16-信息安全管理

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

按屠赃菠卿倔佛篷铬恼饶爽线仇执溯涨寒坛醋鼻锄巩抚堂战发禽嫩聘堑材16信息安全管理16信息安全管理信息安全管理本章学习目标:理解策略的含义掌握策略制定的原则、内容和编写方法熟悉信息安全管理机构的构成了解制定信息安全管理制度的原则了解基本的信息安全法律法规变贞瞧耽哮诺哄虞立蒂号瞒掩嫂沈钻戒匝肥镁棍母妹倦枉兄惩摧海贮违诀16信息安全管理16信息安全管理214.1制定信息安全管理策略信息安全管理策略也称信息安全方针,是组织对信息和信息处理设施进行管理、保护和分配的准则和规划,以及使信息系统免遭入侵和破坏而必须采取的措施。它告诉组织成员在日常的工作中什么是必须做的,什么是可以做的,什么是不可以做的;哪里是安全区,哪里是敏感区,就像交通规则之于车辆和行人,信息安全策略是有关信息安全方面的行为规范。一个成功的安全策略应当遵循:1)综合平衡(综合考虑需求、风险、代价等诸多因素)。2)整体优化(利用系统工程思想,使系统总体性能最优)。3)易于操作和确保可靠。14.1.1信息安全管理策略概述奥裴球斟坯铭屠处二喜亮嫁流篙连颂械咙慎豌绳妇肮毯辫汪决脏濒哼苫磺16信息安全管理16信息安全管理314.1制定信息安全管理策略在制定信息安全管理策略时,要严格遵守以下主要原则。1)目的性。策略是为组织完成自己的信息安全使命而制定的,策略应该反映组织的整体利益和可持续发展的要求。2)适用性。策略应该反映组织的真实环境和信息安全的发展水平。3)可行性。策略应该具有切实可行性,其目标应该可以实现,并容易测量和审核。没有可行性的策略不仅浪费时间还会引起政策混乱。4)经济性。策略应该经济合理,过分复杂和草率都是不可取的。5)完整性。能够反映组织的所有业务流程的安全需要。6)一致性。策略的一致性包括下面三个层次:①和国家、地方的法律法规保持一致;②和组织己有的策略、方针保持一致;③整体安全策略保持一致,要反映企业对信息安全的一般看法。7)弹性。策略不仅要满足当前的组织要求,还要满足组织和环境在未来一段时间内发展的要求。14.1.2制定策略的原则耿兑援炼酣扑怠砂跟柔宽歹肩真失猜天除床爵叫群舅扭供玲守叭怨腐羔拼16信息安全管理16信息安全管理414.1制定信息安全管理策略理论上,一个完整的策略体系应该保障组织信息的机密性、可用性和完整性。信息安全策略应包含下列一些内容:1)适用范围。包括人员范围和时效性,例如“本规定适用于所有员工”,“适用于工作时间和非工作时间”。不仅要消除本该受到约束的员工有认为自己是个例外的想法,也保证策略不至于被误解是针对某个员工的;同时也告诉员工本规定在什么时间发挥效力。2)目标。例如,“为确保企业的经营、技术等机密信息不泄漏,维护企业的经济利益,根据国家有关法律,结合企业实际,特制定本条例。”明确了信息安全保护对公司是有着重要意义的,而且与国家的法律法规是一致的。主题明确的策略可能会有更加确切、详细的目标,如防病毒策略的目标可以是:“为了正确执行对计算机病毒(蠕虫、特洛伊木马、黑客恶意程序)的预防、侦测和清除过程,特制定本策略”。14.1.3策略的主要内容浙釉忻痢彭玖掖撂癸惧采婉然喊眯挪曝缄庙琢蚂惫寸桅窍往溯已郑找醇膜16信息安全管理16信息安全管理53)策略主题。通常一个组织可能会考虑开发下列主题的信息安全管理策略:①设备和及其环境的安全。②信息的分级和人员责任。③安全事故的报告与响应。④第三方访问的安全性。⑤外围处理系统的安全。⑥计算机和网络的访问控制和审核。⑦远程工作的安全。⑧加密技术控制。⑨备份、灾难恢复和可持续发展的要求。4)策略签署。信息安全管理策略是强制性的、惩罚性的,策略的执行需要来自管理层的支持,通常是信息安全主管或总经理签署信息安全管理策略。签署人的管理地位不能太低;否则会有执行的难度,如果遭到某高层主管的抵制常会导致策略失败,高层主管的签署也表明信息安全不单单是信息安全部门的事情,还是和整个组织所有成员都是密切相关的。5)策略的生效时间和有效期。旧策略的更新和过时策略的废除也是很重要的,应该保持生效的策略中包含新的安全要求。14.1制定信息安全管理策略14.1.3策略的主要内容(续)徊虾愚灼瑶焊课悟某掐钨闽天刑犹共箕昨窒儿木斥扣次骇镑脱亨梭屁蜒拍16信息安全管理16信息安全管理66)重新评审策略的时机。策略除了常规的评审时机,在下列情况下也需要重新评审:①企业管理体系发生很大变化。②相关的法律法规发生了变化。③企业信息系统或者信息技术发生了大的变化。④企业发生了重大的信息安全事故。7)与其他相关策略的引用关系。因为多种策略可能相互关联,引用关系可以描述策略的层次结构,而且在策略修改时候也经常涉及其他相关策略的调整,清楚的引用关系可以节省查找的时间。8)策略解释。由于工作环境、知识背景等原因的不同,可能导致员工在理解策略时出现误解、歧义的情况。因此,应建立一个专门的权威的解释机构或指定专门的解释人员来进行策略的解释。9)例外情况的处理。策略不可能做到面面俱到,在策略中应提供特殊情况下的安全通道。14.1制定信息安全管理策略14.1.3策略的主要内容(续)围制蔑浴臂盟渺弄丝奉驴麻徒龚诈场五站输浊丁营表肤剿垦间陨炔瞬阮铲16信息安全管理16信息安全管理714.1制定信息安全管理策略14.1.4信息安全管理策略案例磐碎业咙借适缆亡盗拖俗甩醒宋膘牙整普登碍扒氛餐肮凌补持国宪致您沼16信息安全管理16信息安全管理814.2建立信息安全机构和队伍为了保护国家信息的安全,维护国家的利益,各国政府均指定了政府有关机构主管信息安全工作。我国成立了国家信息化领导小组,由国务院领导亲自任组长,中央国家机关有关部委的领导参加小组的工作。国家信息化领导小组为了强化对信息化工作的领导,对信息产业部、公安部、安全部、国家保密局等部门在信息安全管理方面进行了职能分工,明确了各自的责任,对于保障我国信息化工作的正常发展,保护信息安全起到了重要的作用。湛奶喜箱假没楷捉纳被椭好疼蜗吝颧幂慑衷霉掷瘴锄七赊药赃下伯桶兰晦16信息安全管理16信息安全管理914.2建立信息安全机构和队伍14.2.1信息安全管理机构一个组织的信息安全对本企业也是非常重要的,因此,对信息的安全管理是不容忽视的问题,必须要引起组织最高领导层的充分重视。信息安全的管理层级一般分三个层次,每一层级都应有明确的责任制。1)决策机构。负责宏观管理。2)管理机构。负责日常协调、管理工作。3)配备各类安全管理、技术人员。负责落实规章制度、技术规范,处理技术方面的问题。凡对信息安全有需求的组织,必须成立相应的安全机构、配备必要的管理人员和技术人员、制定规章制度、配备安全设备、从而保障信息安全管理工作的正常开展。安全组织机构对信息系统的安全管理工作是垂直的,网络延伸到哪里,信息安全管理工作就要管到哪里,下一级信息安全组织机构必须无条件地接受上一级安全组织机构的领导。着戌煤菌株计辱洪勃谊幸俄鸦暑芯燕奔冕奠访货惮酒途欲淳列烟湖缘纫弟16信息安全管理16信息安全管理1014.2建立信息安全机构和队伍14.2.1信息安全管理机构(续)1.信息安全领导小组(1)领导小组成员1)信息安全领导小组组长由组织主要领导担任。2)其他成员由计算机、通信、综合信息、保卫、保密、人事、监察等有关方面的负责人担任。信息安全领导小组是组织中信息安全工作最高领导决策机构,不隶属任何部门,直接对组织最高领导层负责。领导小组是常设机构,有例会工作制度;领导小组负责本组织、本系统信息安全工作的宏观领导。哲究鹤裙招明郡滤帕震赣褂陇怜欲丸蜗峰鼻苯金盔蚌车潘屎羌疗宽叶堤钧16信息安全管理16信息安全管理1114.2建立信息安全机构和队伍14.2.1信息安全管理机构(续)(2)领导小组职能1)制定与信息安全有关的长远规划、建设,研究信息安全工作的资金投入、安全(技术、管理)策略、资源利用,处理信息安全的重大事故,决定信息安全的人事问题。2)根据国家信息安全的法律、法规、制度和规范,结合本组织的实际,批准本组织信息安全方面的规章制度、实施细则、安全目标岗位责任制。3)领导本组织信息系统的安全工作,并监督整个信息系统安全体系的日常工作。安全负责人要接受本组织信息安全领导小组和信息安全领导小组办公室的领导。4)领导本组织所属的信息安全工作机构,定期召开信息安全工作会议,研究布置工作,解决重大问题。5)定期向组织最高领导层汇报信息安全工作情况,取得最高层领导对信息安全工作的支持。6)审核批准安全年报、安全教育计划。7)表彰信息安全工作先进者,处置违规行为。五遏焰拉驾拿稻脑值伤晃吠搽蕉彭扼蒙芳尾侩庇柱夕骇痪击仰屎漆啸坎认16信息安全管理16信息安全管理1214.2建立信息安全机构和队伍14.2.1信息安全管理机构(续)(3)领导小组决策的主要内容1)审核系统安全管理人员的各种安全报告,并做出相关的决定。2)决定信息系统和信息的安全等级。3)决定信息系统是否要采取安全措施。4)作出新的信息安全风险评测,决定是否增加安全措施。5)决定所采用安全保护措施的投入资金量。6)批准系统安全管理人员草拟或修改的各种安全策略手册。7)审定并公布本组织信息安全规章制度。8)仲裁本组织信息安全事故的责任。9)决定系统安全管理人员的任免。10)所形成的决定性意见,以信息安全领导小组名义,用决策决定书的形式公告。密愉档需佯黎亩刷藕盏鸥敝析挺究狂胀庐酚炸难楚啮慰阻默耗侄蔷侄面垦16信息安全管理16信息安全管理1314.2建立信息安全机构和队伍14.2.1信息安全管理机构(续)(4)领导小组决策的依据1)系统信息安全管理员提供的报告。2)信息安全现状报告。3)安全新风险分析报告。4)本组织新增加的安全保密防范措施。5)组织信息安全事故初步分析报告。6)新增加安全措施的经费报告。7)新增加安全措施的效益估计。8)信息的安全现状及对组织效益的影响。掠靴卧瑶金挞顶拆度仓泄仍姆乞柒汝凑披炽扑盅掀塌灿宫偿暑滩蘸乓作凛16信息安全管理16信息安全管理1414.2建立信息安全机构和队伍14.2.1信息安全管理机构(续)2.信息安全顾问委员会组织信息安全顾问委员会以信息安全领导小组成员为核心,邀请本组织或社会上信息安全、法律政策、行政(企业)管理、技术专家、组织策划等有关方面专家学者参加,组成智囊团,对组织信息安全领导小组负责。委员会定期或不定期为信息安全管理提供最新的安全动态、面临的风险、技术,改进建议和应对措施,并为组织提供咨询服务,组织信息安全顾问委员会是非常设机构,不一定需要例会制度。锅于莫问亿燃么诱盯人仍唇蚜表叮漫钞剁菜爱拒乏溉体魁钧近扳胸伪产火16信息安全管理16信息安全管理1514.2建立信息安全机构和队伍14.2.1信息安全管理机构(续)3.信息安全领导小组办公室(信息中心)信息安全领导小组办公室(信息中心)是在信息安全领导小组直接领导下进行工作,为常设机构,有例会工作制度,负责处理本组织信息安全管理的日常工作。(1)办公室组成人员1)信息安全领导小组办公室主任负责组织、处理信息安全方面大量的日常工作,有些工作技术性比较强,因此需要懂技术的信息中心主要负责人(CIO)担任,或由安全负责人担任,但应有一名懂技术的信息中心领导担任副主任,负责技术管理工作。2)其他人员由系统管理、系统分析、通信、软件、硬件、保卫、保密、机要、监察和人事等有关方面的工作人员组成。第防杯缅姿楚茎成山辣市诗堤胀笋睬纠再古撕密烛樱疥美砰弄遁吱坟福碑16信息安全管理16信息安全管理1614.2建立信息安全机构和队伍14.2.1信息安全管理机构(续)3.信息安全领导小组办公室(信息中心)(2)办公室职能1)接受信息安全领导小组的直接领导;处理信息安全工作的日常工作。2)制定本组织信息安全的工作制度、安全目标和各级工作人员的权限、岗位职责。3)定期向组织信息安全领导小组汇报工作,报告工作计划。4)与国家有关信息安全工作的主管部门、技术部门建立日常工作联系,及时报告重大事件,并协助有关部门做好处理工作。5)制定本系统安全操作规程制度。6)负责管理各类安全管理人员,定期或不定期组织安全教育或培训。7)定

1 / 34
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功