息安全保障行指導(dǎo),規(guī)范與管理地一系列活動(dòng)與過(guò)程。一.一.二信息安全管理地內(nèi)涵第一節(jié)信息安全管理引入與內(nèi)涵第一章信息安全管理概述信息安全管理是信息安全保障體系建設(shè)地重要組成部分。ISO/IEC二七零零二:二零零五《信息安全管理實(shí)用規(guī)則》（即GB/T二二零八一-二零零八）給出了一個(gè)信息安全管理范圍地劃分方法,其將信息安全管理范圍劃分為一一個(gè)管理方面。第二節(jié)信息安全管理內(nèi)容第一章信息安全管理概述第二節(jié)信息安全管理內(nèi)容第一章信息安全管理概述現(xiàn)實(shí)世界里很多安全地發(fā)生與安全隱患地存在,與其說(shuō)是技術(shù)上地原因,不如說(shuō)是管理不善造成地。第三節(jié)信息安全管理重要第一章信息安全管理概述安全技術(shù)只是信息安全控制地手段,要讓安全技術(shù)發(fā)揮應(yīng)有地作用,必然要有適當(dāng)?shù)毓芾沓绦虻刂С?否則,安全技術(shù)只能趨于僵化與失敗。如果說(shuō)安全技術(shù)是信息安全地構(gòu)筑材料,信息安全管理就是真正地粘合劑與催化劑,只有將有效地安全管理從始至終貫徹落實(shí)于安全建設(shè)地方方面面,信息安全地長(zhǎng)期與穩(wěn)定才能有所保證。由此可見(jiàn):解決信息及信息系統(tǒng)地安全問(wèn)題不能只局限于技術(shù),更重要地還在于管理。第三節(jié)信息安全管理重要第一章信息安全管理概述信息安全是"三分技術(shù),七分管理"信息安全管理地發(fā)展大體經(jīng)歷了"零星追加時(shí)期"與"標(biāo)準(zhǔn)化時(shí)期"兩個(gè)階段,九十年代期可以看作這兩個(gè)階段地分界。具體經(jīng)歷了如下三個(gè)階段:第四節(jié)信息安全管理發(fā)展及有關(guān)標(biāo)準(zhǔn)第一章信息安全管理概述（一）制訂信息安全發(fā)展戰(zhàn)略與計(jì)劃（二）加強(qiáng)信息安全立法,實(shí)現(xiàn)統(tǒng)一與規(guī)范管理（三）步入標(biāo)準(zhǔn)化與系統(tǒng)化管理時(shí)代第四節(jié)信息安全管理發(fā)展及有關(guān)標(biāo)準(zhǔn)第一章信息安全管理概述第四節(jié)信息安全管理發(fā)展及有關(guān)標(biāo)準(zhǔn)第一章信息安全管理概述ISO/IEC一三三三五-一:一九九六《IT安全地概念與模型》ISO/IEC一三三三五-二:一九九七《IT安全管理與策劃》ISO/IEC一三三三五-三:一九九八《IT安全管理技術(shù)》ISO/IEC一三三三五-四:二零零零《防護(hù)措施