干部學(xué)習(xí)講稿:信息安全管理與監(jiān)管
宗勇
云南大學(xué)網(wǎng)絡(luò)與信息中心主任
信息安全管理與使用技術(shù)知識第二章,信息安全管理與監(jiān)管。本章包含五題內(nèi)容。技術(shù)與管理的關(guān)系一直是信息安全工作的熱點問題,從BISS公布的數(shù)據(jù)看,超過70%的信息安全事故如果事先加強管理都是可以得到避免的,也就是三分技術(shù),七分管理,二者并重。
一、信息安全管理組織、人員和制度
第一題,信息安全管理組織、人員和制度。信息安全的組織機構(gòu)是實施信息安全管理的必要保證。如圖所示,信息安全管理組織主要包括安全審查和決策機構(gòu)、安全主管機構(gòu)、安全運行維護機構(gòu)、安全審計機構(gòu)、安全培訓(xùn)和安全工作人員。通常用信息安全問題是由單位內(nèi)部的專門機構(gòu)控制和管理的,必要時,應(yīng)與外部相關(guān)組織進行溝通協(xié)調(diào),各單位在進行自身信息安全管理工作時應(yīng)與與公安機關(guān)公共信息網(wǎng)絡(luò)a全監(jiān)察部門密切配合。
主要體現(xiàn)如圖所示的三個層次。符合性(合規(guī)性)管理:是指單位、組織根據(jù)自身業(yè)務(wù)特點和具體情況所制定的信息安全管理辦法和規(guī)范,必須符合國家信息安全相關(guān)法律、法規(guī)的規(guī)定。符合性從單位自身微觀的層次上體現(xiàn)了信息安全管理與國家的宏觀的信息安全管理的一致和配合。
信息安全的人員管理,人員的素質(zhì)是提高信息安全性致關(guān)重要的因素。信息安全的人員
……(新文秘網(wǎng)http://m.jey722.cn省略844字,正式會員可完整閱讀)……
所使用過的所有帳號,向離崗人員重申安全b_m責(zé)任和義務(wù)。二、強制離崗人員,必須嚴(yán)格辦理調(diào)離手續(xù),必要時應(yīng)在調(diào)離決定通知其本人之前,立即或者提前進行移交手續(xù),不能拖延。第三種情況,因工作問題被解聘人員,應(yīng)該嚴(yán)格審查其工作問題,嚴(yán)格執(zhí)行相關(guān)處罰,若有觸犯法律、法規(guī)的行為,應(yīng)依法追究其法律責(zé)任。在信息安全的制度管理方面,應(yīng)該結(jié)合本單位的實際情況,編制完整的、全面的、分層次的信息安全的制度管理制度和規(guī)范,并加以認真貫徹落實。
下面列舉三個信息安全管理制度:一、物理環(huán)境安全管理規(guī)范,它包括安全域、門禁控制、監(jiān)控與報警、電源和電纜管理、環(huán)境管理與維護、設(shè)備常規(guī)管理、變更管理、事故處理等。二、終端計算機安全使用規(guī)范,包括安裝防病毒軟件、操作系統(tǒng)定期自動升級、密碼保護、IE安全級別設(shè)置、郵件管理、重要文件備份等。三、包括防火墻系統(tǒng)管理規(guī)范,包括明確崗位職責(zé)、防火墻的規(guī)劃部署、配置測試;狀態(tài)監(jiān)控、日志分析、安全事件的響應(yīng)處理等。
二、互聯(lián)網(wǎng)、重點單位信息安全管理
第二個問題,互聯(lián)網(wǎng)、重點單位信息安全管理!队嬎銠C信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、《計算機信息網(wǎng)絡(luò)國際聯(lián)_全保護管理辦法》、《互聯(lián)_全保護技術(shù)措施規(guī)定》的國家現(xiàn)行的法律法規(guī),在安全保護職責(zé)、安全管理制度、安全保護技術(shù)措施、禁止行為等方面對互聯(lián)網(wǎng)服務(wù)提供者、互聯(lián)網(wǎng)數(shù)據(jù)中心 、聯(lián)網(wǎng)使用單位做出明確的規(guī)定和要求。
其中,《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》第13條規(guī)定,從事國際聯(lián)網(wǎng)業(yè)務(wù)的單位和個人應(yīng)當(dāng)遵守國家有關(guān)法律、行政法規(guī),嚴(yán)格執(zhí)行安全b_m制度,不得利用國際聯(lián)網(wǎng)從事危hai國jia安全、泄露國家秘密等違法犯罪活動;不得制作、查閱、復(fù)制和傳播妨礙社會治安的信息和淫穢色情等信息。
《計算機信息網(wǎng)絡(luò)國際聯(lián)_全保護管理辦法》第5條、第6條,對禁止在互聯(lián)網(wǎng)上發(fā)布的信息內(nèi)容、禁止互聯(lián)網(wǎng)活動行為分別做出強勁的規(guī)定!队嬎銠C信息網(wǎng)絡(luò)國際聯(lián)_全保護管理辦法》第10條還規(guī)定,互聯(lián)網(wǎng)單位、接入單位及國際聯(lián)網(wǎng)的法人和其他組織應(yīng)當(dāng)履行,一、建立健全安全保護管理制度;二、落實安全保護技術(shù)措施;三、開展安全教育和培訓(xùn);四、對發(fā)布信息的單位和個人登記、對發(fā)布內(nèi)容進行審核;五、建立電子公告系統(tǒng)的用戶登記和信息管理制度;六、對違反法律法規(guī)的行為保留有關(guān)原始記錄并及時報案;七、及時刪除違反法律法規(guī)的內(nèi)容、地址、目錄或者關(guān)閉服務(wù)器。
互聯(lián)網(wǎng)管理中的安全管理制度,健全的互聯(lián)_全管理制度應(yīng)包含:新聞組、BBS等交互式欄目及個人主頁等信息服務(wù)欄目的安全管理制度、信息發(fā)布審核和登記制度、信息巡查、保存、清除和備份制度等其他與安全保護有關(guān)的管理制度。
安全保護技術(shù)措施!痘ヂ(lián)_全保護技術(shù)措施》規(guī)定,互聯(lián)網(wǎng)服務(wù)的提供者、聯(lián)網(wǎng)使用者和單位應(yīng)當(dāng)建立和落實基本的安全技術(shù)措施,包括防病毒、防網(wǎng)絡(luò)入侵和攻擊破壞等危害網(wǎng)絡(luò)a全事項或者行為的技術(shù)措施,重要數(shù)據(jù)庫和系統(tǒng)主要設(shè)備的冗災(zāi)備份措施,記錄并留存用戶登錄和退出時間、主叫號碼、賬號、互聯(lián)網(wǎng)地址或域名、系統(tǒng)維護日志的技術(shù)措施。
重點單位及其確定原則,《計算機信息系統(tǒng)安全保護條例》第4條明確規(guī)定:“計算機信息系統(tǒng)的安全保護工作,重點維護國家事務(wù)、經(jīng)濟建設(shè)、國防建設(shè)、尖端科學(xué)技術(shù)等重要領(lǐng)域的計算機信息系統(tǒng)的安全!奔訌娋W(wǎng)絡(luò)a全保護工作,首先要抓好重點單位及其確定原則,加強信息網(wǎng)絡(luò)a全保護工作,首先要抓好重點抓好國家事務(wù)、經(jīng)濟建設(shè)、國防建設(shè)、尖端科學(xué)技術(shù)等重要領(lǐng)域的計算機信息系統(tǒng)的安全,這些重要領(lǐng)域的信息網(wǎng)絡(luò)a全直接關(guān)系到國j-a全、_以及經(jīng)濟建設(shè)的健康發(fā)展,凡是涉及這些要領(lǐng)域的信息網(wǎng)絡(luò)的單位均屬于重點單位。
我國信息網(wǎng)絡(luò)重點單位列舉,我國根據(jù)安全需要,從實際出發(fā),全面權(quán)衡后,確定了信息網(wǎng)絡(luò)重點單位一共有12類,我國根據(jù)安全需要,從實際出發(fā),全面權(quán)衡后,將下列單位列入信息網(wǎng)絡(luò)重點單位:1、國家各級黨政機關(guān)單位,2、
銀行、保險、證券等金融機構(gòu),3、電力、熱力、燃氣、煤炭、油料等能源單位,4、鐵路、公路、水路、海運等交通運輸單位,5、醫(yī)療、消防、緊急救援等社會應(yīng)急服務(wù)單位,6、經(jīng)濟建設(shè)的重點工程建設(shè)單位,7、其他重要領(lǐng)域和單位,8、互聯(lián)網(wǎng)管理中心及其重要網(wǎng)站,9、重要物資儲備單位,10、水利及水資源供給部門,11、航空、航天等尖端科技企業(yè)和研究單位。12、郵政、電信、廣播電視部門等。
重點單位信息安全管理。重點單位信息安全管理,要從建立安全管理機構(gòu) ……(未完,全文共8684字,當(dāng)前僅顯示2372字,請閱讀下面提示信息。
收藏《干部學(xué)習(xí)講稿:信息安全管理與監(jiān)管》)