>>>>>点击了解信息系统管理工程师网络课堂

    >>>>>点击了解信息系统管理工程师面授课 

      希赛小编为大家整理了一些信息系统管理工程师教程知识点梳理，以下是关于安全管理概述的讲解，希望对大家有所帮助。

      20.1安全管理概述

      1两个安全管理的标准：ISO13335和ISO17799。

      2完整的安全管理制度包括哪些内容？

      答：人员安全管理制度、操作安全管理制度、场地与设施安全管理制度、设备安全使用管理制度、操作系统和数据库安全管理制度、运行日志安全管理、备份安全管理、异常安全管理、系统安全恢复管理、安全软件版本管理制度、技术文档安全管理制度、应急管理制度、审计管理制度、运行维护安全规定、第三方服商的安全管理、对系统安全状况的定期评估策略、技术文档媒体报废管理制度。

      20.1.1安全策略

      20.1.2安全管理措施

      3信息系统的安全保障能力取决于信息系统所采取安全管理措施的强度和有效性，这些措施可分为哪几个层面？

      答：（1）安全策略。用于描述一个组织高层的安全目标，确定组织安全策略是是一个组织实现安全管理和技术措施的前提。

      （2）安全组织。安全组织作为安全工作的管理、实施和运行维护体系，主要负责安全策略、制度、规划的制定和实施，确定各种安全管理岗位和相应安全职责，并负责选用合适的人员来完成相应岗位的安全管理工作、监督各种安全工作的开展、协调各种不同部门在安全实施中的分工和合作，并保证安全目标的实现。

      （3）安全人员。人是信息安全的核心，信息的建立和使用者都是人，不同级别的保障能了的信息系统对人员的可信度要求也不一样，信息系统的安全保障能力越高，对信息处理设施的维护人员、信息建立和使用人员的可信度要求就越高。

      （4）安全技术。安全技术是信息系统里面部署的各类安全产品，属于技术类安全控制措施，不同保障能力级别的信息系统应选择具备不同安全保障能力级别的安全技术与产品。

      （5）安全运作。包括生命周期中各个安全环节的要求，包括安全服务的响应时间、安全工程的质量保证、安全培训力度。

      4健全的安全保障措施包括哪些内容？

      答：（1）定义管理的目的、范围、责任和结果的安全制度。

      （2）详细陈述控制IT安全标准，这些控制是实现制度目标所要求的。

      （3）制度即为标准和各个平台和工具的具体执行程序。

      （4）制度、标准和程序将被分发给每个工作人员。

      （5）经常审查制度的合理性和有效性。

      （6）更新制度的责任分配。

      （7）监督制度的遵守情况。

      （8）对工作人员进行一般的安全常识和制度要求方面的培训。

      （9）要求用户签订一个声明，声称访问任何系统之前已经理解了制度并要遵守该制度。

      （10）制定紧急事故恢复计划。

      5灾难恢复措施有哪些？

      答：（1）灾难预防措施，做灾难恢复备份，自动备份系统的重要信息。

      （2）灾难演习制度，每过一段时间进行一次灾难演习，以熟练灾难恢复的操作过程。

      （3）灾难恢复，使用最近的一次备份进行灾难恢复，可分为两类：全盘恢复和个别文件恢复。

      6备份策略：完全备份、增量备份、差异备份。

      20.1.3安全管理系统

      7安全管理系统包括：管理机构、责任制、教育制度、培训、外部合同作业安全性。

      8如果采取外购策略，应确定本单位外购战略，包括：与企业战略一致的外购目标、外购目的（降低成本或者集中于核心能力）、外购范围（所有系统或特定的IT功能）和报告渠道。

      20.1.4安全管理范围

      9项目风险是可能导致项目背离既定计划的不确定事件、不利事件或弱点。项目的风险管理集中了项目风险识别、分析和管理。

      10对项目的风险管理应当包括哪些内容？

      答：（1）一个风险管理计划，至少应强调主要的项目风险（财务、进度、组织、业务调整）、潜在的风险影响、风险管理的可能的解决方案、降低风险的措施；（2）一个风险预防计划和应急计划，包括降低风险所必须的资源、时间和成本概算；（3）一个在整个项目周期内自始至终对风险进行测定、跟踪及报告的程序；（4）应急费用，并将其列入预算。

      11管理目标的确定和管理措施的选择原则是费用不超过风险所造成的损失。

      20.1.5风险管理

      12考虑信息安全是必须注意的风险：物理破坏；人为错误；设备故障；内、外部攻击；数据误用；数据丢失；程序错误。

      13风险管理是指识别、评估、降低风险到可以接受的程度，并实施适当机制控制风险保持在此程度之内的过程。

      14风险分析的方法与途径：定性分析和定量分析。

      15风险分析小组、管理者、风险分析工具、企业文化决定了进行风险分析时采用哪种中方式或两者的结合。

      16成功执行需要高级管理部门的支持和指导，管理部门需要确定风险分析的目的和范围，指定小组进行评估，并给予时间、资金的支持。风险小组应由不同部门的人员组成，可以是管理者、程序开发人员、审计人员、系统集成人员、操作人员。

      17风险是指某种破坏或损失发生的可能性。

      18有形资产可以通过资产的价值进行分类，如机密级、内部访问级、共享级、未保密级。

      19风险管理：风险分析；风险评估；控制风险。

      20风险管理方式：降低风险、避免风险、转嫁风险、接受风险

      21制定安全策略时，首先要识别当前的安全机制并评估它的有效性。

      22对于每一类威胁要分别对待，采取防护措施时，要考虑：产品费用、设计/计划费用、实施费用、环境的改变、与其他防护措施的兼容性、维护需求、测试需求、修复、替换、更新费用、操作/支持费用。

      23安全措施：物理、技术、管理安全措施。

    返回目录：信息系统管理工程师教程知识点梳理之安全管理汇总

      希赛网，拥有十五年软考培训经验，希赛网一直坚持自主研发，将丰富的软考培训经验有效融入教程研发过程，自成体系的软考在线题库（软考历年真题）、软考培训教材和软考视频教程，多样的培训方式包括面授、和，使考生的学习更具系统性，辅导更具针对性。采用全程督学机制，，软考平均通过率在全国。