有价值的信息才称为信息资产
信息安全
基本目标:
CIA
保密性
企业得两类敏感信息:
企业业务资产相关的资料:如核心产品的设计
私人有关的信息,如用户注册资料或员工相关资料
完整性:信息内容与其业务目的的一致性.完整性的威胁是对数据的篡改
可用性:可用性的威胁是拒绝服务
拒绝服务情况有多种:如资源耗尽,数据丢失,系统故障等.原因包括两类:运行管理问题,如系统容量规划问题和系统维护问题;DOS攻击,DDOS攻击,DRDOS攻击
扩展目标
!!真实性
可追溯性
防抵赖
可靠性
!!合规性
!!保护个人隐私
信息安全的实质:
采取措施保护信息资产,使之不因偶然或恶意侵犯而遭受破坏,篡改及泄露,保证信息系统能够连续可靠,正常运行,是安全事件对业务造成的影响减到最小,确保组织业务能够连续的稳定的运行
信息安全管理内容框架:
安全策略(security policy):-->
组织信息安全:(organizing information security)--->建立安全组织
资产管理-->不只是防火墙等安全设备,每个部门都有每个部门的信息资产,我们去制定信息资产的分类分级标准,各个业务部门去执行
访问控制-->信息安全的核心内容之一,什么样的人员能够以哪些方式访问信息资产,相应的权限的控制需要业务部门去做
密码学
人力资源安全-->人员的录用,任用,离职过程,需要和人力资源部门沟通
物理与环境安全-->比如数据中心的机房组或行政部门的人去沟通
操作安全-->打补丁,做备份,需要和负责IT的网络组,系统小组,应用小组沟通
通信安全-->传输过程加密等,需要和网络组沟通
信息系统获取,开发,维护-->需要和开发中心,或开发部门,
供应关系-->供应商管理,采购部去沟通
信息安全事件管理-->入侵,病毒的处理,有我们信息安全部门的人牵头
信息安全方面的业务连续性管理-->是由风险管理部门牵头的
符合性(合规性):-->跟法律部门打交道
信息安全是为业务服务的,整个企业共同去做信息安全