06组织与人员安全管理.pptx

第6章 组织与人员安全管理内容提要◎国家信息安全组织◎企业信息安全组织 ◎信息安全的角色与职务◎人员安全及其教育、培训和意识提升6.1 国家信息安全组织宏观 《中华人民共和国计算机信息系统安全保护条例》第四条：“公安部主管全国的计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学角色等重要领域的计算机信息系统的安全”。微观 《中华人民共和国计算机信息系统安全保护条例》第十三条：“计算机信息系统的使用单位应当建立健全安全管理制度，负责本单位计算机信息系统的安全保护工作”。6.1 国家信息安全组织6.1.1 信息安全组织的基本要求信息安全组织应当由单位安全负责人领导具体工作应当由专门的安全负责人负责 安全组织成员类型的多样性 安全组织有着双重的组织联系 信息安全组织的运行应独立于信息系统的运行，同时是一个综合性的组织。6.1.2 信息安全组织的基本标准逐级信息安全防范责任制，各级的职责划分明确明确信息系统使用部门或岗位的安全责任有专职或兼职的安全员有健全的安全管理规章制度在工作人员中普及安全知识定期进行信息系统风险评估，并对信息安全实行等级保护制度在安全各方面采取必要的安全措施对本部门信息系统的安全保护工作有档案记录和应急计划严格执行信息安全事件上报制度对信息系统安全保护工作定期总结评比 6.1.3 信息安全组织的基本任务 在政府主管部门的管理指导下定期或适时进行风险评估，根据本单位的实际情况和需要，确定信息系统的安全等级和管理总体目标，提出相应的对策并监督实施。 6.1.4 信息安全组织的职能负责与信息安全有关方面的决策与实施根据安全需求建立各自信息系统的安全策略和安全目标建立和健全有关的实施细则与各级国家信息安全主管机关、技术和保卫机构建立日常工作关系参与本单位及下属单位的信息系统的安全管理工作建立和健全系统安全操作规程和制度明确信息安全各岗位人员的职责和权限 奖罚并重 执行信息安全报告制度 6.1.5 信息安全组织的规模大型机构 大型机构有1 000台以上的设备需要安全管理，一般都有专门的职员来支持安全项目。 专职安全人员的配置依赖于大量的因素，包括所保护信息的敏感性、行业规则（如金融业和卫生保健业）以及收益率。公司用于人员预算的资源越多，则越有可能保持较大的信息安全人员配置。 注：这主要取决于机构的文化意识。 如果上层管理者认为信息安全只是在浪费时间和资源，那么信息安全项目将得不到有力的支持，信息安全人员所做的努力会被认为与机构的任务相抵触，不利于机构生产率的提高；相反，如果管理层对信息安全有较高的认识并且态度积极，那么安全项目不管是在经济上还是在其他方面都有可能得到很大的支持。6.1.5 信息安全组织的规模 一个典型的大型机构平均有 1 个专职安全管理人员，4 个专职的安全系统管理员或技术员和 15 个兼职人员，这些兼职人员除了其他的工作职责外还有信息安全职责。6.1.5 信息安全组织的规模中型机构 中型机构拥有 100 —1000 台要求安全管理的机器。 这些机构也可能大到足以执行多级安全方法，虽然这种方法是为大型机构提供的，但这些机构也可以使用这种方法，只是专门小组的数量会减少，而每个小组会有更多的功能。 当信息安全部门没有能力为某项功能配置人员，并且机构不支持或要求 IT或其他部门代为执行该项功能时，中型机构趋向于忽略一些特别功能。在这种情况下，CISO 必须增强各小组之间的协作，而且必须有能力执行相关决定 。6.1.5 信息安全组织的规模 中型机构中的全职和兼职员工要明显地少于大型机构，可能只有 1 个全职安全人员，以及 3 个兼职信息安全人员。6.1.5 信息安全组织的规模小型机构 管理少于 100 个系统的小型机构面临特殊的挑战。 小型机构中的信息安全管理常常是一个多面手的责任，他是一个单独的安全管理员，可能会有1 — 2个助手来协助他管理技术工作。由此，安全管理员常常是处理桌面管理、病毒防护以及本地网络安全问题。 小型机构的资源通常有限，所以安全管理员常常会求助于免费软件和黑客软件以降低评估和执行安全的成本。在小型机构中，安全培训与安全意识提升通常实施在一个一对一的基础上，安全管理员直接向需要帮助的用户提出建议。 注：小型机构的规模让它们避免了一些前面提到的威胁。 6.1.5 信息安全组织的规模 小型机构有 1 个全日制安全人员对信息安全负责，或者，更可能是一个全日制 IT 人员在附带管理或指导信息安全工作。当然他可能会有 1—2 个助手协助工作。6.2 企业信息安全组织 建立有效的信息安全组织是企业安全管理的基础。6.2.1 企业信息安全组织的构成信息安全决策机构信息安全管理机构信息安全执行机构6.2.1.1 信息安全决策机构 信息安全决策机构应当由组织的的最高管理层、