实训9-1熟悉信息安全管理..docVIP

本节实训与思考的目的是： (1) 熟悉信息安全管理的基本概念和内容。 (2) 通过学习某金融单位的“计算机安全管理规定”，加深理解信息安全管理工作的方法，提高对企业信息安全管理工作的认识。 1 工具/准备工作 实训内容与步骤1) 概念理解 主要领导负责原则规范定级原则以人为本原则适度安全原则全面防范、突出重点原则系统、动态原则控制社会影响原则分权制衡 减小未授权的修改或滥用系统资源的机会，对特定职能或责任领域的管理功能实施分离、独立审计，避免操作权力过分集中。最小特权任何实体（如用户、管理员、进程、应用或系统）仅享有该实体需要完成其任务所必需的特权，不应享有任何多余的特权。选用成熟技术成熟的技术提供了可靠性、稳定性保证，采用新技术时要重视其成熟的程度。如果新技术势在必行，应该首先局部试点，然后逐步推广，减少或避免可能出现的损失。普遍参与不论信息系统的安全等级如何，要求信息系统所涉及人员普遍参与并与社会相关方面协同、协调，共同保障信息系统的安全。 1、在国家认证认可监督管理委员会（以下简称国家认监委）批准的业务范围内，开展认证工作；2、开展信息安全认证相关标准和检测技术、评价方法研发工作，为建立和完善信息安全认证制度提供技术支持；3、在批准的业务范围内，开展认证人员培训工作。开展信息安全技术培训工作；4、依据法律、法规及授权开展涉及信息技术安全领域的相关工作；5、承担对本中心委托检测和检查机构的监督与管理工作；6、依据国家法律、法规及授权开展信息安全相关领域的国际合作与交流活动；7、承办总局和国家认监委交办的其他事项。它不只包含的一个子目，是有多个单位、单项工程组成的计算机安全管理规定第一章??总则 第一条??为加强本单位计算机信息系统安全保护工作，保障计算机信息系统安全、稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》和《金融机构计算机信息安全保护工作暂行规定》等有关法律、法规，制定本规定。 第二条??本规定适用于本单位及其分支机构。 第三条??本单位计算机安全管理工作的指导方针是预防为主，安全第一，依法办事，综合治理。预防为主是计算机安全管理工作的基本方针。 第四条??本单位计算机安全管理部门应对电子化项目建设的规划、立项、开发、验收、运行及废止各环节进行安全监管。 第五条??本单位计算机安全工作实行统一领导和分级管理。 第二章??计算机安全人员管理 第一节??人员基本要求 第六条??本规定所称计算机安全人员，是指科技部门计算机安全管理机构人员和专 (兼) 职计算机安全管理人员。 第七条??计算机安全人员应当政治过硬、业务素质高、遵纪守法、恪尽职守。 第八条??计算机安全管理机构人员及专职计算机安全管理员应有银行计算机工作三年以上经历，具备本科以上学历。兼职计算机安全管理员应有银行业务工作五年以上或专职计算机维护管理工作三年以上经历，具备专科以上学历。 第九条??违反国家法律、法规和行业规章受到处罚的人员，不得从事计算机安全管理工作。 第十条??计算机安全人员应具有公安部门颁发的计算机安全培训合格证书，并获得本单位颁发的《银行计算机安全检查证》证书。 第二节??人员配备与管理 第十一条??本单位应配备应配备专职计算机安全管理员。 第十三条??计算机安全人员必须实行持证上岗制度。 第十四条??计算机安全人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。涉及业务核心技术的计算机安全人员调离单位，必须进行离岗审计，并在规定的脱密期后，方可调离。 第三节??职责范围 第十五条　计算机安全管理机构的职责是： (一)?? 贯彻执行计算机安全管理工作领导小组的决议，指导、监督、协调和规范银行系统计算机安全工作； (二)?拟订计算机安全总体规划和计算机安全管理制度，并监督执行； (三) 跟踪先进的计算机安全技术，提出计算机安全防范策略； (四) 参与计算机系统工程建设中的安全规划，监督安全措施的执行； (五) 负责计算机安全专用产品的选型，组织计算机信息系统安全的评估和审批； (六) 组织辖内计算机安全检查，分析辖内计算机安全总体状况，提出安全分析报告和安全防范建议； (七) 组织辖内计算机安全知识的培训和宣传工作； (八) 配合有关部门进行计算机安全内部审计和金融计算机犯罪案件调查，打击金融计算机犯罪； (九) 加强与公安机关计算机安全职能部门、政府安全保密职能部门联系，并接受指导； (十) 及时向计算机安全工作领导小组和有关部门、单位报告计算机安全事件。 第十六条　专 (兼) 职计算机安全管理员应履行以下职责： (一) 负责计算机安全管理的日常工作； (二) 开展计算机安全检查工作，对要害岗位人员安全工作进行指导； (三) 开展计算机安全知识的培训和宣传工作； (四) 监控计算机安全总体状况，提出