16 信息安全管理

1、 信息安全管理信息安全管理 本章學習目標：本章學習目標：理解策略的含義理解策略的含義掌握策略制定的原則、內容和編寫方法掌握策略制定的原則、內容和編寫方法熟悉信息安全管理機構的構成熟悉信息安全管理機構的構成了解制定信息安全管理制度的原則了解制定信息安全管理制度的原則了解基本的信息安全法律法規(guī)了解基本的信息安全法律法規(guī)214.1 14.1 制定信息安全管理策略制定信息安全管理策略 信息安全管理策略也稱信息安全方針，是組織對信息和信信息安全管理策略也稱信息安全方針，是組織對信息和信息處理設施進行管理、保護和分配的準則和規(guī)劃，以及使信息息處理設施進行管理、保護和分配的準則和規(guī)劃，以及使信息系統(tǒng)免遭入侵

2、和破壞而必須采取的措施。系統(tǒng)免遭入侵和破壞而必須采取的措施。它告訴組織成員在日它告訴組織成員在日常的工作中什么是必須做的，什么是可以做的，什么是不可以常的工作中什么是必須做的，什么是可以做的，什么是不可以做的；哪里是安全區(qū)，哪里是敏感區(qū)，就像交通規(guī)則之于車輛做的；哪里是安全區(qū)，哪里是敏感區(qū)，就像交通規(guī)則之于車輛和行人，信息安全策略是有關信息安全方面的行為規(guī)范。一個和行人，信息安全策略是有關信息安全方面的行為規(guī)范。一個成功的安全策略應當遵循：成功的安全策略應當遵循： 1 1）綜合平衡）綜合平衡( (綜合考慮需求、風險、代價等諸多因素綜合考慮需求、風險、代價等諸多因素) )。 2 2）整體優(yōu)化）整

3、體優(yōu)化( (利用系統(tǒng)工程思想，使系統(tǒng)總體性能最優(yōu)利用系統(tǒng)工程思想，使系統(tǒng)總體性能最優(yōu)) )。 3 3）易于操作和確保可靠。）易于操作和確保可靠。 14.1.1 14.1.1 信息安全管理策略概述信息安全管理策略概述 314.1 14.1 制定信息安全管理策略制定信息安全管理策略 在制定信息安全管理策略時，要嚴格遵守以下主要原則。在制定信息安全管理策略時，要嚴格遵守以下主要原則。 1 1）目的性）目的性。策略是為組織完成自己的信息安全使命而制定的，策略應。策略是為組織完成自己的信息安全使命而制定的，策略應該反映組織的整體利益和可持續(xù)發(fā)展的要求。該反映組織的整體利益和可持續(xù)發(fā)展的要求。 2 2）適

4、用性）適用性。策略應該反映組織的真實環(huán)境。策略應該反映組織的真實環(huán)境和和信息安全的發(fā)展水平。信息安全的發(fā)展水平。 3 3）可行性）可行性。策略應該具有切實可行性，其目標應該可以實現(xiàn)，并容易。策略應該具有切實可行性，其目標應該可以實現(xiàn)，并容易測量和審核。沒有可行性的策略不僅浪費時間還會引起政策混亂。測量和審核。沒有可行性的策略不僅浪費時間還會引起政策混亂。 4 4）經(jīng)濟性）經(jīng)濟性。策略應該經(jīng)濟合理，過分復雜和草率都是不可取的。策略應該經(jīng)濟合理，過分復雜和草率都是不可取的。 5 5）完整性）完整性。能夠反映組織的所有業(yè)務流程的安全需要。能夠反映組織的所有業(yè)務流程的安全需要。 6 6）一致性）一致性

5、。策略的一致性包括下面三個層次：和國家、地方的法律。策略的一致性包括下面三個層次：和國家、地方的法律法規(guī)保持一致；和組織己有的策略、方針保持一致；整體安全策略保法規(guī)保持一致；和組織己有的策略、方針保持一致；整體安全策略保持一致，要反映企業(yè)對信息安全的一般看法。持一致，要反映企業(yè)對信息安全的一般看法。 7 7）彈性）彈性。策略不僅要滿足當前的組織要求，還要滿足組織和環(huán)境在未。策略不僅要滿足當前的組織要求，還要滿足組織和環(huán)境在未來一段時間內發(fā)展的要求。來一段時間內發(fā)展的要求。 14.1.2 14.1.2 制定策略的原則制定策略的原則 414.1 14.1 制定信息安全管理策略制定信息安全管理策略

6、理論上，一個完整的策略體系應該保障組織信息的機密性、理論上，一個完整的策略體系應該保障組織信息的機密性、可用性和完整性。信息安全策略應包含下列一些內容可用性和完整性。信息安全策略應包含下列一些內容： 1 1）適用范圍。）適用范圍。包括人員范圍和時效性，例如包括人員范圍和時效性，例如“本規(guī)定適用于所有員工本規(guī)定適用于所有員工”，“適用于工作時間和非工作時間適用于工作時間和非工作時間”。不僅要消除本該受到約束的員工有認為。不僅要消除本該受到約束的員工有認為自己是個例外的想法，也保證策略不至于被誤解是針對某個員工的；同時自己是個例外的想法，也保證策略不至于被誤解是針對某個員工的；同時也告訴員工本規(guī)定

7、在什么時間發(fā)揮效力。也告訴員工本規(guī)定在什么時間發(fā)揮效力。 2 2）目標。）目標。例如，例如，“為確保企業(yè)的經(jīng)營、技術等機密信息不泄漏，維護為確保企業(yè)的經(jīng)營、技術等機密信息不泄漏，維護企業(yè)的經(jīng)濟利益，根據(jù)國家有關法律，結合企業(yè)實際，特制定本條例。企業(yè)的經(jīng)濟利益，根據(jù)國家有關法律，結合企業(yè)實際，特制定本條例?！泵髅鞔_了信息安全保護對公司是有著重要意義的，而且與國家的法律法規(guī)是一確了信息安全保護對公司是有著重要意義的，而且與國家的法律法規(guī)是一致的。主題明確的策略可能會有更加確切、詳細的目標，如防病毒策略的致的。主題明確的策略可能會有更加確切、詳細的目標，如防病毒策略的目標可以是：目標可以是：“為了正

8、確執(zhí)行對計算機病毒（蠕蟲、特洛伊木馬、黑客惡意為了正確執(zhí)行對計算機病毒（蠕蟲、特洛伊木馬、黑客惡意程序）的預防、偵測和清除過程，特制定本策略程序）的預防、偵測和清除過程，特制定本策略”。14.1.3 14.1.3 策略的主要內容策略的主要內容 5 3 3）策略主題。通常一個組織可能會考慮開發(fā)下列主題的信息安全管理）策略主題。通常一個組織可能會考慮開發(fā)下列主題的信息安全管理策略：設備和及其環(huán)境的安全。信息的分級和人員責任。安全事故策略：設備和及其環(huán)境的安全。信息的分級和人員責任。安全事故的報告與響應。第三方訪問的安全性。外圍處理系統(tǒng)的安全。計算的報告與響應。第三方訪問的安全性。外圍處理系統(tǒng)的安全

9、。計算機和網(wǎng)絡的訪問控制和審核。遠程工作的安全。加密技術控制。備機和網(wǎng)絡的訪問控制和審核。遠程工作的安全。加密技術控制。備份、災難恢復和可持續(xù)發(fā)展的要求。份、災難恢復和可持續(xù)發(fā)展的要求。 4 4）策略簽署。信息安全管理策略是強制性的、懲罰性的，策略的執(zhí)行）策略簽署。信息安全管理策略是強制性的、懲罰性的，策略的執(zhí)行需要來自管理層的支持，通常是信息安全主管或總經(jīng)理簽署信息安全管理需要來自管理層的支持，通常是信息安全主管或總經(jīng)理簽署信息安全管理策略。簽署人的管理地位不能太低；否則會有執(zhí)行的難度，如果遭到某高策略。簽署人的管理地位不能太低；否則會有執(zhí)行的難度，如果遭到某高層主管的抵制常會導致策略失敗，

10、高層主管的簽署也表明信息安全不單單層主管的抵制常會導致策略失敗，高層主管的簽署也表明信息安全不單單是信息安全部門的事情，還是和整個組織所有成員都是密切相關的。是信息安全部門的事情，還是和整個組織所有成員都是密切相關的。 5 5）策略的生效時間和有效期。舊策略的更新和過時策略的廢除也是很）策略的生效時間和有效期。舊策略的更新和過時策略的廢除也是很重要的，應該保持生效的策略中包含新的安全要求。重要的，應該保持生效的策略中包含新的安全要求。14.1 14.1 制定信息安全管理策略制定信息安全管理策略 14.1.3 14.1.3 策略的主要內容策略的主要內容( (續(xù)續(xù)) ) 6 6 6）重新評審策略的

11、時機）重新評審策略的時機。策略除了常規(guī)的評審時機，在下列情況下。策略除了常規(guī)的評審時機，在下列情況下也需要重新評審：企業(yè)管理體系發(fā)生很大變化。相關的法律法規(guī)發(fā)生也需要重新評審：企業(yè)管理體系發(fā)生很大變化。相關的法律法規(guī)發(fā)生了變化。企業(yè)信息系統(tǒng)或者信息技術發(fā)生了大的變化。企業(yè)發(fā)生了重了變化。企業(yè)信息系統(tǒng)或者信息技術發(fā)生了大的變化。企業(yè)發(fā)生了重大的信息安全事故。大的信息安全事故。 7 7）與其他相關策略的引用關系）與其他相關策略的引用關系。因為多種策略可能相互關聯(lián)，引用。因為多種策略可能相互關聯(lián)，引用關系可以描述策略的層次結構，而且在策略修改時候也經(jīng)常涉及其他相關關系可以描述策略的層次結構，而且在策

12、略修改時候也經(jīng)常涉及其他相關策略的調整，清楚的引用關系可以節(jié)省查找的時間。策略的調整，清楚的引用關系可以節(jié)省查找的時間。 8 8）策略解釋）策略解釋。由于工作環(huán)境、知識背景等原因的不同，可能導致員。由于工作環(huán)境、知識背景等原因的不同，可能導致員工在理解策略時出現(xiàn)誤解、歧義的情況。因此，應建立一個專門的權威的工在理解策略時出現(xiàn)誤解、歧義的情況。因此，應建立一個專門的權威的解釋機構或指定專門的解釋人員來進行策略的解釋。解釋機構或指定專門的解釋人員來進行策略的解釋。 9 9）例外情況的處理）例外情況的處理。策略不可能做到面面俱到，在策略中應提供特。策略不可能做到面面俱到，在策略中應提供特殊情況下的安

13、全通道。殊情況下的安全通道。 14.1 14.1 制定信息安全管理策略制定信息安全管理策略 14.1.3 14.1.3 策略的主要內容策略的主要內容( (續(xù)續(xù)) ) 714.1 14.1 制定信息安全管理策略制定信息安全管理策略 14.1.4 14.1.4 信息安全管理策略案例信息安全管理策略案例 814.2 14.2 建立信息安全機構和隊伍建立信息安全機構和隊伍 為了保護國家信息的安全，維護國家的利益，各國政府均為了保護國家信息的安全，維護國家的利益，各國政府均指定了政府有關機構主管信息安全工作。指定了政府有關機構主管信息安全工作。 我國成立了國家信息化領導小組，由國務院領導親自任組我國成立

14、了國家信息化領導小組，由國務院領導親自任組長，中央國家機關有關部委的領導參加小組的工作。國家信息長，中央國家機關有關部委的領導參加小組的工作。國家信息化領導小組為了強化對信息化工作的領導，對信息產業(yè)部、公化領導小組為了強化對信息化工作的領導，對信息產業(yè)部、公安部、安全部、國家保密局等部門在信息安全管理方面進行了安部、安全部、國家保密局等部門在信息安全管理方面進行了職能分工，明確了各自的責任，對于保障我國信息化工作的正職能分工，明確了各自的責任，對于保障我國信息化工作的正常發(fā)展，保護信息安全起到了重要的作用。常發(fā)展，保護信息安全起到了重要的作用。 914.2 14.2 建立信息安全機構和隊伍建立

15、信息安全機構和隊伍 14.2.1 14.2.1 信息安全管理機構信息安全管理機構 一個組織的信息安全對本企業(yè)也是非常重要的，因此，對信息的安全管一個組織的信息安全對本企業(yè)也是非常重要的，因此，對信息的安全管理是不容忽視的問題，必須要引起組織最高領導層的充分重視。理是不容忽視的問題，必須要引起組織最高領導層的充分重視。 信息安全的管理層級一般分三個層次，每一層級都應有明確的責任制。信息安全的管理層級一般分三個層次，每一層級都應有明確的責任制。 1 1）決策機構）決策機構。負責宏觀管理。負責宏觀管理。 2 2）管理機構）管理機構。負責日常協(xié)調、管理工作。負責日常協(xié)調、管理工作。 3 3）配備各類安

16、全管理、技術人員）配備各類安全管理、技術人員。負責落實規(guī)章制度、技術規(guī)范，處。負責落實規(guī)章制度、技術規(guī)范，處理技術方面的問題。理技術方面的問題。 凡對信息安全有需求的組織，必須成立相應的安全機構、配備必要的管凡對信息安全有需求的組織，必須成立相應的安全機構、配備必要的管理人員和技術人員、制定規(guī)章制度、配備安全設備、從而保障信息安全管理理人員和技術人員、制定規(guī)章制度、配備安全設備、從而保障信息安全管理工作的正常開展。工作的正常開展。 安全組織機構對信息系統(tǒng)的安全管理工作是垂直的，網(wǎng)絡延伸到哪里，安全組織機構對信息系統(tǒng)的安全管理工作是垂直的，網(wǎng)絡延伸到哪里，信息安全管理工作就要管到哪里，下一級信息

17、安全組織機構必須無條件地接信息安全管理工作就要管到哪里，下一級信息安全組織機構必須無條件地接受上一級安全組織機構的領導。受上一級安全組織機構的領導。 1014.2 14.2 建立信息安全機構和隊伍建立信息安全機構和隊伍 14.2.1 14.2.1 信息安全管理機構信息安全管理機構( (續(xù)續(xù)) ) 1 1信息安全領導小組信息安全領導小組 （1 1）領導小組成員）領導小組成員 1 1）信息安全領導小組組長由組織主要領導擔任。）信息安全領導小組組長由組織主要領導擔任。 2 2）其他成員由計算機、通信、綜合信息、保衛(wèi)、保密、人事、監(jiān)察等）其他成員由計算機、通信、綜合信息、保衛(wèi)、保密、人事、監(jiān)察等有關方

18、面的負責人擔任。有關方面的負責人擔任。 信息安全領導小組是組織中信息安全工作最高領導決策機構，不隸屬信息安全領導小組是組織中信息安全工作最高領導決策機構，不隸屬任何部門，直接對組織最高領導層負責。領導小組是常設機構，有例會工任何部門，直接對組織最高領導層負責。領導小組是常設機構，有例會工作制度；領導小組負責本組織、本系統(tǒng)信息安全工作的宏觀領導。作制度；領導小組負責本組織、本系統(tǒng)信息安全工作的宏觀領導。1114.2 14.2 建立信息安全機構和隊伍建立信息安全機構和隊伍 14.2.1 14.2.1 信息安全管理機構信息安全管理機構( (續(xù)續(xù)) ) （2 2）領導小組職能）領導小組職能 1 1）制

19、定與信息安全有關的長遠規(guī)劃、建設，研究信息安全工作的資金）制定與信息安全有關的長遠規(guī)劃、建設，研究信息安全工作的資金投入、安全（技術、管理）策略、資源利用，處理信息安全的重大事故，投入、安全（技術、管理）策略、資源利用，處理信息安全的重大事故，決定信息安全的人事問題。決定信息安全的人事問題。 2 2）根據(jù)國家信息安全的法律、法規(guī)、制度和規(guī)范，結合本組織的實際，）根據(jù)國家信息安全的法律、法規(guī)、制度和規(guī)范，結合本組織的實際，批準本組織信息安全方面的規(guī)章制度、實施細則、安全目標崗位責任制。批準本組織信息安全方面的規(guī)章制度、實施細則、安全目標崗位責任制。 3 3）領導本組織信息系統(tǒng)的安全工作，并監(jiān)督整

20、個信息系統(tǒng)安全體系的）領導本組織信息系統(tǒng)的安全工作，并監(jiān)督整個信息系統(tǒng)安全體系的日常工作。安全負責人要接受本組織信息安全領導小組和信息安全領導小日常工作。安全負責人要接受本組織信息安全領導小組和信息安全領導小組辦公室的領導。組辦公室的領導。 4 4）領導本組織所屬的信息安全工作機構，定期召開信息安全工作會議，）領導本組織所屬的信息安全工作機構，定期召開信息安全工作會議，研究布置工作，解決重大問題。研究布置工作，解決重大問題。 5 5）定期向組織最高領導層匯報信息安全工作情況，取得最高層領導對）定期向組織最高領導層匯報信息安全工作情況，取得最高層領導對信息安全工作的支持。信息安全工作的支持。 6

21、 6）審核批準安全年報、安全教育計劃。）審核批準安全年報、安全教育計劃。 7 7）表彰信息安全工作先進者，處置違規(guī)行為。）表彰信息安全工作先進者，處置違規(guī)行為。 1214.2 14.2 建立信息安全機構和隊伍建立信息安全機構和隊伍 14.2.1 14.2.1 信息安全管理機構信息安全管理機構( (續(xù)續(xù)) ) （3 3）領導小組決策的主要內容）領導小組決策的主要內容 1 1）審核系統(tǒng)安全管理人員的各種安全報告，并做出相關的決定。）審核系統(tǒng)安全管理人員的各種安全報告，并做出相關的決定。 2 2）決定信息系統(tǒng)和信息的安全等級。）決定信息系統(tǒng)和信息的安全等級。 3 3）決定信息系統(tǒng)是否要采取安全措施。

22、）決定信息系統(tǒng)是否要采取安全措施。 4 4）作出新的信息安全風險評測，決定是否增加安全措施。）作出新的信息安全風險評測，決定是否增加安全措施。 5 5）決定所采用安全保護措施的投入資金量。）決定所采用安全保護措施的投入資金量。 6 6）批準系統(tǒng)安全管理人員草擬或修改的各種安全策略手冊。）批準系統(tǒng)安全管理人員草擬或修改的各種安全策略手冊。 7 7）審定并公布本組織信息安全規(guī)章制度。）審定并公布本組織信息安全規(guī)章制度。 8 8）仲裁本組織信息安全事故的責任。）仲裁本組織信息安全事故的責任。 9 9）決定系統(tǒng)安全管理人員的任免。）決定系統(tǒng)安全管理人員的任免。 1010）所形成的決定性意見，以信息安全

23、領導小組名義，用決策決定書）所形成的決定性意見，以信息安全領導小組名義，用決策決定書的形式公告。的形式公告。 1314.2 14.2 建立信息安全機構和隊伍建立信息安全機構和隊伍 14.2.1 14.2.1 信息安全管理機構信息安全管理機構( (續(xù)續(xù)) ) （4 4）領導小組決策的依據(jù)）領導小組決策的依據(jù) 1 1）系統(tǒng)信息安全管理員提供的報告。）系統(tǒng)信息安全管理員提供的報告。 2 2）信息安全現(xiàn)狀報告。）信息安全現(xiàn)狀報告。 3 3）安全新風險分析報告。）安全新風險分析報告。 4 4）本組織新增加的安全保密防范措施。）本組織新增加的安全保密防范措施。 5 5）組織信息安全事故初步分析報告。）組織

24、信息安全事故初步分析報告。 6 6）新增加安全措施的經(jīng)費報告。）新增加安全措施的經(jīng)費報告。 7 7）新增加安全措施的效益估計。）新增加安全措施的效益估計。 8 8）信息的安全現(xiàn)狀及對組織效益的影響。）信息的安全現(xiàn)狀及對組織效益的影響。1414.2 14.2 建立信息安全機構和隊伍建立信息安全機構和隊伍 14.2.1 14.2.1 信息安全管理機構信息安全管理機構( (續(xù)續(xù)) ) 2 2信息安全顧問委員會信息安全顧問委員會 組織信息安全顧問委員會以信息安全領導小組成員為核心，邀請本組織信息安全顧問委員會以信息安全領導小組成員為核心，邀請本組織或社會上信息安全、法律政策、行政（企業(yè)）管理、技術專家

25、、組組織或社會上信息安全、法律政策、行政（企業(yè)）管理、技術專家、組織策劃等有關方面專家學者參加，組成智囊團，對組織信息安全領導小織策劃等有關方面專家學者參加，組成智囊團，對組織信息安全領導小組負責。組負責。 委員會定期或不定期為信息安全管理提供最新的安全動態(tài)、面臨的風委員會定期或不定期為信息安全管理提供最新的安全動態(tài)、面臨的風險、技術，改進建議和應對措施，并為組織提供咨詢服務，組織信息安全險、技術，改進建議和應對措施，并為組織提供咨詢服務，組織信息安全顧問委員會是非常設機構，不一定需要例會制度。顧問委員會是非常設機構，不一定需要例會制度。 1514.2 14.2 建立信息安全機構和隊伍建立信息

26、安全機構和隊伍 14.2.1 14.2.1 信息安全管理機構信息安全管理機構( (續(xù)續(xù)) ) 3 3信息安全領導小組辦公室（信息中心）信息安全領導小組辦公室（信息中心） 信息安全領導小組辦公室（信息中心）是在信息安全領導小組直接信息安全領導小組辦公室（信息中心）是在信息安全領導小組直接領導下進行工作，為常設機構，有例會工作制度，負責處理本組織信息領導下進行工作，為常設機構，有例會工作制度，負責處理本組織信息安全管理的日常工作。安全管理的日常工作。 （1 1）辦公室組成人員）辦公室組成人員 1 1）信息安全領導小組辦公室主任負責組織、處理信息安全方面大量的）信息安全領導小組辦公室主任負責組織、處

27、理信息安全方面大量的日常工作，有些工作技術性比較強，因此需要懂技術的信息中心主要負責日常工作，有些工作技術性比較強，因此需要懂技術的信息中心主要負責人（人（CIOCIO）擔任，或由安全負責人擔任，但應有一名懂技術的信息中心領導擔任，或由安全負責人擔任，但應有一名懂技術的信息中心領導擔任副主任，負責技術管理工作。擔任副主任，負責技術管理工作。 2 2）其他人員由系統(tǒng)管理、系統(tǒng)分析、通信、軟件、硬件、保衛(wèi)、保密、）其他人員由系統(tǒng)管理、系統(tǒng)分析、通信、軟件、硬件、保衛(wèi)、保密、機要、監(jiān)察和人事等有關方面的工作人員組成。機要、監(jiān)察和人事等有關方面的工作人員組成。 1614.2 14.2 建立信息安全機構

28、和隊伍建立信息安全機構和隊伍 14.2.1 14.2.1 信息安全管理機構信息安全管理機構( (續(xù)續(xù)) ) 3 3信息安全領導小組辦公室（信息中心）信息安全領導小組辦公室（信息中心） （2 2）辦公室職能）辦公室職能 1 1）接受信息安全領導小組的直接領導）接受信息安全領導小組的直接領導; ;處理信息安全工作的日常工作。處理信息安全工作的日常工作。 2 2）制定本組織信息安全的工作制度、安全目標和各級工作人員的權限、）制定本組織信息安全的工作制度、安全目標和各級工作人員的權限、崗位職責。崗位職責。 3 3）定期向組織信息安全領導小組匯報工作，報告工作計劃。）定期向組織信息安全領導小組匯報工作，

29、報告工作計劃。 4 4）與國家有關信息安全工作的主管部門、技術部門建立日常工作聯(lián)系，）與國家有關信息安全工作的主管部門、技術部門建立日常工作聯(lián)系，及時報告重大事件，并協(xié)助有關部門做好處理工作。及時報告重大事件，并協(xié)助有關部門做好處理工作。 5 5）制定本系統(tǒng)安全操作規(guī)程制度。）制定本系統(tǒng)安全操作規(guī)程制度。 6 6）負責管理各類安全管理人員，定期或不定期組織安全教育或培訓。）負責管理各類安全管理人員，定期或不定期組織安全教育或培訓。 7 7）定期檢查各部門的安全工作，及時通報檢查結果和違章行為。）定期檢查各部門的安全工作，及時通報檢查結果和違章行為。 8 8）負責安全事故調查，起草安全事故報告，

30、提出處理意見。）負責安全事故調查，起草安全事故報告，提出處理意見。1714.2 14.2 建立信息安全機構和隊伍建立信息安全機構和隊伍 14.2.1 14.2.1 信息安全管理機構信息安全管理機構( (續(xù)續(xù)) ) 3 3信息安全領導小組辦公室（信息中心）信息安全領導小組辦公室（信息中心） 9 9）聽取所屬組織安全領導小組（負責人）的工作匯報，對報告中的重大）聽取所屬組織安全領導小組（負責人）的工作匯報，對報告中的重大問題及時報告組織安全領導小組。問題及時報告組織安全領導小組。 1010）對本級和本級所屬安全工作人員進行工作業(yè)績考核，并提出工作人）對本級和本級所屬安全工作人員進行工作業(yè)績考核，并

31、提出工作人員稱職、不稱職或表彰、處罰的意見。員稱職、不稱職或表彰、處罰的意見。 1111）起草年度信息安全工作報告和有關信息安全宣傳、教育、培訓計劃。）起草年度信息安全工作報告和有關信息安全宣傳、教育、培訓計劃。 1212）審閱控制臺操作記錄、系統(tǒng)日志、系統(tǒng)報警記錄、系統(tǒng)統(tǒng)計活動、）審閱控制臺操作記錄、系統(tǒng)日志、系統(tǒng)報警記錄、系統(tǒng)統(tǒng)計活動、警衛(wèi)報告、加班報表以及其他與安全有關的材料，發(fā)現(xiàn)問題及時作出補救決警衛(wèi)報告、加班報表以及其他與安全有關的材料，發(fā)現(xiàn)問題及時作出補救決定。定。 1313）管理、檢查、監(jiān)督、分析系統(tǒng)運行日志和系統(tǒng)監(jiān)督文檔，定期對系）管理、檢查、監(jiān)督、分析系統(tǒng)運行日志和系統(tǒng)監(jiān)督文

32、檔，定期對系統(tǒng)做出安全評價。統(tǒng)做出安全評價。 1414）制定、管理和定期分發(fā)系統(tǒng)及用戶的身份識別號碼、密鑰和口令。）制定、管理和定期分發(fā)系統(tǒng)及用戶的身份識別號碼、密鑰和口令。18 1515）根據(jù)國家和上級保密工作規(guī)定，審查系統(tǒng)操作人員對系統(tǒng)信息的使）根據(jù)國家和上級保密工作規(guī)定，審查系統(tǒng)操作人員對系統(tǒng)信息的使用，審查系統(tǒng)對外發(fā)表的信息，防止發(fā)生泄密。用，審查系統(tǒng)對外發(fā)表的信息，防止發(fā)生泄密。 1616）采取切實可行的措施，防止系統(tǒng)操作人員對系統(tǒng)信息泄露和破壞、）采取切實可行的措施，防止系統(tǒng)操作人員對系統(tǒng)信息泄露和破壞、篡改數(shù)據(jù)、防止未經(jīng)許可越權使用系統(tǒng)資源。篡改數(shù)據(jù)、防止未經(jīng)許可越權使用系統(tǒng)資源

33、。 1717）建立必要的系統(tǒng)訪問批準制度，監(jiān)督、管理系統(tǒng)外維修人員對系統(tǒng)）建立必要的系統(tǒng)訪問批準制度，監(jiān)督、管理系統(tǒng)外維修人員對系統(tǒng)設備的檢修及維護。設備的檢修及維護。 1818）采取切實可行的措施，防止計算機設備的損壞、改換和盜用。）采取切實可行的措施，防止計算機設備的損壞、改換和盜用。 1919）定期做信息系統(tǒng)的漏洞檢查，向本組織安全領導小組提供信息安全）定期做信息系統(tǒng)的漏洞檢查，向本組織安全領導小組提供信息安全管理系統(tǒng)的風險分析報告，提出相應的對策和實施計劃。管理系統(tǒng)的風險分析報告，提出相應的對策和實施計劃。 2020）負責存取系統(tǒng)和修改系統(tǒng)授權以及系統(tǒng)特權口令。）負責存取系統(tǒng)和修改系統(tǒng)

34、授權以及系統(tǒng)特權口令。 14.2 14.2 建立信息安全機構和隊伍建立信息安全機構和隊伍 14.2.1 14.2.1 信息安全管理機構信息安全管理機構( (續(xù)續(xù)) ) 3 3信息安全領導小組辦公室（信息中心）信息安全領導小組辦公室（信息中心） 19 組織信息安全工作隊伍主要包括信息安全員、系統(tǒng)安全員、網(wǎng)絡安全員、組織信息安全工作隊伍主要包括信息安全員、系統(tǒng)安全員、網(wǎng)絡安全員、設備安全員、數(shù)據(jù)庫安全員、數(shù)據(jù)安全員、防病毒安全員。設備安全員、數(shù)據(jù)庫安全員、數(shù)據(jù)安全員、防病毒安全員。 14.2 14.2 建立信息安全機構和隊伍建立信息安全機構和隊伍 14.2.2 14.2.2 信息安全隊伍信息安全隊

35、伍 1 1信息安全工作人員的條件信息安全工作人員的條件 由于各類信息安全工作人員的工作崗位處于信息系統(tǒng)的核心敏感部位，由于各類信息安全工作人員的工作崗位處于信息系統(tǒng)的核心敏感部位，因此要有比較高的政治素質和業(yè)務水平，這些人員應具備以下條件。因此要有比較高的政治素質和業(yè)務水平，這些人員應具備以下條件。 1 1）政治可靠，對組織忠誠。）政治可靠，對組織忠誠。 2 2）工作認真負責，有敬業(yè)精神。）工作認真負責，有敬業(yè)精神。 3 3）處理問題公正嚴明，不拘私情。）處理問題公正嚴明，不拘私情。 4 4）熟悉業(yè)務，具有一定的實踐經(jīng)驗。）熟悉業(yè)務，具有一定的實踐經(jīng)驗。 5 5）從事網(wǎng)絡系統(tǒng)操作或管理的工作人

36、員應是具備一定實踐經(jīng)驗的網(wǎng)絡工）從事網(wǎng)絡系統(tǒng)操作或管理的工作人員應是具備一定實踐經(jīng)驗的網(wǎng)絡工程師。程師。 2014.2 14.2 建立信息安全機構和隊伍建立信息安全機構和隊伍 14.2.2 14.2.2 信息安全隊伍信息安全隊伍( (續(xù)續(xù)) ) 2 2信息安全工作人員的管理原則信息安全工作人員的管理原則 1 1）人員審查原則）人員審查原則 2 2）簽訂保密協(xié)定原則）簽訂保密協(xié)定原則 3 3）持證上崗原則）持證上崗原則 4 4）人員培訓原則）人員培訓原則 5 5）人員考核原則）人員考核原則 6 6）權力分散原則）權力分散原則 7 7）人員離崗原則）人員離崗原則 2114.2 14.2 建立信息安

37、全機構和隊伍建立信息安全機構和隊伍 14.2.2 14.2.2 信息安全隊伍信息安全隊伍( (續(xù)續(xù)) ) 3 3信息安全工作人員的崗位職責信息安全工作人員的崗位職責 （1 1）信息安全員的職責）信息安全員的職責 信息安全員主要負責信息網(wǎng)絡系統(tǒng)的信息安全和保密信息的管理。其主信息安全員主要負責信息網(wǎng)絡系統(tǒng)的信息安全和保密信息的管理。其主要職責是：要職責是： 1 1）負責涉密信息網(wǎng)信息安全，監(jiān)督檢查涉密信息的報送、接受和傳輸）負責涉密信息網(wǎng)信息安全，監(jiān)督檢查涉密信息的報送、接受和傳輸?shù)陌踩浴５陌踩浴?2 2）負責監(jiān)督檢查信息網(wǎng)對外發(fā)布的信息）負責監(jiān)督檢查信息網(wǎng)對外發(fā)布的信息; ;保證符合安全保

38、密規(guī)定。保證符合安全保密規(guī)定。 3 3）負責監(jiān)督檢查各部門的涉密信息的安全保密措施，防止泄密事件的）負責監(jiān)督檢查各部門的涉密信息的安全保密措施，防止泄密事件的發(fā)生。發(fā)生。 4 4）負責監(jiān)督檢查信息網(wǎng)對國際互聯(lián)網(wǎng)上國家禁止的網(wǎng)站的非法訪問及）負責監(jiān)督檢查信息網(wǎng)對國際互聯(lián)網(wǎng)上國家禁止的網(wǎng)站的非法訪問及有害信息的侵入。有害信息的侵入。 5 5）負責協(xié)助有關部門對網(wǎng)絡泄密事件進行調查與技術分析。）負責協(xié)助有關部門對網(wǎng)絡泄密事件進行調查與技術分析。 2214.2 14.2 建立信息安全機構和隊伍建立信息安全機構和隊伍 14.2.2 14.2.2 信息安全隊伍信息安全隊伍( (續(xù)續(xù)) ) 3 3信息安全工

39、作人員的崗位職責信息安全工作人員的崗位職責 （2 2）系統(tǒng)安全員的職責）系統(tǒng)安全員的職責 系統(tǒng)安全員主要負責信息網(wǎng)絡操作系統(tǒng)及服務器操作系統(tǒng)的安全及管理。系統(tǒng)安全員主要負責信息網(wǎng)絡操作系統(tǒng)及服務器操作系統(tǒng)的安全及管理。其主要職責是：其主要職責是： 1 1）負責信息網(wǎng)絡操作系統(tǒng)和服務器操作系統(tǒng)的安裝、運行和維護、管）負責信息網(wǎng)絡操作系統(tǒng)和服務器操作系統(tǒng)的安裝、運行和維護、管理，保障系統(tǒng)的安全穩(wěn)定地運行。理，保障系統(tǒng)的安全穩(wěn)定地運行。 2 2）負責對用戶的身份進行驗證，防止非法用戶進入系統(tǒng)。）負責對用戶的身份進行驗證，防止非法用戶進入系統(tǒng)。 3 3）負責用戶的口令管理，建立口令管理規(guī)程和檢驗創(chuàng)建賬

40、戶機制，避）負責用戶的口令管理，建立口令管理規(guī)程和檢驗創(chuàng)建賬戶機制，避免口令泄露。免口令泄露。 4 4）負責實時監(jiān)控系統(tǒng)，發(fā)現(xiàn)異常及時采取措施，恢復系統(tǒng)正常狀態(tài)。）負責實時監(jiān)控系統(tǒng)，發(fā)現(xiàn)異常及時采取措施，恢復系統(tǒng)正常狀態(tài)。 5 5）負責對系統(tǒng)各種硬軟件資源的合理分配和科學使用，避免造成系統(tǒng)）負責對系統(tǒng)各種硬軟件資源的合理分配和科學使用，避免造成系統(tǒng)資源的浪費。資源的浪費。 2314.2 14.2 建立信息安全機構和隊伍建立信息安全機構和隊伍 14.2.2 14.2.2 信息安全隊伍信息安全隊伍( (續(xù)續(xù)) ) 3 3信息安全工作人員的崗位職責信息安全工作人員的崗位職責 （3 3）網(wǎng)絡安全員的職

41、責）網(wǎng)絡安全員的職責 網(wǎng)絡安全員主要負責信息網(wǎng)絡系統(tǒng)的安全保密工作。其主要職責是：網(wǎng)絡安全員主要負責信息網(wǎng)絡系統(tǒng)的安全保密工作。其主要職責是： 1 1）負責信息網(wǎng)絡系統(tǒng)及其網(wǎng)絡安全保密系統(tǒng)的運行與維護，發(fā)現(xiàn)故障）負責信息網(wǎng)絡系統(tǒng)及其網(wǎng)絡安全保密系統(tǒng)的運行與維護，發(fā)現(xiàn)故障及時排除，保障系統(tǒng)安全可靠地運行。及時排除，保障系統(tǒng)安全可靠地運行。 2 2）負責配置和管理訪問控制表，根據(jù)安全需求為各用戶配置相應的訪）負責配置和管理訪問控制表，根據(jù)安全需求為各用戶配置相應的訪問權限。問權限。 3 3）負責網(wǎng)絡審計系統(tǒng)的管理和維護，認真記錄、檢查和保管審計日志。）負責網(wǎng)絡審計系統(tǒng)的管理和維護，認真記錄、檢查和

42、保管審計日志。 4 4）負責檢查系統(tǒng)的安全漏洞和隱患，發(fā)現(xiàn)安全隱患及時進行修復或提）負責檢查系統(tǒng)的安全漏洞和隱患，發(fā)現(xiàn)安全隱患及時進行修復或提出改進意見。出改進意見。 5 5）負責實時對系統(tǒng)進行非法入侵檢測，防止和阻止）負責實時對系統(tǒng)進行非法入侵檢測，防止和阻止“黑客黑客”入侵。入侵。 2414.2 14.2 建立信息安全機構和隊伍建立信息安全機構和隊伍 14.2.2 14.2.2 信息安全隊伍信息安全隊伍( (續(xù)續(xù)) ) 3 3信息安全工作人員的崗位職責信息安全工作人員的崗位職責 （4 4）設備安全員的職責）設備安全員的職責 設備安全員負責對專用計算機安全保密設備設備安全員負責對專用計算機安

43、全保密設備( (防火墻、加密機、干擾防火墻、加密機、干擾儀等儀等) )的管理、使用和維護。其主要職責是：的管理、使用和維護。其主要職責是： 1 1）負責設備的領用和保管，做好設備的領用、進出庫、報廢登記。）負責設備的領用和保管，做好設備的領用、進出庫、報廢登記。 2 2）負責設備的正確使用和安奎運行，并建立詳細的運行日志。）負責設備的正確使用和安奎運行，并建立詳細的運行日志。 3 3）負責設備的清潔和定期的保養(yǎng)維護，并做好維護記錄。）負責設備的清潔和定期的保養(yǎng)維護，并做好維護記錄。 4 4）負責設備的維修，制定設備維修計劃，做好設備維修記錄。）負責設備的維修，制定設備維修計劃，做好設備維修記錄

44、。 5 5）負責對安全保密設備密鑰的管理與注入。）負責對安全保密設備密鑰的管理與注入。 2514.2 14.2 建立信息安全機構和隊伍建立信息安全機構和隊伍 14.2.2 14.2.2 信息安全隊伍信息安全隊伍( (續(xù)續(xù)) ) 3 3信息安全工作人員的崗位職責信息安全工作人員的崗位職責 （5 5）數(shù)據(jù)庫安全員的職責）數(shù)據(jù)庫安全員的職責 數(shù)據(jù)庫安全員負責數(shù)據(jù)庫管理系統(tǒng)的安全及維護管理工作。其主要職數(shù)據(jù)庫安全員負責數(shù)據(jù)庫管理系統(tǒng)的安全及維護管理工作。其主要職責是：責是： 1 1）負責數(shù)據(jù)庫管理系統(tǒng)的安裝、備份和維護，保證系統(tǒng)安全、正常運）負責數(shù)據(jù)庫管理系統(tǒng)的安裝、備份和維護，保證系統(tǒng)安全、正常運行

45、。行。 2 2）負責定期檢查系統(tǒng)運行情況，檢測并優(yōu)化系統(tǒng)性能。）負責定期檢查系統(tǒng)運行情況，檢測并優(yōu)化系統(tǒng)性能。 3 3）負責檢查數(shù)據(jù)庫系統(tǒng)的用戶權限，防止非法用戶的侵入和越權訪問。）負責檢查數(shù)據(jù)庫系統(tǒng)的用戶權限，防止非法用戶的侵入和越權訪問。 4 4）負責定期檢查數(shù)據(jù)庫數(shù)據(jù)的完整性和可用性，發(fā)現(xiàn)系統(tǒng)故障及時排）負責定期檢查數(shù)據(jù)庫數(shù)據(jù)的完整性和可用性，發(fā)現(xiàn)系統(tǒng)故障及時排除，做好系統(tǒng)恢復。除，做好系統(tǒng)恢復。 2614.2 14.2 建立信息安全機構和隊伍建立信息安全機構和隊伍 14.2.2 14.2.2 信息安全隊伍信息安全隊伍( (續(xù)續(xù)) ) 3 3信息安全工作人員的崗位職責信息安全工作人員的崗

46、位職責 （6 6）數(shù)據(jù)安全員的職責）數(shù)據(jù)安全員的職責 數(shù)據(jù)安全員負責信息網(wǎng)絡中運行數(shù)據(jù)的安全。其主要職責是：數(shù)據(jù)安全員負責信息網(wǎng)絡中運行數(shù)據(jù)的安全。其主要職責是： 1 1）負責信息網(wǎng)絡數(shù)據(jù)的安全，保障信息的保密性、完整性和可用性。）負責信息網(wǎng)絡數(shù)據(jù)的安全，保障信息的保密性、完整性和可用性。 2 2）負責對信息網(wǎng)絡數(shù)據(jù)備份與災難恢復系統(tǒng)的維護與管理，實時對重）負責對信息網(wǎng)絡數(shù)據(jù)備份與災難恢復系統(tǒng)的維護與管理，實時對重要數(shù)據(jù)進行安全備份。要數(shù)據(jù)進行安全備份。 3 3）負責對信息采集、傳輸及存儲的技術手段和工作環(huán)境以及介質管理）負責對信息采集、傳輸及存儲的技術手段和工作環(huán)境以及介質管理各環(huán)節(jié)的監(jiān)督檢

47、查，發(fā)現(xiàn)問題和漏洞及時解決。各環(huán)節(jié)的監(jiān)督檢查，發(fā)現(xiàn)問題和漏洞及時解決。 4 4）負責定期對重要數(shù)據(jù)存儲備份介質的檢查，防止數(shù)據(jù)的丟失或被破）負責定期對重要數(shù)據(jù)存儲備份介質的檢查，防止數(shù)據(jù)的丟失或被破壞。壞。 2714.2 14.2 建立信息安全機構和隊伍建立信息安全機構和隊伍 14.2.2 14.2.2 信息安全隊伍信息安全隊伍( (續(xù)續(xù)) ) 3 3信息安全工作人員的崗位職責信息安全工作人員的崗位職責 （7 7）防病毒安全員的職責）防病毒安全員的職責 防病毒安全員負責信息網(wǎng)絡系統(tǒng)的計算機病毒的防護工作。其主要職防病毒安全員負責信息網(wǎng)絡系統(tǒng)的計算機病毒的防護工作。其主要職責是：責是： 1 1）

48、負責計算機防病毒軟件的購置、保管、發(fā)放、升級和安裝。）負責計算機防病毒軟件的購置、保管、發(fā)放、升級和安裝。 2 2）負責信息網(wǎng)絡系統(tǒng)的計算機病毒的防護，在病毒發(fā)作日前及時發(fā)布）負責信息網(wǎng)絡系統(tǒng)的計算機病毒的防護，在病毒發(fā)作日前及時發(fā)布公告，并采取必要的預防措施。公告，并采取必要的預防措施。 3 3）負責定期對信息網(wǎng)絡系統(tǒng)進行病毒檢測，發(fā)現(xiàn)系統(tǒng)被計算機病毒感）負責定期對信息網(wǎng)絡系統(tǒng)進行病毒檢測，發(fā)現(xiàn)系統(tǒng)被計算機病毒感染，及時組織清除病毒。染，及時組織清除病毒。 4 4）負責計算機病毒防護知識的宣傳教育工作。）負責計算機病毒防護知識的宣傳教育工作。 2814.3 14.3 制定信息安全管理制度制定

49、信息安全管理制度 信息安全已不只是人們傳統(tǒng)意義上的添加防火墻或路由器信息安全已不只是人們傳統(tǒng)意義上的添加防火墻或路由器等簡單的設備就可保證的安全，而是成為一種系統(tǒng)和全局的安等簡單的設備就可保證的安全，而是成為一種系統(tǒng)和全局的安全。全。 信息安全管理制度是保證信息安全的基礎，需要通過一系信息安全管理制度是保證信息安全的基礎，需要通過一系列規(guī)章制度的實施，來確保各類人員按照規(guī)定的職責行事，做列規(guī)章制度的實施，來確保各類人員按照規(guī)定的職責行事，做到各行其職、各負其責，避免責任事故的發(fā)生和防止惡意侵犯。到各行其職、各負其責，避免責任事故的發(fā)生和防止惡意侵犯。 常見的信息安全管理制度主要包括：人員安全管

50、理制度、常見的信息安全管理制度主要包括：人員安全管理制度、設備安全管理制度、運行安全管理制度、安全操作管理制度、設備安全管理制度、運行安全管理制度、安全操作管理制度、應急維護制度、安全等級保護制度；有害數(shù)據(jù)及計算機病毒防應急維護制度、安全等級保護制度；有害數(shù)據(jù)及計算機病毒防范管理制度；敏感數(shù)據(jù)保護制度、安全技術保障制度、安全計范管理制度；敏感數(shù)據(jù)保護制度、安全技術保障制度、安全計劃管理制度等。劃管理制度等。 2914.3 14.3 制定信息安全管理制度制定信息安全管理制度14.3.1 14.3.1 制定信息安全管理制度的原則制定信息安全管理制度的原則 制定信息安全管理制度應遵循統(tǒng)一的安全管理原

51、則如下：制定信息安全管理制度應遵循統(tǒng)一的安全管理原則如下： 1 1）規(guī)范化原則）規(guī)范化原則 2 2）系統(tǒng)化原則）系統(tǒng)化原則 3 3）綜合保障原則）綜合保障原則 4 4）以人為本原則）以人為本原則 5 5）首長負責原則）首長負責原則 6 6）預防原則）預防原則 7 7）風險評估原則）風險評估原則 8 8）動態(tài)原則）動態(tài)原則 9 9）成本效益原則）成本效益原則 1010）均衡防護原則）均衡防護原則3014.3 14.3 制定信息安全管理制度制定信息安全管理制度14.3.2 14.3.2 信息安全管理標準信息安全管理標準ISOISOIEC l7799 IEC l7799 信息安全管理的原則之一就是規(guī)

52、范化、系統(tǒng)化，如何在信息安全管理信息安全管理的原則之一就是規(guī)范化、系統(tǒng)化，如何在信息安全管理實踐中落實這一原則，需要相應的信息安全管理標準。實踐中落實這一原則，需要相應的信息安全管理標準。 BS7799BS7799標準是英國標準協(xié)會（標準是英國標準協(xié)會（BSIBSI）制定的國際上具有代表性的信息制定的國際上具有代表性的信息安全管理體系標準。該標準包括兩個部分：安全管理體系標準。該標準包括兩個部分：信息安全管理實施細則信息安全管理實施細則（BS7799 1BS7799 1：19991999）和和信息安全管理體系規(guī)范信息安全管理體系規(guī)范（BS7799 2BS7799 2：19991999）。）。

53、其中，其中，BS7799BS7799- -1 1標準目前已正式轉換成標準目前已正式轉換成ISOISO國際標準，即國際標準，即信息安全信息安全管理體系實施指南管理體系實施指南（IS0 17799IS0 17799），），并于并于20002000年年1212月月1 1日頒布。它所闡述日頒布。它所闡述的主題是安全策略和優(yōu)秀的、具有普遍意義的安全操作。的主題是安全策略和優(yōu)秀的、具有普遍意義的安全操作。 標準主要討論了如下的主題：建立機構的安全策略、機構的安全基礎標準主要討論了如下的主題：建立機構的安全策略、機構的安全基礎設施、資產分類和控制、人員安全、物理與環(huán)境安全、通訊與操作管理、設施、資產分類和控制