我们学习信息安全控制,在学习本文之前,我们要来先看一下我们的目标,我们来介绍一下信息安全风险管理与控制,了解信息安全风险管理的内容体系与建设。本文的任务目标是通过对信息安全风险管理的学习,能够了解信息安全风险管理的概念知识,熟悉分析管理的流程内容和体系。在本文程学习完毕之后,我们要做一个小作业,分析如何策划和建设信息安全分析管理体系。
本文程我们将分为4章来进行讲解。第一章是信息安全风险管理介绍,第二章是它的体系以及内容。第三章是信息安全管理的流程,第四章是它的体系的策划与建设。首先我们来看信息安全风险管理介绍,信息它影响着信息与信息系统保护,信息是一个业务问题,解决方案并不只是、部署技术,这类的部署技术有防火墙和防病毒网关等,然后就不管不顾,并且全权依赖保护。企业必须要采取积极主动的方法来发现以及保护最重要的资产,包括信息技术和关键业务流程。信息安全风险管理可以让企业可评估他们试图保护的内容以及原因,以作为确定安全措施的决定性支持要素。
全面的信息安全风险评估,应该是允许企业根据他们业务和组织需求来评估他们的安全需求和风险。风险它是根据卡内基隆大学软件工程研究所的octave风险评估方法显示,风险是指遭受破坏或损失的可能性,威胁是风险的组成部分,也可以认为是威胁行为者采取的某种行动,例如识别和利用漏洞导致意想不到的结果和不想要的结果。就比如说有信息丢失、修改或披露或者失去对信息的访问权限,这些结果对企业都将带来负面影响,而这些影响可能就会包括收益的损失或者客户的流失,市场差异化损失,事故响应以及恢复的成本和罚款监管惩罚的成本,第二章是来看一下它的体系和内容。
信息安全管理它是一个过程,而不是一个产品,它的本质就是风险管理,信息安全风险管理可以看成是一个不断降低安全风险的过程,它最终的目的是让安全风险可以降低到一个可以接受的程度,让用户和决策者可以接受剩余的风险。信息安全风险管理,它贯穿信息系统生命周期的全部过程,信息系统生命周期有包括规划、设计、实施、运维和废气这5个阶段,它每个阶段都存在相关的风险,需要采用同样的信息安全风险管理方法来加以控制。信息安全风险管理,它是为了保护信息和相关的资产,指导和控制一个组织相关信息安全风险的协调活动。
我国信息安全风险管理指南指出,信息安全风险管理包括对象确立、风险评估、风险控制、审核批准、监控与审查,沟通与咨询,这6个方面。其中前4项是信息安全风险管理的4个基本的步骤,监控与审查和沟通与咨询,他们就是贯穿于前4个步骤之中的。风险管理它是一项综合的过程。
这个过程中参与的角色一般是信息安全主管机关、业务主管机关,信息系统拥有者或者运营者,信息系统承建者、信息安全服务机构、信息系统的关联者,这个关联者也就是因为信息系统互联、信息交换和共享,系统采购等与该系统发生关联的机构,设施的安全管理,它包括网络的安全管理,保密设备的安全管理,硬件设施的安全管理,场地的安全管理等管理网络的安全管理。
信息管理网络它是一个用于收集、传输、处理和存储有关信息系统和网络维护运行和管理信息的高度自动化、网络化的综合管理系统,它包括性能管理、配置管理、故障管理、计费管理、安全管理等功能。而这个安全管理它又包括系统的安全管理,安全服务管理、安全机制管理、安全事件处理管理、安全审计管理、安全恢复管理等。硬件设施的安全管理,对硬件设施的安全管理主要考虑的是配置管理、使用管理、维修管理、存储管理、网络连接管理。常见的网络设备需要防止电磁辐射、电磁泄漏和自然的老化。信息的安全管理,根据信息化建设发展的需要,信息包括三个层次的内容,一个是在网络和系统中被采集、传输、处理和存储的对象,就比如说有技术文档,还有存储介质,各种信息等等。