信息安全管理第7章.pptVIP

第七章 机构与物理安全;一、安全组织 1.信息安全组织机构 －－信息安全三分靠技术，七分靠管理，建立有效 的信息安全管理组织机构是信息安全管理的基础。 不健全的安全管理机制是信息安全最大的薄弱点;（1）建立信息安全管理的议事决策机构――信息 安全管理论坛 －－信息安 全 管 理 论 坛由组织的最高管理层及 与信息安全管理有关的部门负责人、管理技术人员 组成，定期召开会议，就以下重要信息安全议题进 行讨论并做出决策，为组织信息安全管理提供导向 与支持;评审和审批信息安全方针 分配信息安全管理职责 确认风险评估的结果 对 与 信 息 安全 管 理有关的重大更改事项进行决策 评审和监测信息安全事故 审批与信息安全管理有关的其他重要事项 ;－－组织最高管理者在管理层指定一名信息安全管 理经理，分管组织的信息安全管理事???，负责组织 的信息安全方针的贯彻与落实，就信息安全管理的 效果与有关重大问题及时与最高管理者进行沟通;（2） 在组织内部，建立一个内部协调机制便于信 息安全控制的具体实施 －－对于规模较大的组织，一项安全控制活动需要 多个部门的共同参与才能得以实现，为能迅速解决 控制过程出现的问题，防止内部互相推诿的现象发 生，提高工作效率，由与信息安全有关的部门代表 组成的一个跨部门管理论坛，解决一些实际的问题;（3） 明确规定保护信息资产和执行具体安全过程 的责任 －－职责缺乏或界定不清，最终导致控制得不到有 效的实施，形成管理风险 －－组织最高管理者应确保对以下职责进行规定并 形成书面文件 管理层职责 部门职责 信息安全有关的管理、操作、验证等人员的职责;（ 4 ）建立信息处理设施授权程序 －－信息处理设施包括计算机网络设施、通信设施、 电子办公设施、网络安全设施、实物安全保护设施 等等 －－以下提供具体控制措施 对新购进的信息处理设施履行审批手续，审批内容包括设施的使用目的、场所及安全技术要求;设施在正式安装或投入使用前进行安全技术方面的验证，如检查软硬件兼容性问题。 对信息处理设施的使用者进行授权，明确使用者保护信息处理设施的责任，防止信息处理设施的滥用 对于在工作场所使用个人信息处理设施的情况进行评定并予以授权;（ 5 ）建立渠道，获取信息安全的建议 －－信息安全性的某些方面对于外行来说是复杂的 和困难的，有时对内行来说同样是复杂的和困难的 －－组织可通过以下方式，获取信息安全方面的建 议以支持信息安全管理 从组织内部挑选懂技术和管理的信息安全方面的专家，为管理层提供信息安全解决方案，参与安全事故的调查，解答内部员工工作遇到的实际问题并及时提供预防性的安全咨询建议;从外部专家那里获得信息安全建议，例如从网络设备商、网络安全机构那里等。 从公开的信息渠道获取有关的信息安全建议，如专业出版物、网络安全机构的定期公告等。;（6）加强与其他组织间的协作 －－国家与信 息 安 全有 关 的执法机构、管理 机 关 有 公 安 部、安 全部、保密局、商用密码管理 办公室、信息产业部等 －－组织有必要保持与当地执法机关、管理机关、 信息服务供应商和电信运营商的适当联系，以确保 在出现安全事故时尽快采取适当的行动和取得建议;（7）对组织信息安全进行独立评审 －－内部审核由组织内部接受信息安全管理体系审 核培训的、且有一定经验和技能的内部审核员进行。 在正式审核前应成立审核组，任命审核组长，对审 核方案进行策划，按计划进行审核 －－所谓审核的独立性是指审核员与被审核方保持 适当的独立性，即审核员不应审核自己的工作，确 保审核结果的公正和可靠;－－若组织规模小，也可以从外部聘请专业审核机 构或审核人员进行内部审核 －－组织为寻求对外提供信息安全信任，可进行第 三方认证，对于外部的审核人员所带来的风险应予 以识别，并进行充分的控制;2.第三方访问安全 （1）识别出第三方访问的风险 －－第三方访问是指除组织员工以外的其他组织或 人员对组织信息处理设施和信息资产的访问 －－访问类型包括实物访问和逻辑访问 －－第三方可能由于一系列原因被许可访问，包括 临时访问和常驻现场两种形式;－－信息可能由于安全管理不当而面临第三方访问 的风险，第三方访问所带来的典型的威胁是资源的 未经授权的访问和错误使用。组织应对第三方访问 的活动进行风险评估，具体确定控制要求;（2）第三方访问控制措施 －－根据对第三方访问风险评估的结果，采取适宜 的控制方法对其进行安全控制 对第三方访问实行访问授权管理，未经授权的第三方不得进行任何方式的访问 对于经过授权进行实物访问的第三方应佩带易于识别的标志，在其访问重要信息安全场所应有专人陪同，并告知访问人员有关的重要安全注意事项等;对于长期访问（进行长期逻辑访问