02-02-01 資訊保安框架
1. 資訊與資訊保安
資訊:資料/資訊流
資訊保安:
保密性(Confidentiality):只有授權使用者可以獲取資訊
完整性(Integrity):資訊在輸入和傳輸過程中不被非法授權、修改和破壞,保證資料的一致性。
可用性(Availability):保證合法使用者對資訊和資源的使用不會被不正當的拒絕。
上述三個基本安全屬性稱為“CIA”。
2. 安全漏洞的影響
1.聲譽損失 2.財務損失 3.智慧財產權損失 4.失去客戶的信任 5.業務中斷
這所有最終會造成信譽損失。
3.資訊保安
資訊保安是“組織問題”不是“IT問題”,超過70%的威脅是內部,超過60%的罪魁禍首是初次欺詐和訛騙活動。最大的風險和資產都是人。
社會工程是最大威脅,利用人性弱點而非技術漏洞。
4. IATF——深度防禦保障模型
IATF闡述了系統工程、系統採購、風險管理、認證和鑑定、以及生命週期、支援等過程。
5. 資訊保安管理的作用
保險櫃就一定安全嗎?
技術措施需要配合正確的使用才能發揮作用。
根本上說,資訊保安是個管理的過程,而不是技術過程,技術不高但管理良好的系統遠比技術高但管理混亂的系統安全。
“三分技術,七分管理”
6. 資訊保安管理體系(ISMS)
是一種常見的對組織資訊保安進行全面、系統管理的方法。
ISMS是由ISO27000定義的一種有關資訊保安的管理體系,是一種典型的基於風險管理與過程方法的管理體系。週期性的風險評估,內部稽核,有效性測量,管理評審是ISMS規定的四個必要活動,能確保ISMS進入良性迴圈,持續自我改進。
相關文章
- 資訊保安
- 產品資料管理系統框架與資訊保安框架
- 【資訊保安】SELinuxLinux
- 中國資訊保安體系機構基本框架與構想(轉)框架
- 物聯網資訊保安
- 資訊保安入門指南
- 曹政資訊保安課筆記-常見資訊保安的常識錯誤筆記
- 分享資訊保安工作小記
- 人工智慧與資訊保安人工智慧
- 如何保障Cookie的資訊保安Cookie
- 湖南發力資訊保安產業產業
- 資訊保安策略建立步驟
- 網路資訊保安論述
- 資訊保安數學基礎
- 《資訊保安保障》一2.2 我國資訊保安保障工作主要內容
- 古代密碼學與資訊保安密碼學
- 資訊保安與Linux系統Linux
- DefenseCode — 資訊保安測試工具
- 破解資訊保安產業的“人才荒”產業
- 資訊保安產業頻獲政策扶持產業
- 資料庫的資訊保安管理資料庫
- 【資訊保安】PAM模組的研究(二)
- 【資訊保安】PAM模組的研究(一)
- 菜鳥的資訊保安學習之路
- CSAO註冊資訊保安意識官
- Linux賬戶資訊保安深入剖析Linux
- 資訊保安與密碼學概論密碼學
- 資訊保安實踐Lab2-CSSCSS
- 依法使用網路維護資訊保安
- 國產軟體劍指自主資訊保安
- 保障網路資訊保安需立法先行
- 中小企業資訊保安解決篇
- 建立企業的資訊保安的流程
- 資訊化打造核心能力——談研發資訊保安(二)(轉)
- 資訊化打造核心能力——談研發資訊保安(一)(轉)
- 資訊化打造核心能力——談研發資訊保安(三)(轉)
- 資訊化打造核心能力——談研發資訊保安(四)(轉)
- 國內車載資訊保安產業聯盟成立《車載資訊保安技術要求白皮書》釋出產業