資訊保安管理體系的概述,資訊保安管理體系

時間 2021-09-04 04:08:13

1樓:百度文庫精選

內容來自使用者:beve

資訊保安的管理體系

一、資訊保安管理體系的概念

“堅持管理與技術並重”是我國加強資訊保安保障工作的主要原則。資訊保安管理體系(information security management system,簡稱為isms)是2023年前後從英國發展起來的資訊保安領域中的一個新概念,是管理體系( management system,ms)思想和方法在資訊保安領域的應用。近年來,伴隨著isms國際標準的制修訂,isms迅速被全球接受和認可,成為世界各國、各種型別、各種規模的組織解決資訊保安問題的一個有效方法。

isms認證隨之成為組織向社會及其相關方證明其資訊保安水平和能力的一種有效途徑。

資訊保安管理體系(isms)是組織機構在整體或特定範圍內建立的資訊保安方針和目標,以及完善這些目標所用的方法和手段所構成的體系;isms是資訊保安管理活動的直接結果,表現為方針、原則、目標、方法、計劃、活動、程式、過程和資源的集合,是涉及人、程式和資訊科技的系統。資訊保安管理體系是按照iso/iec27001標準《資訊科技一安全技術一資訊保安管理體系要求》的要求進行建立的,iso/iec27001櫟準是由bs7799-2標準發展而來。

二、資訊保安管理的內容

資訊保安管理的內容涉及到資訊保安和管理兩大塊內容,資料安全網路安全系統安全裝置安全人員安全應急響應資訊保安

2樓:五如冬

資訊保安管理體系(information security management system,簡稱為isms)是2023年前後從英國發展起來的資訊保安領域中的一個新概念,是管理體系(management system,ms)思想和方法在資訊保安領域的應用。近年來,伴隨著isms國際標準的制修訂,isms迅速被全球接受和認可,成為世界各國、各種型別、各種規模的組織解決資訊保安問題的一個有效方法。isms認證隨之成為組織向社會及其相關方證明其資訊保安水平和能力的一種有效途徑。

資訊保安管理體系是組織機構單位按照資訊保安管理體系相關標準的要求,制定資訊保安管理方針和策略,採用風險管理的方法進行資訊保安管理計劃、實施、評審檢查、改進的資訊保安管理執行的工作體系。 資訊保安管理體系是按照iso/iec 27001標準《資訊科技 安全技術 資訊保安管理體系要求》的要求進行建立的,iso/iec 27001標準是由bs7799-2標準發展而來。

資訊保安管理體系isms是建立和維持資訊保安管理體系的標準,標準要求組織通過確定資訊保安管理體系範圍、制定資訊保安方針、明確管理職責、以風險評估為基礎選擇控制目標與控制方式等活動建立資訊保安管理體系;體系一旦建立組織應按體系規定的要求進行運作,保持體系運作的有效性;資訊保安管理體系應形成一定的檔案,即組織應建立並保持一個檔案化的資訊保安管理體系,其中應闡述被保護的資產、組織風險管理的方法、控制目標及控制方式和需要的保證程度。

資訊保安管理體系

資訊保安管理體系不包括如下哪個部分?() 20

3樓:北京中培教育

中培教育-資訊保安管理體系課程方案

培訓主題

培訓目的

培訓內容

教學方式

一、資訊保安概述

使學員對資訊保安的需求、架構、生命週期管理有正確的理解與認識

資訊保安發展現狀與趨勢分析

資訊保安頂層設計

資訊保安架構與企業架構

資訊保安模型、原則

資訊保安域分析、部署

基於過程的資訊保安流程分析

資深講師講解為主、案例分析

二、iso27001/isms/資訊保安管理體系概述

讓學員深刻認識資訊保安管理的重要性,避開資訊保安工作中常見的誤區、深刻理解資訊保安三分技術、七分管理的體系

資訊保安面臨的風險與挑戰

資訊保安工作的誤區

如何實現資訊保安

資訊保安管理體系isms/iso27001的收益

it風險與資訊保安的關係

資訊保安技術、流程、管理

資深講師講解為主

三、isms/iso 27001標準簡介

讓學員全方位瞭解iso27001標準體系

資訊保安基本定義與概念

iso 27000標準族

iso 27001標準發展歷史

資訊保安管理體系基本要素

iso 27001標準內容條款

資深講師講解為主

四、資訊保安風險評估

使學員瞭解安全現狀調研與資訊保安風險評估與管理的理論基礎、方法、實施過程,及相應實施工具,指導學員在組織中開展資訊保安風險管理工作。

風險管理概述與基本概念及框架

資訊資產分類與分級

風險識別、風險分析、風險評價、風險處置

風險評估案例與實操

現狀調研階段、制度稽核、現場訪談、技術評估走查稽核

風險評估實施工具

利用工具實施風險評估與管理

案例分析教學

角色扮演教學

五、資訊保安規劃

使學員掌握如何從安全問題、需求轉化成安全規劃,指導資訊保安工作落實的方法。

資訊保安規劃與it規劃的關係

設計資訊保安體系框架

制定資訊保安實施藍圖

資訊保安實施規劃

全面實戰教學

六、iso27001/isms

資訊保安管理體系實施過程

讓學員瞭解體系實施的pdca過程

資訊保安管理體系檔案編寫、體系建立、

資訊保安體系內部稽核、有效測量

資訊保安管理體系管理評審

資訊保安管理體系案例

全面實戰教學

七、iso27001/isms

資訊保安體系執行與稽核

使學員理解安全管理標準的內容,如何在組織內落實資訊保安管理工作的方法,並通過案例分析明確isms專案的成功關鍵因素等,如何順利通過體系認證

isms體系執行與優化

內部稽核

管理評審

外部認證

專案階段總結與專案彙報

結合isms(iso27001)專案實施過程進行實戰講解

並輔以案例分析教學

八、iso27001/isms/資訊保安控制措施

使學員瞭解iso27001標準最新版的14個控制領域,以及主要的控制措施建議,包括資訊保安涉及的各方面內容,並通過控制措施實施案例,讓學員瞭解不同行業的控制實施特點

資訊保安方針、策略與目標

資訊保安組織架構與職責

資訊資產保護與資訊分級

人力資源安全管理

物理環境與裝置安全

通訊安全

操作安全管理

密碼金鑰管理

訪問控制

符合性關鍵控制措施實施案例

資訊保安事故管理

業務連續性管理

**商管理資訊系統獲取、開發與維護

資深講師講解為主

九、iso27001 foundation應試輔導

讓學員按照考試大綱充分準備,順利取得證書

考試重點提示

考試樣題講解

模擬考試

串講+模擬考試

資訊保安體系的目錄

4樓:稻子

第1部分基礎篇

第1章資訊保安概論

1.1資訊保安的發展

1.1.1資訊化的發展歷程

1.1.2資訊保安的發展歷程

1.2資訊保安的內涵

1.2.1資訊保安的定義

1.2.2資訊保安的術語

1.2.3資訊保安的屬性

1.2.4資訊保安的原則

1.3資訊保安的脆弱性與威脅

1.3.1資訊保安的脆弱性分析

1.3.2資訊保安的威脅與分類

1.3.3專用網路上的主要安全威脅

小結思考題

第2章資訊保安的整體性原理

2.1整體資訊保安的基本原理

2.1.1系統的含義

2.1.2整體性原理

2.2資訊保安的整體結構

2.2.1資訊系統的構成要素

2.2.2資訊保安的構成要素

小結思考題

第2部分技術篇

第3章資訊保安技術要素

3.1物理安全技術的基本內容及定位

3.1.1物理安全的定位

3.1.2物理安全的基本要素

3.1.3物理安全的基本內容

3.2密碼技術的基本內容及定位

3.2.1密碼技術的定位

3.2.2密碼技術的基本原理

3.2.3密碼技術的應用

3.3身份鑑別技術的基本內容及其定位

3.3.1身份認證的定位

3.3.2身份認證的實現

3.4訪問控制技術的基本內容及其定位

3.4.1訪問控制技術的定位

3.4.2訪問控制的基本內容

3.4.3訪問控制的模型

3.4.4訪問控制的實現

3.5惡意**防範技術的基本內容及定位

3.5.1惡意**防範技術的定位

3.5.2惡意**的分類與工作原理

3.5.3惡意**的防範技術

3.6風險分析技術的基本內容及定位

3.6.1風險分析技術的定位

3.6.2風險分析的基本內容

3.6.3安全掃描技術

小結思考題

第4章資訊保安子系統

4.1安全作業系統

4.1.1安全作業系統的地位和作用

4.1.2安全作業系統的發展

4.1.3安全作業系統的基本內容

4.2安全資料庫管理系統

4.2.1安全資料庫管理系統的地位和作用

4.2.2安全資料庫管理系統的發展

4.2.3安全資料庫管理系統的基本內容

4.3安全網路系統

4.3.1安全網路系統的地位和作用

4.3.2實用安全協議

4.3.3防火牆系統

4.3.4vpn系統

4.3.5安全隔離系統

4.4資訊保安檢測系統

4.4.1資訊保安檢測系統的地位和作用

4.4.2資訊保安檢測的發展

4.4.3入侵檢測系統

4.4.4資訊內容檢測系統

小結思考題

第5章資訊保安技術體系

5.1資訊保安的分層技術保護框架

5.2資訊保安的分域技術保護框架

5.2.1局域計算環境安全

5.2.2邊界安全與資訊交換

5.2.3網路傳輸安全

5.2.4支撐基礎設施

5.3資訊保安的等級技術保護框架

5.4資訊保安的過程技術保護框架

5.4.1資訊系統的安全工程

5.4.2資訊保安的動態過程保護

5.5典型資訊保安技術保障框架

小結思考題

第3部分管理篇

第6章資訊保安管理概述

6.1管理的基本問題

6.1.1管理的概念及特點

6.1.2管理的基本手段

6.1.3管理的組織結構

6.2管理的質量控制

6.3資訊保安管理概述

6.3.1資訊保安管理的概念

6.3.2資訊保安管理現狀分析

小結思考題

第7章資訊保安風險管理

7.1風險管理概述

7.1.1風險的基本內容

7.1.2風險管理的基本內容

7.2風險分析的方法

7.2.1定性分析方法

7.2.2定量分析方法

7.3風險管理

7.3.1管理的過程

7.3.2管理的角色

7.3.3管理的工具

小結思考題

第8章資訊保安管理體系

8.1國家層面的資訊保安管理體系

8.1.1國家層面的組織管理

8.1.2國家層面的管理制度

8.1.3國家層面的人員管理

8.1.4國家層面的監督與檢查

8.2資訊系統層面的資訊保安管理體系

8.2.1資訊系統層面的組織機構

8.2.2資訊系統層面的管理制度

8.2.3資訊系統層面的人員管理

8.2.4資訊系統層面的監督檢查

8.3資訊保安等級保護

8.3.1等級保護的基本思路

8.3.2等級保護的標準體系

8.3.3等級保護的法律保障

小結思考題

第4部分評估篇

第9章資訊保安評估

9.1資訊保安評估的基本概念

9.2資訊保安評估的發展

9.3典型資訊保安評估標準

9.3.1tcsec標準

9.3.2itsec標準

9.3.3cc標準

小結思考題

第10章資訊系統的安全性評估

10.1概述

10.2資訊系統安全性評估的方法

10.3資訊系統安全性評估的方式

10.4資訊系統安全性評估的手段

10.5資訊系統安全性評估的過程

小結思考題

參考文獻……

做iso27001資訊保安管理體系認證的有哪些認證公司

培訓 管理諮詢 在國內有四家,而且只有國內的認證公司可以做,國外的不可以 這些分別是 華夏認證中心 中國電子技術標準化研究所 中國資訊保安認證中心 上海質量體系稽核中心 具體你可以到認證認可協會上去看他們的認可公告 證事兒 中國資訊保安認證中心 北京新世紀認證 簡稱bcc 建立於1994年,是我國第...

如何健全安全管理體系

合易人力資源管理諮詢 合易認為 1 從必要性來說 無論哪類企業都應建立安全生產管理體系,這不僅是企業內部管理的需要,也是法規的需要。中華人民共和國安全生產法 第四條規定 生產經營單位必須遵守本法和其他有關安全生產的法律 法規,加強安全生產管理,建立 健全安全生產責任制和安全生產規章制度,改善安全生產...

如何構建企業安全管理體系

ofweek人才網 一 明確安全生產責任,形成完善的安全生產管理體系 1 院黨政領導班子所有成員 各生產經營單位負責人以及各職能部門主要負責人實行 一崗雙責制 既要做好職責範圍內工作,同時要負責安全生產工作。2 院長是安全生產的第一責任人,對我院安全生產負全責,下屬各生產經營單位負責人是本單位安全生...