安全管理
信息安全管理
信息安全管理是指通过维护信息的机密性、完整性和可用性来管理和保护信息资产,是对信息安全保障进行指导、规范和管理的一系列活 动和过程。
信息安全管理的意义在于他是组织或者公司管理体系的一个重要环节 ,比如说一所大学就是一个组织,大学的管理体系中,信息安全管理非常重要,保护学校核心信息资产,保护广大师生个信息
信息安全管理体系
信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。
信息安全管理体系是组织管理体系的一部分,基于的是风险评估和组织风险接受水平
信息安全管理作用
信息安全管理 是组织整体管理的重要、固有组成部分,是组织实现其业务目标的重要保障
信息安全管理 是信息安全技术的融合剂,能够保障各项技术措施能够发挥作用
信息安全管理 能预防、阻止或减少信息安全事件的发生
WIFI万能钥匙
风险
风险指在某一特定环境下,在某一特定时间段内,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合
风险是客观存在
风险管理是指导和控制一个组织相关风险的协调活动
风险管理的目的是确保“不确定性不会使组织或企业的业务目标发生变化”
我们主要研究风险的识别、评估和优化
风险评估
风险评估也称为风险分析,是组织使用适当的风险评估工具,对信息和信息处理设施的威胁(Threat)、影响(Impact)和薄弱点(Vulnerability)及其发生的可能性的评估的过程,也就是确认风险及其大小的过程。
风险评估是信息安全管理的基础,它为安全管理的后续工作提供方向和依据,后续工作的优先等级和关注程度都是由信息安全风险决定的,而且安全控制的效果也必须通过对剩余风险的评估来衡量
风险管理
风险管理:以可接受的费用识别、控制、降低或消减可能影响信息系统的安全风险的过程。
风险管理通过风险评估来识别风险大小,通过制定信息安全方针,选择适当的控制目标与控制方式使风险得到避免、转移或降至一个可被接受的水平。
风险管理的价值体现在:实现安全措施的成本与资产价值之间的平衡
PDCA模型
管理学常用的过程模型
P(Plan):计划
D(Do):实施
C(Check):检查
A(Act):行动
按照PDCA 进行循环,大环套小环,持续改进
PDCA是27001标准定义的过程方法
信息安全风险管理基本过程
四个阶段
两个贯穿
信息安全风险管理基本过程
背景建立是信息安全风险管理的第一步骤,确定风险管理的对象和范围,确立实施风险管理的准备,进行相关信息的调查和分析
信息安全风险管理要依靠风险评估的结果,来确定随后的风险处理和批准监督活动
风险处理的目的是将风险始终控制在可接受的范围内
批准:是指机构的决策层做出是否认可风险管理活动的决定,依据风险评估和风险处理的结果是否满足信息系统的安全要求
监督:是指检查机构及其信息系统,以及信息安全相关的环境有无变化,监督变化因素是否有可能引入新风险
监控与审
最低0.47元/天 解锁文章
扫一扫
1912
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
