Continuous Controls Monitoring信息安全与IT运维我们不能消除风险,却可以管理风险 王朝阳 2008年1月20日2提纲n 什么是信息安全n 什么是IT 运维n 信息安全与IT 运维的关系n 怎样开展信息安全工作n 信息安全最佳实践n 信息安全工作模型3什么是信息安全?(1 )关于信息安全的定义很多,国内外、不同组织给出不同的定义,但我们可以找出其中共性的部分n 国内学者的定义:“信息安全保密内容分为:实体安全、运行安全、数据安全和管理安全四个方面。”n 我国“计算机信息系统安全专用产品分类原则”中的定义是:“涉及实体安全、 运行安全和信息安全三个方面。”n 我国相关立法给出的定义是:“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。这里面涉及了物理安全、运行安全与信息安全三个层面。4什么是信息安全?(2 )n 国家信息安全重点实验室给出的定义是:“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说,就是要保障电子信息的有效性。”n 英国BS7799 信息安
