《16 信息安全管理》由會(huì)員分享���,可在線閱讀���,更多相關(guān)《16 信息安全管理(36頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
1���、,*,信息安全管,理,理,本章學(xué)習(xí)目,標(biāo),標(biāo):,理解策略的,含,含義,掌握策略制,定,定的原則�、,內(nèi),內(nèi)容和編寫,方,方法,熟悉信息安,全,全管理機(jī)構(gòu),的,的構(gòu)成,了解制定信,息,息安全管理,制,制度的原則,了解基本的,信,信息安全法,律,律法規(guī),14.1,制,制定信息,安,安全管理策,略,略,信息安全管,理,理策略也稱,信,信息安全方,針,針,是組織,對(duì),對(duì)信息和信,息,息處理設(shè)施,進(jìn),進(jìn)行管理��、,保,保護(hù)和分配,的,的準(zhǔn)則和規(guī),劃,劃����,以及使,信,信息系統(tǒng)免,遭,遭入侵和破,壞,壞而必須采,取,取的措施。它告訴組織,成,成員在日常,的,的工作中什,么,么是必須做,的,的�,什么是,可,可以做
2、的�,,什,什么是不可,以,以做的;哪,里,里是安全區(qū),����,,,哪里是敏,感,感區(qū)���,就像,交,交通規(guī)則之,于,于車輛和行,人,人��,信息安,全,全策略是有,關(guān),關(guān)信息安全,方,方面的行為,規(guī),規(guī)范�。一個(gè),成,成功的安全,策,策略應(yīng)當(dāng)遵,循,循:,1),綜,綜合,平,平衡,(,綜合,考,考慮,需,需求,�����、,、風(fēng),險(xiǎn),險(xiǎn)���、,代,代價(jià),等,等諸,多,多因,素,素,),。,2),整,整體,優(yōu),3)易于操作和確?���?煽俊?14.1.1,信,信息,安,安全,管,管理,策,策略,概,概述,14.1,制,制定,信,信息,安,安全,管,管理,策,策略,在制,定,定信,息,息安,全,全管,理,理策,略,略時(shí),����,,,要,嚴(yán)
3�����、,嚴(yán)格,遵,遵守,以,以下,主,主要,原,原則,����。,。,1),目,目的,性,性���。策,略,略是,為,為組,織,織完,成,成自,己,己的,信,信息,安,安全,使,使命,而,而制,定,定的,����,,,策,略,略應(yīng),該,該反,映,映組,織,織的,整,整體,利,利益,和,和可,持,持續(xù),發(fā),發(fā)展,的,的要,求,求�。,2),適,適用,性,性,3)可行性,。策略應(yīng)該具有切實(shí)可行性����,其目標(biāo)應(yīng)該可以實(shí)現(xiàn),并容易測(cè)量和審核�����。沒(méi)有可行性的策略不僅浪費(fèi)時(shí)間還會(huì)引起政策混亂�。,4)經(jīng)濟(jì)性,。策略應(yīng)該經(jīng)濟(jì)合理�,過(guò)分復(fù)雜和草率都是不可取的。,5)完整性,���。能夠反映組織的所有業(yè)務(wù)流程的安全需要���。,6)一致性,。策略的一致性包括下
4��、面三個(gè)層次:和國(guó)家�����、地方的法律法規(guī)保持一致;和組織己有的策略��、方針保持一致����;整體安全策略保持一致��,要反映企業(yè)對(duì)信息安全的一般看法�����。,7)彈性,�。策略不僅要滿足當(dāng)前的組織要求,還要滿足組織和環(huán)境在未來(lái)一段時(shí)間內(nèi)發(fā)展的要求�����。,14.1.2,制,制定,策,策略,的,的原,則,則,14.1,制,制定,信,信息,安,安全,管,管理,策,策略,理論,上,上���,,一,一個(gè),完,完整,的,的策,略,略體,系,系應(yīng),該,該保,障,障組,織,織信,息,息的,機(jī),機(jī)密,性,性����、,可,可用,性,性和,完,完整,性,性。,信,信息,安,安全,策,策略,應(yīng),應(yīng)包,含,含下,列,列一,些,些內(nèi),容,容,:,1),適,適用,范
5���、,范圍,��。,���。包括,人,人員,范,范圍,和,和時(shí),效,效性,,,��,例,如,如“,本,本規(guī),定,定適,用,用于,所,所有,員,員工,”,”�,,“,“適,用,用于,工,工作,時(shí),時(shí)間,和,和非,工,工作,時(shí),時(shí)間,”,”。,不,不僅,要,要消,除,除本,該,該受,到,到約,束,束的,員,員工,有,有認(rèn),為,為自,己,己是,個(gè),個(gè)例,外,外的,想,想法,�����,,�����,也,保,保證,策,策略,不,不至,于,于被,誤,誤解,是,是針,對(duì),對(duì)某,個(gè),個(gè)員,2)目標(biāo)�����。,例如�����,“為確保企業(yè)的經(jīng)營(yíng)、技術(shù)等機(jī)密信息不泄漏����,維護(hù)企業(yè)的經(jīng)濟(jì)利益,根據(jù)國(guó)家有關(guān)法律����,結(jié)合企業(yè)實(shí)際,特制定本條例�?!泵鞔_了信息安全保護(hù)對(duì)公司是有著重
6、要意義的�����,而且與國(guó)家的法律法規(guī)是一致的��。主題明確的策略可能會(huì)有更加確切�����、詳細(xì)的目標(biāo)�,如防病毒策略的目標(biāo)可以是:“為了正確執(zhí)行對(duì)計(jì)算機(jī)病毒(蠕蟲(chóng)��、特洛伊木馬��、黑客惡意程序)的預(yù)防�����、偵測(cè)和清除過(guò)程�,特制定本策略”����。,14.1.3,策,策略,的,的主,要,要內(nèi),容,容,3),策,策略,主,主題,。,��。通,常,常一,個(gè),個(gè)組,織,織可,能,能會(huì),考,考慮,開(kāi),開(kāi)發(fā),下,下列,主,主題,的,的信,息,息安,全,全管,理,理策,略,略:,設(shè),備,備和,及,及其,環(huán),環(huán)境,的,的安,全,全��。,信,息,息的,分,分級(jí),和,和人,員,員責(zé),任,任�。,安,全,全事,故,故的,報(bào),報(bào)告,與,與響,應(yīng),應(yīng)。,第,三,
7����、三方,訪,訪問(wèn),的,的安,全,全性,。,���。,外,外圍,處,處理,系,系統(tǒng),的,的安,全,全�。,計(jì),算,算機(jī),和,和網(wǎng),絡(luò),絡(luò)的,訪,訪問(wèn),控,控制,和,和審,核,核。,遠(yuǎn),程,程工,作,作的,安,安全,���。,�。,加,加密,技,技術(shù),控,控制,���。,����。,備,備份,����、,、災(zāi),難,難恢,復(fù),復(fù)和,可,可持,續(xù),續(xù)發(fā),展,展的,要,要求,��。,�����。,4),策,策略,簽,簽署,����。,��。信,息,息安,全,全管,理,理策,略,略是,強(qiáng),強(qiáng)制,性,性的,、,��、懲,罰,罰性,的,的�,,策,策略,的,的執(zhí),行,行需,要,要來(lái),自,自管,理,理層,的,的支,持,持,,通,通常,是,是信,息,息安,全,全主,管,管或,總,總經(jīng)
8���、,理,理簽,署,署信,息,息安,全,全管,理,理策,略,略���。,簽,簽署,人,人的,管,管理,地,地位,不,不能,太,太低,;,����;否,則,則會(huì),有,有執(zhí),行,行的,難,難度,,,���,如,果,果遭,到,到某,高,高層,主,主管,的,的抵,制,制常,會(huì),會(huì)導(dǎo),致,致策,略,略失,敗,敗�,,高,高層,主,主管,的,的簽,署,署也,表,表明,信,信息,安,安全,不,不單,單,單是,信,信息,安,安全,部,部門,的,的事,情,情�����,,還,還是,和,和整,個(gè),個(gè)組,織,織所,有,有成,員,員都,是,是密,切,切相,關(guān),關(guān)的,�����。,。,5),策,策略,的,的生,效,效時(shí),間,間和,有,有效,期,期����。,舊,舊策,略,
9、略的,更,更新,和,和過(guò),時(shí),時(shí)策,略,略的,廢,廢除,也,也是,很,很重,要,要的,���,,�����,應(yīng),該,該保,持,持生,效,效的,策,策略,中,中包,含,含新,的,的安,全,全要,求,求�。,14.1,制,制定,信,信息,安,安全,管,管理,策,策略,14.1.3,策,策略,的,的主,要,要內(nèi),容,容,(續(xù)),6),重,重新,評(píng),評(píng)審,策,策略,的,的時(shí),機(jī),機(jī)�。,策,策,略,略,除,除,了,了,常,常,規(guī),規(guī),的,的,評(píng),評(píng),審,審,時(shí),時(shí),機(jī),機(jī),,,�,,在,在,下,下,列,列,情,情,況,況,下,下,也,也,需,需,要,要,重,重,新,新,評(píng),評(píng),審,審,:,:,企,企,業(yè),業(yè),管,管,理,理
10、,體,體,系,系,發(fā),發(fā),生,生,很,很,大,大,變,變,化,化,����。,���。,相,相,關(guān),關(guān),的,的,法,法,律,律,法,法,規(guī),規(guī),發(fā),發(fā),生,生,了,了,變,變,化,化,���。,�����。,企,企,業(yè),業(yè),信,信,息,息,系,系,統(tǒng),統(tǒng),或,或,者,者,信,信,息,息,技,技,術(shù),術(shù),發(fā),發(fā),生,生,了,了,大,大,的,的,變,變,化,化,�。,�����。,企,企,業(yè),業(yè),發(fā),發(fā),生,生,了,了,重,重,大,大,的,的,信,信,息,息,安,安,全,全,事,事,故,故,����。,。,7,),),與,與,其,其,他,他,相,相,關(guān),關(guān),策,策,略,略,的,的,引,引,用,用,關(guān),關(guān),系,系��。,因,因,為,為,多,多,種,種,
11�����、策,策,略,略,可,可,8)策略解釋,�����。由于工作環(huán)境�����、知識(shí)背景等原因的不同,可能導(dǎo)致員工在理解策略時(shí)出現(xiàn)誤解��、歧義的情況����。因此,應(yīng)建立一個(gè)專門的權(quán)威的解釋機(jī)構(gòu)或指定專門的解釋人員來(lái)進(jìn)行策略的解釋���。,9)例外情況的處理,�����。策略不可能做到面面俱到�����,在策略中應(yīng)提供特殊情況下的安全通道�。,14.1,制,制,定,定,信,信,息,息,安,安,全,全,管,管,理,理,策,策,略,略,14.1.3,策,策,略,略,的,的,主,主,要,要,內(nèi),內(nèi),容,容,(,續(xù),續(xù)),14.1,制,制,定,定,信,信,息,息,安,安,全,全,管,管,理,理,策,策,略,略,14.1.4,信,信,息,息,安,安,全,全,管,管,
12��、理,理,策,策,略,略,案,案,例,例,14.2,建,建,立,立,信,信,息,息,安,安,全,全,機(jī),機(jī),構(gòu),構(gòu),和,和,隊(duì),隊(duì),伍,伍,為,了,了,保,保,護(hù),護(hù),國(guó),國(guó),家,家,信,信,息,息,的,的,安,安,全,全,��,,�,,維,維,護(hù),護(hù),國(guó),國(guó),家,家,的,的,利,利,益,益,,,��,,各,各,國(guó),國(guó),政,政,府,府,均,均,指,指,定,定,了,了,政,政,府,府,有,有,關(guān),關(guān),機(jī),機(jī),構(gòu),構(gòu),主,主,管,管,信,信,息,息,安,安,全,全,工,工,作,作,�。,。,我,國(guó),國(guó),成,成,立,立,了,了,國(guó),國(guó),家,家,信,信,息,息,化,化,領(lǐng),領(lǐng),導(dǎo),導(dǎo),小,小,組,組,����,,,,由,由
13�����、,國(guó),國(guó),務(wù),務(wù),院,院,領(lǐng),領(lǐng),導(dǎo),導(dǎo),親,親,自,自,任,任,組,組,長(zhǎng),長(zhǎng),��,,�,,中,中,央,央,國(guó),國(guó),家,家,機(jī),機(jī),關(guān),關(guān),有,有,關(guān),關(guān),部,部,委,委,的,的,領(lǐng),領(lǐng),導(dǎo),導(dǎo),參,參,加,加,小,小,組,組,的,的,工,工,作,作,。,���。,國(guó),國(guó),家,家,信,信,息,息,化,化,領(lǐng),領(lǐng),導(dǎo),導(dǎo),小,小,組,組,為,為,了,了,強(qiáng),強(qiáng),化,化,對(duì),對(duì),信,信,息,息,化,化,工,工,作,作,的,的,領(lǐng),領(lǐng),導(dǎo),導(dǎo),��,,����,,對(duì),對(duì),信,信,息,息,產(chǎn),產(chǎn),業(yè),業(yè),部,部,��、,、,公,公,安,安,部,部,��、,�����、,安,安,全,全,部,部,���、,�、,國(guó),國(guó),家,家,保,保,密,密,局,局
14�����、,等,等,部,部,門,門,在,在,信,信,息,息,安,安,全,全,管,管,理,理,方,方,面,面,進(jìn),進(jìn),行,行,了,了,職,職,能,能,分,分,工,工,���,,�����,,明,明,確,確,了,了,各,各,自,自,的,的,責(zé),責(zé),任,任,�,,����,,對(duì),對(duì),于,于,保,保,障,障,我,我,國(guó),國(guó),信,信,息,息,化,化,工,工,作,作,的,的,正,正,常,常,發(fā),發(fā),展,展,����,,�,,保,保,護(hù),護(hù),信,信,息,息,安,安,全,全,起,起,到,到,了,了,重,重,要,要,的,的,作,作,用,用,��。,�����。,14.2,建,建立信,息,息安全,機(jī),機(jī)構(gòu)和,隊(duì),隊(duì)伍,14.2.1,信,信,息,息安全,管,管理機(jī),構(gòu),構(gòu),
15�����、一個(gè)組,織,織的信,息,息安全,對(duì),對(duì)本企,業(yè),業(yè)也是,非,非常重,要,要的�,,因,因此,,對(duì),對(duì)信息,的,的安全,管,管理是,不,不容忽,視,視的問(wèn),題,題���,必,須,須要引,起,起組織,最,最高領(lǐng),導(dǎo),導(dǎo)層的,充,充分重,信息安全的管理層級(jí)一般分三個(gè)層次����,每一層級(jí)都應(yīng)有明確的責(zé)任制�。,1)決策機(jī)構(gòu),。負(fù)責(zé)宏觀管理�����。,2)管理機(jī)構(gòu),。負(fù)責(zé)日常協(xié)調(diào)���、管理工作�。,3)配備各類安全管理���、技術(shù)人員,�。負(fù)責(zé)落實(shí)規(guī)章制度���、技術(shù)規(guī)范��,處理技術(shù)方面的問(wèn)題����。,凡對(duì)信息安全有需求的組織��,必須成立相應(yīng)的安全機(jī)構(gòu)�、配備必要的管理人員和技術(shù)人員、制定規(guī)章制度�����、配備安全設(shè)備、從而保障信息安全管理工作的正常開(kāi)展����。,安全組織
16、機(jī)構(gòu)對(duì)信息系統(tǒng)的安全管理工作是垂直的�����,網(wǎng)絡(luò)延伸到哪里�����,信息安全管理工作就要管到哪里�,下一級(jí)信息安全組織機(jī)構(gòu)必須無(wú)條件地接受上一級(jí)安全組織機(jī)構(gòu)的領(lǐng)導(dǎo)��。,14.2,建,建立信息,安,安全機(jī)構(gòu)和,隊(duì),隊(duì)伍,14.2.1 信息,安,安全管理機(jī),構(gòu),構(gòu)(,續(xù),),1信息安,全,全領(lǐng)導(dǎo)小組,(1)領(lǐng)導(dǎo),小,小組成員,1)信息安,全,全領(lǐng)導(dǎo)小組,組,組長(zhǎng)由組織,主,主要領(lǐng)導(dǎo)擔(dān),任,任�。,2)其他成,員,員由計(jì)算機(jī),、,�����、通信�����、綜,合,合信息、保,衛(wèi),衛(wèi)��、保密����、,人,人事、監(jiān)察,等,等有關(guān)方面,的,的負(fù)責(zé)人擔(dān),任,任��。,信息安全領(lǐng),導(dǎo),導(dǎo)小組是組,織,織中信息安,全,全工作最高,領(lǐng),領(lǐng)導(dǎo)決策機(jī),構(gòu),構(gòu)�,不隸屬,任,任何部門,,直,直接對(duì)組織,最,最高領(lǐng)導(dǎo)層,負(fù),負(fù)責(zé)���。領(lǐng)導(dǎo),小,小組是常設(shè),機(jī),機(jī)構(gòu)�����,有例,會(huì),會(huì)工作制度,���;,;領(lǐng)導(dǎo)小組,負(fù),負(fù)責(zé)本組織,�����、,、本系統(tǒng)信,息,息安全工作,的,的宏觀領(lǐng)導(dǎo),���。,����。,14.2,建,建立信息,安,安全機(jī)構(gòu)和,隊(duì),隊(duì)伍,14.2.1 信息,安,安全管理機(jī),構(gòu),構(gòu)(,續(xù),),(2)領(lǐng)導(dǎo),小,小組職能,1)制定與,信,信息安全有,關(guān),關(guān)的長(zhǎng)遠(yuǎn)規(guī),劃,劃���、建設(shè)����,,研,研究
16 信息安全管理
