收藏
下载资源

《计算机网络与信息安全技术》电子课件CH14信息安全管理

上传人:鲁** 文档编号:571251681 上传时间:2024-08-09 格式:PPT 页数:34 大小:203KB
返回 下载 相关 举报
《计算机网络与信息安全技术》电子课件CH14信息安全管理_第1页
第1页 / 共34页
《计算机网络与信息安全技术》电子课件CH14信息安全管理_第2页
第2页 / 共34页
《计算机网络与信息安全技术》电子课件CH14信息安全管理_第3页
第3页 / 共34页
《计算机网络与信息安全技术》电子课件CH14信息安全管理_第4页
第4页 / 共34页
《计算机网络与信息安全技术》电子课件CH14信息安全管理_第5页
第5页 / 共34页
点击查看更多>>
资源描述

《《计算机网络与信息安全技术》电子课件CH14信息安全管理》由会员分享,可在线阅读,更多相关《《计算机网络与信息安全技术》电子课件CH14信息安全管理(34页珍藏版)》请在金锄头文库上搜索。

1、计算机网络与信息安全技术教学课件 V08.081信息安全管理信息安全管理第第 14 章章2基本内容u管理安全是信息安全体系重要的组成部分。健全的管理制度、良好的设备使用制度,结合专门的机构与人员,可以对网络与信息进行综合防护。本章介绍安全管理相关的知识。 314.1 14.1 制定信息安全管理策略制定信息安全管理策略 信息安全管理策略也称信息安全方针,是组织对信息和信信息安全管理策略也称信息安全方针,是组织对信息和信息处理设施进行管理、保护和分配的准则和规划,以及使信息息处理设施进行管理、保护和分配的准则和规划,以及使信息系统免遭入侵和破坏而必须采取的措施。系统免遭入侵和破坏而必须采取的措施。

2、它告诉组织成员在日它告诉组织成员在日常的工作中什么是必须做的,什么是可以做的,什么是不可以常的工作中什么是必须做的,什么是可以做的,什么是不可以做的;哪里是安全区,哪里是敏感区,就像交通规则之于车辆做的;哪里是安全区,哪里是敏感区,就像交通规则之于车辆和行人,信息安全策略是有关信息安全方面的行为规范。一个和行人,信息安全策略是有关信息安全方面的行为规范。一个成功的安全策略应当遵循:成功的安全策略应当遵循: 1 1)综合平衡)综合平衡( (综合考虑需求、风险、代价等诸多因素综合考虑需求、风险、代价等诸多因素) )。 2 2)整体优化)整体优化( (利用系统工程思想,使系统总体性能最优利用系统工程

3、思想,使系统总体性能最优) )。 3 3)易于操作和确保可靠。)易于操作和确保可靠。 14.1.1 14.1.1 信息安全管理策略概述信息安全管理策略概述 414.1 14.1 制定信息安全管理策略制定信息安全管理策略 在制定信息安全管理策略时,要严格遵守以下主要原则。在制定信息安全管理策略时,要严格遵守以下主要原则。 1 1)目目的的性性。策策略略是是为为组组织织完完成成自自己己的的信信息息安安全全使使命命而而制制定定的的,策策略略应应该反映组织的整体利益和可持续发展的要求。该反映组织的整体利益和可持续发展的要求。 2 2)适用性)适用性。策略应该反映组织的真实环境。策略应该反映组织的真实环

4、境和和信息安全的发展水平。信息安全的发展水平。 3 3)可可行行性性。策策略略应应该该具具有有切切实实可可行行性性,其其目目标标应应该该可可以以实实现现,并并容容易易测量和审核。没有可行性的策略不仅浪费时间还会引起政策混乱。测量和审核。没有可行性的策略不仅浪费时间还会引起政策混乱。 4 4)经济性)经济性。策略应该经济合理,过分复杂和草率都是不可取的。策略应该经济合理,过分复杂和草率都是不可取的。 5 5)完整性)完整性。能够反映组织的所有业务流程的安全需要。能够反映组织的所有业务流程的安全需要。 6 6)一一致致性性。策策略略的的一一致致性性包包括括下下面面三三个个层层次次:和和国国家家、地

5、地方方的的法法律律法法规规保保持持一一致致;和和组组织织己己有有的的策策略略、方方针针保保持持一一致致;整整体体安安全全策策略略保保持一致,要反映企业对信息安全的一般看法。持一致,要反映企业对信息安全的一般看法。 7 7)弹性)弹性。策略不仅要满足当前的组织要求,还要满足组织和环境在未。策略不仅要满足当前的组织要求,还要满足组织和环境在未来一段时间内发展的要求。来一段时间内发展的要求。 14.1.2 14.1.2 制定策略的原则制定策略的原则 514.1 14.1 制定信息安全管理策略制定信息安全管理策略 理论上,一个完整的策略体系应该保障组织信息的机密性、理论上,一个完整的策略体系应该保障组

6、织信息的机密性、可用性和完整性。信息安全策略应包含下列一些内容可用性和完整性。信息安全策略应包含下列一些内容: 1 1)适用范围。)适用范围。包括人员范围和时效性,例如包括人员范围和时效性,例如“本规定适用于所有员工本规定适用于所有员工”,“适用于工作时间和非工作时间适用于工作时间和非工作时间”。不仅要消除本该受到约束的员工。不仅要消除本该受到约束的员工有认为自己是个例外的想法,也保证策略不至于被误解是针对某个员工的;有认为自己是个例外的想法,也保证策略不至于被误解是针对某个员工的;同时也告诉员工本规定在什么时间发挥效力。同时也告诉员工本规定在什么时间发挥效力。 2 2)目目标标。例例如如,“

7、为为确确保保企企业业的的经经营营、技技术术等等机机密密信信息息不不泄泄漏漏,维维护护企企业业的的经经济济利利益益,根根据据国国家家有有关关法法律律,结结合合企企业业实实际际,特特制制定定本本条条例例。”明明确确了了信信息息安安全全保保护护对对公公司司是是有有着着重重要要意意义义的的,而而且且与与国国家家的的法法律律法法规规是是一一致致的的。主主题题明明确确的的策策略略可可能能会会有有更更加加确确切切、详详细细的的目目标标,如如防防病病毒毒策策略略的的目目标标可可以以是是:“为为了了正正确确执执行行对对计计算算机机病病毒毒(蠕蠕虫虫、特特洛洛伊伊木木马马、黑黑客客恶意程序)的预防、侦测和清除过程

8、,特制定本策略恶意程序)的预防、侦测和清除过程,特制定本策略”。14.1.3 14.1.3 策略的主要内容策略的主要内容 6 3 3)策略主题。通常一个组织可能会考虑开发下列主题的信息安全管理)策略主题。通常一个组织可能会考虑开发下列主题的信息安全管理策略:策略:设备和及其环境的安全。设备和及其环境的安全。信息的分级和人员责任。信息的分级和人员责任。安全事故安全事故的报告与响应。的报告与响应。第三方访问的安全性。第三方访问的安全性。外围处理系统的安全。外围处理系统的安全。计算计算机和网络的访问控制和审核。机和网络的访问控制和审核。远程工作的安全。远程工作的安全。加密技术控制。加密技术控制。备备

9、份、灾难恢复和可持续发展的要求。份、灾难恢复和可持续发展的要求。 4 4)策略签署。信息安全管理策略是强制性的、惩罚性的,策略的执行)策略签署。信息安全管理策略是强制性的、惩罚性的,策略的执行需要来自管理层的支持,通常是信息安全主管或总经理签署信息安全管理需要来自管理层的支持,通常是信息安全主管或总经理签署信息安全管理策略。签署人的管理地位不能太低;否则会有执行的难度,如果遭到某高策略。签署人的管理地位不能太低;否则会有执行的难度,如果遭到某高层主管的抵制常会导致策略失败,高层主管的签署也表明信息安全不单单层主管的抵制常会导致策略失败,高层主管的签署也表明信息安全不单单是信息安全部门的事情,还

10、是和整个组织所有成员都是密切相关的。是信息安全部门的事情,还是和整个组织所有成员都是密切相关的。 5 5)策略的生效时间和有效期。旧策略的更新和过时策略的废除也是很)策略的生效时间和有效期。旧策略的更新和过时策略的废除也是很重要的,应该保持生效的策略中包含新的安全要求。重要的,应该保持生效的策略中包含新的安全要求。14.1 14.1 制定信息安全管理策略制定信息安全管理策略 14.1.3 14.1.3 策略的主要内容策略的主要内容( (续续) ) 7 6 6)重新评审策略的时机)重新评审策略的时机。策略除了常规的评审时机,在下列情况下也。策略除了常规的评审时机,在下列情况下也需要重新评审:需要

11、重新评审:企业管理体系发生很大变化。企业管理体系发生很大变化。相关的法律法规发生了相关的法律法规发生了变化。变化。企业信息系统或者信息技术发生了大的变化。企业信息系统或者信息技术发生了大的变化。企业发生了重大企业发生了重大的信息安全事故。的信息安全事故。 7 7)与其他相关策略的引用关系)与其他相关策略的引用关系。因为多种策略可能相互关联,引用关。因为多种策略可能相互关联,引用关系可以描述策略的层次结构,而且在策略修改时候也经常涉及其他相关策系可以描述策略的层次结构,而且在策略修改时候也经常涉及其他相关策略的调整,清楚的引用关系可以节省查找的时间。略的调整,清楚的引用关系可以节省查找的时间。

12、8 8)策略解释)策略解释。由于工作环境、知识背景等原因的不同,可能导致员工。由于工作环境、知识背景等原因的不同,可能导致员工在理解策略时出现误解、歧义的情况。因此,应建立一个专门的权威的解在理解策略时出现误解、歧义的情况。因此,应建立一个专门的权威的解释机构或指定专门的解释人员来进行策略的解释。释机构或指定专门的解释人员来进行策略的解释。 9 9)例外情况的处理)例外情况的处理。策略不可能做到面面俱到,在策略中应提供特殊。策略不可能做到面面俱到,在策略中应提供特殊情况下的安全通道。情况下的安全通道。 14.1 14.1 制定信息安全管理策略制定信息安全管理策略 14.1.3 14.1.3 策

13、略的主要内容策略的主要内容( (续续) ) 814.1 14.1 制定信息安全管理策略制定信息安全管理策略 14.1.4 14.1.4 信息安全管理策略案例信息安全管理策略案例 914.2 14.2 建立信息安全机构和队伍建立信息安全机构和队伍 为了保护国家信息的安全,维护国家的利益,各国政府均为了保护国家信息的安全,维护国家的利益,各国政府均指定了政府有关机构主管信息安全工作。指定了政府有关机构主管信息安全工作。 我国成立了国家信息化领导小组,由国务院领导亲自任组我国成立了国家信息化领导小组,由国务院领导亲自任组长,中央国家机关有关部委的领导参加小组的工作。国家信息长,中央国家机关有关部委的

14、领导参加小组的工作。国家信息化领导小组为了强化对信息化工作的领导,对信息产业部、公化领导小组为了强化对信息化工作的领导,对信息产业部、公安部、安全部、国家保密局等部门在信息安全管理方面进行了安部、安全部、国家保密局等部门在信息安全管理方面进行了职能分工,明确了各自的责任,对于保障我国信息化工作的正职能分工,明确了各自的责任,对于保障我国信息化工作的正常发展,保护信息安全起到了重要的作用。常发展,保护信息安全起到了重要的作用。 1014.2 14.2 建立信息安全机构和队伍建立信息安全机构和队伍 14.2.1 14.2.1 信息安全管理机构信息安全管理机构 一一个个组组织织的的信信息息安安全全对

15、对本本企企业业也也是是非非常常重重要要的的,因因此此,对对信信息息的的安安全全管管理是不容忽视的问题,必须要引起组织最高领导层的充分重视。理是不容忽视的问题,必须要引起组织最高领导层的充分重视。 信息安全的管理层级一般分三个层次,每一层级都应有明确的责任制。信息安全的管理层级一般分三个层次,每一层级都应有明确的责任制。 1 1)决策机构)决策机构。负责宏观管理。负责宏观管理。 2 2)管理机构)管理机构。负责日常协调、管理工作。负责日常协调、管理工作。 3 3)配配备备各各类类安安全全管管理理、技技术术人人员员。负负责责落落实实规规章章制制度度、技技术术规规范范,处处理技术方面的问题。理技术方

16、面的问题。 凡凡对对信信息息安安全全有有需需求求的的组组织织,必必须须成成立立相相应应的的安安全全机机构构、配配备备必必要要的的管管理理人人员员和和技技术术人人员员、制制定定规规章章制制度度、配配备备安安全全设设备备、从从而而保保障障信信息息安安全全管管理理工作的正常开展。工作的正常开展。 安全组织机构对信息系统的安全管理工作是垂直的,网络延伸到哪里,安全组织机构对信息系统的安全管理工作是垂直的,网络延伸到哪里,信息安全管理工作就要管到哪里,下一级信息安全组织机构必须无条件地接信息安全管理工作就要管到哪里,下一级信息安全组织机构必须无条件地接受上一级安全组织机构的领导。受上一级安全组织机构的领

17、导。 1114.2 14.2 建立信息安全机构和队伍建立信息安全机构和队伍 14.2.1 14.2.1 信息安全管理机构信息安全管理机构( (续续) ) 1 1信息安全领导小组信息安全领导小组 (1 1)领导小组成员)领导小组成员 1 1)信息安全领导小组组长由组织主要领导担任。)信息安全领导小组组长由组织主要领导担任。 2 2)其他成员由计算机、通信、综合信息、保卫、保密、人事、监察等)其他成员由计算机、通信、综合信息、保卫、保密、人事、监察等有关方面的负责人担任。有关方面的负责人担任。 信息安全领导小组是组织中信息安全工作最高领导决策机构,不隶属任信息安全领导小组是组织中信息安全工作最高领

18、导决策机构,不隶属任何部门,直接对组织最高领导层负责。领导小组是常设机构,有例会工作制何部门,直接对组织最高领导层负责。领导小组是常设机构,有例会工作制度;领导小组负责本组织、本系统信息安全工作的宏观领导。度;领导小组负责本组织、本系统信息安全工作的宏观领导。1214.2 14.2 建立信息安全机构和队伍建立信息安全机构和队伍 14.2.1 14.2.1 信息安全管理机构信息安全管理机构( (续续) ) (2 2)领导小组职能)领导小组职能 1 1)制制定定与与信信息息安安全全有有关关的的长长远远规规划划、建建设设,研研究究信信息息安安全全工工作作的的资资金金投投入入、安安全全(技技术术、管管

19、理理)策策略略、资资源源利利用用,处处理理信信息息安安全全的的重重大大事事故故,决决定信息安全的人事问题。定信息安全的人事问题。 2 2)根根据据国国家家信信息息安安全全的的法法律律、法法规规、制制度度和和规规范范,结结合合本本组组织织的的实实际际,批准本组织信息安全方面的规章制度、实施细则、安全目标岗位责任制。批准本组织信息安全方面的规章制度、实施细则、安全目标岗位责任制。 3 3)领领导导本本组组织织信信息息系系统统的的安安全全工工作作,并并监监督督整整个个信信息息系系统统安安全全体体系系的的日日常常工工作作。安安全全负负责责人人要要接接受受本本组组织织信信息息安安全全领领导导小小组组和和

20、信信息息安安全全领领导导小小组组办公室的领导。办公室的领导。 4 4)领领导导本本组组织织所所属属的的信信息息安安全全工工作作机机构构,定定期期召召开开信信息息安安全全工工作作会会议议,研究布置工作,解决重大问题。研究布置工作,解决重大问题。 5 5)定定期期向向组组织织最最高高领领导导层层汇汇报报信信息息安安全全工工作作情情况况,取取得得最最高高层层领领导导对对信息安全工作的支持。信息安全工作的支持。 6 6)审核批准安全年报、安全教育计划。)审核批准安全年报、安全教育计划。 7 7)表彰信息安全工作先进者,处置违规行为。)表彰信息安全工作先进者,处置违规行为。 1314.2 14.2 建立

21、信息安全机构和队伍建立信息安全机构和队伍 14.2.1 14.2.1 信息安全管理机构信息安全管理机构( (续续) ) (3 3)领导小组决策的主要内容)领导小组决策的主要内容 1 1)审核系统安全管理人员的各种安全报告,并做出相关的决定。)审核系统安全管理人员的各种安全报告,并做出相关的决定。 2 2)决定信息系统和信息的安全等级。)决定信息系统和信息的安全等级。 3 3)决定信息系统是否要采取安全措施。)决定信息系统是否要采取安全措施。 4 4)作出新的信息安全风险评测,决定是否增加安全措施。)作出新的信息安全风险评测,决定是否增加安全措施。 5 5)决定所采用安全保护措施的投入资金量。)

22、决定所采用安全保护措施的投入资金量。 6 6)批准系统安全管理人员草拟或修改的各种安全策略手册。)批准系统安全管理人员草拟或修改的各种安全策略手册。 7 7)审定并公布本组织信息安全规章制度。)审定并公布本组织信息安全规章制度。 8 8)仲裁本组织信息安全事故的责任。)仲裁本组织信息安全事故的责任。 9 9)决定系统安全管理人员的任免。)决定系统安全管理人员的任免。 1010)所所形形成成的的决决定定性性意意见见,以以信信息息安安全全领领导导小小组组名名义义,用用决决策策决决定定书书的的形式公告。形式公告。 1414.2 14.2 建立信息安全机构和队伍建立信息安全机构和队伍 14.2.1 1

23、4.2.1 信息安全管理机构信息安全管理机构( (续续) ) (4 4)领导小组决策的依据)领导小组决策的依据 1 1)系统信息安全管理员提供的报告。)系统信息安全管理员提供的报告。 2 2)信息安全现状报告。)信息安全现状报告。 3 3)安全新风险分析报告。)安全新风险分析报告。 4 4)本组织新增加的安全保密防范措施。)本组织新增加的安全保密防范措施。 5 5)组织信息安全事故初步分析报告。)组织信息安全事故初步分析报告。 6 6)新增加安全措施的经费报告。)新增加安全措施的经费报告。 7 7)新增加安全措施的效益估计。)新增加安全措施的效益估计。 8 8)信息的安全现状及对组织效益的影响

24、。)信息的安全现状及对组织效益的影响。1514.2 14.2 建立信息安全机构和队伍建立信息安全机构和队伍 14.2.1 14.2.1 信息安全管理机构信息安全管理机构( (续续) ) 2 2信息安全顾问委员会信息安全顾问委员会 组组织织信信息息安安全全顾顾问问委委员员会会以以信信息息安安全全领领导导小小组组成成员员为为核核心心,邀邀请请本本组组织织或或社社会会上上信信息息安安全全、法法律律政政策策、行行政政(企企业业)管管理理、技技术术专专家家、组组织织策策划划等等有有关关方方面面专专家家学学者者参参加加,组组成成智智囊囊团团,对对组组织织信信息息安安全全领领导导小小组负责。组负责。 委员会

25、定期或不定期为信息安全管理提供最新的安全动态、面临的风委员会定期或不定期为信息安全管理提供最新的安全动态、面临的风险、技术,改进建议和应对措施,并为组织提供咨询服务,组织信息安全险、技术,改进建议和应对措施,并为组织提供咨询服务,组织信息安全顾问委员会是非常设机构,不一定需要例会制度。顾问委员会是非常设机构,不一定需要例会制度。 1614.2 14.2 建立信息安全机构和队伍建立信息安全机构和队伍 14.2.1 14.2.1 信息安全管理机构信息安全管理机构( (续续) ) 3 3信息安全领导小组办公室(信息中心)信息安全领导小组办公室(信息中心) 信信息息安安全全领领导导小小组组办办公公室室

26、(信信息息中中心心)是是在在信信息息安安全全领领导导小小组组直直接接领领导导下下进进行行工工作作,为为常常设设机机构构,有有例例会会工工作作制制度度,负负责责处处理理本本组组织织信信息息安全管理的日常工作。安全管理的日常工作。 (1 1)办公室组成人员)办公室组成人员 1 1)信信息息安安全全领领导导小小组组办办公公室室主主任任负负责责组组织织、处处理理信信息息安安全全方方面面大大量量的的日日常常工工作作,有有些些工工作作技技术术性性比比较较强强,因因此此需需要要懂懂技技术术的的信信息息中中心心主主要要负负责责人人(CIOCIO)担担任任,或或由由安安全全负负责责人人担担任任,但但应应有有一一

27、名名懂懂技技术术的的信信息息中中心心领领导导担任副主任,负责技术管理工作。担任副主任,负责技术管理工作。 2 2)其其他他人人员员由由系系统统管管理理、系系统统分分析析、通通信信、软软件件、硬硬件件、保保卫卫、保保密密、机要、监察和人事等有关方面的工作人员组成。机要、监察和人事等有关方面的工作人员组成。 1714.2 14.2 建立信息安全机构和队伍建立信息安全机构和队伍 14.2.1 14.2.1 信息安全管理机构信息安全管理机构( (续续) ) 3 3信息安全领导小组办公室(信息中心)信息安全领导小组办公室(信息中心) (2 2)办公室职能)办公室职能 1 1)接受信息安全领导小组的直接领

28、导)接受信息安全领导小组的直接领导; ;处理信息安全工作的日常工作。处理信息安全工作的日常工作。 2 2)制制定定本本组组织织信信息息安安全全的的工工作作制制度度、安安全全目目标标和和各各级级工工作作人人员员的的权权限限、岗位职责。岗位职责。 3 3)定期向组织信息安全领导小组汇报工作,报告工作计划。)定期向组织信息安全领导小组汇报工作,报告工作计划。 4 4)与与国国家家有有关关信信息息安安全全工工作作的的主主管管部部门门、技技术术部部门门建建立立日日常常工工作作联联系系,及时报告重大事件,并协助有关部门做好处理工作。及时报告重大事件,并协助有关部门做好处理工作。 5 5)制定本系统安全操作

29、规程制度。)制定本系统安全操作规程制度。 6 6)负责管理各类安全管理人员,定期或不定期组织安全教育或培训。)负责管理各类安全管理人员,定期或不定期组织安全教育或培训。 7 7)定期检查各部门的安全工作,及时通报检查结果和违章行为。)定期检查各部门的安全工作,及时通报检查结果和违章行为。 8 8)负责安全事故调查,起草安全事故报告,提出处理意见。)负责安全事故调查,起草安全事故报告,提出处理意见。1814.2 14.2 建立信息安全机构和队伍建立信息安全机构和队伍 14.2.1 14.2.1 信息安全管理机构信息安全管理机构( (续续) ) 3 3信息安全领导小组办公室(信息中心)信息安全领导

30、小组办公室(信息中心) 9 9)听取所属组织安全领导小组(负责人)的工作汇报,对报告中的重大)听取所属组织安全领导小组(负责人)的工作汇报,对报告中的重大问题及时报告组织安全领导小组。问题及时报告组织安全领导小组。 1010)对本级和本级所属安全工作人员进行工作业绩考核,并提出工作人)对本级和本级所属安全工作人员进行工作业绩考核,并提出工作人员称职、不称职或表彰、处罚的意见。员称职、不称职或表彰、处罚的意见。 1111)起草年度信息安全工作报告和有关信息安全宣传、教育、培训计划。)起草年度信息安全工作报告和有关信息安全宣传、教育、培训计划。 1212)审阅控制台操作记录、系统日志、系统报警记录

31、、系统统计活动、)审阅控制台操作记录、系统日志、系统报警记录、系统统计活动、警卫报告、加班报表以及其他与安全有关的材料,发现问题及时作出补救决警卫报告、加班报表以及其他与安全有关的材料,发现问题及时作出补救决定。定。 1313)管理、检查、监督、分析系统运行日志和系统监督文档,定期对系)管理、检查、监督、分析系统运行日志和系统监督文档,定期对系统做出安全评价。统做出安全评价。 1414)制定、管理和定期分发系统及用户的身份识别号码、密钥和口令。)制定、管理和定期分发系统及用户的身份识别号码、密钥和口令。19 1515)根据国家和上级保密工作规定,审查系统操作人员对系统信息的使)根据国家和上级保

32、密工作规定,审查系统操作人员对系统信息的使用,审查系统对外发表的信息,防止发生泄密。用,审查系统对外发表的信息,防止发生泄密。 1616)采取切实可行的措施,防止系统操作人员对系统信息泄露和破坏、)采取切实可行的措施,防止系统操作人员对系统信息泄露和破坏、篡改数据、防止未经许可越权使用系统资源。篡改数据、防止未经许可越权使用系统资源。 1717)建立必要的系统访问批准制度,监督、管理系统外维修人员对系统)建立必要的系统访问批准制度,监督、管理系统外维修人员对系统设备的检修及维护。设备的检修及维护。 1818)采取切实可行的措施,防止计算机设备的损坏、改换和盗用。)采取切实可行的措施,防止计算机

33、设备的损坏、改换和盗用。 1919)定期做信息系统的漏洞检查,向本组织安全领导小组提供信息安全)定期做信息系统的漏洞检查,向本组织安全领导小组提供信息安全管理系统的风险分析报告,提出相应的对策和实施计划。管理系统的风险分析报告,提出相应的对策和实施计划。 2020)负责存取系统和修改系统授权以及系统特权口令。)负责存取系统和修改系统授权以及系统特权口令。 14.2 14.2 建立信息安全机构和队伍建立信息安全机构和队伍 14.2.1 14.2.1 信息安全管理机构信息安全管理机构( (续续) ) 3 3信息安全领导小组办公室(信息中心)信息安全领导小组办公室(信息中心) 20 组织信息安全工作

34、队伍主要包括信息安全员、系统安全员、网络安全员、组织信息安全工作队伍主要包括信息安全员、系统安全员、网络安全员、设备安全员、数据库安全员、数据安全员、防病毒安全员。设备安全员、数据库安全员、数据安全员、防病毒安全员。 14.2 14.2 建立信息安全机构和队伍建立信息安全机构和队伍 14.2.2 14.2.2 信息安全队伍信息安全队伍 1 1信息安全工作人员的条件信息安全工作人员的条件 由于各类信息安全工作人员的工作岗位处于信息系统的核心敏感部位,由于各类信息安全工作人员的工作岗位处于信息系统的核心敏感部位,因此要有比较高的政治素质和业务水平,这些人员应具备以下条件。因此要有比较高的政治素质和

35、业务水平,这些人员应具备以下条件。 1 1)政治可靠,对组织忠诚。)政治可靠,对组织忠诚。 2 2)工作认真负责,有敬业精神。)工作认真负责,有敬业精神。 3 3)处理问题公正严明,不拘私情。)处理问题公正严明,不拘私情。 4 4)熟悉业务,具有一定的实践经验。)熟悉业务,具有一定的实践经验。 5 5)从事网络系统操作或管理的工作人员应是具备一定实践经验的网络工)从事网络系统操作或管理的工作人员应是具备一定实践经验的网络工程师。程师。 2114.2 14.2 建立信息安全机构和队伍建立信息安全机构和队伍 14.2.2 14.2.2 信息安全队伍信息安全队伍( (续续) ) 2 2信息安全工作人

36、员的管理原则信息安全工作人员的管理原则 1 1)人员审查原则)人员审查原则 2 2)签订保密协定原则)签订保密协定原则 3 3)持证上岗原则)持证上岗原则 4 4)人员培训原则)人员培训原则 5 5)人员考核原则)人员考核原则 6 6)权力分散原则)权力分散原则 7 7)人员离岗原则)人员离岗原则 2214.2 14.2 建立信息安全机构和队伍建立信息安全机构和队伍 14.2.2 14.2.2 信息安全队伍信息安全队伍( (续续) ) 3 3信息安全工作人员的岗位职责信息安全工作人员的岗位职责 (1 1)信息安全员的职责)信息安全员的职责 信信息息安安全全员员主主要要负负责责信信息息网网络络系

37、系统统的的信信息息安安全全和和保保密密信信息息的的管管理理。其其主主要职责是:要职责是: 1 1)负负责责涉涉密密信信息息网网信信息息安安全全,监监督督检检查查涉涉密密信信息息的的报报送送、接接受受和和传传输输的安全性。的安全性。 2 2)负责监督检查信息网对外发布的信息)负责监督检查信息网对外发布的信息; ;保证符合安全保密规定。保证符合安全保密规定。 3 3)负负责责监监督督检检查查各各部部门门的的涉涉密密信信息息的的安安全全保保密密措措施施,防防止止泄泄密密事事件件的的发生。发生。 4 4)负负责责监监督督检检查查信信息息网网对对国国际际互互联联网网上上国国家家禁禁止止的的网网站站的的非

38、非法法访访问问及及有害信息的侵入。有害信息的侵入。 5 5)负责协助有关部门对网络泄密事件进行调查与技术分析。)负责协助有关部门对网络泄密事件进行调查与技术分析。 2314.2 14.2 建立信息安全机构和队伍建立信息安全机构和队伍 14.2.2 14.2.2 信息安全队伍信息安全队伍( (续续) ) 3 3信息安全工作人员的岗位职责信息安全工作人员的岗位职责 (2 2)系统安全员的职责)系统安全员的职责 系系统统安安全全员员主主要要负负责责信信息息网网络络操操作作系系统统及及服服务务器器操操作作系系统统的的安安全全及及管管理理。其主要职责是:其主要职责是: 1 1)负负责责信信息息网网络络操

39、操作作系系统统和和服服务务器器操操作作系系统统的的安安装装、运运行行和和维维护护、管管理,保障系统的安全稳定地运行。理,保障系统的安全稳定地运行。 2 2)负责对用户的身份进行验证,防止非法用户进入系统。)负责对用户的身份进行验证,防止非法用户进入系统。 3 3)负负责责用用户户的的口口令令管管理理,建建立立口口令令管管理理规规程程和和检检验验创创建建账账户户机机制制,避避免口令泄露。免口令泄露。 4 4)负责实时监控系统,发现异常及时采取措施,恢复系统正常状态。)负责实时监控系统,发现异常及时采取措施,恢复系统正常状态。 5 5)负责对系统各种硬软件资源的合理分配和科学使用,避免造成系统)负

40、责对系统各种硬软件资源的合理分配和科学使用,避免造成系统资源的浪费。资源的浪费。 2414.2 14.2 建立信息安全机构和队伍建立信息安全机构和队伍 14.2.2 14.2.2 信息安全队伍信息安全队伍( (续续) ) 3 3信息安全工作人员的岗位职责信息安全工作人员的岗位职责 (3 3)网络安全员的职责)网络安全员的职责 网络安全员主要负责信息网络系统的安全保密工作。其主要职责是:网络安全员主要负责信息网络系统的安全保密工作。其主要职责是: 1 1)负负责责信信息息网网络络系系统统及及其其网网络络安安全全保保密密系系统统的的运运行行与与维维护护,发发现现故故障障及时排除,保障系统安全可靠地

41、运行。及时排除,保障系统安全可靠地运行。 2 2)负负责责配配置置和和管管理理访访问问控控制制表表,根根据据安安全全需需求求为为各各用用户户配配置置相相应应的的访访问权限。问权限。 3 3)负责网络审计系统的管理和维护,认真记录、检查和保管审计日志。)负责网络审计系统的管理和维护,认真记录、检查和保管审计日志。 4 4)负负责责检检查查系系统统的的安安全全漏漏洞洞和和隐隐患患,发发现现安安全全隐隐患患及及时时进进行行修修复复或或提提出改进意见。出改进意见。 5 5)负责实时对系统进行非法入侵检测,防止和阻止)负责实时对系统进行非法入侵检测,防止和阻止“黑客黑客”入侵。入侵。 2514.2 14

42、.2 建立信息安全机构和队伍建立信息安全机构和队伍 14.2.2 14.2.2 信息安全队伍信息安全队伍( (续续) ) 3 3信息安全工作人员的岗位职责信息安全工作人员的岗位职责 (4 4)设备安全员的职责)设备安全员的职责 设设备备安安全全员员负负责责对对专专用用计计算算机机安安全全保保密密设设备备( (防防火火墙墙、加加密密机机、干干扰扰仪仪等等) )的管理、使用和维护。其主要职责是:的管理、使用和维护。其主要职责是: 1 1)负责设备的领用和保管,做好设备的领用、进出库、报废登记。)负责设备的领用和保管,做好设备的领用、进出库、报废登记。 2 2)负责设备的正确使用和安奎运行,并建立详

43、细的运行日志。)负责设备的正确使用和安奎运行,并建立详细的运行日志。 3 3)负责设备的清洁和定期的保养维护,并做好维护记录。)负责设备的清洁和定期的保养维护,并做好维护记录。 4 4)负责设备的维修,制定设备维修计划,做好设备维修记录。)负责设备的维修,制定设备维修计划,做好设备维修记录。 5 5)负责对安全保密设备密钥的管理与注入。)负责对安全保密设备密钥的管理与注入。 2614.2 14.2 建立信息安全机构和队伍建立信息安全机构和队伍 14.2.2 14.2.2 信息安全队伍信息安全队伍( (续续) ) 3 3信息安全工作人员的岗位职责信息安全工作人员的岗位职责 (5 5)数据库安全员

44、的职责)数据库安全员的职责 数数据据库库安安全全员员负负责责数数据据库库管管理理系系统统的的安安全全及及维维护护管管理理工工作作。其其主主要要职职责是:责是: 1 1)负负责责数数据据库库管管理理系系统统的的安安装装、备备份份和和维维护护,保保证证系系统统安安全全、正正常常运运行。行。 2 2)负责定期检查系统运行情况,检测并优化系统性能。)负责定期检查系统运行情况,检测并优化系统性能。 3 3)负责检查数据库系统的用户权限,防止非法用户的侵入和越权访问。)负责检查数据库系统的用户权限,防止非法用户的侵入和越权访问。 4 4)负责定期检查数据库数据的完整性和可用性,发现系统故障及时排)负责定期

45、检查数据库数据的完整性和可用性,发现系统故障及时排除,做好系统恢复。除,做好系统恢复。 2714.2 14.2 建立信息安全机构和队伍建立信息安全机构和队伍 14.2.2 14.2.2 信息安全队伍信息安全队伍( (续续) ) 3 3信息安全工作人员的岗位职责信息安全工作人员的岗位职责 (6 6)数据安全员的职责)数据安全员的职责 数据安全员负责信息网络中运行数据的安全。其主要职责是:数据安全员负责信息网络中运行数据的安全。其主要职责是: 1 1)负责信息网络数据的安全,保障信息的保密性、完整性和可用性。)负责信息网络数据的安全,保障信息的保密性、完整性和可用性。 2 2)负负责责对对信信息息

46、网网络络数数据据备备份份与与灾灾难难恢恢复复系系统统的的维维护护与与管管理理,实实时时对对重重要数据进行安全备份。要数据进行安全备份。 3 3)负负责责对对信信息息采采集集、传传输输及及存存储储的的技技术术手手段段和和工工作作环环境境以以及及介介质质管管理理各环节的监督检查,发现问题和漏洞及时解决。各环节的监督检查,发现问题和漏洞及时解决。 4 4)负责定期对重要数据存储备份介质的检查,防止数据的丢失或被破)负责定期对重要数据存储备份介质的检查,防止数据的丢失或被破坏。坏。 2814.2 14.2 建立信息安全机构和队伍建立信息安全机构和队伍 14.2.2 14.2.2 信息安全队伍信息安全队

47、伍( (续续) ) 3 3信息安全工作人员的岗位职责信息安全工作人员的岗位职责 (7 7)防病毒安全员的职责)防病毒安全员的职责 防防病病毒毒安安全全员员负负责责信信息息网网络络系系统统的的计计算算机机病病毒毒的的防防护护工工作作。其其主主要要职职责是:责是: 1 1)负责计算机防病毒软件的购置、保管、发放、升级和安装。)负责计算机防病毒软件的购置、保管、发放、升级和安装。 2 2)负负责责信信息息网网络络系系统统的的计计算算机机病病毒毒的的防防护护,在在病病毒毒发发作作日日前前及及时时发发布布公告,并采取必要的预防措施。公告,并采取必要的预防措施。 3 3)负负责责定定期期对对信信息息网网络

48、络系系统统进进行行病病毒毒检检测测,发发现现系系统统被被计计算算机机病病毒毒感感染,及时组织清除病毒。染,及时组织清除病毒。 4 4)负责计算机病毒防护知识的宣传教育工作。)负责计算机病毒防护知识的宣传教育工作。 2914.3 14.3 制定信息安全管理制度制定信息安全管理制度 信息安全已不只是人们传统意义上的添加防火墙或路由器信息安全已不只是人们传统意义上的添加防火墙或路由器等简单的设备就可保证的安全,而是成为一种系统和全局的安等简单的设备就可保证的安全,而是成为一种系统和全局的安全。全。 信息安全管理制度是保证信息安全的基础,需要通过一系信息安全管理制度是保证信息安全的基础,需要通过一系列

49、规章制度的实施,来确保各类人员按照规定的职责行事,做列规章制度的实施,来确保各类人员按照规定的职责行事,做到各行其职、各负其责,避免责任事故的发生和防止恶意侵犯。到各行其职、各负其责,避免责任事故的发生和防止恶意侵犯。 常见的信息安全管理制度主要包括:人员安全管理制度、常见的信息安全管理制度主要包括:人员安全管理制度、设备安全管理制度、运行安全管理制度、安全操作管理制度、设备安全管理制度、运行安全管理制度、安全操作管理制度、应急维护制度、安全等级保护制度;有害数据及计算机病毒防应急维护制度、安全等级保护制度;有害数据及计算机病毒防范管理制度;敏感数据保护制度、安全技术保障制度、安全计范管理制度

50、;敏感数据保护制度、安全技术保障制度、安全计划管理制度等。划管理制度等。 3014.3 14.3 制定信息安全管理制度制定信息安全管理制度14.3.1 14.3.1 制定信息安全管理制度的原则制定信息安全管理制度的原则 制定信息安全管理制度应遵循统一的安全管理原则如下:制定信息安全管理制度应遵循统一的安全管理原则如下: 1 1)规范化原则)规范化原则 2 2)系统化原则)系统化原则 3 3)综合保障原则)综合保障原则 4 4)以人为本原则)以人为本原则 5 5)首长负责原则)首长负责原则 6 6)预防原则)预防原则 7 7)风险评估原则)风险评估原则 8 8)动态原则)动态原则 9 9)成本效

51、益原则)成本效益原则 1010)均衡防护原则)均衡防护原则3114.3 14.3 制定信息安全管理制度制定信息安全管理制度14.3.2 14.3.2 信息安全管理标准信息安全管理标准ISOISOIEC l7799 IEC l7799 信信息息安安全全管管理理的的原原则则之之一一就就是是规规范范化化、系系统统化化,如如何何在在信信息息安安全全管管理理实践中落实这一原则,需要相应的信息安全管理标准。实践中落实这一原则,需要相应的信息安全管理标准。 BS7799BS7799标标准准是是英英国国标标准准协协会会(BSIBSI)制制定定的的国国际际上上具具有有代代表表性性的的信信息息安安全全管管理理体体

52、系系标标准准。该该标标准准包包括括两两个个部部分分:信信息息安安全全管管理理实实施施细细则则(BS7799 1BS7799 1:19991999)和和信息安全管理体系规范信息安全管理体系规范(BS7799 2BS7799 2:19991999)。)。 其其中中,BS7799BS7799- -1 1标标准准目目前前已已正正式式转转换换成成ISOISO国国际际标标准准,即即信信息息安安全全管管理理体体系系实实施施指指南南(IS0 IS0 1779917799),并并于于20002000年年1212月月1 1日日颁颁布布。它它所所阐阐述述的主题是安全策略和优秀的、具有普遍意义的安全操作。的主题是安全

53、策略和优秀的、具有普遍意义的安全操作。 标标准准主主要要讨讨论论了了如如下下的的主主题题:建建立立机机构构的的安安全全策策略略、机机构构的的安安全全基基础础设设施施、资资产产分分类类和和控控制制、人人员员安安全全、物物理理与与环环境境安安全全、通通讯讯与与操操作作管管理理、访问控制、系统开发和维护、业务连续性管理、遵循性。访问控制、系统开发和维护、业务连续性管理、遵循性。 3214.3 14.3 制定信息安全管理制度制定信息安全管理制度14.3.2 14.3.2 信息安全管理标准信息安全管理标准ISOISOIEC l7799 IEC l7799 采采用用ISO/IEC ISO/IEC l779

54、9l7799标标准准建建立立起起来来的的信信息息安安全全管管理理体体系系(ISMS)(ISMS),是是建建立立在在系系统统、全全面面、科科学学的的安安全全风风险险评评估估之之上上,是是一一个个系系统统化化、文文件件化化、程序化、科学化的管理体系。程序化、科学化的管理体系。 它它体体现现预预防防控控制制为为主主思思想想,强强调调遵遵守守国国家家有有关关信信息息安安全全的的法法律律、法法规规及及其其它它要要求求,强强调调全全过过程程和和动动态态控控制制,本本着着成成本本费费用用与与风风险险平平衡衡的的原原则则选选择择安安全全控控制制方方式式,保保护护组组织织所所拥拥有有的的关关键键信信息息资资产产

55、,确确保保信信息息的的保保密密性性、完完整整性性、可可用用性性,对对网网络络环环境境下下的的信信息息安安全全管管理理无无疑疑具具有有十十分分重重要的意义。要的意义。 3314.4 14.4 信息安全法律保障信息安全法律保障 网网络络已已深深入入到到社社会会的的各各个个角角落落, ,黑黑客客和和病病毒毒给给社社会会带带来来的的负负面面影影响响也也随随着着网网络络功功能能的的增增强强而而扩扩大大,网网络络的的安安全全性性随随之之上上升升到到国国家家安安全全、公公共共安安全全的的层层面面, ,世世界界各各国国亦亦越越来来越越倾倾向向依依靠靠法法律律这这个个强强有有力力的的国国家家工工具具来保障网络安

56、全。来保障网络安全。 各各国国信信息息安安全全的的立立法法虽虽各各不不相相同同, ,但但各各国国信信息息安安全全专专家家对对这这一一点点的的认认识识是是相相同同的的, ,即即保保障障信信息息网网络络安安全全必必须须构构建建一一个个全全方方位位、立立体体化化的的防防御御体体系。系。 我我国国已已初初步步形形成成了了一一个个保保护护网网络络安安全全的的法法律律体体系系。我我国国宪宪法法明明确确规规定定了了公公民民具具有有保保守守国国家家秘秘密密的的义义务务;基基本本法法律律中中有有保保守守国国家家秘秘密密法法,刑刑法法分分则则中中的的相相关关规规定定;行行政政法法规规有有中中华华人人民民共共和和国

57、国计计算算机机信信息息系系统统安安全全保保护护条条例例、中中华华人人民民共共和和国国计计算算机机信信息息网网络络国国际际联联网网管管理理暂暂行行规规定定、计计算算机机信信息息网网络络国国际际联联网网安安全全保保护护管管理理办办法法等等;此此外外,大大量量的的行行政政规规章章和和地地方方性性法法规规也也对对计计算算机机信信息息系系统统安安全全作作了了规规定定,如如中中国国公公民民计计算算机机互互联联网网国国际际联联网网管管理理办办法法、铁铁路路计计算算机机系系统统安安全全管理暂行办法管理暂行办法、浙江省计算机安全管理规定浙江省计算机安全管理规定等。等。 34本章小结本章小结 本本章章从从保保障障的的角角度度介介绍绍了了信信息息安安全全管管理理的的作作用用,包包括括信信息息安安全全管管理理策策略略的的制制定定、信信息息安安全全管管理理机机构构的的设设立立和和人人员员构构成成、信信息息安安全全管管理理制制度度的的建建立立等等。这这些些内内容容的的确确立立必必须须遵遵循循相相关关标标准准的的要要求求,如如ISO ISO 1779917799标标准。准。 最后简单介绍了信息安全的法律保障体系。最后简单介绍了信息安全的法律保障体系。

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 解决方案

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号