******************CERT/CC:CERTCoordinationCenter是属于CarnegieMellonUniversity的一个服务注册商标,CERT代表computersecurityincidentresponseteam,最早源于美国国防部对软件工程协会(SoftwareEngineeringInstituteSEI)的资助项目迄今为止,统计在案的安全事件已经达到297,318起(从1988年到现在)2003年的统计数字只是前三个季度的**ComputerSecurityInstitute(CSI)是致力于服务和培训信息、计算机及网络安全专家的全球领先的组织CSI/FBIComputerCrimeandSecuritySurvey,是CSI协同FBI一起举办的权威的安全调查。2003年的调查对象是530家公司,牵涉到高科技、制造业、通信、运输、金融、政府等行业。调查显示,有56%的响应者承认自己公司发生过非法使用的事件,所有事件造成的损失总量达到$201,797,340(前一年度,这个数字是$455Million)**人员威胁:故意破坏和无意失误,内部人员和外部人员系统威胁:系统、网络或服务出现的故障环境威胁:电源故障、污染、液体泄漏、火灾等自然威胁:洪水、地震、台风、雷电等**************但关键还要看整体的信息安全管理技术是信息安全的构筑材料,管理是真正的粘合剂和催化剂信息安全管理构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标尤其重要三分技术,七分管理!*第63页,共77页,星期日,2025年,2月5日务必重视信息安全管理加强信息安全建设工作*第64页,共77页,星期日,2025年,2月5日PDCA信息安全管理模型根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。实施所选的安全控制措施。针对检查结果采取应对措施,改进安全状况。依据策略、程序、标准和法律法规,对安全措施的实施情况进行符合性检查。*第65页,共77页,星期日,2025年,2月5日可以参考的标准规范和最佳惯例ISO27001*第66页,共77页,星期日,2025年,2月5日安全性与方便性的平衡问题在方便性(convenience,即易用性)和安全性(security)之间是一种相反的关系提高了安全性,相应地就降低了方便性而要提高安全性,又势必增大成本管理者应在二者之间达成一种可接受的平衡*第67页,共77页,星期日,2025年,2月5日计算机安全领域一句格言:“真正安全的计算机是拔下网线,断掉电源,放在地下掩体的保险柜中,并在掩体内充满毒气,在掩体外安排士兵守卫。”这样的计算机是没法用了。绝对的安全是不存在的!*第68页,共77页,星期日,2025年,2月5日正确认识信息安全安全不是产品的简单堆积,也不是一次性的静态过程,它是人员、技术、操作三者紧密结合的系统工程,是不断演进、循环发展的动态过程*第69页,共77页,星期日,2025年,2月5日整体管理思路信息安全管理体系第4部分*第70页,共77页,星期日,2025年,2月5日英国标准协会(BritishStandardsInstitute,BSI)制定的信息安全标准。由信息安全方面的最佳惯例组成的一套全面的控制集。信息安全管理方面最受推崇的国际标准。ISO27001是关于信息安全管理的标准*第71页,共77页,星期日,2025年,2月5日ISO27001标准包含两个部分ISO17799:2005:信息安全管理实施细则(CodeofPracticeforInformationSecurityManagement),相当于一个工具包,体现了三分技术七分管理ISO27001:是建立信息安全管理系统(ISMS)的一套规范(SpecificationforInformationSecurityManagementSystems),详细说明了建立、实施和维护信息安全管理系统的要求,指出实施机构应该遵循的风险评估标准安全策略Securitypolicy安全