信息安全管理组织与人员安全管理.pptxVIP

第五章 组织与人员安全管理; 01 信息安全管理组织;管理的实现必须依赖组织行为，做好信息安全工作必须建立与信息系统规模和重要程度相适应的安全组织。;大规模的信息系统要设立安全领导小组，由主管领导负责，同时建立或明确一个职能部门负责日常安全管理工作。规模小的信息系统应设立信息系统安全管理员。不论组织规模大小，安全组织都应有最基本的职能，即保证信息系统的安全。 ; 为了确保国家及组织的信息安全，在我国构建了四个层面的信息安全管理组织：各部委信息安全管理部门、各省信息安全管理部门、各基层信息安全管理部门以及经营单位。;基本任务是在政府主管部门的管理指导下，由与系统有关的各方面专家，定期或适时进行风险评估，根据单位的实际情况和需要，确定信息系统的安全等级和管理总体目标，提出相应的对策并监督实施，使得单位信息系统的安全保护工作能够与信息系统的建设、应用和发展同步前进。; 1）信息安全组织应当由单位安全负责人领导，绝对不能隶属于信息系统运营或应用部门。 2）安全组织是本单位的常设工作职能机构，其具体工作应当由专门的安全负责人负责。 3）安全组织的成员类型应具有全面性，例如包括硬件、软件、系统分析、审计、人事、保卫、通信、本单位应用业务，以及其他所需要的业务技术专家等人员。 4）安全组织一般有着双重的组织联系，既接受当地公安机关计算机或信息安全监察部门的管理、指导，又有与本业务系统上下级间的安全管理工作关系。;1）具备由主管领导负责的逐级信息安全防范责任制，各级的职责划分明确； 2）信息系统使用部门或岗位的安全责任应明确； 3）安全组织人员的构成要合理，能切实发挥职能作用； 4）有健全的安全管理规章制度，按照国家有关法律法规规定，建立和完善各项安全管理规章制度。 5）普及信息安全知识、提高信息安全意识，重点岗位人员进行专门培训和考核，持证上岗； 6）定期进行信息系统风险评估，实行等级保护制度，制定安全政策； 7）在实体安全、系统安全、运行安全和网络安全等方面采取必要的安全措施； 8）对本部门信息系统??安全保护工作有档案记录和应急计划； 9）严格执行信息安全事件上报制度，对信息系统安全隐患能及时发现并及时采取整改措施； 10）对信息系统安全保护工作定期总结评比，奖惩严明。;5.1.2 企业信息安全管理组织;5.1.2 企业信息安全管理组织;5.1.2 企业信息安全管理组织;第五章 组织与人员安全管理;第五章 组织与人员安全管理;第五章 组织与人员安全管理;第五章 组织与人员安全管理;第五章 组织与人员安全管理;第五章 组织与人员安全管理