信息安全管,理,理,本章学习目,标,标:,理解策略的,含,含义,掌握策略制,定,定的原则、,内,内容和编写,方,方法,熟悉信息安,全,全管理机构,的,的构成,了解制定信,息,息安全管理,制,制度的原则,了解基本的,信,信息安全法,律,律法规,14.1,制,制定信息,安,安全管理策,略,略,信息安全管,理,理策略也称,信,信息安全方,针,针,是组织,对,对信息和信,息,息处理设施,进,进行管理、,保,保护和分配,的,的准则和规,划,划,以及使,信,信息系统免,遭,遭入侵和破,坏,坏而必须采,取,取的措施它告诉组织,成,成员在日常,的,的工作中什,么,么是必须做,的,的,什么是,可,可以做的,,什,什么是不可,以,以做的;哪,里,里是安全区,,,,哪里是敏,感,感区,就像,交,交通规则之,于,于车辆和行,人,人,信息安,全,全策略是有,关,关信息安全,方,方面的行为,规,规范一个,成,成功的安全,策,策略应当遵,循,循:,1),综,综合,平,平衡,(,综合,考,考虑,需,需求,、,、风,险,险、,代,代价,等,等诸,多,多因,素,素,),2),整,整体,优,3)易于操作和确保可靠14.1.1,信,信息,安,安全,管,管理,策,策略,概,概述,14.1,制,制定,信,信息,安,安全,管,管理,策,策略,在制,定,定信,息,息安,全,全管,理,理策,略,略时,,,,要,严,严格,遵,遵守,以,以下,主,主要,原,原则,。
1),目,目的,性,性策,略,略是,为,为组,织,织完,成,成自,己,己的,信,信息,安,安全,使,使命,而,而制,定,定的,,,,策,略,略应,该,该反,映,映组,织,织的,整,整体,利,利益,和,和可,持,持续,发,发展,的,的要,求,求2),适,适用,性,性,3)可行性,策略应该具有切实可行性,其目标应该可以实现,并容易测量和审核没有可行性的策略不仅浪费时间还会引起政策混乱4)经济性,策略应该经济合理,过分复杂和草率都是不可取的5)完整性,能够反映组织的所有业务流程的安全需要6)一致性,策略的一致性包括下面三个层次:和国家、地方的法律法规保持一致;和组织己有的策略、方针保持一致;整体安全策略保持一致,要反映企业对信息安全的一般看法7)弹性,策略不仅要满足当前的组织要求,还要满足组织和环境在未来一段时间内发展的要求14.1.2,制,制定,策,策略,的,的原,则,则,14.1,制,制定,信,信息,安,安全,管,管理,策,策略,理论,上,上,,一,一个,完,完整,的,的策,略,略体,系,系应,该,该保,障,障组,织,织信,息,息的,机,机密,性,性、,可,可用,性,性和,完,完整,性,性。
信,信息,安,安全,策,策略,应,应包,含,含下,列,列一,些,些内,容,容,:,1),适,适用,范,范围,包括,人,人员,范,范围,和,和时,效,效性,,,,例,如,如“,本,本规,定,定适,用,用于,所,所有,员,员工,”,”,,“,“适,用,用于,工,工作,时,时间,和,和非,工,工作,时,时间,”,”不,不仅,要,要消,除,除本,该,该受,到,到约,束,束的,员,员工,有,有认,为,为自,己,己是,个,个例,外,外的,想,想法,,,,也,保,保证,策,策略,不,不至,于,于被,误,误解,是,是针,对,对某,个,个员,2)目标例如,“为确保企业的经营、技术等机密信息不泄漏,维护企业的经济利益,根据国家有关法律,结合企业实际,特制定本条例明确了信息安全保护对公司是有着重要意义的,而且与国家的法律法规是一致的主题明确的策略可能会有更加确切、详细的目标,如防病毒策略的目标可以是:“为了正确执行对计算机病毒(蠕虫、特洛伊木马、黑客恶意程序)的预防、侦测和清除过程,特制定本策略”14.1.3,策,策略,的,的主,要,要内,容,容,3),策,策略,主,主题,通,常,常一,个,个组,织,织可,能,能会,考,考虑,开,开发,下,下列,主,主题,的,的信,息,息安,全,全管,理,理策,略,略:,设,备,备和,及,及其,环,环境,的,的安,全,全。
信,息,息的,分,分级,和,和人,员,员责,任,任安,全,全事,故,故的,报,报告,与,与响,应,应第,三,三方,访,访问,的,的安,全,全性,外,外围,处,处理,系,系统,的,的安,全,全计,算,算机,和,和网,络,络的,访,访问,控,控制,和,和审,核,核远,程,程工,作,作的,安,安全,加,加密,技,技术,控,控制,备,备份,、,、灾,难,难恢,复,复和,可,可持,续,续发,展,展的,要,要求,4),策,策略,签,签署,信,息,息安,全,全管,理,理策,略,略是,强,强制,性,性的,、,、惩,罚,罚性,的,的,,策,策略,的,的执,行,行需,要,要来,自,自管,理,理层,的,的支,持,持,,通,通常,是,是信,息,息安,全,全主,管,管或,总,总经,理,理签,署,署信,息,息安,全,全管,理,理策,略,略签,签署,人,人的,管,管理,地,地位,不,不能,太,太低,;,;否,则,则会,有,有执,行,行的,难,难度,,,,如,果,果遭,到,到某,高,高层,主,主管,的,的抵,制,制常,会,会导,致,致策,略,略失,败,败,,高,高层,主,主管,的,的签,署,署也,表,表明,信,信息,安,安全,不,不单,单,单是,信,信息,安,安全,部,部门,的,的事,情,情,,还,还是,和,和整,个,个组,织,织所,有,有成,员,员都,是,是密,切,切相,关,关的,。
5),策,策略,的,的生,效,效时,间,间和,有,有效,期,期旧,旧策,略,略的,更,更新,和,和过,时,时策,略,略的,废,废除,也,也是,很,很重,要,要的,,,,应,该,该保,持,持生,效,效的,策,策略,中,中包,含,含新,的,的安,全,全要,求,求14.1,制,制定,信,信息,安,安全,管,管理,策,策略,14.1.3,策,策略,的,的主,要,要内,容,容,(续),6),重,重新,评,评审,策,策略,的,的时,机,机策,策,略,略,除,除,了,了,常,常,规,规,的,的,评,评,审,审,时,时,机,机,,,,,在,在,下,下,列,列,情,情,况,况,下,下,也,也,需,需,要,要,重,重,新,新,评,评,审,审,:,:,企,企,业,业,管,管,理,理,体,体,系,系,发,发,生,生,很,很,大,大,变,变,化,化,相,相,关,关,的,的,法,法,律,律,法,法,规,规,发,发,生,生,了,了,变,变,化,化,企,企,业,业,信,信,息,息,系,系,统,统,或,或,者,者,信,信,息,息,技,技,术,术,发,发,生,生,了,了,大,大,的,的,变,变,化,化,企,企,业,业,发,发,生,生,了,了,重,重,大,大,的,的,信,信,息,息,安,安,全,全,事,事,故,故,。
7,),),与,与,其,其,他,他,相,相,关,关,策,策,略,略,的,的,引,引,用,用,关,关,系,系因,因,为,为,多,多,种,种,策,策,略,略,可,可,8)策略解释,由于工作环境、知识背景等原因的不同,可能导致员工在理解策略时出现误解、歧义的情况因此,应建立一个专门的权威的解释机构或指定专门的解释人员来进行策略的解释9)例外情况的处理,策略不可能做到面面俱到,在策略中应提供特殊情况下的安全通道14.1,制,制,定,定,信,信,息,息,安,安,全,全,管,管,理,理,策,策,略,略,14.1.3,策,策,略,略,的,的,主,主,要,要,内,内,容,容,(,续,续),14.1,制,制,定,定,信,信,息,息,安,安,全,全,管,管,理,理,策,策,略,略,14.1.4,信,信,息,息,安,安,全,全,管,管,理,理,策,策,略,略,案,案,例,例,14.2,建,建,立,立,信,信,息,息,安,安,全,全,机,机,构,构,和,和,队,队,伍,伍,为,了,了,保,保,护,护,国,国,家,家,信,信,息,息,的,的,安,安,全,全,,,,,维,维,护,护,国,国,家,家,的,的,利,利,益,益,,,,,各,各,国,国,政,政,府,府,均,均,指,指,定,定,了,了,政,政,府,府,有,有,关,关,机,机,构,构,主,主,管,管,信,信,息,息,安,安,全,全,工,工,作,作,。
我,国,国,成,成,立,立,了,了,国,国,家,家,信,信,息,息,化,化,领,领,导,导,小,小,组,组,,,,,由,由,国,国,务,务,院,院,领,领,导,导,亲,亲,自,自,任,任,组,组,长,长,,,,,中,中,央,央,国,国,家,家,机,机,关,关,有,有,关,关,部,部,委,委,的,的,领,领,导,导,参,参,加,加,小,小,组,组,的,的,工,工,作,作,国,国,家,家,信,信,息,息,化,化,领,领,导,导,小,小,组,组,为,为,了,了,强,强,化,化,对,对,信,信,息,息,化,化,工,工,作,作,的,的,领,领,导,导,,,,,对,对,信,信,息,息,产,产,业,业,部,部,、,、,公,公,安,安,部,部,、,、,安,安,全,全,部,部,、,、,国,国,家,家,保,保,密,密,局,局,等,等,部,部,门,门,在,在,信,信,息,息,安,安,全,全,管,管,理,理,方,方,面,面,进,进,行,行,了,了,职,职,能,能,分,分,工,工,,,,,明,明,确,确,了,了,各,各,自,自,的,的,责,责,任,任,,,,,对,对,于,于,保,保,障,障,我,我,国,国,信,信,息,息,化,化,工,工,作,作,的,的,正,正,常,常,发,发,展,展,,,,,保,保,护,护,信,信,息,息,安,安,全,全,起,起,到,到,了,了,重,重,要,要,的,的,作,作,用,用,。
14.2,建,建立信,息,息安全,机,机构和,队,队伍,14.2.1,信,信,息,息安全,管,管理机,构,构,一个组,织,织的信,息,息安全,对,对本企,业,业也是,非,非常重,要,要的,,因,因此,,对,对信息,的,的安全,管,管理是,不,不容忽,视,视的问,题,题,必,须,须要引,起,起组织,最,最高领,导,导层的,充,充分重,信息安全的管理层级一般分三个层次,每一层级都应有明确的责任制1)决策机构,负责宏观管理2)管理机构,负责日常协调、管理工作3)配备各类安全管理、技术人员,负责落实规章制度、技术规范,处理技术方面的问题凡对信息安全有需求的组织,必须成立相应的安全机构、配备必要的管理人员和技术人员、制定规章制度、配备安全设备、从而保障信息安全管理工作的正常开展安全组织机构对信息系统的安全管理工作是垂直的,网络延伸到哪里,信息安全管理工作就要管到哪里,下一级信息安全组织机构必须无条件地接受上一级安全组织机构的领导14.2,建,建立信息,安,安全机构和,队,队伍,14.2.1 信息,安,安全管理机,构,构(,续,),1信息安,全,全领导小组,(1)领导,小,小组成员,1)信息安,全,全领导小组,组,组长由组织,主,主要领导担,任,任。
2)其他成,员,员由计算机,、,、通信、综,合,合信息、保,卫,卫、保密、,人,人事、监察,等,等有关方面,的,的负责人担,任,任信息安全领,导,导小组是组,织,织中信息安,全,全工作最高,领,领导决策机,构,构,不隶属,任,任何部门,,直,直接对组织,最,最高领导层,负,负责领导,小,小组是常设,机,机构,有例,会,会工作制度,;,;领导小组,负,负责本组织,、,、本系统信,息,息安全工作,的,的宏观领导,14.2,建,建立信息,安,安全机构和,队,队伍,14.2.1 信息,安,安全管理机,构,构(,续,),(2)领导,小,小组职能,1)制定与,信,信息安全有,关,关的长远规,划,划、建设,,研,研究。