1.安全管理基础概念
1.标识组织的所有信息资产
2.分析安全风险
3.定义安全的重要性,随时有警觉的心
4.对安全管理有实施的计划
2. 安全所要具备的要素
1、CIA
C 机密性 避免资产被未经过授权的人存取包括授权的和非授权的
A 可用性 及时而稳定的获取资源
I 完整性 避免未经授权的人做修改和经授权的人做未经允许的修改
3.IT 安全需要
1.功能面(防火墙的功能就是过滤)
2.确保功能可以达到(通过 Log le 也确定是否正确)
3.首先定义安全策略()
4.安全考量
1.技术面
2.组织架构
3.公司文化
4.管理
5.业务运营
6.风险
5.安全政策成功因素
1.最重要的是高层主管支持
2.与工作相融合不能有冲突的部分
3.思考以下部分(业务流程、技术流程呢个、管理流程)
4.具体的实现(隐私权()、身份管理(对主管进行调查确信可信任)、应用程序、基础架构、
管理)
6.安全问题解决思考
1.不同的需求都考虑在范围内
2.ERP->VPN->CRM(客户关系管理)->ERP
3.必须要求一致性
7.实施安全政策
1.软硬件配置标准(例如防毒、防火墙)
2.变更(例如文件的销毁,用户的注册等等)
3.基线(最小的安全等级和一致性、例如 windows 2003 必须打哪些补丁)
以上三个都有强制性
4.可有可无的标准(TCSEC 和 ITSEC 规划等等他们的差别是 TCSEC 主要是系统、ITSEC
加入网络)
剩余60页未读,继续阅读
评论2