《信息安全等级测评管理部分测评幻灯片》由会员分享,可在线阅读,更多相关《信息安全等级测评管理部分测评幻灯片(20页珍藏版)》请在金锄头文库上搜索。
1、前言,根据基本要求(GB/T222392008),各个级别信息系统安全管理需要落实的内容包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理共五个方面。本章将分别介绍着五个方面内容的具体评测方法。,目录,1,2,3,4,5,人员安全管理,系统建设管理,系统运维管理,安全管理制度,安全管理机构,章节,1,安全管理制度,安全管理制度,1.1 管理制度,信息安全方针策略,各种安全管理活动的 管理制度,安全操作规程,“金字塔”式的 安全管理制度文件体系,最高层的安全文件,以上一层为指导,具体活动步骤和方法,必须体现上二层的策略和原则,1.2 制定和发布,在相关部门管的负责和指导下,
2、严格按照制度制定的有关程序和方法,安全管理制度体系制定并实施后,需要对体系中的 相关文件进行评审和修订,以适应实际环境和情况的变 化,保证安全管理制度体系文件的适用性,1.3 评审和修订,章节,2,安全管理机构,安全管理机构,安全管理的重要实施条件就是建立一个统一指挥、协调有序、组织有力的安全管理机构。,岗位设置,人员配备,审核检查,授权审批,沟通协调,章节,3,人员安全管理,人是信息系统中最关键的因素,信息系统整个生命周期都需要有人来参与,只有对信息系统相关人员实施科学、完善的管理。才有可能降低认为操作失误所带来的风险,根据基本要求,三级系统对以下几项提出要求:,人员安全管理,01,人员录用
3、,02,03,人员离岗,人员考核,人员安全管理,04,05,安全意识教育和培训,外部人员访问管理,章节,4,系统建设管理,安全方案设计,产品采购,自行软件开发,安全服务商选择,等级测评,系统备案,其中系统备案中:已建信息系统在确定安全保护等级30日内,第二级以上信息系统必须到系统主管部门和相应公安备案。,系统建设管理,外包软件开发,系统定级,系统交付,测试验收,工程实施,章节,5,系统运维管理,环境管理,资产管理,介质管理,设备管理,根据资产的重要性标识; 根据资产的价值选择管理措施;,专门人员定期设备维护管理; 制定设备管理制度; 制定重要设备的操作规程;,规定介质的存放、使用、传输、维护、
4、销毁; 根据重要程度分类标识; 介质的加密存储、异地存储;,确保机房运行环境良好和安全; 办公环境的严格管理和控制;,系统运维管理,网络安全管理,系统安全管理,恶意代码防范管理,划分系统管理员角色,分析日志和审计; 建立系统安全管理制度; 对重要日常工作建立操作规程;,专人检测恶意代码及时处理,保存记录; 建立防病毒制度,规定用户的防病毒行为、软件的授权使用、恶意代码库升级、定期汇报等;,采用工具进行检测和报警; 定期对记录进行分析,出分析报告; 建立安全管理中心集中管理;,制定专门人员对网络进行管理; 建立网络安全管理制度; 对重要日常工作建立操作规程;,系统运维管理,监控管理和安全管理中心,建立变更管理制度,规定变更类型、变更申报和审批、变更过程、变更前评估和变更失败后恢复等,在同一的应急预案框架下制定不同安全事件的应急预案; 针对应急预案进行培训和演练,及时修订不适用的内容。,划分安全事件等级,规定安全件的现场处理、事件报告和后期回顾;规定不同安全事件报告和响应处理程序,建立密码使用管理制度,规定秘钥的产生、分发、存储、更换、使用和废止,系统运维管理,密码管理,备份与恢复管理,识别需要备份的业务信息、系统数据及软件系统等; 规定备份信息的备份方式、备份频度、存储介质、备份和恢复流程、有效性检查等,安全事件处理,应急预案管理,变更管理,感 谢 观 看,
