信息化安全管理策略課件

信息安全管理

本章學習目標：理解策略的含義掌握策略制定的原則、內(nèi)容和編寫方法熟悉信息安全管理機構(gòu)的構(gòu)成了解制定信息安全管理制度的原則了解基本的信息安全法律法規(guī)信息安全管理本章學習目標：9.1制定信息安全管理策略

信息安全管理策略也稱信息安全方針，是組織對信息和信息處理設(shè)施進行管理、保護和分配的準則和規(guī)劃，以及使信息系統(tǒng)免遭入侵和破壞而必須采取的措施。它告訴組織成員在日常的工作中什么是必須做的，什么是可以做的，什么是不可以做的；哪里是安全區(qū)，哪里是敏感區(qū)，就像交通規(guī)則之于車輛和行人，信息安全策略是有關(guān)信息安全方面的行為規(guī)范。一個成功的安全策略應當遵循：1）綜合平衡(綜合考慮需求、風險、代價等諸多因素)。2）整體優(yōu)化(利用系統(tǒng)工程思想，使系統(tǒng)總體性能最優(yōu))。3）易于操作和確?？煽俊?/p>

9.1.1信息安全管理策略概述9.1制定信息安全管理策略信息安全管理策略也稱信息9.1制定信息安全管理策略

在制定信息安全管理策略時，要嚴格遵守以下主要原則。

1）目的性。策略是為組織完成自己的信息安全使命而制定的，策略應該反映組織的整體利益和可持續(xù)發(fā)展的要求。

2）適用性。策略應該反映組織的真實環(huán)境和信息安全的發(fā)展水平。

3）可行性。策略應該具有切實可行性，其目標應該可以實現(xiàn)，并容易測量和審核。沒有可行性的策略不僅浪費時間還會引起政策混亂。

4）經(jīng)濟性。策略應該經(jīng)濟合理，過分復雜和草率都是不可取的。

5）完整性。能夠反映組織的所有業(yè)務流程的安全需要。

6）一致性。策略的一致性包括下面三個層次：①和國家、地方的法律法規(guī)保持一致；②和組織己有的策略、方針保持一致；③整體安全策略保持一致，要反映企業(yè)對信息安全的一般看法。

7）彈性。策略不僅要滿足當前的組織要求，還要滿足組織和環(huán)境在未來一段時間內(nèi)發(fā)展的要求。9.1.2制定策略的原則9.1制定信息安全管理策略在制定信息安全管理策略時9.1制定信息安全管理策略

理論上，一個完整的策略體系應該保障組織信息的機密性、可用性和完整性。信息安全策略應包含下列一些內(nèi)容：

1）適用范圍。包括人員范圍和時效性，例如“本規(guī)定適用于所有員工”，“適用于工作時間和非工作時間”。不僅要消除本該受到約束的員工有認為自己是個例外的想法，也保證策略不至于被誤解是針對某個員工的；同時也告訴員工本規(guī)定在什么時間發(fā)揮效力。

2）目標。例如，“為確保企業(yè)的經(jīng)營、技術(shù)等機密信息不泄漏，維護企業(yè)的經(jīng)濟利益，根據(jù)國家有關(guān)法律，結(jié)合企業(yè)實際，特制定本條例?！泵鞔_了信息安全保護對公司是有著重要意義的，而且與國家的法律法規(guī)是一致的。主題明確的策略可能會有更加確切、詳細的目標，如防病毒策略的目標可以是：“為了正確執(zhí)行對計算機病毒（蠕蟲、特洛伊木馬、黑客惡意程序）的預防、偵測和清除過程，特制定本策略”。9.1.3策略的主要內(nèi)容9.1制定信息安全管理策略理論上，一個完整的策略

3）策略主題。通常一個組織可能會考慮開發(fā)下列主題的信息安全管理策略：①設(shè)備和及其環(huán)境的安全。②信息的分級和人員責任。③安全事故的報告與響應。④第三方訪問的安全性。⑤外圍處理系統(tǒng)的安全。⑥計算機和網(wǎng)絡(luò)的訪問控制和審核。⑦遠程工作的安全。⑧加密技術(shù)控制。⑨備份、災難恢復和可持續(xù)發(fā)展的要求。

4）策略簽署。信息安全管理策略是強制性的、懲罰性的，策略的執(zhí)行需要來自管理層的支持，通常是信息安全主管或總經(jīng)理簽署信息安全管理策略。簽署人的管理地位不能太低；否則會有執(zhí)行的難度，如果遭到某高層主管的抵制常會導致策略失敗，高層主管的簽署也表明信息安全不單單是信息安全部門的事情，還是和整個組織所有成員都是密切相關(guān)的。

5）策略的生效時間和有效期。舊策略的更新和過時策略的廢除也是很重要的，應該保持生效的策略中包含新的安全要求。9.1制定信息安全管理策略9.1.3策略的主要內(nèi)容(續(xù))

3）策略主題。通常一個組織可能會考慮開發(fā)下列主題的信

6）重新評審策略的時機。策略除了常規(guī)的評審時機，在下列情況下也需要重新評審：①企業(yè)管理體系發(fā)生很大變化。②相關(guān)的法律法規(guī)發(fā)生了變化。③企業(yè)信息系統(tǒng)或者信息技術(shù)發(fā)生了大的變化。④企業(yè)發(fā)生了重大的信息安全事故。

7）與其他相關(guān)策略的引用關(guān)系。因為多種策略可能相互關(guān)聯(lián)，引用關(guān)系可以描述策略的層次結(jié)構(gòu)，而且在策略修改時候也經(jīng)常涉及其他相關(guān)策略的調(diào)整，清楚的引用關(guān)系可以節(jié)省查找的時間。

8）策略解釋。由于工作環(huán)境、知識背景等原因的不同，可能導致員工在理解策略時出現(xiàn)誤解、歧義的情況。因此，應建立一個專門的權(quán)威的解釋機構(gòu)或指定專門的解釋人員來進行策略的解釋。

9）例外情況的處理。策略不可能做到面面俱到，在策略中應提供特殊情況下的安全通道。

9.1制定信息安全管理策略9.1.3策略的主要內(nèi)容(續(xù))

6）重新評審策略的時機。策略除了常規(guī)的評審時機，在下9.1制定信息安全管理策略9.1.4信息安全管理策略案例9.1制定信息安全管理策略9.1.4信息安全管理策9.2建立信息安全機構(gòu)和隊伍為了保護國家信息的安全，維護國家的利益，各國政府均指定了政府有關(guān)機構(gòu)主管信息安全工作。我國成立了國家信息化領(lǐng)導小組，由國務院領(lǐng)導親自任組長，中央國家機關(guān)有關(guān)部委的領(lǐng)導參加小組的工作。國家信息化領(lǐng)導小組為了強化對信息化工作的領(lǐng)導，對信息產(chǎn)業(yè)部、公安部、安全部、國家保密局等部門在信息安全管理方面進行了職能分工，明確了各自的責任，對于保障我國信息化工作的正常發(fā)展，保護信息安全起到了重要的作用。9.2建立信息安全機構(gòu)和隊伍為了保護國家信息的9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理機構(gòu)一個組織的信息安全對本企業(yè)也是非常重要的，因此，對信息的安全管理是不容忽視的問題，必須要引起組織最高領(lǐng)導層的充分重視。信息安全的管理層級一般分三個層次，每一層級都應有明確的責任制。1）決策機構(gòu)。負責宏觀管理。

2）管理機構(gòu)。負責日常協(xié)調(diào)、管理工作。3）配備各類安全管理、技術(shù)人員。負責落實規(guī)章制度、技術(shù)規(guī)范，處理技術(shù)方面的問題。凡對信息安全有需求的組織，必須成立相應的安全機構(gòu)、配備必要的管理人員和技術(shù)人員、制定規(guī)章制度、配備安全設(shè)備、從而保障信息安全管理工作的正常開展。安全組織機構(gòu)對信息系統(tǒng)的安全管理工作是垂直的，網(wǎng)絡(luò)延伸到哪里，信息安全管理工作就要管到哪里，下一級信息安全組織機構(gòu)必須無條件地接受上一級安全組織機構(gòu)的領(lǐng)導。9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理機構(gòu)(續(xù))

1．信息安全領(lǐng)導小組（1）領(lǐng)導小組成員

1）信息安全領(lǐng)導小組組長由組織主要領(lǐng)導擔任。

2）其他成員由計算機、通信、綜合信息、保衛(wèi)、保密、人事、監(jiān)察等有關(guān)方面的負責人擔任。

信息安全領(lǐng)導小組是組織中信息安全工作最高領(lǐng)導決策機構(gòu)，不隸屬任何部門，直接對組織最高領(lǐng)導層負責。領(lǐng)導小組是常設(shè)機構(gòu)，有例會工作制度；領(lǐng)導小組負責本組織、本系統(tǒng)信息安全工作的宏觀領(lǐng)導。9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理機構(gòu)(續(xù))

（2）領(lǐng)導小組職能

1）制定與信息安全有關(guān)的長遠規(guī)劃、建設(shè)，研究信息安全工作的資金投入、安全（技術(shù)、管理）策略、資源利用，處理信息安全的重大事故，決定信息安全的人事問題。

2）根據(jù)國家信息安全的法律、法規(guī)、制度和規(guī)范，結(jié)合本組織的實際，批準本組織信息安全方面的規(guī)章制度、實施細則、安全目標崗位責任制。

3）領(lǐng)導本組織信息系統(tǒng)的安全工作，并監(jiān)督整個信息系統(tǒng)安全體系的日常工作。安全負責人要接受本組織信息安全領(lǐng)導小組和信息安全領(lǐng)導小組辦公室的領(lǐng)導。

4）領(lǐng)導本組織所屬的信息安全工作機構(gòu)，定期召開信息安全工作會議，研究布置工作，解決重大問題。

5）定期向組織最高領(lǐng)導層匯報信息安全工作情況，取得最高層領(lǐng)導對信息安全工作的支持。

6）審核批準安全年報、安全教育計劃。

7）表彰信息安全工作先進者，處置違規(guī)行為。9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理機構(gòu)(續(xù))

（3）領(lǐng)導小組決策的主要內(nèi)容

1）審核系統(tǒng)安全管理人員的各種安全報告，并做出相關(guān)的決定。

2）決定信息系統(tǒng)和信息的安全等級。

3）決定信息系統(tǒng)是否要采取安全措施。

4）作出新的信息安全風險評測，決定是否增加安全措施。

5）決定所采用安全保護措施的投入資金量。

6）批準系統(tǒng)安全管理人員草擬或修改的各種安全策略手冊。

7）審定并公布本組織信息安全規(guī)章制度。

8）仲裁本組織信息安全事故的責任。

9）決定系統(tǒng)安全管理人員的任免。

10）所形成的決定性意見，以信息安全領(lǐng)導小組名義，用決策決定書的形式公告。9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理機構(gòu)(續(xù))

（4）領(lǐng)導小組決策的依據(jù)

1）系統(tǒng)信息安全管理員提供的報告。

2）信息安全現(xiàn)狀報告。

3）安全新風險分析報告。

4）本組織新增加的安全保密防范措施。

5）組織信息安全事故初步分析報告。

6）新增加安全措施的經(jīng)費報告。

7）新增加安全措施的效益估計。

8）信息的安全現(xiàn)狀及對組織效益的影響。9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理機構(gòu)(續(xù))

2．信息安全顧問委員會

組織信息安全顧問委員會以信息安全領(lǐng)導小組成員為核心，邀請本組織或社會上信息安全、法律政策、行政（企業(yè)）管理、技術(shù)專家、組織策劃等有關(guān)方面專家學者參加，組成智囊團，對組織信息安全領(lǐng)導小組負責。

委員會定期或不定期為信息安全管理提供最新的安全動態(tài)、面臨的風險、技術(shù)，改進建議和應對措施，并為組織提供咨詢服務，組織信息安全顧問委員會是非常設(shè)機構(gòu)，不一定需要例會制度。9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理機構(gòu)(續(xù))

3．信息安全領(lǐng)導小組辦公室（信息中心）

信息安全領(lǐng)導小組辦公室（信息中心）是在信息安全領(lǐng)導小組直接領(lǐng)導下進行工作，為常設(shè)機構(gòu)，有例會工作制度，負責處理本組織信息安全管理的日常工作。（1）辦公室組成人員

1）信息安全領(lǐng)導小組辦公室主任負責組織、處理信息安全方面大量的日常工作，有些工作技術(shù)性比較強，因此需要懂技術(shù)的信息中心主要負責人（CIO）擔任，或由安全負責人擔任，但應有一名懂技術(shù)的信息中心領(lǐng)導擔任副主任，負責技術(shù)管理工作。

2）其他人員由系統(tǒng)管理、系統(tǒng)分析、通信、軟件、硬件、保衛(wèi)、保密、機要、監(jiān)察和人事等有關(guān)方面的工作人員組成。9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理機構(gòu)(續(xù))

3．信息安全領(lǐng)導小組辦公室（信息中心）

（2）辦公室職能

1）接受信息安全領(lǐng)導小組的直接領(lǐng)導;處理信息安全工作的日常工作。

2）制定本組織信息安全的工作制度、安全目標和各級工作人員的權(quán)限、崗位職責。

3）定期向組織信息安全領(lǐng)導小組匯報工作，報告工作計劃。

4）與國家有關(guān)信息安全工作的主管部門、技術(shù)部門建立日常工作聯(lián)系，及時報告重大事件，并協(xié)助有關(guān)部門做好處理工作。

5）制定本系統(tǒng)安全操作規(guī)程制度。

6）負責管理各類安全管理人員，定期或不定期組織安全教育或培訓。

7）定期檢查各部門的安全工作，及時通報檢查結(jié)果和違章行為。

8）負責安全事故調(diào)查，起草安全事故報告，提出處理意見。9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理機構(gòu)(續(xù))

3．信息安全領(lǐng)導小組辦公室（信息中心）

9）聽取所屬組織安全領(lǐng)導小組（負責人）的工作匯報，對報告中的重大問題及時報告組織安全領(lǐng)導小組。

10）對本級和本級所屬安全工作人員進行工作業(yè)績考核，并提出工作人員稱職、不稱職或表彰、處罰的意見。

11）起草年度信息安全工作報告和有關(guān)信息安全宣傳、教育、培訓計劃。

12）審閱控制臺操作記錄、系統(tǒng)日志、系統(tǒng)報警記錄、系統(tǒng)統(tǒng)計活動、警衛(wèi)報告、加班報表以及其他與安全有關(guān)的材料，發(fā)現(xiàn)問題及時作出補救決定。

13）管理、檢查、監(jiān)督、分析系統(tǒng)運行日志和系統(tǒng)監(jiān)督文檔，定期對系統(tǒng)做出安全評價。

14）制定、管理和定期分發(fā)系統(tǒng)及用戶的身份識別號碼、密鑰和口令。9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理

15）根據(jù)國家和上級保密工作規(guī)定，審查系統(tǒng)操作人員對系統(tǒng)信息的使用，審查系統(tǒng)對外發(fā)表的信息，防止發(fā)生泄密。

16）采取切實可行的措施，防止系統(tǒng)操作人員對系統(tǒng)信息泄露和破壞、篡改數(shù)據(jù)、防止未經(jīng)許可越權(quán)使用系統(tǒng)資源。

17）建立必要的系統(tǒng)訪問批準制度，監(jiān)督、管理系統(tǒng)外維修人員對系統(tǒng)設(shè)備的檢修及維護。

18）采取切實可行的措施，防止計算機設(shè)備的損壞、改換和盜用。

19）定期做信息系統(tǒng)的漏洞檢查，向本組織安全領(lǐng)導小組提供信息安全管理系統(tǒng)的風險分析報告，提出相應的對策和實施計劃。

20）負責存取系統(tǒng)和修改系統(tǒng)授權(quán)以及系統(tǒng)特權(quán)口令。9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理機構(gòu)(續(xù))

3．信息安全領(lǐng)導小組辦公室（信息中心）15）根據(jù)國家和上級保密工作規(guī)定，審查系統(tǒng)操作人員對

組織信息安全工作隊伍主要包括信息安全員、系統(tǒng)安全員、網(wǎng)絡(luò)安全員、設(shè)備安全員、數(shù)據(jù)庫安全員、數(shù)據(jù)安全員、防病毒安全員。9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍

1．信息安全工作人員的條件

由于各類信息安全工作人員的工作崗位處于信息系統(tǒng)的核心敏感部位，因此要有比較高的政治素質(zhì)和業(yè)務水平，這些人員應具備以下條件。

1）政治可靠，對組織忠誠。

2）工作認真負責，有敬業(yè)精神。

3）處理問題公正嚴明，不拘私情。

4）熟悉業(yè)務，具有一定的實踐經(jīng)驗。

5）從事網(wǎng)絡(luò)系統(tǒng)操作或管理的工作人員應是具備一定實踐經(jīng)驗的網(wǎng)絡(luò)工程師。組織信息安全工作隊伍主要包括信息安全員、系統(tǒng)安全員、9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍(續(xù))

2．信息安全工作人員的管理原則

1）人員審查原則

2）簽訂保密協(xié)定原則

3）持證上崗原則

4）人員培訓原則

5）人員考核原則

6）權(quán)力分散原則

7）人員離崗原則9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍(續(xù))

3．信息安全工作人員的崗位職責

（1）信息安全員的職責

信息安全員主要負責信息網(wǎng)絡(luò)系統(tǒng)的信息安全和保密信息的管理。其主要職責是：

1）負責涉密信息網(wǎng)信息安全，監(jiān)督檢查涉密信息的報送、接受和傳輸?shù)陌踩浴?/p>

2）負責監(jiān)督檢查信息網(wǎng)對外發(fā)布的信息;保證符合安全保密規(guī)定。

3）負責監(jiān)督檢查各部門的涉密信息的安全保密措施，防止泄密事件的發(fā)生。

4）負責監(jiān)督檢查信息網(wǎng)對國際互聯(lián)網(wǎng)上國家禁止的網(wǎng)站的非法訪問及有害信息的侵入。

5）負責協(xié)助有關(guān)部門對網(wǎng)絡(luò)泄密事件進行調(diào)查與技術(shù)分析。9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍(續(xù))

3．信息安全工作人員的崗位職責

（2）系統(tǒng)安全員的職責

系統(tǒng)安全員主要負責信息網(wǎng)絡(luò)操作系統(tǒng)及服務器操作系統(tǒng)的安全及管理。其主要職責是：

1）負責信息網(wǎng)絡(luò)操作系統(tǒng)和服務器操作系統(tǒng)的安裝、運行和維護、管理，保障系統(tǒng)的安全穩(wěn)定地運行。

2）負責對用戶的身份進行驗證，防止非法用戶進入系統(tǒng)。

3）負責用戶的口令管理，建立口令管理規(guī)程和檢驗創(chuàng)建賬戶機制，避免口令泄露。

4）負責實時監(jiān)控系統(tǒng)，發(fā)現(xiàn)異常及時采取措施，恢復系統(tǒng)正常狀態(tài)。

5）負責對系統(tǒng)各種硬軟件資源的合理分配和科學使用，避免造成系統(tǒng)資源的浪費。9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍(續(xù))

3．信息安全工作人員的崗位職責

（3）網(wǎng)絡(luò)安全員的職責

網(wǎng)絡(luò)安全員主要負責信息網(wǎng)絡(luò)系統(tǒng)的安全保密工作。其主要職責是：

1）負責信息網(wǎng)絡(luò)系統(tǒng)及其網(wǎng)絡(luò)安全保密系統(tǒng)的運行與維護，發(fā)現(xiàn)故障及時排除，保障系統(tǒng)安全可靠地運行。

2）負責配置和管理訪問控制表，根據(jù)安全需求為各用戶配置相應的訪問權(quán)限。

3）負責網(wǎng)絡(luò)審計系統(tǒng)的管理和維護，認真記錄、檢查和保管審計日志。

4）負責檢查系統(tǒng)的安全漏洞和隱患，發(fā)現(xiàn)安全隱患及時進行修復或提出改進意見。

5）負責實時對系統(tǒng)進行非法入侵檢測，防止和阻止“黑客”入侵。9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍(續(xù))

3．信息安全工作人員的崗位職責

（4）設(shè)備安全員的職責

設(shè)備安全員負責對專用計算機安全保密設(shè)備(防火墻、加密機、干擾儀等)的管理、使用和維護。其主要職責是：

1）負責設(shè)備的領(lǐng)用和保管，做好設(shè)備的領(lǐng)用、進出庫、報廢登記。

2）負責設(shè)備的正確使用和安奎運行，并建立詳細的運行日志。

3）負責設(shè)備的清潔和定期的保養(yǎng)維護，并做好維護記錄。

4）負責設(shè)備的維修，制定設(shè)備維修計劃，做好設(shè)備維修記錄。

5）負責對安全保密設(shè)備密鑰的管理與注入。9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍(續(xù))

3．信息安全工作人員的崗位職責

（5）數(shù)據(jù)庫安全員的職責

數(shù)據(jù)庫安全員負責數(shù)據(jù)庫管理系統(tǒng)的安全及維護管理工作。其主要職責是：

1）負責數(shù)據(jù)庫管理系統(tǒng)的安裝、備份和維護，保證系統(tǒng)安全、正常運行。

2）負責定期檢查系統(tǒng)運行情況，檢測并優(yōu)化系統(tǒng)性能。

3）負責檢查數(shù)據(jù)庫系統(tǒng)的用戶權(quán)限，防止非法用戶的侵入和越權(quán)訪問。

4）負責定期檢查數(shù)據(jù)庫數(shù)據(jù)的完整性和可用性，發(fā)現(xiàn)系統(tǒng)故障及時排除，做好系統(tǒng)恢復。9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍(續(xù))

3．信息安全工作人員的崗位職責

（6）數(shù)據(jù)安全員的職責

數(shù)據(jù)安全員負責信息網(wǎng)絡(luò)中運行數(shù)據(jù)的安全。其主要職責是：

1）負責信息網(wǎng)絡(luò)數(shù)據(jù)的安全，保障信息的保密性、完整性和可用性。

2）負責對信息網(wǎng)絡(luò)數(shù)據(jù)備份與災難恢復系統(tǒng)的維護與管理，實時對重要數(shù)據(jù)進行安全備份。

3）負責對信息采集、傳輸及存儲的技術(shù)手段和工作環(huán)境以及介質(zhì)管理各環(huán)節(jié)的監(jiān)督檢查，發(fā)現(xiàn)問題和漏洞及時解決。

4）負責定期對重要數(shù)據(jù)存儲備份介質(zhì)的檢查，防止數(shù)據(jù)的丟失或被破壞。9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍(續(xù))

3．信息安全工作人員的崗位職責

（7）防病毒安全員的職責

防病毒安全員負責信息網(wǎng)絡(luò)系統(tǒng)的計算機病毒的防護工作。其主要職責是：

1）負責計算機防病毒軟件的購置、保管、發(fā)放、升級和安裝。

2）負責信息網(wǎng)絡(luò)系統(tǒng)的計算機病毒的防護，在病毒發(fā)作日前及時發(fā)布公告，并采取必要的預防措施。

3）負責定期對信息網(wǎng)絡(luò)系統(tǒng)進行病毒檢測，發(fā)現(xiàn)系統(tǒng)被計算機病毒感染，及時組織清除病毒。

4）負責計算機病毒防護知識的宣傳教育工作。9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍9.3制定信息安全管理制度信息安全已不只是人們傳統(tǒng)意義上的添加防火墻或路由器等簡單的設(shè)備就可保證的安全，而是成為一種系統(tǒng)和全局的安全。信息安全管理制度是保證信息安全的基礎(chǔ)，需要通過一系列規(guī)章制度的實施，來確保各類人員按照規(guī)定的職責行事，做到各行其職、各負其責，避免責任事故的發(fā)生和防止惡意侵犯。常見的信息安全管理制度主要包括：人員安全管理制度、設(shè)備安全管理制度、運行安全管理制度、安全操作管理制度、應急維護制度、安全等級保護制度；有害數(shù)據(jù)及計算機病毒防范管理制度；敏感數(shù)據(jù)保護制度、安全技術(shù)保障制度、安全計劃管理制度等。9.3制定信息安全管理制度信息安全已不只是人們9.3制定信息安全管理制度9.3.1制定信息安全管理制度的原則制定信息安全管理制度應遵循統(tǒng)一的安全管理原則如下：1）規(guī)范化原則2）系統(tǒng)化原則3）綜合保障原則4）以人為本原則5）首長負責原則6）預防原則7）風險評估原則8）動態(tài)原則9）成本效益原則10）均衡防護原則9.3制定信息安全管理制度9.3.1制定信息安全管理9.3制定信息安全管理制度9.3.2信息安全管理標準——ISO／IECl7799

信息安全管理的原則之一就是規(guī)范化、系統(tǒng)化，如何在信息安全管理實踐中落實這一原則，需要相應的信息安全管理標準。

BS7799標準是英國標準協(xié)會（BSI）制定的國際上具有代表性的信息安全管理體系標準。該標準包括兩個部分：《信息安全管理實施細則》（BS77991：1999）和《信息安全管理體系規(guī)范》（BS77992：1999）。

其中，BS7799-1標準目前已正式轉(zhuǎn)換成ISO國際標準，即《信息安全管理體系實施指南》（IS017799），并于2000年12月1日頒布。它所闡述的主題是安全策略和優(yōu)秀的、具有普遍意義的安全操作。

標準主要討論了如下的主題：建立機構(gòu)的安全策略、機構(gòu)的安全基礎(chǔ)設(shè)施、資產(chǎn)分類和控制、人員安全、物理與環(huán)境安全、通訊與操作管理、訪問控制、系統(tǒng)開發(fā)和維護、業(yè)務連續(xù)性管理、遵循性。

9.3制定信息安全管理制度9.3.2信息安全管理標準9.3制定信息安全管理制度9.3.2信息安全管理標準——ISO／IECl7799

采用ISO/IECl7799標準建立起來的信息安全管理體系(ISMS)，是建立在系統(tǒng)、全面、科學的安全風險評估之上，是一個系統(tǒng)化、文件化、程序化、科學化的管理體系。

它體現(xiàn)預防控制為主思想，強調(diào)遵守國家有關(guān)信息安全的法律、法規(guī)及其它要求，強調(diào)全過程和動態(tài)控制，本著成本費用與風險平衡的原則選擇安全控制方式，保護組織所擁有的關(guān)鍵信息資產(chǎn)，確保信息的保密性、完整性、可用性，對網(wǎng)絡(luò)環(huán)境下的信息安全管理無疑具有十分重要的意義。9.3制定信息安全管理制度9.3.2信息安全管理標準9.4信息安全法律保障

網(wǎng)絡(luò)已深入到社會的各個角落,黑客和病毒給社會帶來的負面影響也隨著網(wǎng)絡(luò)功能的增強而擴大，網(wǎng)絡(luò)的安全性隨之上升到國家安全、公共安全的層面,世界各國亦越來越傾向依靠法律——這個強有力的國家工具來保障網(wǎng)絡(luò)安全。

各國信息安全的立法雖各不相同,但各國信息安全專家對這一點的認識是相同的,即保障信息網(wǎng)絡(luò)安全必須構(gòu)建一個全方位、立體化的防御體系。

我國已初步形成了一個保護網(wǎng)絡(luò)安全的法律體系。我國憲法明確規(guī)定了公民具有保守國家秘密的義務；基本法律中有《保守國家秘密法》，《刑法》分則中的相關(guān)規(guī)定；行政法規(guī)有《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》等；此外，大量的行政規(guī)章和地方性法規(guī)也對計算機信息系統(tǒng)安全作了規(guī)定，如《中國公民計算機互聯(lián)網(wǎng)國際聯(lián)網(wǎng)管理辦法》、《鐵路計算機系統(tǒng)安全管理暫行辦法》、《浙江省計算機安全管理規(guī)定》等。9.4信息安全法律保障網(wǎng)絡(luò)已深入到社會的各個角落,本章小結(jié)

本章從保障的角度介紹了信息安全管理的作用，包括信息安全管理策略的制定、信息安全管理機構(gòu)的設(shè)立和人員構(gòu)成、信息安全管理制度的建立等。這些內(nèi)容的確立必須遵循相關(guān)標準的要求，如ISO17799標準。

最后簡單介紹了信息安全的法律保障體系。本章小結(jié)本章從保障的角度介紹了信息安全管理的作用，包括作業(yè)與實驗

作業(yè)：

針對實際企業(yè)，制訂一份信息安全管理方案。要求含安全策略、人員組成、管理使用制度等內(nèi)容。作業(yè)與實驗作業(yè)：信息安全管理

本章學習目標：理解策略的含義掌握策略制定的原則、內(nèi)容和編寫方法熟悉信息安全管理機構(gòu)的構(gòu)成了解制定信息安全管理制度的原則了解基本的信息安全法律法規(guī)信息安全管理本章學習目標：9.1制定信息安全管理策略

信息安全管理策略也稱信息安全方針，是組織對信息和信息處理設(shè)施進行管理、保護和分配的準則和規(guī)劃，以及使信息系統(tǒng)免遭入侵和破壞而必須采取的措施。它告訴組織成員在日常的工作中什么是必須做的，什么是可以做的，什么是不可以做的；哪里是安全區(qū)，哪里是敏感區(qū)，就像交通規(guī)則之于車輛和行人，信息安全策略是有關(guān)信息安全方面的行為規(guī)范。一個成功的安全策略應當遵循：1）綜合平衡(綜合考慮需求、風險、代價等諸多因素)。2）整體優(yōu)化(利用系統(tǒng)工程思想，使系統(tǒng)總體性能最優(yōu))。3）易于操作和確保可靠。

9.1.1信息安全管理策略概述9.1制定信息安全管理策略信息安全管理策略也稱信息9.1制定信息安全管理策略

在制定信息安全管理策略時，要嚴格遵守以下主要原則。

1）目的性。策略是為組織完成自己的信息安全使命而制定的，策略應該反映組織的整體利益和可持續(xù)發(fā)展的要求。

2）適用性。策略應該反映組織的真實環(huán)境和信息安全的發(fā)展水平。

3）可行性。策略應該具有切實可行性，其目標應該可以實現(xiàn)，并容易測量和審核。沒有可行性的策略不僅浪費時間還會引起政策混亂。

4）經(jīng)濟性。策略應該經(jīng)濟合理，過分復雜和草率都是不可取的。

5）完整性。能夠反映組織的所有業(yè)務流程的安全需要。

6）一致性。策略的一致性包括下面三個層次：①和國家、地方的法律法規(guī)保持一致；②和組織己有的策略、方針保持一致；③整體安全策略保持一致，要反映企業(yè)對信息安全的一般看法。

7）彈性。策略不僅要滿足當前的組織要求，還要滿足組織和環(huán)境在未來一段時間內(nèi)發(fā)展的要求。9.1.2制定策略的原則9.1制定信息安全管理策略在制定信息安全管理策略時9.1制定信息安全管理策略

理論上，一個完整的策略體系應該保障組織信息的機密性、可用性和完整性。信息安全策略應包含下列一些內(nèi)容：

1）適用范圍。包括人員范圍和時效性，例如“本規(guī)定適用于所有員工”，“適用于工作時間和非工作時間”。不僅要消除本該受到約束的員工有認為自己是個例外的想法，也保證策略不至于被誤解是針對某個員工的；同時也告訴員工本規(guī)定在什么時間發(fā)揮效力。

2）目標。例如，“為確保企業(yè)的經(jīng)營、技術(shù)等機密信息不泄漏，維護企業(yè)的經(jīng)濟利益，根據(jù)國家有關(guān)法律，結(jié)合企業(yè)實際，特制定本條例?！泵鞔_了信息安全保護對公司是有著重要意義的，而且與國家的法律法規(guī)是一致的。主題明確的策略可能會有更加確切、詳細的目標，如防病毒策略的目標可以是：“為了正確執(zhí)行對計算機病毒（蠕蟲、特洛伊木馬、黑客惡意程序）的預防、偵測和清除過程，特制定本策略”。9.1.3策略的主要內(nèi)容9.1制定信息安全管理策略理論上，一個完整的策略

3）策略主題。通常一個組織可能會考慮開發(fā)下列主題的信息安全管理策略：①設(shè)備和及其環(huán)境的安全。②信息的分級和人員責任。③安全事故的報告與響應。④第三方訪問的安全性。⑤外圍處理系統(tǒng)的安全。⑥計算機和網(wǎng)絡(luò)的訪問控制和審核。⑦遠程工作的安全。⑧加密技術(shù)控制。⑨備份、災難恢復和可持續(xù)發(fā)展的要求。

4）策略簽署。信息安全管理策略是強制性的、懲罰性的，策略的執(zhí)行需要來自管理層的支持，通常是信息安全主管或總經(jīng)理簽署信息安全管理策略。簽署人的管理地位不能太低；否則會有執(zhí)行的難度，如果遭到某高層主管的抵制常會導致策略失敗，高層主管的簽署也表明信息安全不單單是信息安全部門的事情，還是和整個組織所有成員都是密切相關(guān)的。

5）策略的生效時間和有效期。舊策略的更新和過時策略的廢除也是很重要的，應該保持生效的策略中包含新的安全要求。9.1制定信息安全管理策略9.1.3策略的主要內(nèi)容(續(xù))

3）策略主題。通常一個組織可能會考慮開發(fā)下列主題的信

6）重新評審策略的時機。策略除了常規(guī)的評審時機，在下列情況下也需要重新評審：①企業(yè)管理體系發(fā)生很大變化。②相關(guān)的法律法規(guī)發(fā)生了變化。③企業(yè)信息系統(tǒng)或者信息技術(shù)發(fā)生了大的變化。④企業(yè)發(fā)生了重大的信息安全事故。

7）與其他相關(guān)策略的引用關(guān)系。因為多種策略可能相互關(guān)聯(lián)，引用關(guān)系可以描述策略的層次結(jié)構(gòu)，而且在策略修改時候也經(jīng)常涉及其他相關(guān)策略的調(diào)整，清楚的引用關(guān)系可以節(jié)省查找的時間。

8）策略解釋。由于工作環(huán)境、知識背景等原因的不同，可能導致員工在理解策略時出現(xiàn)誤解、歧義的情況。因此，應建立一個專門的權(quán)威的解釋機構(gòu)或指定專門的解釋人員來進行策略的解釋。

9）例外情況的處理。策略不可能做到面面俱到，在策略中應提供特殊情況下的安全通道。

9.1制定信息安全管理策略9.1.3策略的主要內(nèi)容(續(xù))

6）重新評審策略的時機。策略除了常規(guī)的評審時機，在下9.1制定信息安全管理策略9.1.4信息安全管理策略案例9.1制定信息安全管理策略9.1.4信息安全管理策9.2建立信息安全機構(gòu)和隊伍為了保護國家信息的安全，維護國家的利益，各國政府均指定了政府有關(guān)機構(gòu)主管信息安全工作。我國成立了國家信息化領(lǐng)導小組，由國務院領(lǐng)導親自任組長，中央國家機關(guān)有關(guān)部委的領(lǐng)導參加小組的工作。國家信息化領(lǐng)導小組為了強化對信息化工作的領(lǐng)導，對信息產(chǎn)業(yè)部、公安部、安全部、國家保密局等部門在信息安全管理方面進行了職能分工，明確了各自的責任，對于保障我國信息化工作的正常發(fā)展，保護信息安全起到了重要的作用。9.2建立信息安全機構(gòu)和隊伍為了保護國家信息的9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理機構(gòu)一個組織的信息安全對本企業(yè)也是非常重要的，因此，對信息的安全管理是不容忽視的問題，必須要引起組織最高領(lǐng)導層的充分重視。信息安全的管理層級一般分三個層次，每一層級都應有明確的責任制。1）決策機構(gòu)。負責宏觀管理。

2）管理機構(gòu)。負責日常協(xié)調(diào)、管理工作。3）配備各類安全管理、技術(shù)人員。負責落實規(guī)章制度、技術(shù)規(guī)范，處理技術(shù)方面的問題。凡對信息安全有需求的組織，必須成立相應的安全機構(gòu)、配備必要的管理人員和技術(shù)人員、制定規(guī)章制度、配備安全設(shè)備、從而保障信息安全管理工作的正常開展。安全組織機構(gòu)對信息系統(tǒng)的安全管理工作是垂直的，網(wǎng)絡(luò)延伸到哪里，信息安全管理工作就要管到哪里，下一級信息安全組織機構(gòu)必須無條件地接受上一級安全組織機構(gòu)的領(lǐng)導。9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理機構(gòu)(續(xù))

1．信息安全領(lǐng)導小組（1）領(lǐng)導小組成員

1）信息安全領(lǐng)導小組組長由組織主要領(lǐng)導擔任。

2）其他成員由計算機、通信、綜合信息、保衛(wèi)、保密、人事、監(jiān)察等有關(guān)方面的負責人擔任。

信息安全領(lǐng)導小組是組織中信息安全工作最高領(lǐng)導決策機構(gòu)，不隸屬任何部門，直接對組織最高領(lǐng)導層負責。領(lǐng)導小組是常設(shè)機構(gòu)，有例會工作制度；領(lǐng)導小組負責本組織、本系統(tǒng)信息安全工作的宏觀領(lǐng)導。9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理機構(gòu)(續(xù))

（2）領(lǐng)導小組職能

1）制定與信息安全有關(guān)的長遠規(guī)劃、建設(shè)，研究信息安全工作的資金投入、安全（技術(shù)、管理）策略、資源利用，處理信息安全的重大事故，決定信息安全的人事問題。

2）根據(jù)國家信息安全的法律、法規(guī)、制度和規(guī)范，結(jié)合本組織的實際，批準本組織信息安全方面的規(guī)章制度、實施細則、安全目標崗位責任制。

3）領(lǐng)導本組織信息系統(tǒng)的安全工作，并監(jiān)督整個信息系統(tǒng)安全體系的日常工作。安全負責人要接受本組織信息安全領(lǐng)導小組和信息安全領(lǐng)導小組辦公室的領(lǐng)導。

4）領(lǐng)導本組織所屬的信息安全工作機構(gòu)，定期召開信息安全工作會議，研究布置工作，解決重大問題。

5）定期向組織最高領(lǐng)導層匯報信息安全工作情況，取得最高層領(lǐng)導對信息安全工作的支持。

6）審核批準安全年報、安全教育計劃。

7）表彰信息安全工作先進者，處置違規(guī)行為。9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理機構(gòu)(續(xù))

（3）領(lǐng)導小組決策的主要內(nèi)容

1）審核系統(tǒng)安全管理人員的各種安全報告，并做出相關(guān)的決定。

2）決定信息系統(tǒng)和信息的安全等級。

3）決定信息系統(tǒng)是否要采取安全措施。

4）作出新的信息安全風險評測，決定是否增加安全措施。

5）決定所采用安全保護措施的投入資金量。

6）批準系統(tǒng)安全管理人員草擬或修改的各種安全策略手冊。

7）審定并公布本組織信息安全規(guī)章制度。

8）仲裁本組織信息安全事故的責任。

9）決定系統(tǒng)安全管理人員的任免。

10）所形成的決定性意見，以信息安全領(lǐng)導小組名義，用決策決定書的形式公告。9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理機構(gòu)(續(xù))

（4）領(lǐng)導小組決策的依據(jù)

1）系統(tǒng)信息安全管理員提供的報告。

2）信息安全現(xiàn)狀報告。

3）安全新風險分析報告。

4）本組織新增加的安全保密防范措施。

5）組織信息安全事故初步分析報告。

6）新增加安全措施的經(jīng)費報告。

7）新增加安全措施的效益估計。

8）信息的安全現(xiàn)狀及對組織效益的影響。9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理機構(gòu)(續(xù))

2．信息安全顧問委員會

組織信息安全顧問委員會以信息安全領(lǐng)導小組成員為核心，邀請本組織或社會上信息安全、法律政策、行政（企業(yè)）管理、技術(shù)專家、組織策劃等有關(guān)方面專家學者參加，組成智囊團，對組織信息安全領(lǐng)導小組負責。

委員會定期或不定期為信息安全管理提供最新的安全動態(tài)、面臨的風險、技術(shù)，改進建議和應對措施，并為組織提供咨詢服務，組織信息安全顧問委員會是非常設(shè)機構(gòu)，不一定需要例會制度。9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理機構(gòu)(續(xù))

3．信息安全領(lǐng)導小組辦公室（信息中心）

信息安全領(lǐng)導小組辦公室（信息中心）是在信息安全領(lǐng)導小組直接領(lǐng)導下進行工作，為常設(shè)機構(gòu)，有例會工作制度，負責處理本組織信息安全管理的日常工作。（1）辦公室組成人員

1）信息安全領(lǐng)導小組辦公室主任負責組織、處理信息安全方面大量的日常工作，有些工作技術(shù)性比較強，因此需要懂技術(shù)的信息中心主要負責人（CIO）擔任，或由安全負責人擔任，但應有一名懂技術(shù)的信息中心領(lǐng)導擔任副主任，負責技術(shù)管理工作。

2）其他人員由系統(tǒng)管理、系統(tǒng)分析、通信、軟件、硬件、保衛(wèi)、保密、機要、監(jiān)察和人事等有關(guān)方面的工作人員組成。9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理機構(gòu)(續(xù))

3．信息安全領(lǐng)導小組辦公室（信息中心）

（2）辦公室職能

1）接受信息安全領(lǐng)導小組的直接領(lǐng)導;處理信息安全工作的日常工作。

2）制定本組織信息安全的工作制度、安全目標和各級工作人員的權(quán)限、崗位職責。

3）定期向組織信息安全領(lǐng)導小組匯報工作，報告工作計劃。

4）與國家有關(guān)信息安全工作的主管部門、技術(shù)部門建立日常工作聯(lián)系，及時報告重大事件，并協(xié)助有關(guān)部門做好處理工作。

5）制定本系統(tǒng)安全操作規(guī)程制度。

6）負責管理各類安全管理人員，定期或不定期組織安全教育或培訓。

7）定期檢查各部門的安全工作，及時通報檢查結(jié)果和違章行為。

8）負責安全事故調(diào)查，起草安全事故報告，提出處理意見。9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理機構(gòu)(續(xù))

3．信息安全領(lǐng)導小組辦公室（信息中心）

9）聽取所屬組織安全領(lǐng)導小組（負責人）的工作匯報，對報告中的重大問題及時報告組織安全領(lǐng)導小組。

10）對本級和本級所屬安全工作人員進行工作業(yè)績考核，并提出工作人員稱職、不稱職或表彰、處罰的意見。

11）起草年度信息安全工作報告和有關(guān)信息安全宣傳、教育、培訓計劃。

12）審閱控制臺操作記錄、系統(tǒng)日志、系統(tǒng)報警記錄、系統(tǒng)統(tǒng)計活動、警衛(wèi)報告、加班報表以及其他與安全有關(guān)的材料，發(fā)現(xiàn)問題及時作出補救決定。

13）管理、檢查、監(jiān)督、分析系統(tǒng)運行日志和系統(tǒng)監(jiān)督文檔，定期對系統(tǒng)做出安全評價。

14）制定、管理和定期分發(fā)系統(tǒng)及用戶的身份識別號碼、密鑰和口令。9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理

15）根據(jù)國家和上級保密工作規(guī)定，審查系統(tǒng)操作人員對系統(tǒng)信息的使用，審查系統(tǒng)對外發(fā)表的信息，防止發(fā)生泄密。

16）采取切實可行的措施，防止系統(tǒng)操作人員對系統(tǒng)信息泄露和破壞、篡改數(shù)據(jù)、防止未經(jīng)許可越權(quán)使用系統(tǒng)資源。

17）建立必要的系統(tǒng)訪問批準制度，監(jiān)督、管理系統(tǒng)外維修人員對系統(tǒng)設(shè)備的檢修及維護。

18）采取切實可行的措施，防止計算機設(shè)備的損壞、改換和盜用。

19）定期做信息系統(tǒng)的漏洞檢查，向本組織安全領(lǐng)導小組提供信息安全管理系統(tǒng)的風險分析報告，提出相應的對策和實施計劃。

20）負責存取系統(tǒng)和修改系統(tǒng)授權(quán)以及系統(tǒng)特權(quán)口令。9.2建立信息安全機構(gòu)和隊伍9.2.1信息安全管理機構(gòu)(續(xù))

3．信息安全領(lǐng)導小組辦公室（信息中心）15）根據(jù)國家和上級保密工作規(guī)定，審查系統(tǒng)操作人員對

組織信息安全工作隊伍主要包括信息安全員、系統(tǒng)安全員、網(wǎng)絡(luò)安全員、設(shè)備安全員、數(shù)據(jù)庫安全員、數(shù)據(jù)安全員、防病毒安全員。9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍

1．信息安全工作人員的條件

由于各類信息安全工作人員的工作崗位處于信息系統(tǒng)的核心敏感部位，因此要有比較高的政治素質(zhì)和業(yè)務水平，這些人員應具備以下條件。

1）政治可靠，對組織忠誠。

2）工作認真負責，有敬業(yè)精神。

3）處理問題公正嚴明，不拘私情。

4）熟悉業(yè)務，具有一定的實踐經(jīng)驗。

5）從事網(wǎng)絡(luò)系統(tǒng)操作或管理的工作人員應是具備一定實踐經(jīng)驗的網(wǎng)絡(luò)工程師。組織信息安全工作隊伍主要包括信息安全員、系統(tǒng)安全員、9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍(續(xù))

2．信息安全工作人員的管理原則

1）人員審查原則

2）簽訂保密協(xié)定原則

3）持證上崗原則

4）人員培訓原則

5）人員考核原則

6）權(quán)力分散原則

7）人員離崗原則9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍(續(xù))

3．信息安全工作人員的崗位職責

（1）信息安全員的職責

信息安全員主要負責信息網(wǎng)絡(luò)系統(tǒng)的信息安全和保密信息的管理。其主要職責是：

1）負責涉密信息網(wǎng)信息安全，監(jiān)督檢查涉密信息的報送、接受和傳輸?shù)陌踩浴?/p>

2）負責監(jiān)督檢查信息網(wǎng)對外發(fā)布的信息;保證符合安全保密規(guī)定。

3）負責監(jiān)督檢查各部門的涉密信息的安全保密措施，防止泄密事件的發(fā)生。

4）負責監(jiān)督檢查信息網(wǎng)對國際互聯(lián)網(wǎng)上國家禁止的網(wǎng)站的非法訪問及有害信息的侵入。

5）負責協(xié)助有關(guān)部門對網(wǎng)絡(luò)泄密事件進行調(diào)查與技術(shù)分析。9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍(續(xù))

3．信息安全工作人員的崗位職責

（2）系統(tǒng)安全員的職責

系統(tǒng)安全員主要負責信息網(wǎng)絡(luò)操作系統(tǒng)及服務器操作系統(tǒng)的安全及管理。其主要職責是：

1）負責信息網(wǎng)絡(luò)操作系統(tǒng)和服務器操作系統(tǒng)的安裝、運行和維護、管理，保障系統(tǒng)的安全穩(wěn)定地運行。

2）負責對用戶的身份進行驗證，防止非法用戶進入系統(tǒng)。

3）負責用戶的口令管理，建立口令管理規(guī)程和檢驗創(chuàng)建賬戶機制，避免口令泄露。

4）負責實時監(jiān)控系統(tǒng)，發(fā)現(xiàn)異常及時采取措施，恢復系統(tǒng)正常狀態(tài)。

5）負責對系統(tǒng)各種硬軟件資源的合理分配和科學使用，避免造成系統(tǒng)資源的浪費。9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍(續(xù))

3．信息安全工作人員的崗位職責

（3）網(wǎng)絡(luò)安全員的職責

網(wǎng)絡(luò)安全員主要負責信息網(wǎng)絡(luò)系統(tǒng)的安全保密工作。其主要職責是：

1）負責信息網(wǎng)絡(luò)系統(tǒng)及其網(wǎng)絡(luò)安全保密系統(tǒng)的運行與維護，發(fā)現(xiàn)故障及時排除，保障系統(tǒng)安全可靠地運行。

2）負責配置和管理訪問控制表，根據(jù)安全需求為各用戶配置相應的訪問權(quán)限。

3）負責網(wǎng)絡(luò)審計系統(tǒng)的管理和維護，認真記錄、檢查和保管審計日志。

4）負責檢查系統(tǒng)的安全漏洞和隱患，發(fā)現(xiàn)安全隱患及時進行修復或提出改進意見。

5）負責實時對系統(tǒng)進行非法入侵檢測，防止和阻止“黑客”入侵。9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍(續(xù))

3．信息安全工作人員的崗位職責

（4）設(shè)備安全員的職責

設(shè)備安全員負責對專用計算機安全保密設(shè)備(防火墻、加密機、干擾儀等)的管理、使用和維護。其主要職責是：

1）負責設(shè)備的領(lǐng)用和保管，做好設(shè)備的領(lǐng)用、進出庫、報廢登記。

2）負責設(shè)備的正確使用和安奎運行，并建立詳細的運行日志。

3）負責設(shè)備的清潔和定期的保養(yǎng)維護，并做好維護記錄。

4）負責設(shè)備的維修，制定設(shè)備維修計劃，做好設(shè)備維修記錄。

5）負責對安全保密設(shè)備密鑰的管理與注入。9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍(續(xù))

3．信息安全工作人員的崗位職責

（5）數(shù)據(jù)庫安全員的職責

數(shù)據(jù)庫安全員負責數(shù)據(jù)庫管理系統(tǒng)的安全及維護管理工作。其主要職責是：

1）負責數(shù)據(jù)庫管理系統(tǒng)的安裝、備份和維護，保證系統(tǒng)安全、正常運行。

2）負責定期檢查系統(tǒng)運行情況，檢測并優(yōu)化系統(tǒng)性能。

3）負責檢查數(shù)據(jù)庫系統(tǒng)的用戶權(quán)限，防止非法用戶的侵入和越權(quán)訪問。

4）負責定期檢查數(shù)據(jù)庫數(shù)據(jù)的完整性和可用性，發(fā)現(xiàn)系統(tǒng)故障及時排除，做好系統(tǒng)恢復。9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍(續(xù))

3．信息安全工作人員的崗位職責

（6）數(shù)據(jù)安全員的職責

數(shù)據(jù)安全員負責信息網(wǎng)絡(luò)中運行數(shù)據(jù)的安全。其主要職責是：

1）負責信息網(wǎng)絡(luò)數(shù)據(jù)的安全，保障信息的保密性、完整性和可用性。

2）負責對信息網(wǎng)絡(luò)數(shù)據(jù)備份與災難恢復系統(tǒng)的維護與管理，實時對重要數(shù)據(jù)進行安全備份。

3）負責對信息采集、傳輸及存儲的技術(shù)手段和工作環(huán)境以及介質(zhì)管理各環(huán)節(jié)的監(jiān)督檢查，發(fā)現(xiàn)問題和漏洞及時解決。

4）負責定期對重要數(shù)據(jù)存儲備份介質(zhì)的檢查，防止數(shù)據(jù)的丟失或被破壞。9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍9.2建立信息安全機構(gòu)和隊伍9.2.2信息安全隊伍(續(xù))

3．信息安全工作人員的崗位職責

（7）防病毒安全員的職責