1、信息安全管理体系(ISMS)中使用的模型原理
信息安全管理体系(ISMS)是整个管理体系的一部分。它是基于业务风险的方法,来建立、实施、运行、监视、评审、保持和改进信息安全的(注:管理体系包括:组织结构、方针政策、规划活动、职责、实践、程序、过程和资源)
2、信息安全的属性(必须掌握)
(1)完整性:是指信息在存储或传输的过程中保持不被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性。
(2)可用性:是指信息可被合法用户访问并能按要求顺序使用的特性。即在需要时就可以取用所需的信息。
(3)保密性:是指信息不被泄露给非授权的个人和实体,或供其使用的特性。
(4)可控性:是指授权机构可以随时控制信息的机密性。
(5)可靠性:是指信息以用户认可的质量连续服务于用户的特性。
3、信息安全管理活动(必须掌握)
①定义信息安全策略;
②定义信息安全管理体系的范围;
③进行信息安全风险评估;
④确定管理目标和选择管理措施;
⑤准备信息安全适用性申明。
4、信息安全等级保护环节
信息安全等级保护的主要环节:定级、备案、安全建设整改、等级评测和安全检查。(口诀:定被建平查!)
5、信息系统的安全保护等级
信息系统的安全保护等级共分为五级:信息安全等级保护是我国在信息化推进进程中实施的对信息系统安全保护的基本制度、方法和策略。
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
6、计算机系统安全保护能力等级
计算机系统安全保护能力的五个等级,即:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级(口诀:用系按结访)。计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。(注意区分这两个保护五级的区别)
关注公众号
添加微信好友
暂无评论内容