16 信息安全管理课件.pptx

《16 信息安全管理课件.pptx》由会员分享，可在线阅读，更多相关《16 信息安全管理课件.pptx（35页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 信息安全管理信息安全管理 本章学习目标：本章学习目标：理解策略的含理解策略的含义义掌握策略制定的原掌握策略制定的原则则、内容和、内容和编编写方法写方法熟悉信息安全管理机构的构成熟悉信息安全管理机构的构成了解制定信息安全管理制度的原了解制定信息安全管理制度的原则则了解基本的信息安全法律法了解基本的信息安全法律法规规214.1 14.1 制定信息安全管理策略制定信息安全管理策略 信息安全管理策略也称信息安全方信息安全管理策略也称信息安全方针针，是，是组织对组织对信息和信信息和信息息处处理理设设施施进进行管理、保行管理、保护护和分配的准和分配的准则则和和规规划，以及使信息划，以及使信息系系统统免遭

2、入侵和破坏而必免遭入侵和破坏而必须须采取的措施。采取的措施。它告它告诉组织诉组织成成员员在日在日常的工作中什么是必常的工作中什么是必须须做的，什么是可以做的，什么是不可以做的，什么是可以做的，什么是不可以做的；哪里是安全区，哪里是敏感区，就像交通做的；哪里是安全区，哪里是敏感区，就像交通规则规则之于之于车辆车辆和行人，信息安全策略是有关信息安全方面的行和行人，信息安全策略是有关信息安全方面的行为规为规范。一个范。一个成功的安全策略成功的安全策略应应当遵循：当遵循：1 1）综综合平衡合平衡(综综合考合考虑虑需求、需求、风险风险、代价等、代价等诸诸多因素多因素)。2 2）整体）整体优优化化(利用系

3、利用系统统工程思想，使系工程思想，使系统总统总体性能最体性能最优优)。3 3）易于操作和确保可靠。）易于操作和确保可靠。14.1.1 14.1.1 信息安全管理策略概述信息安全管理策略概述 314.1 14.1 制定信息安全管理策略制定信息安全管理策略 在制定信息安全管理策略在制定信息安全管理策略时时，要，要严严格遵守以下主要原格遵守以下主要原则则。1 1）目目的的性性。策策略略是是为为组组织织完完成成自自己己的的信信息息安安全全使使命命而而制制定定的的，策策略略应应该该反映反映组织组织的整体利益和可持的整体利益和可持续发续发展的要求。展的要求。2 2）适用性）适用性。策略。策略应该应该反映反

4、映组织组织的真的真实环实环境境和和信息安全的信息安全的发发展水平。展水平。3 3）可可行行性性。策策略略应应该该具具有有切切实实可可行行性性，其其目目标标应应该该可可以以实实现现，并并容容易易测测量和量和审审核。没有可行性的策略不核。没有可行性的策略不仅仅浪浪费时间还费时间还会引起政策混乱。会引起政策混乱。4 4）经济经济性性。策略。策略应该经济应该经济合理，合理，过过分复分复杂杂和草率都是不可取的。和草率都是不可取的。5 5）完整性）完整性。能。能够够反映反映组织组织的所有的所有业务业务流程的安全需要。流程的安全需要。6 6）一一致致性性。策策略略的的一一致致性性包包括括下下面面三三个个层层

5、次次：和和国国家家、地地方方的的法法律律法法规规保保持持一一致致；和和组组织织己己有有的的策策略略、方方针针保保持持一一致致；整整体体安安全全策策略略保保持一致，要反映企持一致，要反映企业对业对信息安全的一般看法。信息安全的一般看法。7 7）弹弹性性。策略不。策略不仅仅要要满满足当前的足当前的组织组织要求，要求，还还要要满满足足组织组织和和环环境在未境在未来一段来一段时间时间内内发发展的要求。展的要求。14.1.2 14.1.2 制定策略的原制定策略的原则则 414.1 14.1 制定信息安全管理策略制定信息安全管理策略 理理论论上，一个完整的策略体系上，一个完整的策略体系应该应该保障保障组织

6、组织信息的机密性、信息的机密性、可用性和完整性。信息安全策略可用性和完整性。信息安全策略应应包含下列一些内容包含下列一些内容：1 1）适用范）适用范围围。包括人包括人员员范范围围和和时时效性，例如效性，例如“本本规规定适用于所有定适用于所有员员工工”，“适用于工作适用于工作时间时间和非工作和非工作时间时间”。不。不仅仅要消除本要消除本该该受到受到约约束的束的员员工有工有认认为为自己是个例外的想法，也保自己是个例外的想法，也保证证策略不至于被策略不至于被误误解是解是针对针对某个某个员员工的；同工的；同时时也告也告诉员诉员工本工本规规定在什么定在什么时间发挥时间发挥效力。效力。2 2）目目标标。例

7、例如如，“为为确确保保企企业业的的经经营营、技技术术等等机机密密信信息息不不泄泄漏漏，维维护护企企业业的的经经济济利利益益，根根据据国国家家有有关关法法律律，结结合合企企业业实实际际，特特制制定定本本条条例例。”明明确确了了信信息息安安全全保保护护对对公公司司是是有有着着重重要要意意义义的的，而而且且与与国国家家的的法法律律法法规规是是一一致致的的。主主题题明明确确的的策策略略可可能能会会有有更更加加确确切切、详详细细的的目目标标，如如防防病病毒毒策策略略的的目目标标可可以以是是：“为为了了正正确确执执行行对对计计算算机机病病毒毒（蠕蠕虫虫、特特洛洛伊伊木木马马、黑黑客客恶恶意意程程序）的序）

8、的预预防、防、侦测侦测和清除和清除过过程，特制定本策略程，特制定本策略”。14.1.3 14.1.3 策略的主要内容策略的主要内容 5 3 3）策略主）策略主题题。通常一个。通常一个组织组织可能会考可能会考虑虑开开发发下列主下列主题题的信息安全管理的信息安全管理策略：策略：设备设备和及其和及其环环境的安全。境的安全。信息的分信息的分级级和人和人员责员责任。任。安全事故安全事故的的报报告与响告与响应应。第三方第三方访问访问的安全性。的安全性。外外围处围处理系理系统统的安全。的安全。计计算算机和网机和网络络的的访问访问控制和控制和审审核。核。远远程工作的安全。程工作的安全。加密技加密技术术控制。控

9、制。备备份、灾份、灾难难恢复和可持恢复和可持续发续发展的要求。展的要求。4 4）策略）策略签签署。信息安全管理策略是署。信息安全管理策略是强强制性的、制性的、惩罚惩罚性的，策略的性的，策略的执执行行需要来自管理需要来自管理层层的支持，通常是信息安全主管或的支持，通常是信息安全主管或总经总经理理签签署信息安全管理署信息安全管理策略。策略。签签署人的管理地位不能太低；否署人的管理地位不能太低；否则则会有会有执执行的行的难难度，如果遭到某高度，如果遭到某高层层主管的抵制常会主管的抵制常会导导致策略失致策略失败败，高，高层层主管的主管的签签署也表明信息安全不署也表明信息安全不单单单单是信息安全部是信息

10、安全部门门的事情，的事情，还还是和整个是和整个组织组织所有成所有成员员都是密切相关的。都是密切相关的。5 5）策略的生效）策略的生效时间时间和有效期。旧策略的更新和和有效期。旧策略的更新和过时过时策略的策略的废废除也是很除也是很重要的，重要的，应该应该保持生效的策略中包含新的安全要求。保持生效的策略中包含新的安全要求。14.1 14.1 制定信息安全管理策略制定信息安全管理策略 14.1.3 14.1.3 策略的主要内容策略的主要内容(续续)6 6 6）重新）重新评审评审策略的策略的时时机机。策略除了常。策略除了常规规的的评审时评审时机，在下列情况下也机，在下列情况下也需要重新需要重新评审评审

11、：企企业业管理体系管理体系发发生很大生很大变变化。化。相关的法律法相关的法律法规发规发生了生了变变化。化。企企业业信息系信息系统统或者信息技或者信息技术发术发生了大的生了大的变变化。化。企企业发业发生了重大生了重大的信息安全事故。的信息安全事故。7 7）与其他相关策略的引用关系）与其他相关策略的引用关系。因。因为为多种策略可能相互关多种策略可能相互关联联，引用关，引用关系可以描述策略的系可以描述策略的层层次次结结构，而且在策略修改构，而且在策略修改时时候也候也经经常涉及其他相关策常涉及其他相关策略的略的调调整，清楚的引用关系可以整，清楚的引用关系可以节节省省查查找的找的时间时间。8 8）策略解

12、）策略解释释。由于工作。由于工作环环境、知境、知识识背景等原因的不同，可能背景等原因的不同，可能导导致致员员工工在理解策略在理解策略时时出出现误现误解、歧解、歧义义的情况。因此，的情况。因此，应应建立一个建立一个专门专门的的权权威的解威的解释释机构或指定机构或指定专门专门的解的解释释人人员员来来进进行策略的解行策略的解释释。9 9）例外情况的）例外情况的处处理理。策略不可能做到面面俱到，在策略中。策略不可能做到面面俱到，在策略中应应提供特殊提供特殊情况下的安全通道。情况下的安全通道。14.1 14.1 制定信息安全管理策略制定信息安全管理策略 14.1.3 14.1.3 策略的主要内容策略的主

13、要内容(续续)714.1 14.1 制定信息安全管理策略制定信息安全管理策略 14.1.4 14.1.4 信息安全管理策略案例信息安全管理策略案例 814.2 14.2 建立信息安全机构和建立信息安全机构和队队伍伍 为为了保了保护护国家信息的安全，国家信息的安全，维护维护国家的利益，各国政府均国家的利益，各国政府均指定了政府有关机构主管信息安全工作。指定了政府有关机构主管信息安全工作。我国成立了国家信息化我国成立了国家信息化领导领导小小组组，由国，由国务务院院领导亲领导亲自任自任组组长长，中央国家机关有关部委的，中央国家机关有关部委的领导领导参加小参加小组组的工作。国家信息的工作。国家信息化化

14、领导领导小小组为组为了了强强化化对对信息化工作的信息化工作的领导领导，对对信息信息产业产业部、公部、公安部、安全部、国家保密局等部安部、安全部、国家保密局等部门门在信息安全管理方面在信息安全管理方面进进行了行了职职能分工，明确了各自的能分工，明确了各自的责责任，任，对对于保障我国信息化工作的正于保障我国信息化工作的正常常发发展，保展，保护护信息安全起到了重要的作用。信息安全起到了重要的作用。914.2 14.2 建立信息安全机构和建立信息安全机构和队队伍伍 14.2.1 14.2.1 信息安全管理机构信息安全管理机构 一一个个组组织织的的信信息息安安全全对对本本企企业业也也是是非非常常重重要要

15、的的，因因此此，对对信信息息的的安安全全管管理是不容忽理是不容忽视视的的问题问题，必，必须须要引起要引起组织组织最高最高领导层领导层的充分重的充分重视视。信息安全的管理信息安全的管理层级层级一般分三个一般分三个层层次，每一次，每一层级层级都都应应有明确的有明确的责责任制。任制。1 1）决策机构）决策机构。负责负责宏宏观观管理。管理。2 2）管理机构）管理机构。负责负责日常日常协调协调、管理工作。、管理工作。3 3）配配备备各各类类安安全全管管理理、技技术术人人员员。负负责责落落实实规规章章制制度度、技技术术规规范范，处处理技理技术术方面的方面的问题问题。凡凡对对信信息息安安全全有有需需求求的的

16、组组织织，必必须须成成立立相相应应的的安安全全机机构构、配配备备必必要要的的管管理理人人员员和和技技术术人人员员、制制定定规规章章制制度度、配配备备安安全全设设备备、从从而而保保障障信信息息安安全全管管理理工作的正常开展。工作的正常开展。安全安全组织组织机构机构对对信息系信息系统统的安全管理工作是垂直的，网的安全管理工作是垂直的，网络络延伸到哪里，延伸到哪里，信息安全管理工作就要管到哪里，下一信息安全管理工作就要管到哪里，下一级级信息安全信息安全组织组织机构必机构必须须无条件地接无条件地接受上一受上一级级安全安全组织组织机构的机构的领导领导。1014.2 14.2 建立信息安全机构和建立信息安

17、全机构和队队伍伍 14.2.1 14.2.1 信息安全管理机构信息安全管理机构(续续)1 1信息安全信息安全领导领导小小组组 （1 1）领导领导小小组组成成员员 1 1）信息安全）信息安全领导领导小小组组长组组长由由组织组织主要主要领导领导担任。担任。2 2）其他成）其他成员员由由计计算机、通信、算机、通信、综综合信息、保合信息、保卫卫、保密、人事、保密、人事、监监察等察等有关方面的有关方面的负责负责人担任。人担任。信息安全信息安全领导领导小小组组是是组织组织中信息安全工作最高中信息安全工作最高领导领导决策机构，不隶属任决策机构，不隶属任何部何部门门，直接，直接对组织对组织最高最高领导层负责领

18、导层负责。领导领导小小组组是常是常设设机构，有例会工作制机构，有例会工作制度；度；领导领导小小组负责组负责本本组织组织、本系、本系统统信息安全工作的宏信息安全工作的宏观领导观领导。1114.2 14.2 建立信息安全机构和建立信息安全机构和队队伍伍 14.2.1 14.2.1 信息安全管理机构信息安全管理机构(续续)（2 2）领导领导小小组职组职能能 1 1）制制定定与与信信息息安安全全有有关关的的长长远远规规划划、建建设设，研研究究信信息息安安全全工工作作的的资资金金投投入入、安安全全（技技术术、管管理理）策策略略、资资源源利利用用，处处理理信信息息安安全全的的重重大大事事故故，决决定信息安

19、全的人事定信息安全的人事问题问题。2 2）根根据据国国家家信信息息安安全全的的法法律律、法法规规、制制度度和和规规范范，结结合合本本组组织织的的实实际际，批准本批准本组织组织信息安全方面的信息安全方面的规规章制度、章制度、实实施施细则细则、安全目、安全目标岗标岗位位责责任制。任制。3 3）领领导导本本组组织织信信息息系系统统的的安安全全工工作作，并并监监督督整整个个信信息息系系统统安安全全体体系系的的日日常常工工作作。安安全全负负责责人人要要接接受受本本组组织织信信息息安安全全领领导导小小组组和和信信息息安安全全领领导导小小组组办办公室的公室的领导领导。4 4）领领导导本本组组织织所所属属的的

20、信信息息安安全全工工作作机机构构，定定期期召召开开信信息息安安全全工工作作会会议议，研究布置工作，解决重大研究布置工作，解决重大问题问题。5 5）定定期期向向组组织织最最高高领领导导层层汇汇报报信信息息安安全全工工作作情情况况，取取得得最最高高层层领领导导对对信息安全工作的支持。信息安全工作的支持。6 6）审审核批准安全年核批准安全年报报、安全教育、安全教育计计划。划。7 7）表彰信息安全工作先）表彰信息安全工作先进进者，者，处处置置违规违规行行为为。1214.2 14.2 建立信息安全机构和建立信息安全机构和队队伍伍 14.2.1 14.2.1 信息安全管理机构信息安全管理机构(续续)（3

21、3）领导领导小小组组决策的主要内容决策的主要内容 1 1）审审核系核系统统安全管理人安全管理人员员的各种安全的各种安全报报告，并做出相关的决定。告，并做出相关的决定。2 2）决定信息系）决定信息系统统和信息的安全等和信息的安全等级级。3 3）决定信息系）决定信息系统统是否要采取安全措施。是否要采取安全措施。4 4）作出新的信息安全）作出新的信息安全风险评测风险评测，决定是否增加安全措施。，决定是否增加安全措施。5 5）决定所采用安全保）决定所采用安全保护护措施的投入措施的投入资资金量。金量。6 6）批准系）批准系统统安全管理人安全管理人员员草草拟拟或修改的各种安全策略手册。或修改的各种安全策略

22、手册。7 7）审审定并公布本定并公布本组织组织信息安全信息安全规规章制度。章制度。8 8）仲裁本）仲裁本组织组织信息安全事故的信息安全事故的责责任。任。9 9）决定系）决定系统统安全管理人安全管理人员员的任免。的任免。1010）所所形形成成的的决决定定性性意意见见，以以信信息息安安全全领领导导小小组组名名义义，用用决决策策决决定定书书的的形式公告。形式公告。1314.2 14.2 建立信息安全机构和建立信息安全机构和队队伍伍 14.2.1 14.2.1 信息安全管理机构信息安全管理机构(续续)（4 4）领导领导小小组组决策的依据决策的依据 1 1）系）系统统信息安全管理信息安全管理员员提供的提

23、供的报报告。告。2 2）信息安全）信息安全现现状状报报告。告。3 3）安全新）安全新风险风险分析分析报报告。告。4 4）本）本组织组织新增加的安全保密防范措施。新增加的安全保密防范措施。5 5）组织组织信息安全事故初步分析信息安全事故初步分析报报告。告。6 6）新增加安全措施的）新增加安全措施的经费报经费报告。告。7 7）新增加安全措施的效益估）新增加安全措施的效益估计计。8 8）信息的安全）信息的安全现现状及状及对组织对组织效益的影响。效益的影响。1414.2 14.2 建立信息安全机构和建立信息安全机构和队队伍伍 14.2.1 14.2.1 信息安全管理机构信息安全管理机构(续续)2 2信

24、息安全信息安全顾问顾问委委员员会会 组组织织信信息息安安全全顾顾问问委委员员会会以以信信息息安安全全领领导导小小组组成成员员为为核核心心，邀邀请请本本组组织织或或社社会会上上信信息息安安全全、法法律律政政策策、行行政政（企企业业）管管理理、技技术术专专家家、组组织织策策划划等等有有关关方方面面专专家家学学者者参参加加，组组成成智智囊囊团团，对对组组织织信信息息安安全全领领导导小小组负责组负责。委委员员会定期或不定期会定期或不定期为为信息安全管理提供最新的安全信息安全管理提供最新的安全动态动态、面、面临临的的风风险险、技、技术术，改，改进进建建议议和和应对应对措施，并措施，并为组织为组织提供咨提

25、供咨询询服服务务，组织组织信息安全信息安全顾问顾问委委员员会是非常会是非常设设机构，不一定需要例会制度。机构，不一定需要例会制度。1514.2 14.2 建立信息安全机构和建立信息安全机构和队队伍伍 14.2.1 14.2.1 信息安全管理机构信息安全管理机构(续续)3 3信息安全信息安全领导领导小小组办组办公室（信息中心）公室（信息中心）信信息息安安全全领领导导小小组组办办公公室室（信信息息中中心心）是是在在信信息息安安全全领领导导小小组组直直接接领领导导下下进进行行工工作作，为为常常设设机机构构，有有例例会会工工作作制制度度，负负责责处处理理本本组组织织信信息息安全管理的日常工作。安全管理

26、的日常工作。（1 1）办办公室公室组组成人成人员员 1 1）信信息息安安全全领领导导小小组组办办公公室室主主任任负负责责组组织织、处处理理信信息息安安全全方方面面大大量量的的日日常常工工作作，有有些些工工作作技技术术性性比比较较强强，因因此此需需要要懂懂技技术术的的信信息息中中心心主主要要负负责责人人（CIOCIO）担担任任，或或由由安安全全负负责责人人担担任任，但但应应有有一一名名懂懂技技术术的的信信息息中中心心领领导导担任副主任，担任副主任，负责负责技技术术管理工作。管理工作。2 2）其其他他人人员员由由系系统统管管理理、系系统统分分析析、通通信信、软软件件、硬硬件件、保保卫卫、保保密密、

27、机要、机要、监监察和人事等有关方面的工作人察和人事等有关方面的工作人员组员组成。成。1614.2 14.2 建立信息安全机构和建立信息安全机构和队队伍伍 14.2.1 14.2.1 信息安全管理机构信息安全管理机构(续续)3 3信息安全信息安全领导领导小小组办组办公室（信息中心）公室（信息中心）（2 2）办办公室公室职职能能 1 1）接受信息安全）接受信息安全领导领导小小组组的直接的直接领导领导;处处理信息安全工作的日常工作。理信息安全工作的日常工作。2 2）制制定定本本组组织织信信息息安安全全的的工工作作制制度度、安安全全目目标标和和各各级级工工作作人人员员的的权权限限、岗岗位位职责职责。3

28、 3）定期向）定期向组织组织信息安全信息安全领导领导小小组汇报组汇报工作，工作，报报告工作告工作计计划。划。4 4）与与国国家家有有关关信信息息安安全全工工作作的的主主管管部部门门、技技术术部部门门建建立立日日常常工工作作联联系系，及及时报时报告重大事件，并告重大事件，并协协助有关部助有关部门门做好做好处处理工作。理工作。5 5）制定本系）制定本系统统安全操作安全操作规规程制度。程制度。6 6）负责负责管理各管理各类类安全管理人安全管理人员员，定期或不定期，定期或不定期组织组织安全教育或培安全教育或培训训。7 7）定期）定期检查检查各部各部门门的安全工作，及的安全工作，及时时通通报检查结报检查

29、结果和果和违违章行章行为为。8 8）负责负责安全事故安全事故调查调查，起草安全事故，起草安全事故报报告，提出告，提出处处理意理意见见。1714.2 14.2 建立信息安全机构和建立信息安全机构和队队伍伍 14.2.1 14.2.1 信息安全管理机构信息安全管理机构(续续)3 3信息安全信息安全领导领导小小组办组办公室（信息中心）公室（信息中心）9 9）听取所属）听取所属组织组织安全安全领导领导小小组组（负责负责人）的工作人）的工作汇报汇报，对报对报告中的重大告中的重大问题问题及及时报时报告告组织组织安全安全领导领导小小组组。1010）对对本本级级和本和本级级所属安全工作人所属安全工作人员进员进

30、行工作行工作业绩业绩考核，并提出工作人考核，并提出工作人员员称称职职、不称、不称职职或表彰、或表彰、处罚处罚的意的意见见。1111）起草年度信息安全工作）起草年度信息安全工作报报告和有关信息安全宣告和有关信息安全宣传传、教育、培、教育、培训计训计划。划。1212）审阅审阅控制台操作控制台操作记录记录、系、系统统日志、系日志、系统报统报警警记录记录、系、系统统计统统计活活动动、警、警卫报卫报告、加班告、加班报报表以及其他与安全有关的材料，表以及其他与安全有关的材料，发现问题发现问题及及时时作出作出补补救决定。救决定。1313）管理、）管理、检查检查、监监督、分析系督、分析系统统运行日志和系运行日

31、志和系统监统监督文档，定期督文档，定期对对系系统统做出安全做出安全评评价。价。1414）制定、管理和定期分）制定、管理和定期分发发系系统统及用及用户户的身份的身份识别识别号号码码、密、密钥钥和口令。和口令。18 1515）根据国家和上）根据国家和上级级保密工作保密工作规规定，定，审查审查系系统统操作人操作人员对员对系系统统信息的使信息的使用，用，审查审查系系统对统对外外发发表的信息，防止表的信息，防止发发生泄密。生泄密。1616）采取切）采取切实实可行的措施，防止系可行的措施，防止系统统操作人操作人员对员对系系统统信息泄露和破坏、信息泄露和破坏、篡篡改数据、防止未改数据、防止未经许经许可越可越

32、权权使用系使用系统资统资源。源。1717）建立必要的系）建立必要的系统访问统访问批准制度，批准制度，监监督、管理系督、管理系统统外外维维修人修人员对员对系系统统设备设备的的检检修及修及维护维护。1818）采取切）采取切实实可行的措施，防止可行的措施，防止计计算机算机设备设备的的损损坏、改坏、改换换和盗用。和盗用。1919）定期做信息系）定期做信息系统统的漏洞的漏洞检查检查，向本，向本组织组织安全安全领导领导小小组组提供信息安全提供信息安全管理系管理系统统的的风险风险分析分析报报告，提出相告，提出相应应的的对对策和策和实实施施计计划。划。2020）负责负责存取系存取系统统和修改系和修改系统统授授

33、权权以及系以及系统统特特权权口令。口令。14.2 14.2 建立信息安全机构和建立信息安全机构和队队伍伍 14.2.1 14.2.1 信息安全管理机构信息安全管理机构(续续)3 3信息安全信息安全领导领导小小组办组办公室（信息中心）公室（信息中心）19 组织组织信息安全工作信息安全工作队队伍主要包括信息安全伍主要包括信息安全员员、系、系统统安全安全员员、网、网络络安全安全员员、设备设备安全安全员员、数据、数据库库安全安全员员、数据安全、数据安全员员、防病毒安全、防病毒安全员员。14.2 14.2 建立信息安全机构和建立信息安全机构和队队伍伍 14.2.2 14.2.2 信息安全信息安全队队伍伍

34、 1 1信息安全工作人信息安全工作人员员的条件的条件 由于各由于各类类信息安全工作人信息安全工作人员员的工作的工作岗岗位位处处于信息系于信息系统统的核心敏感部位，的核心敏感部位，因此要有比因此要有比较较高的政治素高的政治素质质和和业务业务水平，水平，这这些人些人员应员应具具备备以下条件。以下条件。1 1）政治可靠，）政治可靠，对组织对组织忠忠诚诚。2 2）工作）工作认认真真负责负责，有敬，有敬业业精神。精神。3 3）处处理理问题问题公正公正严严明，不拘私情。明，不拘私情。4 4）熟悉）熟悉业务业务，具有一定的，具有一定的实实践践经验经验。5 5）从事网）从事网络络系系统统操作或管理的工作人操作

35、或管理的工作人员应员应是具是具备备一定一定实实践践经验经验的网的网络络工工程程师师。2014.2 14.2 建立信息安全机构和建立信息安全机构和队队伍伍 14.2.2 14.2.2 信息安全信息安全队队伍伍(续续)2 2信息安全工作人信息安全工作人员员的管理原的管理原则则 1 1）人）人员审查员审查原原则则 2 2）签订签订保密保密协协定原定原则则 3 3）持）持证证上上岗岗原原则则 4 4）人）人员员培培训训原原则则 5 5）人）人员员考核原考核原则则 6 6）权权力分散原力分散原则则 7 7）人）人员员离离岗岗原原则则 2114.2 14.2 建立信息安全机构和建立信息安全机构和队队伍伍

36、14.2.2 14.2.2 信息安全信息安全队队伍伍(续续)3 3信息安全工作人信息安全工作人员员的的岗岗位位职责职责 （1 1）信息安全）信息安全员员的的职责职责 信信息息安安全全员员主主要要负负责责信信息息网网络络系系统统的的信信息息安安全全和和保保密密信信息息的的管管理理。其其主主要要职责职责是：是：1 1）负负责责涉涉密密信信息息网网信信息息安安全全，监监督督检检查查涉涉密密信信息息的的报报送送、接接受受和和传传输输的安全性。的安全性。2 2）负责监负责监督督检查检查信息网信息网对对外外发发布的信息布的信息;保保证证符合安全保密符合安全保密规规定。定。3 3）负负责责监监督督检检查查各

37、各部部门门的的涉涉密密信信息息的的安安全全保保密密措措施施，防防止止泄泄密密事事件件的的发发生。生。4 4）负负责责监监督督检检查查信信息息网网对对国国际际互互联联网网上上国国家家禁禁止止的的网网站站的的非非法法访访问问及及有害信息的侵入。有害信息的侵入。5 5）负责协负责协助有关部助有关部门对门对网网络络泄密事件泄密事件进进行行调查调查与技与技术术分析。分析。2214.2 14.2 建立信息安全机构和建立信息安全机构和队队伍伍 14.2.2 14.2.2 信息安全信息安全队队伍伍(续续)3 3信息安全工作人信息安全工作人员员的的岗岗位位职责职责 （2 2）系）系统统安全安全员员的的职责职责

38、系系统统安安全全员员主主要要负负责责信信息息网网络络操操作作系系统统及及服服务务器器操操作作系系统统的的安安全全及及管管理理。其主要其主要职责职责是：是：1 1）负负责责信信息息网网络络操操作作系系统统和和服服务务器器操操作作系系统统的的安安装装、运运行行和和维维护护、管管理，保障系理，保障系统统的安全的安全稳稳定地运行。定地运行。2 2）负责对负责对用用户户的身份的身份进进行行验证验证，防止非法用，防止非法用户进户进入系入系统统。3 3）负负责责用用户户的的口口令令管管理理，建建立立口口令令管管理理规规程程和和检检验验创创建建账账户户机机制制，避避免口令泄露。免口令泄露。4 4）负责实时监负

39、责实时监控系控系统统，发现发现异常及异常及时时采取措施，恢复系采取措施，恢复系统统正常状正常状态态。5 5）负责对负责对系系统统各种硬各种硬软软件件资资源的合理分配和科学使用，避免造成系源的合理分配和科学使用，避免造成系统统资资源的浪源的浪费费。2314.2 14.2 建立信息安全机构和建立信息安全机构和队队伍伍 14.2.2 14.2.2 信息安全信息安全队队伍伍(续续)3 3信息安全工作人信息安全工作人员员的的岗岗位位职责职责 （3 3）网）网络络安全安全员员的的职责职责 网网络络安全安全员员主要主要负责负责信息网信息网络络系系统统的安全保密工作。其主要的安全保密工作。其主要职责职责是：是

40、：1 1）负负责责信信息息网网络络系系统统及及其其网网络络安安全全保保密密系系统统的的运运行行与与维维护护，发发现现故故障障及及时时排除，保障系排除，保障系统统安全可靠地运行。安全可靠地运行。2 2）负负责责配配置置和和管管理理访访问问控控制制表表，根根据据安安全全需需求求为为各各用用户户配配置置相相应应的的访访问权问权限。限。3 3）负责负责网网络审计络审计系系统统的管理和的管理和维护维护，认认真真记录记录、检查检查和保管和保管审计审计日志。日志。4 4）负负责责检检查查系系统统的的安安全全漏漏洞洞和和隐隐患患，发发现现安安全全隐隐患患及及时时进进行行修修复复或或提提出改出改进进意意见见。5

41、 5）负责实时对负责实时对系系统进统进行非法入侵行非法入侵检测检测，防止和阻止，防止和阻止“黑客黑客”入侵。入侵。2414.2 14.2 建立信息安全机构和建立信息安全机构和队队伍伍 14.2.2 14.2.2 信息安全信息安全队队伍伍(续续)3 3信息安全工作人信息安全工作人员员的的岗岗位位职责职责 （4 4）设备设备安全安全员员的的职责职责 设设备备安安全全员员负负责责对对专专用用计计算算机机安安全全保保密密设设备备(防防火火墙墙、加加密密机机、干干扰扰仪仪等等)的管理、使用和的管理、使用和维护维护。其主要。其主要职责职责是：是：1 1）负责设备负责设备的的领领用和保管，做好用和保管，做好

42、设备设备的的领领用、用、进进出出库库、报废报废登登记记。2 2）负责设备负责设备的正确使用和安奎运行，并建立的正确使用和安奎运行，并建立详细详细的运行日志。的运行日志。3 3）负责设备负责设备的清的清洁洁和定期的保养和定期的保养维护维护，并做好，并做好维护记录维护记录。4 4）负责设备负责设备的的维维修，制定修，制定设备维设备维修修计计划，做好划，做好设备维设备维修修记录记录。5 5）负责对负责对安全保密安全保密设备设备密密钥钥的管理与注入。的管理与注入。2514.2 14.2 建立信息安全机构和建立信息安全机构和队队伍伍 14.2.2 14.2.2 信息安全信息安全队队伍伍(续续)3 3信息

43、安全工作人信息安全工作人员员的的岗岗位位职责职责 （5 5）数据）数据库库安全安全员员的的职责职责 数数据据库库安安全全员员负负责责数数据据库库管管理理系系统统的的安安全全及及维维护护管管理理工工作作。其其主主要要职职责责是：是：1 1）负负责责数数据据库库管管理理系系统统的的安安装装、备备份份和和维维护护，保保证证系系统统安安全全、正正常常运运行。行。2 2）负责负责定期定期检查检查系系统统运行情况，运行情况，检测检测并并优优化系化系统统性能。性能。3 3）负责检查负责检查数据数据库库系系统统的用的用户权户权限，防止非法用限，防止非法用户户的侵入和越的侵入和越权访问权访问。4 4）负责负责定

44、期定期检查检查数据数据库库数据的完整性和可用性，数据的完整性和可用性，发现发现系系统统故障及故障及时时排排除，做好系除，做好系统统恢复。恢复。2614.2 14.2 建立信息安全机构和建立信息安全机构和队队伍伍 14.2.2 14.2.2 信息安全信息安全队队伍伍(续续)3 3信息安全工作人信息安全工作人员员的的岗岗位位职责职责 （6 6）数据安全）数据安全员员的的职责职责 数据安全数据安全员负责员负责信息网信息网络络中运行数据的安全。其主要中运行数据的安全。其主要职责职责是：是：1 1）负责负责信息网信息网络络数据的安全，保障信息的保密性、完整性和可用性。数据的安全，保障信息的保密性、完整性

45、和可用性。2 2）负负责责对对信信息息网网络络数数据据备备份份与与灾灾难难恢恢复复系系统统的的维维护护与与管管理理，实实时时对对重重要数据要数据进进行安全行安全备备份。份。3 3）负负责责对对信信息息采采集集、传传输输及及存存储储的的技技术术手手段段和和工工作作环环境境以以及及介介质质管管理理各各环节环节的的监监督督检查检查，发现问题发现问题和漏洞及和漏洞及时时解决。解决。4 4）负责负责定期定期对对重要数据存重要数据存储备储备份介份介质质的的检查检查，防止数据的，防止数据的丢丢失或被破失或被破坏。坏。2714.2 14.2 建立信息安全机构和建立信息安全机构和队队伍伍 14.2.2 14.2

46、.2 信息安全信息安全队队伍伍(续续)3 3信息安全工作人信息安全工作人员员的的岗岗位位职责职责 （7 7）防病毒安全）防病毒安全员员的的职责职责 防防病病毒毒安安全全员员负负责责信信息息网网络络系系统统的的计计算算机机病病毒毒的的防防护护工工作作。其其主主要要职职责责是：是：1 1）负责计负责计算机防病毒算机防病毒软软件的件的购购置、保管、置、保管、发发放、升放、升级级和安装。和安装。2 2）负负责责信信息息网网络络系系统统的的计计算算机机病病毒毒的的防防护护，在在病病毒毒发发作作日日前前及及时时发发布布公告，并采取必要的公告，并采取必要的预预防措施。防措施。3 3）负负责责定定期期对对信信

47、息息网网络络系系统统进进行行病病毒毒检检测测，发发现现系系统统被被计计算算机机病病毒毒感感染，及染，及时组织时组织清除病毒。清除病毒。4 4）负责计负责计算机病毒防算机病毒防护护知知识识的宣的宣传传教育工作。教育工作。2814.3 14.3 制定信息安全管理制度制定信息安全管理制度 信息安全已不只是人们传统意义上的添加防火墙或路由器信息安全已不只是人们传统意义上的添加防火墙或路由器等简单的设备就可保证的安全，而是成为一种系统和全局的安等简单的设备就可保证的安全，而是成为一种系统和全局的安全。全。信息安全管理制度是保证信息安全的基础，需要通过一系信息安全管理制度是保证信息安全的基础，需要通过一系

48、列规章制度的实施，来确保各类人员按照规定的职责行事，做列规章制度的实施，来确保各类人员按照规定的职责行事，做到各行其职、各负其责，避免责任事故的发生和防止恶意侵犯。到各行其职、各负其责，避免责任事故的发生和防止恶意侵犯。常见的信息安全管理制度主要包括：人员安全管理制度、常见的信息安全管理制度主要包括：人员安全管理制度、设备安全管理制度、运行安全管理制度、安全操作管理制度、设备安全管理制度、运行安全管理制度、安全操作管理制度、应急维护制度、安全等级保护制度；有害数据及计算机病毒防应急维护制度、安全等级保护制度；有害数据及计算机病毒防范管理制度；敏感数据保护制度、安全技术保障制度、安全计范管理制度

49、；敏感数据保护制度、安全技术保障制度、安全计划管理制度等。划管理制度等。2914.3 14.3 制定信息安全管理制度制定信息安全管理制度14.3.1 14.3.1 制定信息安全管理制度的原制定信息安全管理制度的原则则 制定信息安全管理制度应遵循统一的安全管理原则如下：制定信息安全管理制度应遵循统一的安全管理原则如下：1 1）规范化原则）规范化原则 2 2）系统化原则）系统化原则 3 3）综合保障原则）综合保障原则 4 4）以人为本原则）以人为本原则 5 5）首长负责原则）首长负责原则 6 6）预防原则）预防原则 7 7）风险评估原则）风险评估原则 8 8）动态原则）动态原则 9 9）成本效益原

50、则）成本效益原则 10 10）均衡防护原则）均衡防护原则3014.3 14.3 制定信息安全管理制度制定信息安全管理制度14.3.2 14.3.2 信息安全管理信息安全管理标标准准ISOISOIEC l7799 IEC l7799 信信息息安安全全管管理理的的原原则则之之一一就就是是规规范范化化、系系统统化化，如如何何在在信信息息安安全全管管理理实实践中落践中落实这实这一原一原则则，需要相，需要相应应的信息安全管理的信息安全管理标标准。准。BS7799BS7799标标准准是是英英国国标标准准协协会会（BSIBSI）制制定定的的国国际际上上具具有有代代表表性性的的信信息息安安全全管管理理体体系系