资源简介

(共15张PPT)
第2单元 信息系统的集成
第1单元 信息系统的组成与功能
第3单元 信息系统的设计与开发
第4单元 信息系统的安全
第5单元 信息社会的建设
信息技术
（必修2）
4.3 信息系统安全管理
学习目标
1. 了解信息系统安全的范围和管理措施。
2. 能够根据机构的安全策略选择适当的信息安全技术。
3. 能够针对业务或机构的实际情况进行信息系统安全管理设置。
4. 树立安全技术与安全管理相结合的意识 。
新课导入
上课之前，我们来看一个案例。小邓是一名年轻的程序员。有一天，他在做危险操作的时候，因为手快，误删了重要的工作数据，让公司的系统瘫痪了10个小时。结果他被开除了，还被全公司通报批评。
针对上面的事例，同学们有什么感想？
人为因素是影响信息系统安全的重要因素之一。
一般来说信息系统安全事件发生的原因主要有三大方面：
1、信息设备使用人员认识不足；
2、操作不当；
3、不法分子恶意攻击破坏。
这些信息系统安全风险，又可以通过什么方式来降低？
管理
本节课，我们来学习信息系统安全管理。
学校机房制定的规章制度，用来规范教职员工、学生的操作和使用行为。
任务 探讨信息系统的安全管理体系
※ 活动1 探讨学校机房的管理制度
思考：
1、机房的管理制度是否能减少人为因素造成的故障？
2、是否还有需要改进的地方？
阅读给出的机房制度图片，完善表格4.3.1。
学校机房的规章制度 不遵守规章制度可能产生的安全风险
不能随意使用U盘及可移动硬盘
机房内不能带入水及饮料
增加病毒传播的可能
造成电路短路
表4.3.1 机房规章制度用途分析表
如图所示，请查阅资料，将有关内容记录在表格中。
活动2 探讨信息安全管理标准
1. 对工作申请者实施背景检查；
2. 签订雇佣合同和保密协议；
3. 加强在职人员的安全管理；
4. 严格控制人员离职程序，立即撤销离职者的访问权限。
信息系统安全运行有相应的组织、制度和人员保障。为避免风险，组织应采取以下措施，加强内部人员的安全管理。
高度重视人员安全问题
信息系统安全管理可划分为：事先防御阶段、实时监测阶段和事后响应阶段。
所属阶段 校园安全防护 信息系统安全管理
事先防御 围墙隔离 门卫核查 特殊接送 网络隔离
访问控制
加密传输
实时监控 视频监控 保卫巡逻 火灾探测 病毒监控
入侵检测
系统/用户行为监控
事后相应 报警、急救 事故认定、问责 修复、加固 报警、急救
取证、问责
修复、加固
信息系统安全管理的阶段
在不同的安全管理阶段，利用病毒监控、加密传输、防火墙等安全技术，是信息系统安全防护的重要措施和手段。
“技术”和“管理”哪个重要？
“技术”和“管理”
大多数安全事故的发生和安全隐患的产生，既有技术原因也有管理上的问题。
对安全技术和产品的选择运用，只是信息安全实践活动中的一部分。信息系统安全更广泛的内容，还包括制定完备的安全策略，通过风险评估来确定需求，根据需求选择安全技术和产品，并按照既定的安全策略和流程规范来实施，维护和审查安全控制措施。归根到底，信息安全并不只是技术过程，更重要的是管理过程。
对待技术和管理的关系应该有充分理性的认识，技术是实现安全目标的手段，管理是选择、实施、使用、维护、审查包括技术措施在内的安全手段的整个过程，是实现信息安全目标的必由之路。
活动3 探讨信息安全管理策略
信息系统安全的重点会随着信息系统使用者的需求不同而发生变化，进而影响到对信息系统安全管理策略的制定。
学习《中华人民共和国网络安全法》：
措施
Action
计划
Plan
检查
Check
实施
Do
管理周期
针对检查结果采取应对措施，改进安全状况。
根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。
依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。
实施所选的安全控制措施。
信息系统安全管理模型
把握信息系统安全管理决策要点，可以全面而有针对性地解决相关问题。
1.制定信息安全管理方针和多层次的安全策略，以便为各项信息安全管理活动提供指引和支持。
2.通过风险评估来充分发掘组织真实的信息安全需要。
3.遵循预防为主的理念。
4.加强人员的安全意识和安全教育。
5.足够重视并提供切实有效的支持。
6.持有动态管理、持续改进的思想。
7.以业务持续发展为目标，达成信息安全控制的力度、使用的便利性以及成本投入之间的平衡。
信息系统安全管理决策要点
课堂小结

展开更多......

收起↑