第7章

信息安全管理和风险评估

本章主要围绕信息安全管理、信息安全治理、信息安全风险管理和信息安全风险处置角度来阐述其流程管理。

71信息安全管理

711基本概念

1信息

在信息技术领域，国家标准gbt52711《信息技术词汇第1部分：基本术语》中对信息给出了定义：关于客体（如事实、事件、事物、过程或思想，包括概念）的知识，在一定的场合中具有特定的意义。在信息安全领域，信息是通过在数据上施加某些约定而赋予这些数据的特殊含义，强调信息是无形的，借助于信息媒体以多种形式存在和传播；同时，信息也是一种重要资产，具有价值，需要保护。信息具有如下基本特征：

1可量度。信息可采用某种度量单位进行度量，并进行信息编码，如现代计算机使用的二进制。

2可识别。信息可采用直观识别、比较识别和间接识别等多种方式来把握。

3可转换。信息可以从一种形态转换为另一种形态，如自然信息可转换为语言、文字和图像等形态，也可转换为电磁波信号和计算机代码。

4可存储。信息可以存储。大脑就是一个天然信息存储器。人类发明的文字、摄影、录音、录像以及计算机存储器等都可以进行信息存储。

5可处理。人脑就是最佳的信息处理器。人脑的思维功能可以进行决策、设计、研究、写作、改进、发明、创造等多种信息处理活动。计算机也具有信息处理功能。

6可传递。信息的传递是与物质和能量的传递同时进行的。语言、表情、动作、报刊、书籍、广播、电视、电话等是人类常用的信息传递方式。

7可再生。信息经过处理后，可以以其他形式再生。例如，自然信息经过人工处理后，可用语言或图形等方式再生成信息。输入计算机的各种数据文字等信息，可用显示、打印、绘图等方式再生成信息。

8可压缩。信息可以进行压缩，可以用不同信息量来描述同一事物。人们常常用尽可能少的信息量描述一件事物的主要特征。

9可利用。信息具有一定的实效性和可利用性。

10可共享。信息具有扩散性，因此可共享。

2信息资产

对组织具有价值的信息或资源称为信息资产。参考国家标准gbt20984-2007《信息安全技术信息安全风险评估规范》，信息资产分类如表7-1所示。

表7-1通常的信息资产分类

3信息安全

iso国际标准化组织对于信息安全给出了精确的定义。信息安全是为数据处理系统建立，采用技术和管理的措施进行安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。在信息安全管理中，简单地将信息安全定义为保持信息的保密性、完整性和可用性，有时也考虑其他属性，如真实性、可核查性、抗抵赖性和可靠性等。

iso的信息安全定义清楚地回答了我们关心的信息安全主要问题，包括3方面的含义。

1信息安全的保护对象。信息安全的保护对象是信息资产，典型的信息资产包括计算机硬件、软件和数据。

2信息安全的目标。信息安全的目标是保证信息资产的三个基本安全属性。信息资产被泄露意味着保密性受到影响，被更改意味着完整性受到影响，被破坏意味着可用性受到影响，而保密性、完整性和可用性三个基本属性是信息安全的最终目标。

3实现信息安全目标的途径。实现信息安全目标的途径要借助两方面的控制措施，即技术措施和管理措施。从这里就能看出技术和管理并重的基本思想，重技术轻管理，或者重管理轻技术，都是不科学，并且是有局限性的错误观点。

4信息安全管理

信息安全管理是指通过维护信息的机密性、完整性和可用性来管理和保护信息资产，是对信息安全保障进行指导、规范和管理的一系列活动和过程。

712基本内容

信息安全管理主要包括信息安全风险管理、设备的安全管理、信息的安全管理和运行的安全管理。

1信息安全风险管理

信息安全管理是一个过程，而不是一个产品，其本质是风险管理。信息安全风险管理可以看成一个不断降低安全风险的过程，最终目的是使安全风险降低到一个可接受的程度，使用户和决策者可以接受剩余的风险。信息安全风险管理贯穿信息系统生命周期的全部过程。信息系统生命周期包括规划、设计、实施、运维和废弃5个阶段。每个阶段都存在相关风险，需要采用同样的信息安全风险管理的方法加以控制。

信息安全风险管理是为保护信息及其相关资产，指导和控制一个组织相关信息安全风险的协调活动。我国《信息安全风险管理指南》指出，信息安全风险管理包括对象确立、风险评估、风险控制、审核批准、监控与审查、沟通与咨询6方面，其中前4项是信息安全风险管理的4个基本步骤，监控与审查和沟通与咨询则贯穿于这4个步骤中。

2设施的安全管理