情報セキュリティ管理には何が含まれますか?

情報セキュリティ管理の対象には、目標、ルール、組織、人材などが含まれます。情報セキュリティ管理とは、情報の機密性、完全性、可用性を維持することによって情報資産を管理および保護することを指し、情報セキュリティ保証を導き、標準化し、管理する一連の活動およびプロセスです。情報セキュリティ管理の内容は、1. 情報セキュリティリスク管理、2. 施設セキュリティ管理、3. 情報セキュリティ管理、4. 運用セキュリティ管理です。

#この記事の動作環境: Windows 7 システム、Dell G3 コンピューター。

情報セキュリティ管理の対象には、目標、ルール、組織、人材などが含まれます。

情報セキュリティ管理とは、情報の機密性、完全性、可用性を維持することによる情報資産の管理と保護を指し、情報セキュリティ保証を指導、標準化、管理する一連の活動とプロセスです。

情報セキュリティ管理の内容

1. 情報セキュリティリスク管理

情報セキュリティ管理は製品ではなくプロセスであり、その本質はリスクです管理。情報セキュリティ リスク管理は、セキュリティ リスクを継続的に低減するプロセスと考えることができ、最終的な目標は、セキュリティ リスクを許容可能なレベルまで低減し、ユーザーと意思決定者が残りのリスクを受け入れられるようにすることです。情報セキュリティのリスク管理は、情報システムのライフサイクル全体にわたって実行されます。情報システムのライフサイクルは、計画、設計、導入、運用・保守、廃棄の5つの段階から構成されます。各段階には関連するリスクがあり、同じ情報セキュリティ リスク管理方法を使用して管理する必要があります。

情報セキュリティ リスク管理は、情報とその関連資産を保護し、組織の関連する情報セキュリティ リスクを指導および制御するための調整された活動です。私の国の「情報セキュリティリスク管理ガイド」は、情報セキュリティリスク管理にはオブジェクトの確立、リスク評価、リスク管理、レビューと承認、監視とレビュー、コミュニケーションと協議の6つの側面が含まれていると指摘しています。そのうち最初の4つが4つの側面です。情報セキュリティリスク管理の基本ステップである監視とレビュー、コミュニケーションと協議は、最初の 4 つのステップを通じて実行されます。

2.施設のセキュリティ管理

施設のセキュリティ管理には、ネットワークセキュリティ管理、機密機器のセキュリティ管理、ハードウェア設備のセキュリティ管理、サイトのセキュリティ管理が含まれます。

管理ネットワークのセキュリティ管理。情報管理ネットワークは、情報システムおよびネットワークの保守、運用、管理に関連する情報を収集、送信、処理、保管するために使用される、高度に自動化されたネットワーク化された総合管理システムです。パフォーマンス管理、構成管理、障害管理、課金管理、セキュリティ管理などの機能が含まれます。セキュリティ管理には、システム セキュリティ管理、セキュリティ サービス管理、セキュリティ メカニズム管理、セキュリティ イベント処理管理、セキュリティ監査管理、セキュリティ回復管理なども含まれます。

ハードウェア設備のセキュリティ管理。ハードウェア設備のセキュリティ管理では、主に構成管理、利用管理、保守管理、ストレージ管理、ネットワーク接続管理が考慮されます。一般的なネットワーク機器は、電磁放射、電磁漏洩、自​​然劣化を防ぐ必要があります。ハブ、スイッチ、ゲートウェイ デバイス、またはルーターも、サービス拒否、アクセス制御、バックドアの欠陥などの脅威から保護する必要があります。また、伝送媒体は、電磁干渉、有線盗聴、人為的妨害行為から保護する必要があり、衛星チャンネル、マイクロ波中継チャンネルなどは、チャンネル盗聴や人為的妨害行為から保護する必要があります。セキュリティ機器の管理には、主にセキュリティ性能指標の管理、稼働状況の管理、セキュリティ機器の種類、数量、配置、使用者の状況、鍵の管理などが含まれます。会場設備の安全管理。コンピュータ室や敷地設備の安全管理は、防水、防火、帯電防止、避雷、放射線防護、盗難防止などの国家基準を満たす必要があります。要員の入退室管理では、セキュリティレベルや機密保持の範囲に応じて必要な技術的・管理的措置を講じ、要員の入退室時刻や入退室理由等を登録する必要があります。電磁放射線防護には、技術的実現可能性と経済合理性に基づいた機器防護、建物防護、地域防護、磁場防護が必要です。

3. 情報セキュリティ管理

情報の構築と開発のニーズに応じて、情報には 3 つのレベルの内容が含まれます: まず、情報は収集され、送信され、処理され、ネットワークとシステムに保存されます。 1つ目は技術文書、記憶媒体、各種情報など、2つ目は使用する各種ソフトウェア、3つ目はセキュリティ管理手段のための鍵やパスワードなどの情報を指します。ソフトウェア設備のセキュリティ管理。ソフトウェア設備のセキュリティ管理では、主に構成管理、利用・保守管理、開発管理、ウイルス管理が考えられます。ソフトウェア設備には、主にオペレーティング システム、データベース システム、アプリケーション ソフトウェア、ネットワーク管理ソフトウェア、ネットワーク プロトコルが含まれます。オペレーティング システムはコンピュータ システム全体の基礎ですが、セキュリティ レベルが高くないため、さまざまなセキュリティ レベルの保護を提供する必要があります。データベースシステムでは、データベースのセキュリティを強化し、暗号化技術を利用してデータベース内の機密データを暗号化する必要があります。現在最も広く使用されているネットワーク通信プロトコルは TCP/IP プロトコルです。多くのセキュリティ設計上の欠陥により、多くの脅威にさらされることがよくあります。ネットワーク管理ソフトウェアはセキュリティ管理の重要な部分であり、一般的に使用されるソフトウェアには、HP の OpenView、IBM の NetView、SUN の NetManager などが含まれます。追加のセキュリティ対策も必要です。

記憶媒体のセキュリティ管理。記憶媒体には、紙媒体、磁気ディスク、光ディスク、磁気テープ、オーディオ/ビデオ テープなどが含まれます。そのセキュリティは、情報システムの回復、情報の機密性、およびウイルス対策において重要な役割を果たします。ストレージメディアの種類が異なれば、セキュリティ管理要件も異なります。記憶媒体のセキュリティ管理では、主に保管管理、使用管理、コピーと破壊の管理、機密媒体のセキュリティ管理が考慮されます。技術文書の安全管理。技術文書は、システムまたはネットワークの設計、開発、運用、保守におけるすべての技術的問題を書面で説明したものです。技術文書はその内容の機密性の度合いに応じて階層的に管理されており、一般に最高機密レベル、機密レベル、機密レベル、公開レベルに分けられます。技術文書の安全管理は、主に文書の使用、バックアップ、借用、廃棄等を考慮し、厳格な管理体制と責任者を確立する必要があります。

キーとパスワードを安全に管理します。キーは暗号化および復号化アルゴリズムのキーであり、キー管理とは、キーの生成、検証、配布、保管、使用、挿入、置換、および破棄の管理です。パスワードはデバイス管理の効果的な手段であり、パスワードの生成、送信、使用、保管、および置き換えには効果的な管理と制御が必要です。

4. 運用上のセキュリティ管理

運用中の情報システムやネットワークのセキュリティ状況も考慮する必要があり、現時点でのセキュリティ管理の課題は、セキュリティ監査とセキュリティ回復の2つです。と心配になることが多いです。

セキュリティ監査。セキュリティ監査とは、システムまたはネットワークの運用におけるセキュリティ関連の状況やイベントに関して記録、分析し、対応する措置を講じる管理活動を指します。現在は主にオペレーティングシステムや各種主要アプリケーションソフトウェアの監査を行っております。セキュリティ監査は、あらゆるレベルのセキュリティ機関によって実装および管理される必要があり、手動、半自動、また​​は自動のインテリジェントな方法を使用できます。手動監査は通常、監査記録を表示、分析、処理するために監査人を使用します。半自動監査は通常、コンピュータによって自動的に分析および処理され、監査人が意思決定とプロセスを行います。自動インテリジェント監査は通常、コンピュータによって完了し、次の助けを借りて判断を行います。エキスパート システム さまざまなアプリケーション環境のニーズを満たすことができます。

安全な回復。セキュリティリカバリとは、ネットワークや情報システムが壊滅的な打撃や損傷を受けた場合に、ネットワークや情報システムを迅速に正常な状態に復旧し、損失を最小限に抑えるために実行される一連の活動を指します。セキュリティ回復管理には、主に、セキュリティ回復戦略の確立、セキュリティ回復計画の策定、セキュリティ回復計画のテストと保守、およびセキュリティ回復計画の実行が含まれます。

情報セキュリティ管理の原則

情報セキュリティ管理は、統一されたセキュリティ管理原則に従う必要があります。

(1) 標準化原則: すべての段階で次の原則に従う必要があります。セキュリティ規制の要件を確認し、組織のセキュリティ ニーズに基づいてセキュリティ ポリシーを策定します。

(2) システム化の原則：安全工学の要求に従い、将来のアップグレード、リプレース、機能拡張を含むシステムの全段階を総合的かつ統一的に検討します。

(3) 総合保証原則：人材、資金、技術等の総合保証

(4) 人本位原則：技術が鍵、経営が核、改善管理者の技術的リテラシーと道徳的レベル。

(5) 最高責任原則：最高責任者のみが安全管理を実施できる

(6) 予防原則：安全管理は予防に重点を置き、ある程度の前向きな意識を持たなければならない。

(7) リスク評価の原則：システムのセキュリティ状況を改善するために、実践に基づいてシステムの定期的なリスク評価を実施します;

(8) 動的原則：環境に基づいてシステムを改善します変化と技術進歩 システム保護能力

(9) 費用対効果の原則：資源価値とリスク評価結果に基づいて適切な保護措置を採用する。

(10) バランスの取れた保護原則: 「木の棒の原則」によれば、システム全体のセキュリティ強度は最も弱いリンクに依存し、特定の側面のセキュリティ強度を一方的に追求することは実用的ではありません。システム全体にとっての重要性。

さらに、情報セキュリティ管理の具体的な実施プロセスでは、次の原則に従う必要があります。チェックとバランスの分散の原則、最小特権の原則、権力分立の原則、権限の原則普遍的な参加、監査の独立性の原則など。

関連する推奨事項: サーバー セキュリティ

以上が情報セキュリティ管理には何が含まれますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。