第九章电子政务安全体系建设.pptVIP

* * * * * 2021/3/14 * 授权管理基础设施PMI系统的架构 2021/3/14 * 三、电子政务安全制度环境体系 3.1.1信息获取法律 政府信息获取方面的法律主要涉及政府向人民强制获得同意取得相关信息的法律制度。结合电子文件的实际,可将网上发布的行政通告视为一种新的书面形式的行政行为,这样就涉及依法行政和相关法律的诉求问题。 3.1电子政务安全法规建设 2021/3/14 * 三、电子政务安全制度环境体系 3.1.2信息安全和隐私保护法律 制定统一的隐私保护标准如隐私保护法,数字签名的标准,以及对于敏感程度不同的信息制定相应的加密标准,确保政府采集的公众信息安全地存放和维护,加强对信息安全和隐私的有效保护是电子政务安全法规建设的重要内容。此外,电子交易、信用管理、安全认证、在线支付、税收市场准入、信息资源管理方面的法律、法规也需尽快建立。 3.1电子政务安全法规建设 2021/3/14 * 三、电子政务安全制度环境体系 3.2.1统一 信息安标准化建设也是一项系统工程,包括标准管理、标准制定、标准宣传贯彻和监督检查等一系列工作。仅就标准制定一项就涉及到国外标准的收集研究、消化吸收、结合实际、测试验证、起草评审和报批发布等一系列繁杂细致的工作,要做好我国信息安全标准工作,必须加强各部门各行业内部和外部的联合与合作,并逐步形成具有统一性的共同标准。 3.2电子政务安全标准建设 2021/3/14 * 三、电子政务安全制度环境体系 3.2.2分级 在制定信息安全标准时必须考虑安全功能和安全投入的相对关系,采取风险管理与适度安全的原则,这就要求标准必须划分等级,以便按需定级,防止投入不足或投入过大。美国的标准在上世纪七、八十年代只有最高要求一级,后来随着实践的深入和形式的变化,划分成三级。我国的信息安全标准从密码到产品、到系统都应当考虑风险管理和适度安全原则,并以此为基础进行保护等级的划分。 3.2电子政务安全标准建设 2021/3/14 * 三、电子政务安全制度环境体系 3.3.1物理安全 指保护计算机网络设备、设施以及其他媒体免遭地震、水灾和火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。 3.3电子政务安全设施建设 2021/3/14 * 三、电子政务安全制度环境体系 3.3.1物理安全 具体主要包括以下几个方面: 系统运行中的安全隐患,主要包括电源问题、水患与火灾、电磁干扰与泄露以及其他的环境威胁。 物理访问风险与控制,物理安全威胁不单来自于环境,还来自于人为操作失误及各种计算机犯罪行为。 电子政务信息系统的场地与设施安全管理。 3.3电子政务安全设施建设 2021/3/14 * 三、电子政务安全制度环境体系 3.3.2场地设施 机房是信息系统的运行和管理中枢,高可靠的机房是政府电子政务系统稳定运行的关键保障,对业务连续性和数据安全而言具有基础性的意义。内容包括: 场地设施的安全管理分类 场地与设施安全管理要求 出入控制 电磁波、磁场防护 3.3电子政务安全设施建设 2021/3/14 * 四、电子政务安全管理体系 4.1.1安全组织机构 建立有效的安全管理组织机构是电子政务安全管理的基础,其目的在于统一规划各级网络系统的安全,制定完善的安全策略和措施,协调各方面的安全事宜等。 4.1电子政务安全行政管理 2021/3/14 * 四、电子政务安全管理体系 4.1.2安全责任制度 健全的规章制度是电子政务安全管理有效实施的保障,一般应包括: 系统运行维护管理制度 计算机处理控制管理制度 文档资料管理制度 操作和管理人员管理制度 定期检查与监督制度 机房安全管理制度 4.1电子政务安全行政管理 2021/3/14 * 四、电子政务安全管理体系 4.2.1安全风险评估 安全风险评估指确定电子政务系统面临的风险级别,并据此制定风险管理策略,是风险控制的前提和基础。基本步骤包括: 风险识别 风险度量 制定风险管理策略 4.2 电子政务安全风险管理 2021/3/14 * 四、电子政务安全管理体系 4.2.2安全风险控制 安全风险控制指的是根据风险评估阶段的结果,对已标识的风险采取规避、转移和降低等措施,将电子政务系统的安全风险降低到可接受的水平。 选择风险控制手段,包括:预防手段,即通过消除系统缺陷及其被利用的可能性排除系统威胁;限制手段,即将威胁的影响限制在一定范围之内;检测响应手段,即主动进行入侵检测并积极给予响应以消除不利影响等。 4.2 电子政务安全风险管理 2021/3/14 * 四、电子政务安全管理体系 具体而言,电子政务安全人员管理包括人事审查与录用、岗位与责任范围的确定、工作评价、人事档案管理、提升、调动与免职和基础培训等。 4.3电子