《《计算机网络与信息安全技术》电子课件CH信息安全管理》由会员分享,可在线阅读,更多相关《《计算机网络与信息安全技术》电子课件CH信息安全管理(34页珍藏版)》请在金锄头文库上搜索。
1、计算机网络与信息安全技术教学课件 V08.081信息安全管理第 14 章2基本内容u管理安全是信息安全体系重要的组成部分。健全的管理 制度、良好的设备使用制度,结合专门的机构与人员,可 以对网络与信息进行综合防护。本章介绍安全管理相关的 知识。 314.1 制定信息安全管理策略 信息安全管理策略也称信息安全方针针,是组织对组织对 信息和 信息处处理设设施进进行管理、保护护和分配的准则则和规规划,以及使 信息系统统免遭入侵和破坏而必须须采取的措施。它告诉组织诉组织 成 员员在日常的工作中什么是必须须做的,什么是可以做的,什么是 不可以做的;哪里是安全区,哪里是敏感区,就像交通规则规则 之 于车辆
2、车辆 和行人,信息安全策略是有关信息安全方面的行为规为规 范。一个成功的安全策略应应当遵循:1)综综合平衡(综综合考虑虑需求、风险风险 、代价等诸诸多因素)。2)整体优优化(利用系统统工程思想,使系统总统总 体性能最优优) 。3)易于操作和确保可靠。 14.1.1 信息安全管理策略概述 414.1 制定信息安全管理策略 在制定信息安全管理策略时时,要严严格遵守以下主要原则则。1)目的性。策略是为组织为组织 完成自己的信息安全使命而制定的,策略 应该应该 反映组织组织 的整体利益和可持续发续发 展的要求。2)适用性。策略应该应该 反映组织组织 的真实环实环 境和信息安全的发发展水平。3)可行性。
3、策略应该应该 具有切实实可行性,其目标应该标应该 可以实现实现 ,并容 易测测量和审审核。没有可行性的策略不仅仅浪费时间还费时间还 会引起政策混乱。4)经济经济 性。策略应该经济应该经济 合理,过过分复杂杂和草率都是不可取的。5)完整性。能够够反映组织组织 的所有业务业务 流程的安全需要。6)一致性。策略的一致性包括下面三个层层次:和国家、地方的法律 法规规保持一致;和组织组织 己有的策略、方针针保持一致;整体安全策略保 持一致,要反映企业对业对 信息安全的一般看法。7)弹弹性。策略不仅仅要满满足当前的组织组织 要求,还还要满满足组织组织 和环环境在 未来一段时间时间 内发发展的要求。 14.
4、1.2 制定策略的原则则 514.1 制定信息安全管理策略 理论论上,一个完整的策略体系应该应该 保障组织组织 信息的机密 性、可用性和完整性。信息安全策略应应包含下列一些内容:1)适用范围围。包括人员员范围围和时时效性,例如“本规规定适用于所有员员 工”,“适用于工作时间时间 和非工作时间时间 ”。不仅仅要消除本该该受到约约束的员员 工有认为认为 自己是个例外的想法,也保证证策略不至于被误误解是针对针对 某个员员工 的;同时时也告诉员诉员 工本规规定在什么时间发挥时间发挥 效力。2)目标标。例如,“为为确保企业业的经营经营 、技术术等机密信息不泄漏,维维 护护企业业的经济经济 利益,根据国家
5、有关法律,结结合企业实际业实际 ,特制定本条例。 ”明确了信息安全保护对护对 公司是有着重要意义义的,而且与国家的法律法规规 是一致的。主题题明确的策略可能会有更加确切、详细详细 的目标标,如防病毒策 略的目标标可以是:“为为了正确执执行对计对计 算机病毒(蠕虫、特洛伊木马马、黑 客恶恶意程序)的预预防、侦测侦测 和清除过过程,特制定本策略”。14.1.3 策略的主要内容 63)策略主题题。通常一个组织组织 可能会考虑虑开发发下列主题题的信息安全管 理策略:设备设备 和及其环环境的安全。信息的分级级和人员责员责 任。安全事 故的报报告与响应应。第三方访问访问 的安全性。外围处围处 理系统统的安
6、全。计计 算机和网络络的访问访问 控制和审审核。远远程工作的安全。加密技术术控制。 备备份、灾难难恢复和可持续发续发 展的要求。4)策略签签署。信息安全管理策略是强制性的、惩罚惩罚 性的,策略的执执 行需要来自管理层层的支持,通常是信息安全主管或总经总经 理签签署信息安全管 理策略。签签署人的管理地位不能太低;否则则会有执执行的难难度,如果遭到某 高层层主管的抵制常会导导致策略失败败,高层层主管的签签署也表明信息安全不单单 单单是信息安全部门门的事情,还还是和整个组织组织 所有成员员都是密切相关的。5)策略的生效时间时间 和有效期。旧策略的更新和过时过时 策略的废废除也是 很重要的,应该应该
7、保持生效的策略中包含新的安全要求。14.1 制定信息安全管理策略 14.1.3 策略的主要内容(续) 76)重新评审评审 策略的时时机。策略除了常规规的评审时评审时 机,在下列情况下 也需要重新评审评审 :企业业管理体系发发生很大变变化。相关的法律法规发规发 生了变变化。企业业信息系统统或者信息技术发术发 生了大的变变化。企业发业发 生 了重大的信息安全事故。7)与其他相关策略的引用关系。因为为多种策略可能相互关联联,引用 关系可以描述策略的层层次结结构,而且在策略修改时时候也经经常涉及其他相关 策略的调调整,清楚的引用关系可以节节省查查找的时间时间 。8)策略解释释。由于工作环环境、知识识背
8、景等原因的不同,可能导导致员员 工在理解策略时时出现误现误 解、歧义义的情况。因此,应应建立一个专门专门 的权权威 的解释释机构或指定专门专门 的解释释人员员来进进行策略的解释释。9)例外情况的处处理。策略不可能做到面面俱到,在策略中应应提供特 殊情况下的安全通道。 14.1 制定信息安全管理策略 14.1.3 策略的主要内容(续) 814.1 制定信息安全管理策略 14.1.4 信息安全管理策略案例 914.2 建立信息安全机构和队队伍 为为了保护护国家信息的安全,维护维护 国家的利益,各国政府均 指定了政府有关机构主管信息安全工作。我国成立了国家信息化领导领导 小组组,由国务务院领导亲领导
9、亲 自任 组长组长 ,中央国家机关有关部委的领导领导 参加小组组的工作。国家信 息化领导领导 小组为组为 了强化对对信息化工作的领导领导 ,对对信息产业产业 部 、公安部、安全部、国家保密局等部门门在信息安全管理方面进进 行了职职能分工,明确了各自的责责任,对对于保障我国信息化工作 的正常发发展,保护护信息安全起到了重要的作用。 1014.2 建立信息安全机构和队队伍 14.2.1 信息安全管理机构 一个组织组织 的信息安全对对本企业业也是非常重要的,因此,对对信息的安全 管理是不容忽视视的问题问题 ,必须须要引起组织组织 最高领导层领导层 的充分重视视。信息安全的管理层级层级 一般分三个层层
10、次,每一层级层级 都应应有明确的责责任制 。1)决策机构。负责负责 宏观观管理。2)管理机构。负责负责 日常协调协调 、管理工作。3)配备备各类类安全管理、技术术人员员。负责负责 落实规实规 章制度、技术规术规 范, 处处理技术术方面的问题问题 。凡对对信息安全有需求的组织组织 ,必须须成立相应应的安全机构、配备备必要的 管理人员员和技术术人员员、制定规规章制度、配备备安全设备设备 、从而保障信息安全 管理工作的正常开展。安全组织组织 机构对对信息系统统的安全管理工作是垂直的,网络络延伸到哪里 ,信息安全管理工作就要管到哪里,下一级级信息安全组织组织 机构必须须无条件 地接受上一级级安全组织组
11、织 机构的领导领导 。 1114.2 建立信息安全机构和队队伍 14.2.1 信息安全管理机构(续) 1信息安全领导领导 小组组(1)领导领导 小组组成员员1)信息安全领导领导 小组组长组组长 由组织组织 主要领导领导 担任。2)其他成员员由计计算机、通信、综综合信息、保卫卫、保密、人事、监监察 等有关方面的负责负责 人担任。信息安全领导领导 小组组是组织组织 中信息安全工作最高领导领导 决策机构,不隶属 任何部门门,直接对组织对组织 最高领导层负责领导层负责 。领导领导 小组组是常设设机构,有例会 工作制度;领导领导 小组负责组负责 本组织组织 、本系统统信息安全工作的宏观领导观领导 。12
12、14.2 建立信息安全机构和队队伍 14.2.1 信息安全管理机构(续) (2)领导领导 小组职组职 能1)制定与信息安全有关的长远规长远规 划、建设设,研究信息安全工作的资资金 投入、安全(技术术、管理)策略、资资源利用,处处理信息安全的重大事故, 决定信息安全的人事问题问题 。2)根据国家信息安全的法律、法规规、制度和规规范,结结合本组织组织 的实实 际际,批准本组织组织 信息安全方面的规规章制度、实实施细则细则 、安全目标岗标岗 位责责任 制。3)领导领导 本组织组织 信息系统统的安全工作,并监监督整个信息系统统安全体系 的日常工作。安全负责负责 人要接受本组织组织 信息安全领导领导 小
13、组组和信息安全领导领导 小组办组办 公室的领导领导 。4)领导领导 本组织组织 所属的信息安全工作机构,定期召开信息安全工作会议议 ,研究布置工作,解决重大问题问题 。5)定期向组织组织 最高领导层汇报领导层汇报 信息安全工作情况,取得最高层领导层领导 对对信息安全工作的支持。6)审审核批准安全年报报、安全教育计计划。7)表彰信息安全工作先进进者,处处置违规违规 行为为。 1314.2 建立信息安全机构和队队伍 14.2.1 信息安全管理机构(续) (3)领导领导 小组组决策的主要内容1)审审核系统统安全管理人员员的各种安全报报告,并做出相关的决定。2)决定信息系统统和信息的安全等级级。3)决
14、定信息系统统是否要采取安全措施。4)作出新的信息安全风险评测风险评测 ,决定是否增加安全措施。5)决定所采用安全保护护措施的投入资资金量。6)批准系统统安全管理人员员草拟拟或修改的各种安全策略手册。7)审审定并公布本组织组织 信息安全规规章制度。8)仲裁本组织组织 信息安全事故的责责任。9)决定系统统安全管理人员员的任免。10)所形成的决定性意见见,以信息安全领导领导 小组组名义义,用决策决定书书 的形式公告。 1414.2 建立信息安全机构和队队伍 14.2.1 信息安全管理机构(续) (4)领导领导 小组组决策的依据1)系统统信息安全管理员员提供的报报告。2)信息安全现现状报报告。3)安全
15、新风险风险 分析报报告。4)本组织组织 新增加的安全保密防范措施。5)组织组织 信息安全事故初步分析报报告。6)新增加安全措施的经费报经费报 告。7)新增加安全措施的效益估计计。8)信息的安全现现状及对组织对组织 效益的影响。1514.2 建立信息安全机构和队队伍 14.2.1 信息安全管理机构(续) 2信息安全顾问顾问 委员员会 组织组织 信息安全顾问顾问 委员员会以信息安全领导领导 小组组成员为员为核心,邀请请 本组织组织 或社会上信息安全、法律政策、行政(企业业)管理、技术专术专 家、 组织组织 策划等有关方面专专家学者参加,组组成智囊团团,对组织对组织 信息安全领领 导导小组负责组负责
16、 。委员员会定期或不定期为为信息安全管理提供最新的安全动态动态 、面临临的 风险风险 、技术术,改进进建议议和应对应对 措施,并为组织为组织 提供咨询询服务务,组织组织 信息 安全顾问顾问 委员员会是非常设设机构,不一定需要例会制度。 1614.2 建立信息安全机构和队队伍 14.2.1 信息安全管理机构(续) 3信息安全领导领导 小组办组办 公室(信息中心) 信息安全领导领导 小组办组办 公室(信息中心)是在信息安全领导领导 小组组直接 领导领导 下进进行工作,为为常设设机构,有例会工作制度,负责处负责处 理本组织组织 信 息安全管理的日常工作。 (1)办办公室组组成人员员1)信息安全领导领导 小组办组办 公室主任负责组织负责组织 、处处理信息安全方面大量 的日常工作,有些工作技术术性比较较强,因此需要懂技术术的信息中心主要负负 责责人(CIO)担任,或由安全负责负责 人担任,但应应有一名懂技术术的信息中心 领导领导 担任副主任,负责负责 技术术管理工作。2)其他人员员由系统统管理、系统
