- 1、本文档共34页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
信息安全管理;基本内容;14.1 制定信息安全管理策略 ;14.1 制定信息安全管理策略 ;14.1 制定信息安全管理策略 ; 3)策略主题。通常一个组织可能会考虑开发下列主题的信息安全管理策略:①设备和及其环境的安全。②信息的分级和人员责任。③安全事故的报告与响应。④第三方访问的安全性。⑤外围处理系统的安全。⑥计算机和网络的访问控制和审核。⑦远程工作的安全。⑧加密技术控制。⑨备份、灾难恢复和可持续发展的要求。
4)策略签署。信息安全管理策略是强制性的、惩罚性的,策略的执行需要来自管理层的支持,通常是信息安全主管或总经理签署信息安全管理策略。签署人的管理地位不能太低;否则会有执行的难度,如果遭到某高层主管的抵制常会导致策略失败,高层主管的签署也表明信息安全不单单是信息安全部门的事情,还是和整个组织所有成员都是密切相关的。
5)策略的生效时间和有效期。旧策略的更新和过时策略的废除也是很重要的,应该保持生效的策略中包含新的安全要求。; 6)重新评审策略的时机。策略除了常规的评审时机,在下列情况下也需要重新评审:①企业管理体系发生很大变化。②相关的法律法规发生了变化。③企业信息系统或者信息技术发生了大的变化。④企业发生了重大的信息安全事故。
7)与其他相关策略的引用关系。因为多种策略可能相互关联,引用关系可以描述策略的层次结构,而且在策略修改时候也经常涉及其他相关策略的调整,清楚的引用关系可以节省查找的时间。
8)策略解释。由于工作环境、知识背景等原因的不同,可能导致员工在理解策略时出现误解、歧义的情况。因此,应建立一个专门的权威的解释机构或指定专门的解释人员来进行策略的解释。
9)例外情况的处理。策略不可能做到面面俱到,在策略中应提供特殊情况下的安全通道。 ;14.1 制定信息安全管理策略 ;14.2 建立信息安全机构和队伍 ;14.2 建立信息安全机构和队伍 ;14.2 建立信息安全机构和队伍 ;14.2 建立信息安全机构和队伍 ;14.2 建立信息安全机构和队伍 ;14.2 建立信息安全机构和队伍 ;14.2 建立信息安全机构和队伍 ;14.2 建立信息??全机构和队伍 ;14.2 建立信息安全机构和队伍 ;14.2 建立信息安全机构和队伍 ; 15)根据国家和上级保密工作规定,审查系统操作人员对系统信息的使用,审查系统对外发表的信息,防止发生泄密。
16)采取切实可行的措施,防止系统操作人员对系统信息泄露和破坏、篡改数据、防止未经许可越权使用系统资源。
17)建立必要的系统访问批准制度,监督、管理系统外维修人员对系统设备的检修及维护。
18)采取切实可行的措施,防止计算机设备的损坏、改换和盗用。
19)定期做信息系统的漏洞检查,向本组织安全领导小组提供信息安全管理系统的风险分析报告,提出相应的对策和实施计划。
20)负责存取系统和修改系统授权以及系统特权口令。 ; 组织信息安全工作队伍主要包括信息安全员、系统安全员、网络安全员、设备安全员、数据库安全员、数据安全员、防病毒安全员。 ;14.2 建立信息安全机构和队伍 ;14.2 建立信息安全机构和队伍 ;14.2 建立信息安全机构和队伍 ;14.2 建立信息安全机构和队伍 ;14.2 建立信息安全机构和队伍 ;14.2 建立信息安全机构和队伍 ;14.2 建立信息安全机构和队伍 ;14.2 建立信息安全机构和队伍 ;14.3 制定信息安全管理制度 ;14.3 制定信息安全管理制度;14.3 制定信息安全管理制度;14.3 制定信息安全管理制度;14.4 信息安全法律保障 ;本章小结
文档评论(0)