最新信息安全体系整理.docx

一、,为什么需要信息安全管理?信息安全管理是组织为实现信息安全目标而进行的管理活动, 是组织完整的管理体系中的一个重要组成部分,是为保护信息资产安全,指导和控制组织的关于信息安全风险的相互协调的活动。信息安全管理是通过维护信息的机密性、 完整性和可用性等,来管理和保护组织所有信息资产的一系列活动。信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。 信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。 由于信息具有易传输、易扩散、易破损的特点,信息资产比传统资产更加脆弱,更易受到损害,信息及信息系统需要严格管理和妥善保护。系统列举常用的信息安全技术?密码技术、访问控制和鉴权;物理安全技术:环境安全、设备安全、人员安全;网络安全技术:防火墙、VPN、入侵检测/入侵防御、安全网关;容灾与数据备份信息安全管理的主要内容有哪些?「 n|血统安金需求信息安全辔理力袪1 9 1<h=「介 11- J1信息安全豹理范犢1XT信息空全控利缶施〈二信息安全技术休系L信息安全需求是信息安全的出发点, 它包括机密性需求、完整性需求、可用性需求、抗抵赖性、真实性需求、可控性需求和可靠性需求等。信息安全管理范围是由信息系统安全需求决定的具体信息安全控制点,对这些实施适当的控制措施可确保组织相应环节的信息安全, 从而确保组织整体的信息安全水平。信息安全控制措施是指为改善具体信息安全问题而设置技术或管理手段,信息安全控制措施是信息安全管理的基础。什么是信息安全保障体系,它包含哪些内容? (见一、3图)信息安全法规对信息安全管理工作意义如何?法律法规是组织从事各种政务、商务活动所处社会环境的重要组成部分, 它能为信息安全提供制度保障。信息安全法律法规的保障作用至少包含以下三方面:1•为人们从事在信息安全方面从事各种活动提供规范性指导2•能够预防信息安全事件的发生3•保障信息安全活动参与各方的合法权益,为人们追求合法权益提供了依据和手段二、信息安全风险评估什么是信息安全风险评估?它由哪些基本步骤组成?信息安全风险评估是指依据有关信息安全技术与管理标准, 对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。风险评估可分为四个阶段,第一阶段为风险评估准备; 第二阶段为风险识别,第三阶段为风险评价,第四阶段为风险处理。信息资产可以分为哪几类?请分别举出一两个例子说明。根据ISO/IEC13335-1,资产是指任何对组织有价值的东西, 资产包括:物理资产、信息/数据、软件、提供产品和服务的能力(注:供应能力) 、人员、无形资产(商标等)威胁源有哪些?其常见表现形式分别是什么?常见表现形式11’1峡 HIl地虎■飓风、火山、、、雪刖「|jSt®?鈔」、、供电故障、[、重大事披(如交通工具蘿咖等}.、苴他衣站輕話II1网绪故障、礎件故障>软件故障、薯意代码、存谢b廣的老化*、用户身份仿冒、兼统入侵、盗窃*物理1外部人员1~1菽坏、待怠蠹改〔港舐抵紙其他*1 丁一丁…•未经授权信息发布、圧泾授权的信息读写、抵赖、电子攻』「如利1内部人员用系统渭覇提升权限}、物理破环(系统或存储介质损坏〉J|、误操作请解释以下名词:(1)资产;资产是指任何对组织有价值的东西(二、 2)(2) 威胁;威胁是可能对资产或组织造成损害的潜在原因。(3) 脆弱点;脆弱点是一个或一组资产所具有的,可能被威胁利用对资产造成损害的薄弱环节。(4) 风险;信息安全风险是指威胁利用利用一个或一组资产的脆弱点导致组织受损的潜在,并以威胁利用脆弱点造成的一系列不期望发生的事件(或称为安全事件)来体现(5) 影响。影响是威胁利用资产的脆弱点导致不期望发生事件的后果。这些后果可能表现为直接形式风险评估方法分为哪几种?其优缺点分别是什么?常见的风险评估方法有三种:基线风险评估方法 详细风险评估方法综合风险评估方法基线评估的优点是:(1) 风险分析和每个防护措施的实施管理只需要最少数量的资源, 并且在选择防护措施时花费更少的时间和努力;(2) 如果组织的大量系统都在普通环境下运行并且如果安全需要类似, 那么很多系统都可以采用相同或相似的基线防护措施而不需要太多的努力。基线评估的的缺点是: 基线水平难以设置(2)风险评估不全面、不透彻,且不易处理变更。详细评估的优点是:(1)有可能为所有系统识别出适当的安全措施; (2)详细分析的结果可用于安全变更管理。 详细评估的缺点:需要更多的时间、努力和专业知识。综合评估方法将基线和详细风险