实训91熟悉信息安全管理.doc

PAGE 22 信息安全技术 第9章 信息安全管理与灾难恢复 PAGE 21 实训 实训9.1 熟悉信息安全管理 熟悉信息安全管理 本节实训与思考的目的是： (1) 熟悉信息安全管理的基本概念和内容。 (2) 通过学习某金融单位的“计算机安全管理规定”，加深理解信息安全管理工作的方法，提高对企业信息安全管理工作的认识。 1 工具/准备工作 在开始本实训之前，请认真阅读本课程的相关内容。 需要准备一台带有浏览器，能够访问因特网的计算机。 2 实训内容与步骤 (1) 概念理解 查阅有关资料，根据你的理解和看法，请回答下列问题。 1) 制定信息安全管理策略时，要遵循哪些主要原则？ 主要领导负责原则.规范定级原则.以人为本原则.适度安全原则.全面防范、突出重点原则.系统、动态原则.控制社会影响原则 2) 根据实际情况，请尝试制定一个关于密码使用的信息安全管理策略。 分权制衡: 减小未授权的修改或滥用系统资源的机会，对特定职能或责任领域的管理功能实施分离、独立审计，避免操作权力过分集中。最小特权：任何实体（如用户、管理员、进程、应用或系统）仅享有该实体需要完成其任务所必需的特权，不应享有任何多余的特权。选用成熟技术：成熟的技术提供了可靠性、稳定性保证，采用新技术时要重视其成熟的程度。如果新技术势在必行，应该首先局部试点，然后逐步推广，减少或避免可能出现的损失。普遍参与：不论信息系统的安全等级如何，要求信息系统所涉及人员普遍参与并与社会相关方面协同、协调，共同保障信息系统的安全。 3) 信息安全管理机构的构成及其主要职责是什么？ 1、在国家认证认可监督管理委员会（以下简称国家认监委）批准的业务范围内，开展认证工作；2、开展信息安全认证相关标准和检测技术、评价方法研发工作，为建立和完善信息安全认证制度提供技术支持；3、在批准的业务范围内，开展认证人员培训工作。开展信息安全技术培训工作；4、依据法律、法规及授权开展涉及信息技术安全领域的相关工作；5、承担对本中心委托检测和检查机构的监督与管理工作；6、依据国家法律、法规及授权开展信息安全相关领域的国际合作与交流活动；7、承办总局和国家认监委交办的其他事项。 4) 为什么说信息安全工程是一个系统工程？ 它不只包含的一个子目，是有多个单位、单项工程组成的 5) 如何理解需求分析与风险评估的重要性？ 一旦需求确定下来，就意味着目标的确定和资源的投入，如果随意地做出决定将来可能会受到惩罚。 (2) 案例学习：某金融管理部门的计算机安全管理规定 本案例是某金融管理部门 (以下简称“本单位”) 制订的计算机安全管理规定 (节选，以下简称《规定》) ，请认真阅读并分析。 第一章??总则 第一条??为加强本单位计算机信息系统安全保护工作，保障计算机信息系统安全、稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》和《金融机构计算机信息安全保护工作暂行规定》等有关法律、法规，制定本规定。 第二条??本规定适用于本单位及其分支机构。 第三条??本单位计算机安全管理工作的指导方针是“预防为主，安全第一，依法办事，综合治理”。“预防为主”是计算机安全管理工作的基本方针。 第四条??本单位计算机安全管理部门应对电子化项目建设的规划、立项、开发、验收、运行及废止各环节进行安全监管。 第五条??本单位计算机安全工作实行统一领导和分级管理。 第二章??计算机安全人员管理 第一节??人员基本要求 第六条??本规定所称计算机安全人员，是指本单位科技部门计算机安全管理机构人员和专 (兼) 职计算机安全管理人员。 第七条??计算机安全人员应当政治过硬、业务素质高、遵纪守法、恪尽职守。 第八条??计算机安全管理机构人员及专职计算机安全管理员应有银行计算机工作三年以上经历，具备本科以上学历。兼职计算机安全管理员应有银行业务工作五年以上或专职计算机维护管理工作三年以上经历，具备专科以上学历。 第九条??违反国家法律、法规和行业规章受到处罚的人员，不得从事计算机安全管理工作。 第十条??计算机安全人员应具有公安部门颁发的计算机安全培训合格证书，并获得本单位颁发的《银行计算机安全检查证》证书。 第二节??人员配备与管理 第十一条??本单位应配备应配备专职或兼职计算机安全管理员。 第十三条??计算机安全人员必须实行持证上岗制度。 第十四条??计算机安全人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。涉及业务核心技术的计算机安全人员调离单位，必须进行离岗审计，并在规定的脱密期后，方可调离。 第三节??职责范围 第十五条　计算机安全管理机构的职责是： (一)?? 贯彻执行计算机安全管理工作领导小组的决议，指导、监督、协调和规范银行系统计算机安全工作； (二)?拟订计算机安全总体规划和计算机安全管理制度，并监督执行；