中国网站服务器哪个好,寻甸马铃薯建设网站,佰联轴承网做的网站,想自己做个网站怎么做文章目录 一、信息安全管理基础二、信息安全风险管理三、27001 信息安全管理体系#xff08;PDCA#xff09;四、ISO/IEC 27002:2013 信息安全管理控制措施五、信息安全管理测量 一、信息安全管理基础 管理的概念#xff1a;组织、协调、控制的活动#xff0c;核心过程的管… 文章目录 一、信息安全管理基础二、信息安全风险管理三、27001 信息安全管理体系PDCA四、ISO/IEC 27002:2013 信息安全管理控制措施五、信息安全管理测量 一、信息安全管理基础 管理的概念组织、协调、控制的活动核心过程的管理控制。 管理对象和组成包括人员在内的相关资产组成包括人员、目标、规则和运行。 管理体系概念完备性、逻辑性的管理措施的集合遵守“木桶原理”。 信息安全管理体系 1根据 ISO/IEC 27001 所制定的体系为狭义的体系。2广义信息安全管理体系泛指一切与信息安全管理有关的措施的集合。 信息安全管理的作用包括不限于这些作用 1促进业务目标的实现2管理与组织整体的融合3预防、阻止和减少事件发生的作用4技术和管理的结合5对内和对外的作用。 信息安全管理的成功要素包括不限于的要素 1反应业务目标2文化的一致性3领导层实质性的支持4领导对风险管理的理解5科学的测量体系6持续的教育和培训。
二、信息安全风险管理 风险管理的概念识别和处置风险的过程是预防的措施。风险四要素是资产、威胁、脆弱性、安全措施。 风险管理参考的方法 1COSO 风险控制框架战略、运营、报告和合规性风险管理具体包括组件。2ISO31000 的风险管理标准国际标准工作参考适用范围非常的广泛。3ITIL 信息技术服务信息安全风险管理服务战略、服务设计、服务转化、服务运营、服务改进等五个阶段来实施。4COBIT 风险控制通过 IT 活动风险控制支持 IT 过程和 IT 目标进一步支持业务目标商业目标的实现。 基于 GB/Z 24364:2009 的风险管理指南考试重点 1四阶段 — 背景建立风险管理准备、系统调查、系统分析、安全分析。— 风险评估风险评估准备、风险要素识别资产、威胁、脆弱性、安全措施、风险分析、风险报告。— 风险处理降低风险、规避风险、转移风险、接受风险。— 批准监督对风险管理的认可风险管理过程风险的控制。 2两过程 — 监控审查对风险管理过程的偏差、变化、延误进行控制和纠正。— 沟通咨询提高风险管理的质量和效果的交流和沟通工作。
三、27001 信息安全管理体系PDCA
1.管理的方法PDCA 过程的方法。2.体系的四个阶段的内容3.体系文档的管理 1规划和使用文档管理结构3 层或 4 层结构其中高层包括方阵、策略、手册最底层包括文件表格、记录、表单等。2对文档要进行全生命周期的管理。
四、ISO/IEC 27002:2013 信息安全管理控制措施 安全策略 1制定策略由领导批准和发布代表宏观的要求和导向高级别策略为方针。2策略评审新制定、修订等需要进行评审保证适宜性、充分性和有效性。 安全组织 1内部组织角色分配、职责分离、与政府的联系、与利益方的联系、项目中的信息安全管理。2移动设备和远程办公设备的安全远程办公。 人力资源安全 1任用前安全审查、岗位的定义。2任用中职责管理、安全教育培训、纪律处理。3任用终止或变化权限回收、信息保密等要求。 资产安全 1资产清单设备资产的清单、责任人、可接受的使用、归还。2信息分类数据资产的分类指南、信息标记、信息处理。3介质管理移动介质管理、介质处置、介质传输的安全。 操作安全核心为一切的操作均需要制定和执行相应的操作程序。 供应商管理 1供应商合作方针、信息安全问题的协议。2供应商的审查、供应商的服务变更管理。 符合性管理安全管理要符合政策、法律、法规、标准、知识产权、隐私保护、审计、技术审核等要求。 访问控制结合参考访问控制知识 密码技术管理结合参考密码学知识 10.物理和环境安全结合参考物理环境安全11.通信安全结合参考网络通信安全12.事件安全管理详细参考《业务连续性管理》13.业务连续性管理详细参考《业务连续性管理》14.系统获取开发和维护结合参考安全工程过程
五、信息安全管理测量 重要性衡量安全有效性的必须的闭环的关键方法。 测量方法ISO/IEC 27004 的管理测量的标准对象-过程-措施-目标。 测量过程测量职责分配等准备-制定测量方案-测量的实施-测量分析与报告- 测量的改进。 温馨提示为了减少学习的负担和聚焦核心知识点总结写的是关键的精要的要点并非是知识点的全文请一定进一步结合官方的教材进行扩充补充、理解和掌握全面以免产生以偏概全的问题。
