022信息系统安全管理

信息系统安全管理

信息系统安全策略

概念与内容

信息系统安全策略是针对信息系统的安全风险进行有效的识别、评估后，所采取的各种措施、手段，以及建立的各种管理制度、规章等

安全策略的核心内容，七定

• 定方案
• 定岗
• 定位
• 定员
• 定目标
• 定制度
• 定工作流程

安全策略要具有

• 科学性
• 严肃性
• 非二义性
• 可操作性

建立安全策略需要处理好的关系

• 安全与应用的依存关系
• 风险度的观点
• 适度安全的观点
• 木桶效应的观点
• 信息系统安全等级保护的概念（五级）
  • 第一级 用户自主保护级
  • 第二级 系统审计保护级
  • 第三级 安全标记保护级
  • 第四级 结构化保护级
  • 第五级 访问验证保护级

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-C8TLEsjI-1612749691866)(D:\考试\高级项目管理\zk整理\pic\10.bmp)]

信息系统安全策略设计原则

8个总原则

• 主要领导人负责原则
• 规范定级原则
• 依法行政原则
• 以人为本原则
• 注重效费比原则
• 全面防范、突出重点原则
• 系统、动态原则
• 特殊的安全管理原则

10个特殊原则

• 分权制衡原则
• 最小特权原则
• 标准化原则
• 用成熟的先进技术原则
• 失效保护原则
• 普遍参与原则
• 职责分离原则
• 审计独立原则
• 控制社会影响原则
• 保护资源和效率原则

信息系统安全方案

• 与信息系统安全方案有关的系统组成因素
  • 主要硬件设备的选型
  • 操作系统、数据库
  • 网络拓扑结构
  • 数据存储方案、存储设备
  • 安全设备
  • 应用软件开发平台
  • 应用软件系统结构
  • 供货商、集成商
  • 业务运营、安全管理职责划分
  • 应急处理方案
• 确定信息系统安全方案
  • 体系架构
  • 业务和数据存储方案
  • 网络拓扑结构
  • 基础安全设施、安全设备
  • 安全级别确定
  • 系统资金和人员投入档次

信息安全系统工程

概述

信息安全系统工程就是要建造一个信息安全系统，它是整个信息系统工程的一部分，与业务应用信息系统工程同步进行

信息安全系统

信息安全保障系统一般简称为信息安全系统

信息安全空间

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vVkorm3O-1612749691868)(D:\考试\高级项目管理\zk整理\pic\11.bmp)]