[信息安全管理与监管.docVIP

信息安全管理与监管 宗勇 云南大学网络与信息中心主任 信息安全管理与使用技术知识第二章，信息安全管理与监管。本章包含五题内容。技术与管理的关系一直是信息安全工作的热点问题，从BISS公布的数据看，超过70%的信息安全事故如果事先加强管理都是可以得到避免的，也就是三分技术，七分管理，二者并重。 一、信息安全管理组织、人员和制度 第一题，信息安全管理组织、人员和制度。信息安全的组织机构是实施信息安全管理的必要保证。如图所示，信息安全管理组织主要包括安全审查和决策机构、安全主管机构、安全运行维护机构、安全审计机构、安全培训和安全工作人员。通常用信息安全问题是由单位内部的专门机构控制和管理的，必要时，应与外部相关组织进行沟通协调，各单位在进行自身信息安全管理工作时应与与公安机关公共信息网络安全监察部门密切配合。 主要体现如图所示的三个层次。符合性（合规性）管理：是指单位、组织根据自身业务特点和具体情况所制定的信息安全管理办法和规范，必须符合国家信息安全相关法律、法规的规定。符合性从单位自身微观的层次上体现了信息安全管理与国家的宏观的信息安全管理的一致和配合。 信息安全的人员管理，人员的素质是提高信息安全性致关重要的因素。信息安全的人员管理中，人员因素是信息安全管理环节中最重要的一环，全面提高人员的技术水平、道德品质、政治觉悟和安全意识是信息安全的重要保障。信息安全工作人员管理包括安全审查、安全保密管理、安全教育培训、岗位安全考核、离岗人员安全管理等几个方面。 事实证明，许多安全事件都是由内部人员造成的，因些对于关键岗位必须建立严格的人员安全审查制度，把好人员安全管理的第一关，各单位的信息系统和内部资源应跟极其敏感程度和重要程度进行密集划分，信息资源的密集直接决定了接触和管理试信息资源的岗位对人员安全等级的要求，因依此要求建立相应的人员安全审查的标准，人员的安全审查应该从安全意识、法律意识、安全技能等几方面进行，应试具有政治可靠、思想进步、作风正派、技术合格等基本素质，关键岗位人员的审查标准。 信息系统的关键岗位人员的审查标准应具有以下几个方面，一般必须是单位组织的正式员工、必须经过严格的政审、背景和资历调查、必须经过业务能力的综合考核、不得出现在其他关键岗位兼职的情况。应根据单位、组织相关秘密保护办法与信息安全工作人员签订保密协议，通过保密协议约定工作范围、工作期限以及处罚和审查事项等。同时应定期对安全工作人员进行法律法规、方针政策、操作流程和技能的训练与考核。 培训内容主要有三个方面，第一基本安全教育及基本概念可能存在的威胁和风险、理解相关方针和规章制度、提高安全意识、掌握基本安全操作概念。二、专业安全方面的培训及职业道德教育与岗位相关安全技术理论培训、岗位职能和操作技能培训。第三方面，安全的高级培训及国家和行业相关法律法规、全面的安全技术理论和知识、全面的安全管理理论、安全工程理论、关键岗位职能与责任的培训。 定期的考核，岗位安全考核，主要是从思想政治和业务表现两方面进行。对于离岗人员安全管理，应该按照离岗的不同原因，建立技术人员离岗的安全管理制度：一、正常离岗人员。正常离岗之前要旅行移交手续，完成密码、设备、技术资料及相关敏感信息的移交。相关系统必须更换口令，取消该人员所使用过的所有帐号，向离岗人员重申安全保密责任和义务。二、强制离岗人员，必须严格办理调离手续，必要时应在调离决定通知其本人之前，立即或者提前进行移交手续，不能拖延。第三种情况，因工作问题被解聘人员，应该严格审查其工作问题，严格执行相关处罚，若有触犯法律、法规的行为，应依法追究其法律责任。在信息安全的制度管理方面，应该结合本单位的实际情况，编制完整的、全面的、分层次的信息安全的制度管理制度和规范，并加以认真贯彻落实。 下面列举三个信息安全管理制度：一、物理环境安全管理规范，它包括安全域、门禁控制、监控与报警、电源和电缆管理、环境管理与维护、设备常规管理、变更管理、事故处理等。二、终端计算机安全使用规范，包括安装防病毒软件、操作系统定期自动升级、密码保护、IE安全级别设置、邮件管理、重要文件备份等。三、包括防火墙系统管理规范，包括明确岗位职责、防火墙的规划部署、配置测试；状态监控、日志分析、安全事件的响应处理等。 二、互联网、重点单位信息安全管理 第二个问题，互联网、重点单位信息安全管理。《计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《互联网安全保护技术措施规定》的国家现行的法律法规，在安全保护职责、安全管理制度、安全保护技术措施、禁止行为等方面对互联网服务提供者、互联网数据中心 、联网使用单位做出明确的规定和要求。 其中，《计算机信息网络国际联网管理暂行规定》第13条规定，从事国际联网业务的单位和个人应当遵守国家有关法律、行政法