陕西省财政系统信息安全培训课件.ppt

安全管理--建立健全安全管理机构 为保证地市财政网络系统正常、有效和安全地运行，必须首先建立健全一套与之相应的地市财政网络安全管理机构。 (1) 地市财政网络系统安全管理机构是地市财政直接领导下，全面负责地市财政网络系统安全的专门机构，依照国家信息安全法律、法规和政策，执行地市财政最高领导机构关于信息安全的意志。 安全管理--建立健全安全管理机构 (2) 安全管理机构的组织模型为： · 信息安全领导小组； · 信息安全领导小组办公室； · 信息安全处（科）； 安全管理--建立健全安全管理机构 领导小组由有关管理部门和业务部门领导组成，组长由最高行政领导人担任。负责与信息安全有关的规划、建设、投资、人事、安全政策、安全制度、资源利用和事故处理等方面的决策。 领导小组办公室由相关主管部门承担。负责对领导小组的有关决策的实施进行日常管理与内外协调。 信息安全处（科）由信息安全系统的运行机构承担。具体执行信息安全保护和管理的技术性职责。 安全管理--建立健全安全管理机构 (3)安全管理机构的设置为层次结构，分别与地市财政组网层次结构相对应；各个层次的安全管理机构和个人，均有与组网层次业务相对应的安全管理岗位职责；从最高安全管理机构向下逐级规划并领导下一层次机构的安全管理业务，但当信息系统出现重大安全隐患或安全事故时，上级安全管理机构可以越级进行紧急处理。 安全管理--建立健全安全管理制度 结合安全管理原则和安全安全管理机构,还需要制定相应的管理制度并付诸实施 1. 信息安全领导小组职责和工作制度 2. 信息安全领导小组办公室职责和工作制度 3. 企业中心信息安全管理员岗位设置和岗位责任 4. 企业各站点系统安全员岗位设置及岗位责任 安全管理--建立健全安全管理制度 5. 安全事故处理程序规定 6. 操作系统、数据库安全管理规范 7. 涉外应用计算机系统的安全管理 8. 应急计划 9. 防火墙的安全管理规范 10.信息系统（网络）安全性评估规范 11. 系统风险评估与安全需求分析要求 12. 专用安全设备管理制度 安全事故处罚规定 …… 安全管理--地市财政局的安全管理制度 地市财政局的安全管理制度最好形成安全管理制度体系,重点考虑以下三个方面: 1. 与信息安全有关的法律、法规、标准 2. 与地市财政安全技术对应的安全制度 与地市财政管理机构（组织）对应的安全制度 以下方面供参考: 安全管理--安全管理制度 ? ? ? ? 安全管理制度 与信息安全有关的法规与标准 与信息安全有关的法律、法规 《中华人民共和国保守国家秘密法》 《中华人民共和国保守国家秘密法实施办法》 《新闻出版保密规定》 《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国信息网络国际互联网管理暂行规定》 《计算机信息网络国际互联网安全保护管理办法》 《计算机信息系统安全专用产品检测和销售许可证管理办法》 与信息安全有关的技术标准 国家标准《计算机安全保护条例》； 国家标准《计算站场地技术要求》（GB2887-89）； 国家标准《计算机机房用活动地板技术条件》（GB6650-86）； 国家标准《电子设备雷击保护导则》（GB7450-87）；国家标准《信息技术设备的无线电干扰极限值和测量方法》（GB9254-88）； 国家标准《计算站场地安全要求》（GB9361-88）； 安全管理--安全管理制度 与安全技术有关的安全管理制度 物理安全 场地与设施安全管理规章制度 专用安全设备管理制度 计算中心、机房进出管理规定 访问控制 防火墙的安全管理规范 口令字及账户管理规范 用户授权实施细则 通信保密 系统信息安全保密等级划分及保护规范 加密设备管理规定 数据保护 操作系统、数据库安全管理规范 数据安全管理办法 上网数据的审批规定 病毒防范 计算机防范病毒制度、措施、与应急计划 安全备份 系统安全备份规范 数据介质保存规定 应急 安全事故处理程序规定 应急计划 安全评估 系统风险评估与安全需求分析要求 信息系统（网络）安全性评估规范 安全管理--安全管理制度 与组织机构对应的制度 地市财政 信息安全领导小组职责和工作制度 信息安全领导小组办公室职责和工作制度 企业中心信息安全管理员岗位设置和岗位责任 安全策略管理 全系统 网络所有物理连接与配置档案 安全配置档案 存放、保管、修改或变更制度 安全管理—安全管理的实现 从偏重技术辅以管理的角度看安全管理的实现,以网络安全为例 1.网络安全计划 制定网络安全计划时,各项安全策略应具有一致性,不能有强有弱,为一个共同的目标服务. 制定安全计划时应考虑: 信息安全管理—信息安全管理体系P过程 e)分析和评价风险 1)