下载此文档

最新精品信息安全管理与监管.doc


文档分类:IT计算机 | 页数:约9页 举报非法文档有奖
1/9
下载提示
  • 1.该资料是网友上传的,本站提供全文预览,预览什么样,下载就什么样。
  • 2.下载该文档所得收入归上传者、原创者。
  • 3.下载的文档,不会出现我们的网址水印。
1/9 下载此文档
文档列表 文档介绍
信息安全管理与监管
宗勇
云南大学网络与信息中心主任
信息安全管理与使用技术知识第二章,信息安全管理与监管。本章包含五题内容。技术与管理的关系一直是信息安全工作的热点问题,从BISS公布的数据看,超过70%的信息安全事故如果事先加强管理都是可以得到避免的,也就是三分技术,七分管理,二者并重。
一、信息安全管理组织、人员和制度
第一题,信息安全管理组织、人员和制度。信息安全的组织机构是实施信息安全管理的必要保证。如图所示,信息安全管理组织主要包括安全审查和决策机构、安全主管机构、安全运行维护机构、安全审计机构、安全培训和安全工作人员。通常用信息安全问题是由单位内部的专门机构控制和管理的,必要时,应与外部相关组织进行沟通协调,各单位在进行自身信息安全管理工作时应与与公安机关公共信息网络安全监察部门密切配合。
主要体现如图所示的三个层次。符合性(合规性)管理:是指单位、组织根据自身业务特点和具体情况所制定的信息安全管理办法和规范,必须符合国家信息安全相关法律、法规的规定。符合性从单位自身微观的层次上体现了信息安全管理与国家的宏观的信息安全管理的一致和配合。
信息安全的人员管理,人员的素质是提高信息安全性致关重要的因素。信息安全的人员管理中,人员因素是信息安全管理环节中最重要的一环,全面提高人员的技术水平、道德品质、政治觉悟和安全意识是信息安全的重要保障。信息安全工作人员管理包括安全审查、安全保密管理、安全教育培训、岗位安全考核、离岗人员安全管理等几个方面。
事实证明,许多安全事件都是由内部人员造成的,因些对于关键岗位必须建立严格的人员安全审查制度,把好人员安全管理的第一关,各单位的信息系统和内部资源应跟极其敏感程度和重要程度进行密集划分,信息资源的密集直接决定了接触和管理试信息资源的岗位对人员安全等级的要求,因依此要求建立相应的人员安全审查的标准,人员的安全审查应该从安全意识、法律意识、安全技能等几方面进行,应试具有政治可靠、思想进步、作风正派、技术合格等基本素质,关键岗位人员的审查标准。
信息系统的关键岗位人员的审查标准应具有以下几个方面,一般必须是单位组织的正式员工、必须经过严格的政审、背景和资历调查、必须经过业务能力的综合考核、不得出现在其他关键岗位兼职的情况。应根据单位、组织相关秘密保护办法与信息安全工作人员签订保密协议,通过保密协议约定工作范围、工作期限以及处罚和审查事项等。同时应定期对安全工作人员进行法律法规、方针政策、操作流程和技能的训练与考核。
培训内容主要有三个方面,第一基本安全教育及基本概念可能存在的威胁和风险、理解相关方针和规章制度、提高安全意识、掌握基本安全操作概念。二、专业安全方面的培训及职业道德教育与岗位相关安全技术理论培训、岗位职能和操作技能培训。第三方面,安全的高级培训及国家和行业相关法律法规、全面的安全技术理论和知识、全面的安全管理理论、安全工程理论、关键岗位职能与责任的培训。
定期的考核,岗位安全考核,主要是从思想政治和业务表现两方面进行。对于离岗人员安全管理,应该按照离岗的不同原因,建立技术人员离岗的安全管理制度:一、正常离岗人员。正常离岗之前要旅行移交手续,完成密码、设备、技术资料及相关敏感信息的移交。相关系统必须更换口令,取消该人员所使用过的所有帐号,向离岗人员重申安全保密责任和义务。二、强制

最新精品信息安全管理与监管 来自淘豆网www.taodocs.com转载请标明出处.

非法内容举报中心
文档信息
  • 页数9
  • 收藏数0 收藏
  • 顶次数0
  • 上传人vip_111_cool
  • 文件大小0 KB
  • 时间2015-01-11