收藏
下载资源

第22讲_信息安全管理策略与法律法规

上传人:命****币 文档编号:121811413 上传时间:2020-02-26 格式:PPT 页数:35 大小:2.54MB
返回 下载 相关 举报
第22讲_信息安全管理策略与法律法规_第1页
第1页 / 共35页
第22讲_信息安全管理策略与法律法规_第2页
第2页 / 共35页
第22讲_信息安全管理策略与法律法规_第3页
第3页 / 共35页
第22讲_信息安全管理策略与法律法规_第4页
第4页 / 共35页
第22讲_信息安全管理策略与法律法规_第5页
第5页 / 共35页
点击查看更多>>
资源描述

《第22讲_信息安全管理策略与法律法规》由会员分享,可在线阅读,更多相关《第22讲_信息安全管理策略与法律法规(35页珍藏版)》请在金锄头文库上搜索。

1、第22讲 信息安全管理 1 信息安全管理标准 2 信息安全管理策略 3 信息安全法律法规 全国信息安全标准化技术委员会简称 其 编号为 直属国家标准化管理委员会 下设 个工作组 下属的信息安全分技术委员会 国际标准化组织的英文缩写是 国际电工委员会的英文缩写是 TC260 信安标委 信息技术联合技术委员会 ISO IEC 7 课前检查 新课引入 为什么会导致这些事故发生 信息安全管理策略 信息安全管理策略也称信息安全方针 是组织对信息和信息处理设施 进行管理 保护和分配的准则和规划 以及使信息系统免遭入侵和破 坏而必须采取的措施 它告诉组织成员在日常的工作中什么是必须做的 什么是可以做的 什么

2、是不可以做的 哪里是安全区 哪里是敏感区 就像交通规则之 于车辆和行人 信息安全策略是有关信息安全方面的行为规范 信息安全管理策略 一个成功的安全策略应当遵循 1 综合平衡 综合考虑需求 风险 代价等诸多因素 2 整体优化 利用系统工程思想 使系统总体性能最优 3 易于操作和确保可靠 第 10 页 在制定信息安全管理策略时 要严格遵守以下主要原则 1 目的性 策略是为组织完成自己的信息安全使命而制定的 策略应 该反映组织的整体利益和可持续发展的要求 2 适用性 策略应该反映组织的真实环境和信息安全的发展水平 3 可行性 策略应该具有切实可行性 其目标应该可以实现 并容易 测量和审核 没有可行性

3、的策略不仅浪费时间还会引起政策混乱 4 经济性 策略应该经济合理 过分复杂和草率都是不可取的 5 完整性 能够反映组织的所有业务流程的安全需要 6 一致性 策略的一致性包括下面三个层次 和国家 地方的法律 法规保持一致 和组织己有的策略 方针保持一致 整体安全策略保 持一致 要反映企业对信息安全的一般看法 7 弹性 策略不仅要满足当前的组织要求 还要满足组织和环境在未 来一段时间内发展的要求 制定策略的原则 第 11 页 理论上 一个完整的策略体系应该保障组织信息的机密性 可用性和完整性 信息安全策略应包含下列一些内容 1 适用范围 包括人员范围和时效性 例如 本规定适用于所有员工 适用于工作

4、时间和非工作时间 不仅要消除本该受到约束的员工有认为 自己是个例外的想法 也保证策略不至于被误解是针对某个员工的 同时也 告诉员工本规定在什么时间发挥效力 2 目标 例如 为确保企业的经营 技术等机密信息不泄漏 维护企 业的经济利益 根据国家有关法律 结合企业实际 特制定本条例 明确 了信息安全保护对公司是有着重要意义的 而且与国家的法律法规是一致的 主题明确的策略可能会有更加确切 详细的目标 如防病毒策略的目标可 以是 为了正确执行对计算机病毒 蠕虫 特洛伊木马 黑客恶意程序 的预防 侦测和清除过程 特制定本策略 策略的主要内容 第 12 页 3 策略主题 通常一个组织可能会考虑开发下列主题

5、的信息安全管理 策略 设备和及其环境的安全 信息的分级和人员责任 安全事故 的报告与响应 第三方访问的安全性 外围处理系统的安全 计算 机和网络的访问控制和审核 远程工作的安全 加密技术控制 备 份 灾难恢复和可持续发展的要求 4 策略签署 信息安全管理策略是强制性的 惩罚性的 策略的执行 需要来自管理层的支持 通常是信息安全主管或总经理签署信息安全管理 策略 签署人的管理地位不能太低 否则会有执行的难度 如果遭到某高 层主管的抵制常会导致策略失败 高层主管的签署也表明信息安全不单单 是信息安全部门的事情 还是和整个组织所有成员都是密切相关的 5 策略的生效时间和有效期 旧策略的更新和过时策略

6、的废除也是很 重要的 应该保持生效的策略中包含新的安全要求 策略的主要内容 续 第 13 页 6 重新评审策略的时机 策略除了常规的评审时机 在下列情况下也 需要重新评审 企业管理体系发生很大变化 相关的法律法规发生了 变化 企业信息系统或者信息技术发生了大的变化 企业发生了重大 的信息安全事故 7 与其他相关策略的引用关系 因为多种策略可能相互关联 引用关 系可以描述策略的层次结构 而且在策略修改时候也经常涉及其他相关策 略的调整 清楚的引用关系可以节省查找的时间 8 策略解释 由于工作环境 知识背景等原因的不同 可能导致员工 在理解策略时出现误解 歧义的情况 因此 应建立一个专门的权威的解

7、 释机构或指定专门的解释人员来进行策略的解释 9 例外情况的处理 策略不可能做到面面俱到 在策略中应提供特殊 情况下的安全通道 策略的主要内容 续 第 14 页 信息安全管理策略案例 第 15 页 建立信息安全机构和队伍 信息安全管理机构 一个组织的信息安全对本企业也是非常重要的 因此 对信息的安全管 理是不容忽视的问题 必须要引起组织最高领导层的充分重视 信息安全的管理层级一般分三个层次 每一层级都应有明确的责任制 1 决策机构 负责宏观管理 2 管理机构 负责日常协调 管理工作 3 配备各类安全管理 技术人员 负责落实规章制度 技术规范 处理 技术方面的问题 凡对信息安全有需求的组织 必须

8、成立相应的安全机构 配备必要的管 理人员和技术人员 制定规章制度 配备安全设备 从而保障信息安全管理 工作的正常开展 安全组织机构对信息系统的安全管理工作是垂直的 网络延伸到哪里 信息安全管理工作就要管到哪里 下一级信息安全组织机构必须无条件地接 受上一级安全组织机构的领导 第 16 页 组织信息安全工作队伍主要包括信息安全员 系统安全员 网络安全员 设备安全员 数据库安全员 数据安全员 防病毒安全员 信息安全队伍 信息安全工作人员的条件 由于各类信息安全工作人员的工作岗位处于信息系统的核心敏感部位 因此要有比较高的政治素质和业务水平 这些人员应具备以下条件 1 政治可靠 对组织忠诚 2 工作

9、认真负责 有敬业精神 3 处理问题公正严明 不拘私情 4 熟悉业务 具有一定的实践经验 5 从事网络系统操作或管理的工作人员应是具备一定实践经验的网络 工程师 第 17 页 信息安全工作人员岗位职责 1 信息安全员的职责 信息安全员主要负责信息网络系统的信息安全和保密信息的管理 其主要 职责是 1 负责涉密信息网信息安全 监督检查涉密信息的报送 接受和传输的 安全性 2 负责监督检查信息网对外发布的信息 保证符合安全保密规定 3 负责监督检查各部门的涉密信息的安全保密措施 防止泄密事件的发 生 4 负责监督检查信息网对国际互联网上国家禁止的网站的非法访问及有 害信息的侵入 5 负责协助有关部门

10、对网络泄密事件进行调查与技术分析 第 18 页 2 系统安全员的职责 系统安全员主要负责信息网络操作系统及服务器操作系统的安全及管理 其主要职责是 1 负责信息网络操作系统和服务器操作系统的安装 运行和维护 管 理 保障系统的安全稳定地运行 2 负责对用户的身份进行验证 防止非法用户进入系统 3 负责用户的口令管理 建立口令管理规程和检验创建账户机制 避 免口令泄露 4 负责实时监控系统 发现异常及时采取措施 恢复系统正常状态 5 负责对系统各种硬软件资源的合理分配和科学使用 避免造成系统 资源的浪费 第 19 页 3 网络安全员的职责 网络安全员主要负责信息网络系统的安全保密工作 其主要职责

11、是 1 负责信息网络系统及其网络安全保密系统的运行与维护 发现故障 及时排除 保障系统安全可靠地运行 2 负责配置和管理访问控制表 根据安全需求为各用户配置相应的访 问权限 3 负责网络审计系统的管理和维护 认真记录 检查和保管审计日志 4 负责检查系统的安全漏洞和隐患 发现安全隐患及时进行修复或提 出改进意见 5 负责实时对系统进行非法入侵检测 防止和阻止 黑客 入侵 第 20 页 4 设备安全员的职责 设备安全员负责对专用计算机安全保密设备 防火墙 加密机 干扰仪 等 的管理 使用和维护 其主要职责是 1 负责设备的领用和保管 做好设备的领用 进出库 报废登记 2 负责设备的正确使用和安奎

12、运行 并建立详细的运行日志 3 负责设备的清洁和定期的保养维护 并做好维护记录 4 负责设备的维修 制定设备维修计划 做好设备维修记录 5 负责对安全保密设备密钥的管理与注入 第 21 页 5 数据库安全员的职责 数据库安全员负责数据库管理系统的安全及维护管理工作 其主要职 责是 1 负责数据库管理系统的安装 备份和维护 保证系统安全 正常运行 2 负责定期检查系统运行情况 检测并优化系统性能 3 负责检查数据库系统的用户权限 防止非法用户的侵入和越权访问 4 负责定期检查数据库数据的完整性和可用性 发现系统故障及时排除 做好系统恢复 第 22 页 6 数据安全员的职责 数据安全员负责信息网络

13、中运行数据的安全 其主要职责是 1 负责信息网络数据的安全 保障信息的保密性 完整性和可用性 2 负责对信息网络数据备份与灾难恢复系统的维护与管理 实时对重 要数据进行安全备份 3 负责对信息采集 传输及存储的技术手段和工作环境以及介质管理 各环节的监督检查 发现问题和漏洞及时解决 4 负责定期对重要数据存储备份介质的检查 防止数据的丢失或被破 坏 第 23 页 7 防病毒安全员的职责 防病毒安全员负责信息网络系统的计算机病毒的防护工作 其主要职 责是 1 负责计算机防病毒软件的购置 保管 发放 升级和安装 2 负责信息网络系统的计算机病毒的防护 在病毒发作日前及时发布 公告 并采取必要的预防

14、措施 3 负责定期对信息网络系统进行病毒检测 发现系统被计算机病毒感 染 及时组织清除病毒 4 负责计算机病毒防护知识的宣传教育工作 第 24 页 信息安全管理标准 ISO IEC l7799 信息安全管理的原则之一就是规范化 系统化 如何在信息安全管理 实践中落实这一原则 需要相应的信息安全管理标准 BS7799标准是英国标准协会 BSI 制定的国际上具有代表性的信息 安全管理体系标准 该标准包括两个部分 信息安全管理实施细则 BS7799 1 1999 和 信息安全管理体系规范 BS7799 2 1999 其中 BS7799 1标准目前已正式转换成ISO国际标准 即 信息安全 管理体系实施

15、指南 IS0 17799 并于2000年12月1日颁布 它所阐述 的主题是安全策略和优秀的 具有普遍意义的安全操作 标准主要讨论了如下的主题 建立机构的安全策略 机构的安全基础 设施 资产分类和控制 人员安全 物理与环境安全 通讯与操作管理 访问控制 系统开发和维护 业务连续性管理 遵循性 第 25 页 信息安全管理标准 ISO IEC l7799 采用ISO IEC l7799标准建立起来的信息安全管理体系 ISMS 是建 立在系统 全面 科学的安全风险评估之上 是一个系统化 文件化 程序化 科学化的管理体系 它体现预防控制为主思想 强调遵守国家有关信息安全的法律 法 规及其它要求 强调全过

16、程和动态控制 本着成本费用与风险平衡的原 则选择安全控制方式 保护组织所拥有的关键信息资产 确保信息的保 密性 完整性 可用性 对网络环境下的信息安全管理无疑具有十分重 要的意义 信息安全管理体系标准发展 信息安全管理体系所涉及的领域 湖南移动信息安全管理体系 信息安全法律法规 我国历来重视信息安全法律法规的建设 经过多年的探索和实践 我国 已经制定和颁布了涉及信息系统安全 信息内容安全 信息产品安全 网 络犯罪 密码管理等方面的多项法律法规 构建了较为完善的信息安全法 律框架 从发展过程来看 我国的信息安全法律法规建设是一个与一些关键信息安 全技术和事件密切相关的动态发 展过程 1994年 国务院颁布了 计算机信息系统安全保护条例 在该条例中 首次使用了 信息系统安全 的表述 以该条例为起点 中国开始了信息安 全领域的立法进程 2002年12月28日 第九届全国人民代表大会常务委员会第十九次会议通 过了 全国人民代表大会常务委员会关于维护互联网安全的决定 该 决定规定禁止利用互联网实施危害互联网安全运行 危害国家安全和社会 稳定 危害社会主义市场经济 秩序和社会管理秩序 危害个人 法

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 教学课件 > 初中课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号