一、总论 1。什么是信息安全管理,为什么需要信息安全管理?信息安全管理是组织为实现信息安全目标而进行的管理活动,是组织完整的管理体系中的一个重要组成部分,是为保护信息资产安全,指导和控制组织的关于信息安全风险的相互协调的活动.信息安全管理是通过维护信息的机密性、完整性和可用性等,来管理和保护组织所有信息资产的一系列活动.信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产.信息的保密性、完整性 和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的. 由于信息具有易传输、易扩散、易破损的特点,信息资产比传统资产更加脆弱,更易受到损害,信息及信息系统需要严格管理和妥善保护.2。系统列举常用的信息安全技术?密码技术、访问控制和鉴权;物理安全技术:环境安全、设备安全、人员安全;网络安全技术:防火墙、VPN、入侵检测/入侵防备、安全网关;容灾与数据备份3。信息安全管理的主要内容有哪些?信息安全需求是信息安全的出发点,它包括机密性需求、完整性需求、可用性需求、抗抵赖性、真实性需求、可控性需求和可靠性需求等。信息安全管理范围是由信息系统安全需求决定的具体信息安全控制点,对这些实施适当的控制措施可确保组织相应环节的信息安全,从而确保组织整体的信息安全水平。信息安全控制措施是指为改善具体信息安全问题而设置技术或管理手段,信息安全控制措施是信息安全管理的基础。4。什么是信息安全保障体系,它包含哪些内容?(见一、3 图)5。信息安全法规对信息安全管理工作意义如何?法律法规是组织从事各种政务、商务活动所处社会环境的重要组成部分,它能为信息安全提供制度保障。信息安全法律法规的保障作用至少包含以下三方面:1。为人们从事在信息安全方面从事各种活动提供法律规范性指导2。能够预防信息安全事件的发生3.保障信息安全活动参加各方的合法权益,为人们追求合法权益提供了依据和手段二、信息安全风险评估1。 什么是信息安全风险评估?它由哪些基本步骤组成?信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。风险评估可分为四个阶段,第一阶段为风险评估准备;第二阶段为风险识别,第三阶段为风险评价,第四阶段为风险处理。2. 信息资产可以分为哪几类?请分别举出一两个例子说明。根据 ISO/IEC 13335—1,资产是指任何对组织有价...
