[精选]信息网络安全管理36668.pptx

《[精选]信息网络安全管理36668.pptx》由会员分享，可在线阅读，更多相关《[精选]信息网络安全管理36668.pptx（101页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、吉林省公安厅网络警察总队欢迎参加信息网络安全管理吉林省公安厅网络警察总队 全继天 信息网络安全管理信息安全法律法规与标准介绍信息网络违法犯罪信息安全管理简介信息安全监管信息网络安全管理信息安全法律法规与标准介绍 法律法规 中华人民共和国刑法（第285、286、287条）1997.3.14 中华人民共和国人民警察法 1995.2.28 中华人民共和国治安管理处罚法 2005.8.28 全国人民代表大会常务委员会关于维护互联网安全的决定 2000.12.28 中华人民共和国计算机信息系统安全保护条例 1994.2.18 计算机信息网络国际联网安全保护管理办法 1997.12.30 计算机信息系统安

2、全专用产品检测和销售许可证管理办法 1997.6.28 计算机病毒防治管理办法 2000.3.30 金融机构计算机信息系统安全保护工作暂行规定 1998.8.31 互联网电子公告服务管理规定 2000.10.8 计算机信息系统保密管理暂行规定 1998.2.26 信息安全等级保护管理办法 2006.3.1 互联网安全保护技术措施规定 2006.3.1 信息网络安全管理信息安全法律法规与标准介绍 国家标准 计算机信息系统安全专用产品分类原则 GA163-1997 计算机信息系统防雷保安器 GA173-1998 信息技术设备的无线电干扰极限值和测量方法 GB9254-88 计算站场地安全要求 GB

3、9361-88 计算站场地技术条件 GB2887-89 电子计算机机房设计规范 GB50174-93 电子计算机机房施工及验收规范 SJ/T30003-93 计算机信息安全保护等级划分准则 GB-17859:1999 计算机信息系统安全等级保护通用技术要求 GA/T390-2002 计算机信息系统安全等级保护操作系统技术要求 GA/T388-2002 计算机信息系统安全等级保护数据库管理系统技术要求 GA/T387-2002 计算机信息系统安全等级保护管理要求 GA/T391-2002 国际标准 信息安全管理标准 BS7799 ISO/IEC17799 国际信息安全管理标准信息网络安全管理信息

4、安全法律法规与标准介绍信息系统安全保护条例与办法中华人民共和国计算机信息系统安全保护条例适用范围 条例规定不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机信息系统的安全。条例适用于任何组织或者个人。中华人民共和国境内的计算机信息系统的安全保护适用本条例。信息网络安全管理信息安全法律法规与标准介绍信息系统安全保护条例与办法 中华人民共和国计算机信息系统安全保护条例 主要内容.准确标明了安全保护工作的性质.科学界定了“计算机信息系统”的概念.系统设置了安全保护的制度.明确确定了安全监督的职权.全面规定了违法者的法律责任.定义了计算机病毒及专用安全产品信息网络安全

5、管理信息安全法律法规与标准介绍信息系统安全保护条例与办法计算机信息网络国际联网安全管理办法适用范围和公安机关职责.办法适用于中华人民共和国境内的计算机信息网络国际联网安全保护管理。.办法的调整对象是从事国际联网业务的单位和个人。.公安机关职责划分：公安部计算机管理监察机构负责计算机信息网络国际联网的安全保护管理工作。公安机关计算机管理监察机构应当保护计算机信息网络国际联网的公共安全，维护从事国际联网业务的单位和个人的合法权益及公众利益。信息网络安全管理信息安全法律法规与标准介绍信息系统安全保护条例与办法 计算机信息网络国际联网安全管理办法 安全责任、义务和法律责任.安全保护职责.安全监督.法律

6、责任信息网络安全管理信息安全法律法规与标准介绍 互联网安全保护技术措施规定 明确互联网安全保护技术措施定义 互联网安全保护技术措施，是指保障互联网网络安全和信息安全、防范违法犯罪的技术设施和技术方法 规范了互联网安全保护技术措施使用原则 互联网服务提供者、联网使用单位负责落实互联网安全保护技术措施，并保障互联网安全保护技术措施功能的正常发挥。互联网服务提供者、联网使用单位应当建立相应的管理制度。未经用户同意不得公开、泄露用户注册信息，但法律、法规另有规定的除外。互联网服务提供者、联网使用单位应当依法使用互联网安全保护技术措施，不得利用互联网安全保护技术措施侵犯用户的通信自由和通信秘密。明确监管

7、主体和技术标准 公安机关公共信息网络安全监察部门负责对互联网安全保护技术措施的落实情况依法实施监督管理。互联网安全保护技术措施应当符合国家标准。没有国家标准的，应当符合公共安全行业技术标准。信息网络安全管理信息安全法律法规与标准介绍 互联网安全保护技术措施规定 互联网服务提供者和联网使用单位应当落实以下互联网安全保护技术措施：1、防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施；2、重要数据库和系统主要设备的冗灾备份措施；3、记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施；4、法律、法规和规章规定应当落实的其他安全保护技术措施。信息

8、网络安全管理信息安全法律法规与标准介绍 互联网安全保护技术措施规定 提供互联网接入服务的单位除落实上述四项技术措施外，还应当落实具有以下功能的安全保护技术措施：（一）记录并留存用户注册信息；（二）使用内部网络地址与互联网网络地址转换方式为用户提供接入服务的，能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系；（三）记录、跟踪网络运行状态，监测、记录网络安全事件等安全审计功能。信息网络安全管理信息安全法律法规与标准介绍 互联网安全保护技术措施规定 提供互联网信息服务的单位除落实上述四条技术措施外，还应当落实具有以下功能的安全保护技术措施：（一）在公共信息服务中发现、停止传输违法信息，并

9、保留相关记录；（二）提供新闻、出版以及电子公告等服务的，能够记录并留存发布的信息内容及发布时间；（三）开办门户网站、新闻网站、电子商务网站的，能够防范网站、网页被篡改，被篡改后能够自动恢复；（四）开办电子公告服务的，具有用户注册信息和发布信息审计功能；（五）开办电子邮件和网上短信息服务的，能够防范、清除以群发方式发送伪造、隐匿信息发送者真实标记的电子邮件或者短信息。信息网络安全管理信息安全法律法规与标准介绍 互联网安全保护技术措施规定 提供互联网数据中心服务的单位和联网使用单位除落实上述四项技术措施外，还应当落实具有以下功能的安全保护技术措施：（一）记录并留存用户注册信息；（二）在公共信息服务

10、中发现、停止传输违法信息，并保留相关记录；（三）联网使用单位使用内部网络地址与互联网网络地址转换方式向用户提供接入服务的，能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系。信息网络安全管理信息安全法律法规与标准介绍 互联网安全保护技术措施规定 提供互联网上网服务的单位，除落实上述四项技术措施外，还应当安装并运行互联网公共上网服务场所安全管理系统。互联网服务提供者依照规定采取的互联网安全保护技术措施应当具有符合公共安全行业技术标准的联网接口。互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施，应当具有至少保存六十天记录备份的功能。信息网络安全管理信息安全法律法规与标准介绍

11、 互联网安全保护技术措施规定 互联网服务提供者和联网使用单位不得实施下列破坏互联网安全保护技术措施的行为：（一）擅自停止或者部分停止安全保护技术设施、技术手段运行；（二）故意破坏安全保护技术设施；（三）擅自删除、篡改安全保护技术设施、技术手段运行程序和记录；（四）擅自改变安全保护技术措施的用途和范围；（五）其他故意破坏安全保护技术措施或者妨碍其功能正常发挥的行为。信息网络安全管理关于执行计算机信息网络国际联网安全保护管理办法中有关问题的解释（一）、关于“安全保护管理制度”问题 办法第十条第一项和第二十一条第一项中的“安全保护管理制度主要包括：（1）信息发布审核、登记制度；（2）信息监视、保存、

12、清除和备份制度；（3）病毒检测和网络安全漏洞检测制度；（4）违法案件报告和协助查处制度；（5）帐号使用登记和操作权限管理制度；（6）安全管理人员岗位工作职责；（7）安全教育和培训制度；（8）其他与安全保护相关的管理制度。信息网络安全管理关于执行计算机信息网络国际联网安全保护管理办法中有关问题的解释（二）、关于“安全保护技术措施”问题 办法第十条第二项中的“安全保护技术措施”和第二十一条第二项中的“安全保护技术措施”主要包括：（1）具有保存3个月以上系统网络运行日志和用户使用日志记录功能，内容包括IP地址分配及使用情况，交互式信息发布者、主页维护者、邮箱使用者和拨号用户上网的起止时间和对应IP地

13、址，交互式栏目的信息等；（2）具有安全审计或预警功能；（3）开设邮件服务的，具有垃圾邮件清理功能；（4）开设交互式信息栏目的，具有身份登记和识别确认功能；（5）计算机病毒防护功能；（6）其他保护信息和系统网络安全的技术措施。信息网络安全管理关于执行计算机信息网络国际联网安全保护管理办法中有关问题的解释（三）、关于“安全保护管理所需信息、资料及数据文件”问题 办法第八条中的“有关安全保护的信息、资料及数据文件”和第二十一条第四项中的“安全保护管理所需信息、资料及数据文件”主要包括：（1）用户注册登记、使用与变更情况（含用户帐号、IP与Email地址等）；（2）IP地址分配、使用及变更情况；（3）

14、网页栏目设置与变更及栏目负责人情况；（4）网络服务功能设置情况；（5）与安全保护相关的其他信息。信息网络安全管理关于执行计算机信息网络国际联网安全保护管理办法中有关问题的解释（四）、关于“保留有关原始记录”问题 办法第十条第六项中的“有关原始记录”是指有关信息或行为在网上出现或发生时，计算机记录、存贮的所有相关数据，包括时间、内容（如图象、文字、声音等）、来源（如源IP地址、Email地址等）及系统网络运行日志、用户使用日志等。信息网络安全管理关于执行计算机信息网络国际联网安全保护管理办法中有关问题的解释（五）、关于“停机整顿”处罚的执行问题 按照办法规定作出“停机整顿”的处罚决定，可采取的执

15、行措施包括：（1）停止计算机信息系统运行；（2）停止部分计算机信息系统功能；（3）冻结用户联网帐号；（4）其他有效执行措施。信息网络安全管理信息网络违法犯罪 计算机案件治安案件和一般行政案件 违反行政法规所构成的计算机案件被称为行政案件。例如，计算机信息系统安全保护条理中的规定和制度，涵盖了计算机信息系统安全保护的过程。凡是违反有关规定和制度的，均构成违反计算机信息系统安全保护条理的违法行为，要追究行政法律责任。信息网络安全管理信息网络违法犯罪 计算机案件 刑事案件 触犯刑律所构成的计算机案件被称为计算机刑事案件。例如，我国刑法中关于计算机犯罪的规定，对非法侵入重要计算机信息系统，以及违反计算

16、机信息系统安全保护条理并造成严重后果构成犯罪的，则追究其刑事责任。我过刑法关于计算机犯罪的三个专门条款，分别规定了非法侵入计算机信息系统罪；破坏计算机信息系统罪；利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪，并将其一并归入第六章“妨害社会管理秩序罪”第一节“扰乱公共秩序罪”。信息网络安全管理信息网络违法犯罪 计算机案件 刑事案件 刑法有关计算机犯罪的规定，总体上可以分为两大类：一类是纯粹的计算机犯罪，即刑法第285条、第286条单列的两种计算机犯罪独立罪名；另一类不是纯粹的计算机犯罪，而是隐含于其他犯罪罪名的计算机犯罪形式。例如，刑法第287条规定：“利用计算机实施金

17、融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。”之所以要区分这两种类别，是因为第二类犯罪与传统犯罪之间并无本质区别，只是在犯罪工具使用上有所不同而已，因此不需要为其单列罪名，而第一类犯罪不仅在具体手段和侵犯客体方面与传统犯罪存在差别，而且有其特殊性，传统犯罪各罪名已无法包括这些犯罪形式，因此为其单列罪名。信息网络安全管理信息网络违法犯罪 计算机犯罪 计算机案件的性质界定 计算机案件包括行政违法案件和刑事违法案件，行政违法行为要受到行政处罚，刑事违法行为则应受到刑事处罚。在我国法律责任体系中，两者在内容和性质上有许多不同。因此必须正确界定案件性质并依法进行制

18、裁。对于特定的计算机犯罪案件，到底是按照行政案件进行处罚，还是按照刑事案件进行处罚，在性质界定方面有以下依据：根据违法行为的情节和所造成的后果进行界定 违法行为的情节或者危害后果轻微的是行政违法，情节较重或者造成严重后果的是刑事违法，这是现行法律运用最为广泛的划分标准。例如，我国刑法第286条规定的破坏计算机信息系统功能、破坏计算机信息系统数据和应用程序、制作和传播破坏程序，均以后果严重作为构成犯罪的要件。信息网络安全管理信息网络违法犯罪 计算机犯罪 计算机案件的性质界定 根据违法行为的类别进行界定 有些违法行为一经实施就是刑事违法行为。例如，非法侵入计算机信息系统罪，任何人只要未经允许侵入国

19、家事务、国防建设、尖端科学技术领域的计算机信息系统就构成刑事犯罪，此类行为不仅承担行政责任，同时应当受到刑事处罚。而另外一些违法行为则只属于行政违法行为，不属于刑事违法行为。例如，将计算机信息系统接入互联网的法人和其他组织，未按照规定进行备案，依据计算机信息网络国际联网安全保护管理爆发，由公安机关给予行政处罚，但是该行为不构成刑事违法行为，不需进行刑事处罚。根据违法行为所违反的法律规范来界定 行政违法行为所违反的是行政法律规范，应当受到行政法律的制裁，承担行政责任；刑事违法行为违反的是刑事法律规范，应当受到刑法制裁，承担刑事法律责任。计算机信息系统安全保护条例第24条明确规定：“违反本条例的规

20、定，构成违反治安管理行为的，依照中华人民共和国治安管理处罚条例的有关规定处罚；构成犯罪的，依法追究刑事责任。”信息网络安全管理信息网络违法犯罪 计算机犯罪 犯罪的概念 中华人民共和国刑法第二章第十三条对犯罪作了如下定义：一切危害国家主权、领土完整和安全、分裂国家、颠覆人民民主专政和推翻社会主义制度，破坏社会秩序和经济秩序，侵犯国有财产或劳动群众集体所有的财产，侵犯公民私人所有的财产，侵犯公民的人身权利、民主权利和其他权利，以及其他危害社会的行为，依照法律应当受刑罚处罚的，都属于犯罪，但是情节显著轻微且危害不大的，不认为是犯罪。信息网络安全管理信息网络违法犯罪 计算机犯罪 计算机犯罪的概念 计算

21、机犯罪是指行为人通过计算机操作所实施的危害计算机信息系统安全以及其他严重危害社会的并应当处以刑罚的行为。计算机犯罪分类：一般可分为两大类：一类是针对计算机信息系统实施的犯罪，如非法入侵、删除修改重要数据、传播计算机病毒等。另一类是行为人利用计算机实施危害社会的犯罪，如：盗窃、诈骗、赌博、传播淫秽色情物品等传统犯罪。信息网络安全管理信息网络违法犯罪 计算机犯罪 计算机犯罪的表现形式 1、非法侵入计算机信息系统罪 新刑法第285条对非法侵入计算机信息系统罪作了明确规定：违反国家规定，侵入国家事物、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下的有期徒刑或者拘役。2、破坏计算机信息系统罪

22、新刑法第286条明确规定：违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上的有期徒刑。信息网络安全管理信息网络违法犯罪 计算机犯罪 计算机犯罪的表现形式 3、利用计算机信息系统实施的犯罪 新刑法第287条明确规定利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。信息网络安全管理信息网络违法犯罪 计算机犯罪 互联网犯罪 互联网犯罪是指行为人利用计算机信息网络国际联网实施犯罪的一种表现形式。随着网络技术的飞速发展，人们对网络的依赖程度越来

23、越高，互联网在给人们带来福音的同时，网络犯罪也悄然而至，并且来势迅猛。利用互联网危害国家安全、扰乱社会管理秩序、侵犯公私财产、侵犯公民人身权利和民主权利、黄、赌、毒犯罪案件日显突出，给社会带来极大危害。利用互联网实施犯罪的种类繁多，如网上邪教组织；网上窃取、泄露国家机密；网上侵犯商业秘密；网上毁损商誉；网上侮辱、诽谤；网上盗窃、诈骗、洗钱、赌博、贩毒、买卖枪支、传播淫秽色情物品等。信息网络安全管理信息网络违法犯罪 计算机犯罪 互联网犯罪 互联网犯罪特点：1、范围广，速度快，成本低。2、犯罪手段隐蔽，证据易被销毁。3、犯罪人员的高智能性和危害的严重性。4、传统领域犯罪逐步向网络犯罪渗透。信息网络

24、安全管理信息网络违法犯罪 计算机犯罪 互联网犯罪 我省网络犯罪状况 自1998年我省破获首起利用计算机信息网络贪污侵占银行存款案件起，利用计算机信息网络进行违法犯罪活动逐渐呈现，发展速度十分惊人。1999年全省公安机关立案侦查的计算机违法犯罪案件仅为10余起；2000年为60余起；2004年达到530余起，比2000年上升了8倍。2006年全省公安机关网络警察查处网络违法犯罪案件达到1900余起。其中，90%以上的计算机违法犯罪案件牵涉国际互联网。信息网络安全管理信息网络违法犯罪 计算机犯罪 互联网犯罪 我省网络犯罪特点 1、利用互联网危害国家安全的案件持续上升。2、利用网络制作、复制、传播淫

25、秽色情物品进行赌博的案件 十分突出。3、利用计算机网络侵犯公私财物的案件呈多发趋势。4、危害计算机信息网络安全的案件增幅较大。5、侵犯公民人身权利和民主权利的案件增多。信息网络安全管理信息安全管理简介信息安全组织管理 信息安全管理组织构架与职能 信息系统安全管理机构是实施系统安全，进行安全管理的必要保证。通常，信息安全问题是由单位、组织内部的专门机构控制和管理的，由健全的安全管理机构保障和实施应用系统的安全措施。信息安全管理机构的组织结构中，包括以下组织部分：内部信息安全管理组织包括：安全审查和决策机构：负责信息安全工作的权威机构，通常形式是信息安全管理委员会，由高级管理层、各部门管理层的代表

26、组成，负责制定信息安全目标、原则、方针和策略。安全主观机构：负责具体的信息安全建设和管理，依据安全策略，制定各项安全管理制度，采用必要的安全技术措施。信息网络安全管理信息安全管理简介信息安全组织管理 信息安全管理组织构架与职能 内部信息安全管理组织包括：安全运行维护机构：对相关的安全技术机制和系统，按照安全管理规范的要求，进行运行维护，保证安全系统稳定可靠，发挥有效保护作用。安全审计机构：担负保护系统安全的责任，但工作重点偏向于监视系统的运行情况，并且对安全管理制度的贯彻执行情况进行监督和检查。安全培训机构：负责与信息安全有关的教育和培训工作。安全人员：信息安全管理是一个复杂的过程，需要多方面

27、的人才，包括安全、审计、系统分析、软硬件、通信、保安等有关方面的人员。信息网络安全管理信息安全管理简介信息安全组织管理 信息安全管理组织构架与职能 外部信息安全管理组织包括：国家职能监管机构：包括公安机关、国家保密机关 等国家规定的信息安全职能监管机构。外部合作组织：由权威第三方安全组织、信息安全专业厂商组成，在必要时，为单位、组织提供外部的技术支持。专家顾问组：由外聘资深专家和顾问组成，为决策机构提供必要的建设和决策支持。信息网络安全管理信息安全管理简介信息安全组织管理 信息安全管理和公安机关公共信息网络安全监察部门的配合公安部是国家授权对信息安全和网络安全进行监控和管理的职能机构，各单位、

28、组织的信息安全管理工作，应当与公安机关公共信息网络安全监察部门密切配合，从国家宏观和组织自身微观两个层次是实现有效的信息安全管理。符合性（合规性）管理：是指单位、组织根据自身业务特点和具体情况所制定的信息安全管理办法和规范，必须符合国家信息安全相关法律、法规的规定，不得违背。符合性（合规性）管理是信息安全管理的重要组成部分，在组织自身微观的层次上，体现了信息安全管理与国家宏观信息安全管理的一致和配合。信息网络安全管理信息安全管理简介信息安全组织管理 信息安全管理和公安机关公共信息网络安全监察部门的配合 单位、组织的信息安全管理工作与公安机关公共信息网络安全监察部门之间的配合主要体现在以下方面：

29、单位、组织的信息安全管理，必须遵循信息安全法律、法规对于安全管理职责、备案、禁止行为、安全管理制度和安全技术机制要求等方面的内容规定，不得违反；否则，将按照相关法律、法规的规定，追究法律责任，并给予行政和刑事处罚。法律、法规赋予公安机关公共信息网络安全监察部门对信息安全的监管职责，各单位、组织必须接受和配合公安机关公共信息网络安全监察部门的监督和检查。在发生信息安全案件后，单位、组织应当及时向公安机关公共信息网络安全监察部门报案，并在取证和调查等环节给予密切配合。信息网络安全管理信息安全管理简介信息安全人员管理人员安全管理是信息安全管理中的一个重要方面，人员安全管理应当考虑以下主要内容：安全审

30、查 安全保密管理 安全教育与培训 岗位安全考核 离岗人员安全管理 信息网络安全管理信息安全管理简介信息安全人员管理 安全审查人的因素在各个安全环节中是最重要的，全面提高人员的技术水平、道德品质、政治觉悟和安全意识是信息安全的重要保障。事实证明很多安全事件都是由内部人员所制造的，而高技术、现代化的网络和信息系统又不可能脱离高素质的技术人员独立运行。因此。对于关键岗位必须建立严格的人员安全审查制度，把好人员安全管理的第一关。根据单位、组织网络和信息系统内部资源的敏感程度和重要程度不同，对信息资源进行密级划分。信息资源的密级直接决定了接触和管理该信息资源的岗位对人员安全等级的要求，应该依此要求建立相

31、应的人员安全审查的标准。人员的安全审查应该从安全意识、法律意识、安全技能等几方面进行，人员应该具有政治可靠、思想进步、作风正派、技术合格等基本素质。信息网络安全管理信息安全管理简介信息安全人员管理 安全审查 网络和信息系统的关键岗位人选的审查标准如下：1、必须是单位、组织的正式员工。2、必须经过严格的政审、背景和资历调查。3、必须经过业务能力的综合考核。4、不得出现在其他关键岗位兼职的情况。信息网络安全管理信息安全管理简介信息安全人员管理 安全保密管理 所有进入网络和信息系统工作的人员，必须签订保密协议，承诺其对网络和信息系统应尽的安全保密义务，保证在岗工作期间和离岗后一定时期内，均不违反保密

32、协议，不泄露系统秘密。新加入的正式雇员在办理手续的时候，应该签订保密协议，作为雇佣合同的必要组成部分和附件；现有正式雇员，如果过去没有签订保密协议，应该及时的补办相应手续；临时人员和第三方人员在接触网络和信息系统之前，也应该签署相关的保密协议。信息网络安全管理信息安全管理简介信息安全人员管理 安全保密管理保密协议的内容应当根据单位、组织相关的商业秘密保护办法制定：1、保密的范围至少应不限于包括网络和信息系统的软硬件配置参数、相关技术文档、系统敏感数据、信息安全管理制度和规定以及可能损害单位、组织形象和信誉的事件或案件情况。2、应该对保密期限进行明确规定，对于重要的岗位，不仅要求员工在岗期间遵守

33、保密协议，还应该规定在员工离岗之后一定的时期内，保密协议仍然有效。3、应该针对违反保密协议的违规情况，指定响应的惩处条款。4、应该在雇佣合同或者雇佣条款发生变化的时候，对员工保密协议进行审查。信息网络安全管理信息安全管理简介信息安全人员管理 安全教育与培训 一、安全策略 安全教育与培训是人员安全管理的重要内容，通过持续有效的安全教育与培训，提高相关人员的安全能力和专业技能，此项管理工作应当在相应安全策略的指导下进行，信息安全教育与培训策略应当包含以下内容：1、应定期对员工进行信息安全教育与培训，促使员工理解信息安全的重要性以及网络和信息系统所面临的各种可能的安全风险，以提高员工的信息安全意识，

34、并遵守各种信息安全管理规定。2、应当以人员角色及岗位职能为基础，针对不同层次的人员，进行适当的信息安全教育与培训。信息安全教育与培训的内容应当包括信息安全相关的法律、法规，信息安全方针与策略，信息安全的操作流程以及使用和管理信息安全技术基础设施的技能训练。3、信息安全教育与培训，除了使用于内部员工之外，同样使用于所有接入和使用网络和信息系统的第三方人员。4、信息安全教育与培训的内容应该具有针对性，根据业务发展和信息系统的变化，及时进行调整、修正和补充，并应当建立考核制度，检验信息安全教育与培训的效果。信息网络安全管理信息安全管理简介信息安全人员管理 安全教育与培训 二、培训内容 根据信息安全教

35、育与培训策略，安全教育与培训共包括三类不同层次的培训内容，分别是对所有接触和使用网络和信息系统的拥护进行基本安全教育；对负责信息安全基础设施运行和维护的专业技术人员进行专业安全培训；对信息安全保障体系的规划者、管理者和建设实施人员进行高级安全培训。信息网络安全管理信息安全管理简介信息安全人员管理 安全教育与培训 二、培训内容 1、基本安全教育 基本安全教育的培训对象是所有接触和使用网络和信息系统的人员，包括内部人员以及相关的第三方人员。基本安全教育旨在使培训对象了解信息安全的基本概念，认识到可能存在的各种安全威胁和安全风险，理解信息安全的方针策略和管理制度，从而达到提高信息安全意识，掌握基本安

36、全操作技能，遵守信息安全管理制度和规定的目的。信息网络安全管理安全教育与培训 二、培训内容 1、基本安全教育基本安全教育的内容包括：信息安全的含义，信息安全所涵盖的各项主要方面，信息安全的最基本常识。组织内部哪些重要区域和设备严格限制普通人员进入和使用，违反规定，会受到什么样的处罚。特别强调业务数据对于组织的重要性，业务数据是组织的核心商业机密，任何篡改、破坏业务数据的行为必将受到严厉的法律制裁。这部分内容可以结合既有案例进行讲述。计算机用户安全操作管理规范，使用户了解作为一个普通用户，应该如何安全地对本地桌面计算机系统进行操作，包括用户名/口令的规定、防病毒软件的配置和使用、系统补丁和版本升

37、级的维护、计算机配置的管理措施、访问互联网时要注意的安全事项等。普通用户在应急响应计划中的角色和作用。例如，发现安全事件时，保护好现场，及时按照规程向应急响应部门报警，并配合取证调查。信息网络安全管理安全教育与培训 二、培训内容 1、基本安全教育基本安全教育的内容包括：普通用户在灾难恢复计划中的角色和作用。例如，灾难发生时的人员自救和紧急疏散规程，灾难发生后，尽快到达备份工作地点，配合灾难恢复部门的工作，迅速重新开始正常工作，确保业务的连续性。典型的安全时间案例介绍，介绍内容包括事件的起因，造成的影响和后果，相关人员受到的处罚情况，使学员增加对安全事件的直观认识，提高安全防护的意识，同时起到心

38、里震慑作用，抑制不良想法和心理。信息安全管理的监督和检查机构，使学员了解任何的违规行为都会被发现，会视情节和影响的严重性，受到响应的处理。信息网络安全管理安全教育与培训 二、培训内容 2、专业安全培训 专业安全培训的对象为负责信息安全基础设施运行和维护的专业技术人员，包括安全系统管理员、操作系统管理员、数据库系统管理员、网络管理员、机房管理员、密匙管理员以及其他相关维护人员。专业安全培训为负责信息安全基础设施的专业技术人员提供与其岗位和工作职责相关的专业理论知识、操作技能以及管理制度的培训，使得培训对象能够具备岗位和职责所要求的必要理论基础和操作技能，了解并遵守相应的安全管理规范，保证信息安全

39、基础设施稳定有效的运行。信息网络安全管理安全教育与培训 二、培训内容 2、专业安全培训专业安全培训的内容包括：进行职业道德教育。信息安全的职业道德包括约束从业人员的言行，指导他们思想的一整套道德规范，涉及到信息安全从业人员的思想认识、工作态度、业务钻研、待遇得失及其公共道德等方面。与岗位职能相关的信息安全技术理论培训。例如:防火墙系统管理员需要接受防火墙技术理论的培训，系统管理员需要接受与系统安全有关的安全技术理论的培训。岗位职能与操作技能培训，使得培训对象理解和遵守岗位职能范围内的信息安全管理内容和流程规范，包括日常维护的操作规范，安全事件应急响应计划中的角色职责和处理流程，灾难恢复计划中的

40、角色职责和处理流程等。信息网络安全管理安全教育与培训 二、培训内容 3、高级安全培训高级安全培训的对象包括负责信息安全保障体系规划和建设的专业技术人员、信息安全基础设施的设计和工程实施人员。高级安全培训旨在为单位、组织培养信息安全高级管理和技术人才，胜任各级信息安全管理部门中的关键岗位，实现信息安全保障体系的自主规划、管理和项目实施。信息网络安全管理安全教育与培训 二、培训内容 3、高级安全培训 高级安全培训的内容包括：国家和行业与信息安全有关的法律、法规内容，这些法律、法规都是信息安全保障体系的规划和设计过程所必须遵循的基本规定。全面的信息安全技术理论和知识，包括物理安全、网络安全、系统安全

41、、应用安全等各个层次的安全标准和安全机制。全面的信息安全管理理论，包括信息安全管理的国际标准、安全风险评估理论与方法、信息安全方针和策略的指定和维护、组织机构和人员安全管理以及诸如应急响应和灾难恢复之类各项信息安全规范和流程的管理。信息安全工程理论，包括信息安全基础设施从需求分析、详细设计到开发和项目实施过程中，与信息安全相关的管理要素。关键岗位职能与责任，使得培训对象理解与具体岗位相关的职能范围和工作流程。关键岗位包括各级信息安全管理部门负责人、信息安全管理专员、应急响应计划专员、灾难恢复计划专员、安全系统项目实施经理等。信息网络安全管理信息安全管理简介信息安全人员管理 安全教育与培训 信息

42、安全教育和培训由单位、组织和信息安全管理部门定期组织进行。培训结束后，必须进行考核，以检验教育和培训的效果。信息安全管理部门定期组织安全检查，检验信息安全教育和培训的实际效果以及安全规范的遵守和执行情况。信息网络安全管理信息安全管理简介信息安全人员管理 岗位安全考核人员安全管理部门要定期对网络和信息系统所有的工作人员从思想政治和业务表现两方面进行考核。思想政治方面的考核内容包括是否能够遵守法律、法规；是否能够执行单位、组织的安全策略、纪律规范和规章制度；是否能够遵守职业道德，具有良好的劳动服务态度。业务表现方面的考核依据人员的具体职责进行，考核内容包括相关的业务理论水平和实际操作技能，特别是能

43、否严格按照相关的安全管理规范进行业务操作，是否具有较高的信息安全意识。信息网络安全管理信息安全管理简介信息安全人员管理 离岗人员安全管理1、应该建立技术人员离岗的安全管理制度，在人员离岗的同时收回钥匙、移交工作、更换系统口令、撤销帐号，并向离岗人员重新申明其保密义务。2、人员正常离岗之前要旅行移交手续，完成密码、设备、技术资料及相关敏感信息的移交。移交手续包括收回所有的钥匙和证件，归还使用的计算机设备，退还全部技术手册及相关资料，相关系统必须更换口令，取消该人员所使用过的所有帐号，向离岗人员重申其负有的安全保密责任和义务。3、对不情愿被调走的离岗人员，或者因为不适合安全管理要求而被调离的人员，

44、必须严格办理调离手续，必要时应在调离决定通知其本人之前，立即或者提前进行移交手续，不能拖延。4、对于因工作问题而被解聘的人员，应该严格审查其工作问题，相关惩处应该严格按照保密协议的规章执行，如有触犯法律、法规的行为，应依法追究其法律责任。信息网络安全管理信息安全管理简介信息安全制度管理安全管理制度和安全管理规范是对信息安全方针和策略的深化和细化，是安全策略在某一个特定问题或者特定安全系统中的具体体现，安全管理制度必须符合安全策略，并与之保持一致。只要符合国家信息安全法律、法规的规定，符合单位、组织的信息安全策略，各单位、组织即可以根据自身的实际情况和特点，有针对性地制定相关的信息安全管理制度。

45、信息安全管理制度应当覆盖信息安全管理的方方面面，构成一个全面有机的管理体系。信息网络安全管理信息安全管理简介信息安全制度管理 信息安全管理制度应包含以下方面内容：1.安全策略与制度。确定单位、组织拥有明确的信息安全方针以及配套的策略和制度，以实现对信息安全工作的支持和承诺，保证信息安全的资金投入。2.安全风险管理。信息安全建设不是避免风险的过程，而是管理风险的过程。没有绝对的安全，风险总是存在的。信息安全体系建设的目标就是要把风险控制在可以接受的范围之内。风险管理同时也是一个动态持续的过程。3.人员和组织安全管理。建立组织机构，明确人员岗位职责，提供安全教育与培训；对第三方人员进行管理、协调信

46、息安全监管部门与其他部门之间的关系，保证信息安全工作的人力资源要求，避免由于人员和组织上的错误产生的信息安全风险。信息网络安全管理信息安全管理制度应包含以下方面内容：4.环境和设备安全管理。控制由于物理环境和硬件设施的不当所产生的风险。管理内容包括物理环境安全、设备安全、介质安全等。5.网络和通信安全管理。控制和保护网络和通信系统，防止其受到破坏和滥用，避免和减低由于网络和通信系统的问题对业务系统的损害。6.主机和系统安全管理。控制和保护计算机主机及其系统，防止其受到破坏和滥用，避免和降低由此对业务系统的损害。7.应用和业务安全管理。对各类应用和业务系统进行安全管理，防止其受到破坏和滥用。8.

47、数据安全和加密管理。采用数据加密和完整性保护机制，防止数据被窃取和篡改，保护业务数据的安全。9.项目工程安全管理。保护信息吸引项目工程过程的安全，确保项目的成果是可靠的安全系统。信息网络安全管理信息安全管理制度应包含以下方面内容：10.运行和维护安全管理。保护信息系统在运行期间的安全，并确保系统维护工作的安全。11.业务连续性管理。通过设计和执行业务连续性计划，确保信息系统在任何灾难和攻击下，都能够保证业务的连续性。12.合规性（符合性）管理。确保信息安全保障工作符合国家法律、法规的要求，且信息安全方针、规定和标准得到了遵循。信息网络安全管理信息安全管理简介信息安全制度管理信息安全管理制度示例

48、 物理环境安全管理规范 终端计算机安全使用规范 防火墙系统管理规范信息网络安全管理物理环境安全管理规范1.安全域根据计算机机房内部设备的功能、性质、任务、类型以及重要程度不同，同时为了防止非法进入、危害和干扰，确保内部设备的运行安全和信息安全，应当在计算机机房内部划分安全域。计算机机房内部的安全域包括主机、网络、打印、操作、介质、电源、空调等，对于特别重要的安全域，如主机、网络、介质、主控等，应当设立完全独立的房间和控制装置，严格控制人员的出入。对于高污染的打印设备，应当远离主机、介质安全域，并安排专门的环境。2.门禁控制计算机机房是信息处理的重要场所，计算机机房内部的重要区域（如机房大门、主

49、机安全域、网络设备安全域、介质安全域、主控安全域）必须设置控制人员出门的门禁系统（如磁卡、IC卡、指纹识别等），并建立24小时值班制度。门禁系统按照最小授权原则，严格控制计算机机房及内部各安全域的人员出入。根据进入机房人员的岗位职责，对其实行不同区域的授权。外单位人员因工作需要，必须经批准登记，在专人陪同下，进入计算机机房的指定区域。信息网络安全管理物理环境安全管理规范3.监控与报警计算机机房必须安装场地监控系统，对电源、防水、放火等环境安全设备进行集中监控，自动登记机房环境的温度、湿度、电压、漏水等状况，在检测到异常情况时，自动报警。计算机机房必须安装摄像监控系统，对机房大门和重要区域进行监

50、控和记录，在发现异常情况时，启动报警系统。计算机机房的报警系统应当与保卫部门的保安系统以及公安110系统实现联动。4.人员安全管理计算机机房工作岗位属于关键岗位，对机房工作人员除了进行岗位操作和技能培训外，还必须进行相应的信息安全、职业道德、法律规范的培训，才能上岗工作。人力资源部门和信息安全管理部门应定期对机房工作人员进行考核，对于不能达到考核标准的人员，应该立即调离。对于机房工作人员，按照其工作岗位职能进行不同级别的授权，严格控制人员访问机房内部区域的权限，确保机房物理环境的安全。信息网络安全管理物理环境安全管理规范5.设备放置与保护计算机机房内的设备应放置在安全位置，降低环境和事故造成的