最新消息: PyCharm vs VSCode,哪个更好?
您现在的位置是:群英 > 网络安全 > 网络管理 >
信息安全管理架构由什么组成?
网络发表于 2020-08-31 18:39 次浏览
          信息安全管理架构由什么组成?很多朋友在进行网络信息安全管理的时候会觉得比较复杂,其实并不像你想象得那么复杂繁琐,只要我们做好架构,那么很多事情都会变得清晰,下面我们一起来看看信息安全管理架构由什么组成?

1.介绍国际行业标准

      什么是框架?框架是为了解决什么问题?

2.计算机犯罪

 
1.国际行业标准及其作用领域

框架是一种概念性的结构,帮助人们理解复杂事物的工具

框架 = 逻辑+管理+物理+程序+业务+人

业务人员和技术人员的冲突:语言不通,框架能让双方以能理解的方式审视同一组织

(1)安全规划开发

ISO/IEC 27000系列:ISO和IEC联合开发的关于如何开发和维护信息安全管理体系的国际标准

ISO/IEC 27000 概述和词汇

ISO/IEC 27001 ISMS要求

ISO/IEC 27002 信息安全管理体系实践代码

ISO/IEC 27003 信息安全管理体系实施指南

ISO/IEC 27004 信息安全管理衡量指南与指标框架

ISO/IEC 27005 信息安全风险管理指南

ISO/IEC 27006 认证机构要求

ISO/IEC 27007 ISMS审计

ISO/IEC 27008 审计师指南

ISO/IEC 27011 通信组织信息安全管理指南

ISO/IEC 27014 信息安全治理指南

ISO/IEC 27015 金融行业信息安全管理指南

ISO/IEC 27031 业务连续性

ISO/IEC 27032 网络空间安全指南

ISO/IEC 27033 网络安全指南

ISO/IEC 27034 应用安全指南

ISO/IEC 27035 安全事件管理指南

ISO/IEC 27037 数字证据收集和保存指南

ISO/IEC 27799 医疗机构信息安全管理指南


信息安全管理“PDCA”模型-戴明环

 


(2)企业架构开发

Zachman架构:由John Zachman开发的企业框架开发模型

TOGAF:由The Open Group开发的用于企业架构开发的模型和方法论

DoDAF:美国国防部开发的架构框架,主要用于保障军事任务完成过程中系统间的互操作性

MODAF:英国国防部开发的架构框架,主要用于保障军事任务支持方面

SABSA :企业信息安全架构开发的模型和方法论

(3)安全控制开发

COBIT 5:IT企业管理和治理的业务框架,信息系统审计和控制协会(ISACA)开发

NIST SP 800-53:美国国家标准与技术研究院开发的保护联邦系统的控制集

COSO:企业内控:由反欺诈财务报告全国委员会发起组织委员会(Committee of Sponsoring Organizations)开发,降低财务欺诈风险的国内公司控制集

(4)过程管理开发

ITIL:英国商务部开发的IT服务管理的过程

Six Sigma:开展过程改进的业务管理策略                                                                                                               

Capability Maturity Model Integration CMMI模型:卡耐基梅隆大学开发,用于改进组织的开发过程

初始化-可管理-可定义-可量化管理-可优化

 

安全是在安全与必要的功能性之间的平衡
 

2.计算机犯罪

1.计算机辅助犯罪:使用计算机来帮助实施犯罪,没有计算机仍可以进行犯罪,如盗窃,栽赃陷害

2.针对计算机的犯罪:计算机成为专门针对它们及其所有者进行攻击的受害者,如ddos攻击,安装rootkit

3.计算机牵涉型攻击:计算机在犯罪起次要作用

计算机分类的原因:将当前的法律用于数字世界中的犯罪

 

3.网络犯罪

1.电子资产

(1)保护那些资产和进行到何种保护程度

(2)保护不限于数据,还包括定义敏感及保存这些数据的位置

2.攻击演变

1.炫耀行为

自我驱动->组织犯罪,利益驱动
2.攻击类型

扫描行为
APT(Advanced Persistent Threat):一群攻击者,利用各种攻击方法渗入网络,成功后隐藏起来,等待最有利的时间发动攻击或者等待指令发动攻击 ->应对方案流量检测(VPN的流量可能不会检测到?通过vpn日志的方式进行监控?)
3.国际问题

       当遇到跨国犯罪时,国与国之间壁垒成为犯罪者的保护伞,为了解决该问题,欧洲理事会创造出网络犯罪公约;与其他国家进行数据交换必须遵循OECD的8个原则:

收集限制原则
数据性质原则
目的说明原则
使用限制原则
安全防护原则
开放原则
个人参与原则
可被问责原则
进出口法律

2017年,中国发布网络安全法和信息安全等级保护管理办法、
2017年,欧盟发布GDPR

4.法律的类型

1.普通法系(英美法系、海洋法系)

判例法,强调遵循判例(Precedent)
使用国家:美国、英格兰、威尔士、爱尔兰、前英国殖民地
2.大陆法系(欧陆法系、罗马法系、民法法系、法典法系)

以成文法为主,通常不承认判例法的地位,崇尚理性主义,构建抽象化的概念体系,发源于欧洲大陆
使用国家:德国、法国、中国、日本
3.习惯法法系

独立于国家法制之外,依据某种社会规范,在世界,依据某种社会权威确立的、具有强制性和习惯性的行为规范的总和
介于道德和法律之间
使用国家:印度
4.宗教法律体系

基于宗教信仰
神训导的知识和准则来定义和规范人类的事务,涉及生活的方方面面,立法者和学者并不创建法律,而是试图发现法律的真理
使用地区:中东
5.混合法律体系

联合使用、累计或交互应用的两个或几个法律
使用国家:荷兰、加拿大、南非

5.知识产权

1.商业秘密

公司的重要资源,不被未授权使用和公开,不公开,例子:产品配方、程序源代码
NDA(NonDisclosure Agreement)保密协议
2.版权

作者对其原创作品的公开发行、复制、展示和修改的法律权利,公开内容
3.商标

定义:公司形象的商业标识,如单词、名称、符合、声音、形状、颜色设备或这些项的组合
需注册,不允许使用
4.专利

对专利注册人和公司的专利拥有权的法律认可,禁止他人或公司未经拥有人授权而使用复制专利所保护的声明
专利有效期:20年
登记、可转让、有效期、可收费使用
5.软件盗版

盗版软件:软件在作者未授权下进行传播、复制、交易
软件许可:自由软件、商业软件、共享软件、学术软件
软件保护协会SPA、反软件盗窃联盟(FAST)、数字千年版权法案DMCA
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:mmqy2019@163.com进行举报,并提供相关证据,查实之后,将立刻删除涉嫌侵权内容。
相关信息推荐