信息化安全管理策略

信息安全管理

本章學(xué)習(xí)目標(biāo)：理解策略的含義掌握策略制定的原則、內(nèi)容和編寫方法熟悉信息安全管理機(jī)構(gòu)的構(gòu)成了解制定信息安全管理制度的原則了解基本的信息安全法律法規(guī)9.1制定信息安全管理策略

信息安全管理策略也稱信息安全方針，是組織對(duì)信息和信息處理設(shè)施進(jìn)行管理、保護(hù)和分配的準(zhǔn)則和規(guī)劃，以及使信息系統(tǒng)免遭入侵和破壞而必須采取的措施。它告訴組織成員在日常的工作中什么是必須做的，什么是可以做的，什么是不可以做的；哪里是安全區(qū)，哪里是敏感區(qū)，就像交通規(guī)則之于車輛和行人，信息安全策略是有關(guān)信息安全方面的行為規(guī)范。一個(gè)成功的安全策略應(yīng)當(dāng)遵循：1）綜合平衡(綜合考慮需求、風(fēng)險(xiǎn)、代價(jià)等諸多因素)。2）整體優(yōu)化(利用系統(tǒng)工程思想，使系統(tǒng)總體性能最優(yōu))。3）易于操作和確?？煽?。

9.1.1信息安全管理策略概述9.1制定信息安全管理策略

在制定信息安全管理策略時(shí)，要嚴(yán)格遵守以下主要原則。

1）目的性。策略是為組織完成自己的信息安全使命而制定的，策略應(yīng)該反映組織的整體利益和可持續(xù)發(fā)展的要求。

2）適用性。策略應(yīng)該反映組織的真實(shí)環(huán)境和信息安全的發(fā)展水平。

3）可行性。策略應(yīng)該具有切實(shí)可行性，其目標(biāo)應(yīng)該可以實(shí)現(xiàn)，并容易測(cè)量和審核。沒(méi)有可行性的策略不僅浪費(fèi)時(shí)間還會(huì)引起政策混亂。

4）經(jīng)濟(jì)性。策略應(yīng)該經(jīng)濟(jì)合理，過(guò)分復(fù)雜和草率都是不可取的。

5）完整性。能夠反映組織的所有業(yè)務(wù)流程的安全需要。

6）一致性。策略的一致性包括下面三個(gè)層次：①和國(guó)家、地方的法律法規(guī)保持一致；②和組織己有的策略、方針保持一致；③整體安全策略保持一致，要反映企業(yè)對(duì)信息安全的一般看法。

7）彈性。策略不僅要滿足當(dāng)前的組織要求，還要滿足組織和環(huán)境在未來(lái)一段時(shí)間內(nèi)發(fā)展的要求。9.1.2制定策略的原則9.1制定信息安全管理策略

理論上，一個(gè)完整的策略體系應(yīng)該保障組織信息的機(jī)密性、可用性和完整性。信息安全策略應(yīng)包含下列一些內(nèi)容：

1）適用范圍。包括人員范圍和時(shí)效性，例如“本規(guī)定適用于所有員工”，“適用于工作時(shí)間和非工作時(shí)間”。不僅要消除本該受到約束的員工有認(rèn)為自己是個(gè)例外的想法，也保證策略不至于被誤解是針對(duì)某個(gè)員工的；同時(shí)也告訴員工本規(guī)定在什么時(shí)間發(fā)揮效力。

2）目標(biāo)。例如，“為確保企業(yè)的經(jīng)營(yíng)、技術(shù)等機(jī)密信息不泄漏，維護(hù)企業(yè)的經(jīng)濟(jì)利益，根據(jù)國(guó)家有關(guān)法律，結(jié)合企業(yè)實(shí)際，特制定本條例?！泵鞔_了信息安全保護(hù)對(duì)公司是有著重要意義的，而且與國(guó)家的法律法規(guī)是一致的。主題明確的策略可能會(huì)有更加確切、詳細(xì)的目標(biāo)，如防病毒策略的目標(biāo)可以是：“為了正確執(zhí)行對(duì)計(jì)算機(jī)病毒（蠕蟲(chóng)、特洛伊木馬、黑客惡意程序）的預(yù)防、偵測(cè)和清除過(guò)程，特制定本策略”。9.1.3策略的主要內(nèi)容

3）策略主題。通常一個(gè)組織可能會(huì)考慮開(kāi)發(fā)下列主題的信息安全管理策略：①設(shè)備和及其環(huán)境的安全。②信息的分級(jí)和人員責(zé)任。③安全事故的報(bào)告與響應(yīng)。④第三方訪問(wèn)的安全性。⑤外圍處理系統(tǒng)的安全。⑥計(jì)算機(jī)和網(wǎng)絡(luò)的訪問(wèn)控制和審核。⑦遠(yuǎn)程工作的安全。⑧加密技術(shù)控制。⑨備份、災(zāi)難恢復(fù)和可持續(xù)發(fā)展的要求。

4）策略簽署。信息安全管理策略是強(qiáng)制性的、懲罰性的，策略的執(zhí)行需要來(lái)自管理層的支持，通常是信息安全主管或總經(jīng)理簽署信息安全管理策略。簽署人的管理地位不能太低；否則會(huì)有執(zhí)行的難度，如果遭到某高層主管的抵制常會(huì)導(dǎo)致策略失敗，高層主管的簽署也表明信息安全不單單是信息安全部門的事情，還是和整個(gè)組織所有成員都是密切相關(guān)的。

5）策略的生效時(shí)間和有效期。舊策略的更新和過(guò)時(shí)策略的廢除也是很重要的，應(yīng)該保持生效的策略中包含新的安全要求。9.1制定信息安全管理策略9.1.3策略的主要內(nèi)容(續(xù))

6）重新評(píng)審策略的時(shí)機(jī)。策略除了常規(guī)的評(píng)審時(shí)機(jī)，在下列情況下也需要重新評(píng)審：①企業(yè)管理體系發(fā)生很大變化。②相關(guān)的法律法規(guī)發(fā)生了變化。③企業(yè)信息系統(tǒng)或者信息技術(shù)發(fā)生了大的變化。④企業(yè)發(fā)生了重大的信息安全事故。

7）與其他相關(guān)策略的引用關(guān)系。因?yàn)槎喾N策略可能相互關(guān)聯(lián)，引用關(guān)系可以描述策略的層次結(jié)構(gòu)，而且在策略修改時(shí)候也經(jīng)常涉及其他相關(guān)策略的調(diào)整，清楚的引用關(guān)系可以節(jié)省查找的時(shí)間。

8）策略解釋。由于工作環(huán)境、知識(shí)背景等原因的不同，可能導(dǎo)致員工在理解策略時(shí)出現(xiàn)誤解、歧義的情況。因此，應(yīng)建立一個(gè)專門的權(quán)威的解釋機(jī)構(gòu)或指定專門的解釋人員來(lái)進(jìn)行策略的解釋。

9）例外情況的處理。策略不可能做到面面俱到，在策略中應(yīng)提供特殊情況下的安全通道。

9.1制定信息安全管理策略9.1.3策略的主要內(nèi)容(續(xù))

9.1制定信息安全管理策略9.1.4信息安全管理策略案例9.2建立信息安全機(jī)構(gòu)和隊(duì)伍為了保護(hù)國(guó)家信息的安全，維護(hù)國(guó)家的利益，各國(guó)政府均指定了政府有關(guān)機(jī)構(gòu)主管信息安全工作。我國(guó)成立了國(guó)家信息化領(lǐng)導(dǎo)小組，由國(guó)務(wù)院領(lǐng)導(dǎo)親自任組長(zhǎng)，中央國(guó)家機(jī)關(guān)有關(guān)部委的領(lǐng)導(dǎo)參加小組的工作。國(guó)家信息化領(lǐng)導(dǎo)小組為了強(qiáng)化對(duì)信息化工作的領(lǐng)導(dǎo)，對(duì)信息產(chǎn)業(yè)部、公安部、安全部、國(guó)家保密局等部門在信息安全管理方面進(jìn)行了職能分工，明確了各自的責(zé)任，對(duì)于保障我國(guó)信息化工作的正常發(fā)展，保護(hù)信息安全起到了重要的作用。9.2建立信息安全機(jī)構(gòu)和隊(duì)伍9.2.1信息安全管理機(jī)構(gòu)一個(gè)組織的信息安全對(duì)本企業(yè)也是非常重要的，因此，對(duì)信息的安全管理是不容忽視的問(wèn)題，必須要引起組織最高領(lǐng)導(dǎo)層的充分重視。信息安全的管理層級(jí)一般分三個(gè)層次，每一層級(jí)都應(yīng)有明確的責(zé)任制。1）決策機(jī)構(gòu)。負(fù)責(zé)宏觀管理。

2）管理機(jī)構(gòu)。負(fù)責(zé)日常協(xié)調(diào)、管理工作。3）配備各類安全管理、技術(shù)人員。負(fù)責(zé)落實(shí)規(guī)章制度、技術(shù)規(guī)范，處理技術(shù)方面的問(wèn)題。凡對(duì)信息安全有需求的組織，必須成立相應(yīng)的安全機(jī)構(gòu)、配備必要的管理人員和技術(shù)人員、制定規(guī)章制度、配備安全設(shè)備、從而保障信息安全管理工作的正常開(kāi)展。安全組織機(jī)構(gòu)對(duì)信息系統(tǒng)的安全管理工作是垂直的，網(wǎng)絡(luò)延伸到哪里，信息安全管理工作就要管到哪里，下一級(jí)信息安全組織機(jī)構(gòu)必須無(wú)條件地接受上一級(jí)安全組織機(jī)構(gòu)的領(lǐng)導(dǎo)。9.2建立信息安全機(jī)構(gòu)和隊(duì)伍9.2.1信息安全管理機(jī)構(gòu)(續(xù))

1．信息安全領(lǐng)導(dǎo)小組（1）領(lǐng)導(dǎo)小組成員

1）信息安全領(lǐng)導(dǎo)小組組長(zhǎng)由組織主要領(lǐng)導(dǎo)擔(dān)任。

2）其他成員由計(jì)算機(jī)、通信、綜合信息、保衛(wèi)、保密、人事、監(jiān)察等有關(guān)方面的負(fù)責(zé)人擔(dān)任。

信息安全領(lǐng)導(dǎo)小組是組織中信息安全工作最高領(lǐng)導(dǎo)決策機(jī)構(gòu)，不隸屬任何部門，直接對(duì)組織最高領(lǐng)導(dǎo)層負(fù)責(zé)。領(lǐng)導(dǎo)小組是常設(shè)機(jī)構(gòu)，有例會(huì)工作制度；領(lǐng)導(dǎo)小組負(fù)責(zé)本組織、本系統(tǒng)信息安全工作的宏觀領(lǐng)導(dǎo)。9.2建建立立信息安安全機(jī)構(gòu)構(gòu)和隊(duì)伍伍信信息安安全管理理機(jī)構(gòu)(續(xù))（2）領(lǐng)領(lǐng)導(dǎo)小組組職能1）制定定與信息息安全有有關(guān)的長(zhǎng)長(zhǎng)遠(yuǎn)規(guī)劃劃、建設(shè)設(shè)，研究究信息安安全工作作的資金金投入、、安全（（技術(shù)、、管理））策略、、資源利利用，處處理信息息安全的的重大事事故，決決定信息息安全的的人事問(wèn)問(wèn)題。2）根據(jù)據(jù)國(guó)家信信息安全全的法律律、法規(guī)規(guī)、制度度和規(guī)范范，結(jié)合合本組織織的實(shí)際際，批準(zhǔn)準(zhǔn)本組織織信息安安全方面面的規(guī)章章制度、、實(shí)施細(xì)細(xì)則、安安全目標(biāo)標(biāo)崗位責(zé)責(zé)任制。。3）領(lǐng)導(dǎo)導(dǎo)本組織織信息系系統(tǒng)的安安全工作作，并監(jiān)監(jiān)督整個(gè)個(gè)信息系系統(tǒng)安全全體系的的日常工工作。安安全負(fù)責(zé)責(zé)人要接接受本組組織信息息安全領(lǐng)領(lǐng)導(dǎo)小組組和信息息安全領(lǐng)領(lǐng)導(dǎo)小組組辦公室室的領(lǐng)導(dǎo)導(dǎo)。4）領(lǐng)導(dǎo)導(dǎo)本組織織所屬的的信息安安全工作作機(jī)構(gòu)，，定期召召開(kāi)信息息安全工工作會(huì)議議，研究究布置工工作，解解決重大大問(wèn)題。。5）定期期向組織織最高領(lǐng)領(lǐng)導(dǎo)層匯匯報(bào)信息息安全工工作情況況，取得得最高層層領(lǐng)導(dǎo)對(duì)對(duì)信息安安全工作作的支持持。6）審核核批準(zhǔn)安安全年報(bào)報(bào)、安全全教育計(jì)計(jì)劃。7）表彰彰信息安安全工作作先進(jìn)者者，處置置違規(guī)行行為。9.2建建立立信息安安全機(jī)構(gòu)構(gòu)和隊(duì)伍伍信信息安安全管理理機(jī)構(gòu)(續(xù))（3）領(lǐng)領(lǐng)導(dǎo)小組組決策的的主要內(nèi)內(nèi)容1）審核核系統(tǒng)安安全管理理人員的的各種安安全報(bào)告告，并做做出相關(guān)關(guān)的決定定。2）決定定信息系系統(tǒng)和信信息的安安全等級(jí)級(jí)。3）決定定信息系系統(tǒng)是否否要采取取安全措措施。4）作出出新的信信息安全全風(fēng)險(xiǎn)評(píng)評(píng)測(cè)，決決定是否否增加安安全措施施。5）決定定所采用用安全保保護(hù)措施施的投入入資金量量。6）批準(zhǔn)準(zhǔn)系統(tǒng)安安全管理理人員草草擬或修修改的各各種安全全策略手手冊(cè)。7）審定定并公布布本組織織信息安安全規(guī)章章制度。。8）仲裁裁本組織織信息安安全事故故的責(zé)任任。9）決定定系統(tǒng)安安全管理理人員的的任免。。10）所所形成的的決定性性意見(jiàn)，，以信息息安全領(lǐng)領(lǐng)導(dǎo)小組組名義，，用決策策決定書(shū)書(shū)的形式式公告。。9.2建建立立信息安安全機(jī)構(gòu)構(gòu)和隊(duì)伍伍信信息安安全管理理機(jī)構(gòu)(續(xù))（4）領(lǐng)領(lǐng)導(dǎo)小組組決策的的依據(jù)1）系統(tǒng)統(tǒng)信息安安全管理理員提供供的報(bào)告告。2）信息息安全現(xiàn)現(xiàn)狀報(bào)告告。3）安全全新風(fēng)險(xiǎn)險(xiǎn)分析報(bào)報(bào)告。4）本組組織新增增加的安安全保密密防范措措施。5）組織織信息安安全事故故初步分分析報(bào)告告。6）新增增加安全全措施的的經(jīng)費(fèi)報(bào)報(bào)告。7）新增增加安全全措施的的效益估估計(jì)。8）信息息的安全全現(xiàn)狀及及對(duì)組織織效益的的影響。。9.2建建立立信息安安全機(jī)構(gòu)構(gòu)和隊(duì)伍伍信信息安安全管理理機(jī)構(gòu)(續(xù))2．信息息安全顧顧問(wèn)委員員會(huì)組織信息息安全顧顧問(wèn)委員員會(huì)以信信息安全全領(lǐng)導(dǎo)小小組成員員為核心心，邀請(qǐng)請(qǐng)本組織織或社會(huì)會(huì)上信息息安全、、法律政政策、行行政（企企業(yè)）管管理、技技術(shù)專家家、組織織策劃等等有關(guān)方方面專家家學(xué)者參參加，組組成智囊囊團(tuán)，對(duì)對(duì)組織信信息安全全領(lǐng)導(dǎo)小小組負(fù)責(zé)責(zé)。委員會(huì)定定期或不不定期為為信息安安全管理理提供最最新的安安全動(dòng)態(tài)態(tài)、面臨臨的風(fēng)險(xiǎn)險(xiǎn)、技術(shù)術(shù)，改進(jìn)進(jìn)建議和和應(yīng)對(duì)措措施，并并為組織織提供咨咨詢服務(wù)務(wù)，組織織信息安安全顧問(wèn)問(wèn)委員會(huì)會(huì)是非常常設(shè)機(jī)構(gòu)構(gòu)，不一一定需要要例會(huì)制制度。9.2建建立立信息安安全機(jī)構(gòu)構(gòu)和隊(duì)伍伍信信息安安全管理理機(jī)構(gòu)(續(xù))3．信息息安全領(lǐng)領(lǐng)導(dǎo)小組組辦公室室（信息息中心））信息安全全領(lǐng)導(dǎo)小小組辦公公室（信信息中心心）是在在信息安安全領(lǐng)導(dǎo)導(dǎo)小組直直接領(lǐng)導(dǎo)導(dǎo)下進(jìn)行行工作，，為常設(shè)設(shè)機(jī)構(gòu)，，有例會(huì)會(huì)工作制制度，負(fù)負(fù)責(zé)處理理本組織織信息安安全管理理的日常常工作。。（1）辦辦公室組組成人員員1）信息息安全領(lǐng)領(lǐng)導(dǎo)小組組辦公室室主任負(fù)負(fù)責(zé)組織織、處理理信息安安全方面面大量的的日常工工作，有有些工作作技術(shù)性性比較強(qiáng)強(qiáng)，因此此需要懂懂技術(shù)的的信息中中心主要要負(fù)責(zé)人人（CIO）擔(dān)擔(dān)任，或或由安全全負(fù)責(zé)人人擔(dān)任，，但應(yīng)有有一名懂懂技術(shù)的的信息中中心領(lǐng)導(dǎo)導(dǎo)擔(dān)任副副主任，，負(fù)責(zé)技技術(shù)管理理工作。。2）其其他人人員由由系統(tǒng)統(tǒng)管理理、系系統(tǒng)分分析、、通信信、軟軟件、、硬件件、保保衛(wèi)、、保密密、機(jī)機(jī)要、、監(jiān)察察和人人事等等有關(guān)關(guān)方面面的工工作人人員組組成。。9.2建建立立信息息安全全機(jī)構(gòu)構(gòu)和隊(duì)隊(duì)伍信信息息安全全管理理機(jī)構(gòu)構(gòu)(續(xù))3．信信息安安全領(lǐng)領(lǐng)導(dǎo)小小組辦辦公室室（信信息中中心））（2））辦公公室職職能1）接接受信信息安安全領(lǐng)領(lǐng)導(dǎo)小小組的的直接接領(lǐng)導(dǎo)導(dǎo);處處理信信息安安全工工作的的日常常工作作。2）制制定本本組織織信息息安全全的工工作制制度、、安全全目標(biāo)標(biāo)和各各級(jí)工工作人人員的的權(quán)限限、崗崗位職職責(zé)。。3）定定期向向組織織信息息安全全領(lǐng)導(dǎo)導(dǎo)小組組匯報(bào)報(bào)工作作，報(bào)報(bào)告工工作計(jì)計(jì)劃。。4）與與國(guó)家家有關(guān)關(guān)信息息安全全工作作的主主管部部門、、技術(shù)術(shù)部門門建立立日常常工作作聯(lián)系系，及及時(shí)報(bào)報(bào)告重重大事事件，，并協(xié)協(xié)助有有關(guān)部部門做做好處處理工工作。。5）制制定本本系統(tǒng)統(tǒng)安全全操作作規(guī)程程制度度。6）負(fù)負(fù)責(zé)管管理各各類安安全管管理人人員，，定期期或不不定期期組織織安全全教育育或培培訓(xùn)。。7）定定期檢檢查各各部門門的安安全工工作，，及時(shí)時(shí)通報(bào)報(bào)檢查查結(jié)果果和違違章行行為。。8）負(fù)負(fù)責(zé)安安全事事故調(diào)調(diào)查，，起草草安全全事故故報(bào)告告，提提出處處理意意見(jiàn)。。9.2建建立立信息息安全全機(jī)構(gòu)構(gòu)和隊(duì)隊(duì)伍信信息息安全全管理理機(jī)構(gòu)構(gòu)(續(xù))3．信信息安安全領(lǐng)領(lǐng)導(dǎo)小小組辦辦公室室（信信息中中心））9）聽(tīng)聽(tīng)取所所屬組組織安安全領(lǐng)領(lǐng)導(dǎo)小小組（（負(fù)責(zé)責(zé)人））的工工作匯匯報(bào)，，對(duì)報(bào)報(bào)告中中的重重大問(wèn)問(wèn)題及及時(shí)報(bào)報(bào)告組組織安安全領(lǐng)領(lǐng)導(dǎo)小小組。。10））對(duì)本本級(jí)和和本級(jí)級(jí)所屬屬安全全工作作人員員進(jìn)行行工作作業(yè)績(jī)績(jī)考核核，并并提出出工作作人員員稱職職、不不稱職職或表表彰、、處罰罰的意意見(jiàn)。。11））起草草年度度信息息安全全工作作報(bào)告告和有有關(guān)信信息安安全宣宣傳、、教育育、培培訓(xùn)計(jì)計(jì)劃。。12））審閱閱控制制臺(tái)操操作記記錄、、系統(tǒng)統(tǒng)日志志、系系統(tǒng)報(bào)報(bào)警記記錄、、系統(tǒng)統(tǒng)統(tǒng)計(jì)計(jì)活動(dòng)動(dòng)、警警衛(wèi)報(bào)報(bào)告、、加班班報(bào)表表以及及其他他與安安全有有關(guān)的的材料料，發(fā)發(fā)現(xiàn)問(wèn)問(wèn)題及及時(shí)作作出補(bǔ)補(bǔ)救決決定。。13））管理理、檢檢查、、監(jiān)督督、分分析系系統(tǒng)運(yùn)運(yùn)行日日志和和系統(tǒng)統(tǒng)監(jiān)督督文檔檔，定定期對(duì)對(duì)系統(tǒng)統(tǒng)做出出安全全評(píng)價(jià)價(jià)。14））制定定、管管理和和定期期分發(fā)發(fā)系統(tǒng)統(tǒng)及用用戶的的身份份識(shí)別別號(hào)碼碼、密密鑰和和口令令。15））根據(jù)據(jù)國(guó)家家和上上級(jí)保保密工工作規(guī)規(guī)定，，審查查系統(tǒng)統(tǒng)操作作人員員對(duì)系系統(tǒng)信信息的的使用用，審審查系系統(tǒng)對(duì)對(duì)外發(fā)發(fā)表的的信息息，防防止發(fā)發(fā)生泄泄密。。16））采取取切實(shí)實(shí)可行行的措措施，，防止止系統(tǒng)統(tǒng)操作作人員員對(duì)系系統(tǒng)信信息泄泄露和和破壞壞、篡篡改數(shù)數(shù)據(jù)、、防止止未經(jīng)經(jīng)許可可越權(quán)權(quán)使用用系統(tǒng)統(tǒng)資源源。17））建立立必要要的系系統(tǒng)訪訪問(wèn)批批準(zhǔn)制制度，，監(jiān)督督、管管理系系統(tǒng)外外維修修人員員對(duì)系系統(tǒng)設(shè)設(shè)備的的檢修修及維維護(hù)。。18））采取取切實(shí)實(shí)可行行的措措施，，防止止計(jì)算算機(jī)設(shè)設(shè)備的的損壞壞、改改換和和盜用用。19））定期期做信信息系系統(tǒng)的的漏洞洞檢查查，向向本組組織安安全領(lǐng)領(lǐng)導(dǎo)小小組提提供信信息安安全管管理系系統(tǒng)的的風(fēng)險(xiǎn)險(xiǎn)分析析報(bào)告告，提提出相相應(yīng)的的對(duì)策策和實(shí)實(shí)施計(jì)計(jì)劃。。20））負(fù)責(zé)責(zé)存取取系統(tǒng)統(tǒng)和修修改系系統(tǒng)授授權(quán)以以及系系統(tǒng)特特權(quán)口口令。。9.2建建立立信息息安全全機(jī)構(gòu)構(gòu)和隊(duì)隊(duì)伍信信息息安全全管理理機(jī)構(gòu)構(gòu)(續(xù))3．信信息安安全領(lǐng)領(lǐng)導(dǎo)小小組辦辦公室室（信信息中中心））組織信信息安安全工工作隊(duì)隊(duì)伍主主要包包括信信息安安全員員、系系統(tǒng)安安全員員、網(wǎng)網(wǎng)絡(luò)安安全員員、設(shè)設(shè)備安安全員員、數(shù)數(shù)據(jù)庫(kù)庫(kù)安全全員、、數(shù)據(jù)據(jù)安全全員、、防病病毒安安全員員。9.2建建立立信息息安全全機(jī)構(gòu)構(gòu)和隊(duì)隊(duì)伍信信息息安全全隊(duì)伍伍1．信信息安安全工工作人人員的的條件件由于各各類信信息安安全工工作人人員的的工作作崗位位處于于信息息系統(tǒng)統(tǒng)的核核心敏敏感部部位，，因此此要有有比較較高的的政治治素質(zhì)質(zhì)和業(yè)業(yè)務(wù)水水平，，這些些人員員應(yīng)具具備以以下條條件。。1）政政治可可靠，，對(duì)組組織忠忠誠(chéng)。。2）工工作認(rèn)認(rèn)真負(fù)負(fù)責(zé)，，有敬敬業(yè)精精神。。3）處處理問(wèn)問(wèn)題公公正嚴(yán)嚴(yán)明，，不拘拘私情情。4）熟熟悉業(yè)業(yè)務(wù)，，具有有一定定的實(shí)實(shí)踐經(jīng)經(jīng)驗(yàn)。。5）從從事網(wǎng)網(wǎng)絡(luò)系系統(tǒng)操操作或或管理理的工工作人人員應(yīng)應(yīng)是具具備一一定實(shí)實(shí)踐經(jīng)經(jīng)驗(yàn)的的網(wǎng)絡(luò)絡(luò)工程程師。。9.2建建立立信息息安全全機(jī)構(gòu)構(gòu)和隊(duì)隊(duì)伍信信息息安全全隊(duì)伍伍(續(xù))2．信信息安安全工工作人人員的的管理理原則則1）人人員審審查原原則2）簽簽訂保保密協(xié)協(xié)定原原則3）持持證上上崗原原則4）人人員培培訓(xùn)原原則5）人人員考考核原原則6）權(quán)權(quán)力分分散原原則7）人人員離離崗原原則9.2建建立立信息息安全全機(jī)構(gòu)構(gòu)和隊(duì)隊(duì)伍信信息息安全全隊(duì)伍伍(續(xù))3．信信息安安全工工作人人員的的崗位位職責(zé)責(zé)（1））信息息安全全員的的職責(zé)責(zé)信息安安全員員主要要負(fù)責(zé)責(zé)信息息網(wǎng)絡(luò)絡(luò)系統(tǒng)統(tǒng)的信信息安安全和和保密密信息息的管管理。。其主主要職職責(zé)是是：1）負(fù)負(fù)責(zé)涉涉密信信息網(wǎng)網(wǎng)信息息安全全，監(jiān)監(jiān)督檢檢查涉涉密信信息的的報(bào)送送、接接受和和傳輸輸?shù)陌舶踩孕浴?）負(fù)責(zé)監(jiān)監(jiān)督檢查信信息網(wǎng)對(duì)外外發(fā)布的信信息;保證證符合安全全保密規(guī)定定。3）負(fù)責(zé)監(jiān)監(jiān)督檢查各各部門的涉涉密信息的的安全保密密措施，防防止泄密事事件的發(fā)生生。4）負(fù)責(zé)監(jiān)監(jiān)督檢查信信息網(wǎng)對(duì)國(guó)國(guó)際互聯(lián)網(wǎng)網(wǎng)上國(guó)家禁禁止的網(wǎng)站站的非法訪訪問(wèn)及有害害信息的侵侵入。5）負(fù)責(zé)協(xié)協(xié)助有關(guān)部部門對(duì)網(wǎng)絡(luò)絡(luò)泄密事件件進(jìn)行調(diào)查查與技術(shù)分分析。9.2建建立信息息安全機(jī)構(gòu)構(gòu)和隊(duì)伍9.2.2信息息安全隊(duì)伍伍(續(xù))3．信息安安全工作人人員的崗位位職責(zé)（2）系統(tǒng)統(tǒng)安全員的的職責(zé)系統(tǒng)安全員員主要負(fù)責(zé)責(zé)信息網(wǎng)絡(luò)絡(luò)操作系統(tǒng)統(tǒng)及服務(wù)器器操作系統(tǒng)統(tǒng)的安全及及管理。其其主要職責(zé)責(zé)是：1）負(fù)責(zé)信信息網(wǎng)絡(luò)操操作系統(tǒng)和和服務(wù)器操操作系統(tǒng)的的安裝、運(yùn)運(yùn)行和維護(hù)護(hù)、管理，，保障系統(tǒng)統(tǒng)的安全穩(wěn)穩(wěn)定地運(yùn)行行。2）負(fù)責(zé)對(duì)對(duì)用戶的身身份進(jìn)行驗(yàn)驗(yàn)證，防止止非法用戶戶進(jìn)入系統(tǒng)統(tǒng)。3）負(fù)責(zé)用用戶的口令令管理，建建立口令管管理規(guī)程和和檢驗(yàn)創(chuàng)建建賬戶機(jī)制制，避免口口令泄露。。4）負(fù)責(zé)實(shí)實(shí)時(shí)監(jiān)控系系統(tǒng)，發(fā)現(xiàn)現(xiàn)異常及時(shí)時(shí)采取措施施，恢復(fù)系系統(tǒng)正常狀狀態(tài)。5）負(fù)責(zé)對(duì)對(duì)系統(tǒng)各種種硬軟件資資源的合理理分配和科科學(xué)使用，，避免造成成系統(tǒng)資源源的浪費(fèi)。。9.2建建立信息息安全機(jī)構(gòu)構(gòu)和隊(duì)伍9.2.2信息息安全隊(duì)伍伍(續(xù))3．信息安安全工作人人員的崗位位職責(zé)（3）網(wǎng)絡(luò)絡(luò)安全員的的職責(zé)網(wǎng)絡(luò)安全員員主要負(fù)責(zé)責(zé)信息網(wǎng)絡(luò)絡(luò)系統(tǒng)的安安全保密工工作。其主主要職責(zé)是是：1）負(fù)責(zé)信信息網(wǎng)絡(luò)系系統(tǒng)及其網(wǎng)網(wǎng)絡(luò)安全保保密系統(tǒng)的的運(yùn)行與維維護(hù)，發(fā)現(xiàn)現(xiàn)故障及時(shí)時(shí)排除，保保障系統(tǒng)安安全可靠地地運(yùn)行。2）負(fù)責(zé)配配置和管理理訪問(wèn)控制制表，根據(jù)據(jù)安全需求求為各用戶戶配置相應(yīng)應(yīng)的訪問(wèn)權(quán)權(quán)限。3）負(fù)責(zé)網(wǎng)網(wǎng)絡(luò)審計(jì)系系統(tǒng)的管理理和維護(hù)，，認(rèn)真記錄錄、檢查和和保管審計(jì)計(jì)日志。4）負(fù)責(zé)檢檢查系統(tǒng)的的安全漏洞洞和隱患，，發(fā)現(xiàn)安全全隱患及時(shí)時(shí)進(jìn)行修復(fù)復(fù)或提出改改進(jìn)意見(jiàn)。。5）負(fù)責(zé)實(shí)實(shí)時(shí)對(duì)系統(tǒng)統(tǒng)進(jìn)行非法法入侵檢測(cè)測(cè)，防止和和阻止“黑黑客”入侵侵。9.2建建立信息息安全機(jī)構(gòu)構(gòu)和隊(duì)伍9.2.2信息息安全隊(duì)伍伍(續(xù))3．信息安安全工作人人員的崗位位職責(zé)（4）設(shè)備備安全員的的職責(zé)設(shè)備安全員員負(fù)責(zé)對(duì)專專用計(jì)算機(jī)機(jī)安全保密密設(shè)備(防防火墻、加加密機(jī)、干干擾儀等)的管理、、使用和維維護(hù)。其主主要職責(zé)是是：1）負(fù)責(zé)設(shè)設(shè)備的領(lǐng)用用和保管，，做好設(shè)備備的領(lǐng)用、、進(jìn)出庫(kù)、、報(bào)廢登記記。2）負(fù)責(zé)設(shè)設(shè)備的正確確使用和安安奎運(yùn)行，，并建立詳詳細(xì)的運(yùn)行行日志。3）負(fù)責(zé)設(shè)設(shè)備的清潔潔和定期的的保養(yǎng)維護(hù)護(hù)，并做好好維護(hù)記錄錄。4）負(fù)責(zé)設(shè)設(shè)備的維修修，制定設(shè)設(shè)備維修計(jì)計(jì)劃，做好好設(shè)備維修修記錄。5）負(fù)責(zé)對(duì)對(duì)安全保密密設(shè)備密鑰鑰的管理與與注入。9.2建建立信息息安全機(jī)構(gòu)構(gòu)和隊(duì)伍9.2.2信息息安全隊(duì)伍伍(續(xù))3．信息安安全工作人人員的崗位位職責(zé)（5）數(shù)據(jù)據(jù)庫(kù)安全員員的職責(zé)數(shù)據(jù)庫(kù)安全全員負(fù)責(zé)數(shù)數(shù)據(jù)庫(kù)管理理系統(tǒng)的安安全及維護(hù)護(hù)管理工作作。其主要要職責(zé)是：：1）負(fù)責(zé)數(shù)數(shù)據(jù)庫(kù)管理理系統(tǒng)的安安裝、備份份和維護(hù)，，保證系統(tǒng)統(tǒng)安全、正正常運(yùn)行。。2）負(fù)責(zé)定定期檢查系系統(tǒng)運(yùn)行情情況，檢測(cè)測(cè)并優(yōu)化系系統(tǒng)性能。。3）負(fù)責(zé)檢檢查數(shù)據(jù)庫(kù)庫(kù)系統(tǒng)的用用戶權(quán)限，，防止非法法用戶的侵侵入和越權(quán)權(quán)訪問(wèn)。4）負(fù)責(zé)定定期檢查數(shù)數(shù)據(jù)庫(kù)數(shù)據(jù)據(jù)的完整性性和可用性性，發(fā)現(xiàn)系系統(tǒng)故障及及時(shí)排除，，做好系統(tǒng)統(tǒng)恢復(fù)。9.2建建立信息息安全機(jī)構(gòu)構(gòu)和隊(duì)伍信信息息安安全全隊(duì)隊(duì)伍伍(續(xù)續(xù))3．．信信息息安安全全工工作作人人員員的的崗崗位位職職責(zé)責(zé)（6））數(shù)數(shù)據(jù)據(jù)安安全全員員的的職職責(zé)責(zé)數(shù)據(jù)據(jù)安安全全員員負(fù)負(fù)責(zé)責(zé)信信息息網(wǎng)網(wǎng)絡(luò)絡(luò)中中運(yùn)運(yùn)行行數(shù)數(shù)據(jù)據(jù)的的安安全全。。其其主主要要職職責(zé)責(zé)是是：：1））負(fù)負(fù)責(zé)責(zé)信信息息網(wǎng)網(wǎng)絡(luò)絡(luò)數(shù)數(shù)據(jù)據(jù)的的安安全全，，保保障障信信息息的的保保密密性性、、完完整整性性和和可可用用性性。。2））負(fù)負(fù)責(zé)責(zé)對(duì)對(duì)信信息息網(wǎng)網(wǎng)絡(luò)絡(luò)數(shù)數(shù)據(jù)據(jù)備備份份與與災(zāi)災(zāi)難難恢恢復(fù)復(fù)系系統(tǒng)統(tǒng)的的維維護(hù)護(hù)與與管管理理，，實(shí)實(shí)時(shí)時(shí)對(duì)對(duì)重重要要數(shù)數(shù)據(jù)據(jù)進(jìn)進(jìn)行行安安全全備備份份。。3））負(fù)負(fù)責(zé)責(zé)對(duì)對(duì)信信息息采采集集、、傳傳輸輸及及存存儲(chǔ)儲(chǔ)的的技技術(shù)術(shù)手手段段和和工工作作環(huán)環(huán)境境以以及及介介質(zhì)質(zhì)管管理理各各環(huán)環(huán)節(jié)節(jié)的的監(jiān)監(jiān)督督檢檢查查，，發(fā)發(fā)現(xiàn)現(xiàn)問(wèn)問(wèn)題題和和漏漏洞洞及及時(shí)時(shí)解解決決。。4））負(fù)負(fù)責(zé)責(zé)定定期期對(duì)對(duì)重重要要數(shù)數(shù)據(jù)據(jù)存存儲(chǔ)儲(chǔ)備備份份介介質(zhì)質(zhì)的的檢檢查查，，防防止止數(shù)數(shù)據(jù)據(jù)的的丟丟失失或或被被破破壞壞。。9.2建建立立信信息息安安全全機(jī)機(jī)構(gòu)構(gòu)和和隊(duì)隊(duì)伍伍信信息息安安全全隊(duì)隊(duì)伍伍(續(xù)續(xù))3．．信信息息安安全全工工作作人人員員的的崗崗位位職職責(zé)責(zé)（7））防防病病毒毒安安全全員員的的職職責(zé)責(zé)防病病毒毒安安全全員員負(fù)負(fù)責(zé)責(zé)信信息息網(wǎng)網(wǎng)絡(luò)絡(luò)系系統(tǒng)統(tǒng)的的計(jì)計(jì)算算機(jī)機(jī)病病毒毒的的防防護(hù)護(hù)工工作作。。其其主主要要職職責(zé)責(zé)是是：：1））負(fù)負(fù)責(zé)責(zé)計(jì)計(jì)算算機(jī)機(jī)防防病病毒毒軟軟件件的的購(gòu)購(gòu)置置、、保保管管、、發(fā)發(fā)放放、、升升級(jí)級(jí)和和安安裝裝。。2））負(fù)負(fù)責(zé)責(zé)信信息息網(wǎng)網(wǎng)絡(luò)絡(luò)系系統(tǒng)統(tǒng)的的計(jì)計(jì)算算機(jī)機(jī)病病毒毒的的防防護(hù)護(hù)，，在在病病毒毒發(fā)發(fā)作作日日前前及及時(shí)時(shí)發(fā)發(fā)布布公公告告，，并并采采取取必必要要的的預(yù)預(yù)防防措措施施。。3））負(fù)負(fù)責(zé)責(zé)定定期期對(duì)對(duì)信信息息網(wǎng)網(wǎng)絡(luò)絡(luò)系系統(tǒng)統(tǒng)進(jìn)進(jìn)行行病病毒毒檢檢測(cè)測(cè)，，發(fā)發(fā)現(xiàn)現(xiàn)系系統(tǒng)統(tǒng)被被計(jì)計(jì)算算機(jī)機(jī)病病毒毒感感染染，，及及時(shí)時(shí)組組織織清清除除病病毒毒。。4））負(fù)負(fù)責(zé)責(zé)計(jì)計(jì)算算機(jī)機(jī)病病毒毒防防護(hù)護(hù)知知識(shí)識(shí)的的宣宣傳傳教教育育工工作作。。9.3制制定定信信息息安安全全管管理理制制度度信息息安安全全已已不不只只是是人人們們傳傳統(tǒng)統(tǒng)意意義義上上的的添添加加防防火火墻墻或或路路由由器器等等簡(jiǎn)簡(jiǎn)單單的的設(shè)設(shè)備備就就可可保保證證的的安安全全，，而而是是成成為為一一種種系系統(tǒng)統(tǒng)和和全全局局的的安安全全。。信息息安安全全管管理理制制度度是是保保證證信信息息安安全全的的基基礎(chǔ)礎(chǔ)，，需需要要通通過(guò)過(guò)一一系系列列規(guī)規(guī)章章制制度度的的實(shí)實(shí)施施，，來(lái)來(lái)確確保保各各類類人人員員按按照照規(guī)規(guī)定定的的職職責(zé)責(zé)行行事事，，做做到到各各行行其其職職、、各各負(fù)負(fù)其其責(zé)責(zé)，，避避免免責(zé)責(zé)任任事事故故的的發(fā)發(fā)生生和和防防止止惡惡意意侵侵犯犯。。常見(jiàn)見(jiàn)的的信信息息安安全全管管理理制制度度主主要要包包括括：：人人員員安安全全管管理理制制度度、、設(shè)設(shè)備備安安全全管管理理制制度度、、運(yùn)運(yùn)行行安安全全管管理理制制度度、、安安全全操操作作管管理理制制度度、、應(yīng)應(yīng)急急維維護(hù)護(hù)制制度度、、安安全全等等級(jí)級(jí)保保護(hù)護(hù)制制度度；；有有害害數(shù)數(shù)據(jù)據(jù)及及計(jì)計(jì)算算機(jī)機(jī)病病毒毒防防范范管管理理制制度度；；敏敏感感數(shù)數(shù)據(jù)據(jù)保保護(hù)護(hù)制制度度、、安安全全技技術(shù)術(shù)保保障障制制度度、、安安全全計(jì)計(jì)劃劃管管理理制制度度等等。。9.3制制定定信信息息安安全全管管理理制制度度制制定定信信息息安安全全管管理理制制度度的的原原則則制定定信信息息安安全全管管理理制制度度應(yīng)應(yīng)遵遵循循統(tǒng)統(tǒng)一一的的安安全全管管理理原原則則如如下下：：1））規(guī)規(guī)范范化化原原則則2））系系統(tǒng)統(tǒng)化化原原則則3））綜綜合合保保障障原原則則4））以以人人為為本本原原則則5））首首長(zhǎng)長(zhǎng)負(fù)負(fù)責(zé)責(zé)原原則則6））預(yù)預(yù)防防原原則則7））風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估原原則則8））動(dòng)動(dòng)態(tài)態(tài)原原則則9））成成本本效效益益原原則則10））均均衡衡防防護(hù)護(hù)原原則則9.3制制定定信信息息安安全全管管理理制制度度信信息息安安全全管管理理標(biāo)標(biāo)準(zhǔn)準(zhǔn)————ISO／／IECl7799信息息安安全全管管理理的的原原則則之之一一就就是是規(guī)規(guī)范范化化、、系系統(tǒng)統(tǒng)化化，，如如何何在在信信息息安安全全管管理理實(shí)實(shí)踐踐中中落落實(shí)實(shí)這這一一原原則則，，需需要要相相應(yīng)應(yīng)的的信信息息安安全全管管理理標(biāo)標(biāo)準(zhǔn)準(zhǔn)。。BS7799標(biāo)標(biāo)準(zhǔn)準(zhǔn)是是英英國(guó)國(guó)標(biāo)標(biāo)準(zhǔn)準(zhǔn)協(xié)協(xié)會(huì)會(huì)（（BSI））制制定定的的國(guó)國(guó)際際上上具具有有代代表表性性的的信信息息安安全全管管理理體體系系標(biāo)標(biāo)準(zhǔn)準(zhǔn)。。該該標(biāo)標(biāo)準(zhǔn)準(zhǔn)包包括括兩兩個(gè)個(gè)部部分分：：《《信信息息安安全全管管理理實(shí)實(shí)施施細(xì)細(xì)則則》》（（BS77991：：1999））和和《《信信息息安安全全管管理理體體系系規(guī)規(guī)范