吉林省公安厅网络警察总队信息网络安全专业技术人员继续教育培训班——信息网络安全管理

吉林省公安厅网络警察总队信息网络安全专业技术人员继续教育培训班信息网络安全管理吉林省公安厅网络警察总队欢迎参加信息网络安全管理吉林省公安厅网络警察总队全继天信息网络安全管理信息安全法律法规与标准介绍信息网络违法犯罪信息安全管理简介信息安全监管信息网络安全管理信息安全法律法规与标准介绍法律法规中华人民共和国刑法（第285、286、287条）19973314中华人民共和国人民警察法1995228中华人民共和国治安管理处罚法2005828全国人民代表大会常务委员会关于维护互联网安全的决定20001228中华人民共和国计算机信息系统安全保护条例1994218计算机信息网络国际联网安全保护管理办法19971230计算机信息系统安全专用产品检测和销售许可证管理办法1997628计算机病毒防治管理办法2000330金融机构计算机信息系统安全保护工作暂行规定1998831互联网电子公告服务管理规定2000108计算机信息系统保密管理暂行规定1998226信息安全等级保护管理办法200631互联网安全保护技术措施规定200631信息网络安全管理信息安全法律法规与标准介绍国家标准计算机信息系统安全专用产品分类原则GA1631997计算机信息系统防雷保安器GA1731998信息技术设备的无线电干扰极限值和测量方法GB925488计算站场地安全要求GB936188计算站场地技术条件GB288789电子计算机机房设计规范GB5017493电子计算机机房施工及验收规范SJ/T3000393计算机信息安全保护等级划分准则GB178591999计算机信息系统安全等级保护通用技术要求GA/T3902002计算机信息系统安全等级保护操作系统技术要求GA/T3882002计算机信息系统安全等级保护数据库管理系统技术要求GA/T3872002计算机信息系统安全等级保护管理要求GA/T3912002国际标准信息安全管理标准BS7799ISO/IEC17799国际信息安全管理标准信息网络安全管理信息安全法律法规与标准介绍信息系统安全保护条例与办法中华人民共和国计算机信息系统安全保护条例适用范围条例规定不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机信息系统的安全。条例适用于任何组织或者个人。中华人民共和国境内的计算机信息系统的安全保护适用本条例。信息网络安全管理信息安全法律法规与标准介绍信息系统安全保护条例与办法中华人民共和国计算机信息系统安全保护条例主要内容准确标明了安全保护工作的性质科学界定了“计算机信息系统”的概念系统设置了安全保护的制度明确确定了安全监督的职权全面规定了违法者的法律责任定义了计算机病毒及专用安全产品信息网络安全管理信息安全法律法规与标准介绍信息系统安全保护条例与办法计算机信息网络国际联网安全管理办法适用范围和公安机关职责办法适用于中华人民共和国境内的计算机信息网络国际联网安全保护管理。办法的调整对象是从事国际联网业务的单位和个人。公安机关职责划分公安部计算机管理监察机构负责计算机信息网络国际联网的安全保护管理工作。公安机关计算机管理监察机构应当保护计算机信息网络国际联网的公共安全，维护从事国际联网业务的单位和个人的合法权益及公众利益。信息网络安全管理信息安全法律法规与标准介绍信息系统安全保护条例与办法计算机信息网络国际联网安全管理办法安全责任、义务和法律责任安全保护职责安全监督法律责任信息网络安全管理信息安全法律法规与标准介绍互联网安全保护技术措施规定明确互联网安全保护技术措施定义互联网安全保护技术措施，是指保障互联网网络安全和信息安全、防范违法犯罪的技术设施和技术方法规范了互联网安全保护技术措施使用原则互联网服务提供者、联网使用单位负责落实互联网安全保护技术措施，并保障互联网安全保护技术措施功能的正常发挥。互联网服务提供者、联网使用单位应当建立相应的管理制度。未经用户同意不得公开、泄露用户注册信息，但法律、法规另有规定的除外。互联网服务提供者、联网使用单位应当依法使用互联网安全保护技术措施，不得利用互联网安全保护技术措施侵犯用户的通信自由和通信秘密。明确监管主体和技术标准公安机关公共信息网络安全监察部门负责对互联网安全保护技术措施的落实情况依法实施监督管理。互联网安全保护技术措施应当符合国家标准。没有国家标准的，应当符合公共安全行业技术标准。信息网络安全管理信息安全法律法规与标准介绍互联网安全保护技术措施规定互联网服务提供者和联网使用单位应当落实以下互联网安全保护技术措施1、防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施；2、重要数据库和系统主要设备的冗灾备份措施；3、记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施；4、法律、法规和规章规定应当落实的其他安全保护技术措施。信息网络安全管理信息安全法律法规与标准介绍互联网安全保护技术措施规定提供互联网接入服务的单位除落实上述四项技术措施外，还应当落实具有以下功能的安全保护技术措施（一）记录并留存用户注册信息；（二）使用内部网络地址与互联网网络地址转换方式为用户提供接入服务的，能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系；（三）记录、跟踪网络运行状态，监测、记录网络安全事件等安全审计功能。信息网络安全管理信息安全法律法规与标准介绍互联网安全保护技术措施规定提供互联网信息服务的单位除落实上述四条技术措施外，还应当落实具有以下功能的安全保护技术措施（一）在公共信息服务中发现、停止传输违法信息，并保留相关记录；（二）提供新闻、出版以及电子公告等服务的，能够记录并留存发布的信息内容及发布时间；（三）开办门户网站、新闻网站、电子商务网站的，能够防范网站、网页被篡改，被篡改后能够自动恢复；（四）开办电子公告服务的，具有用户注册信息和发布信息审计功能；（五）开办电子邮件和网上短信息服务的，能够防范、清除以群发方式发送伪造、隐匿信息发送者真实标记的电子邮件或者短信息。信息网络安全管理信息安全法律法规与标准介绍互联网安全保护技术措施规定提供互联网数据中心服务的单位和联网使用单位除落实上述四项技术措施外，还应当落实具有以下功能的安全保护技术措施（一）记录并留存用户注册信息；（二）在公共信息服务中发现、停止传输违法信息，并保留相关记录；（三）联网使用单位使用内部网络地址与互联网网络地址转换方式向用户提供接入服务的，能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系。信息网络安全管理信息安全法律法规与标准介绍互联网安全保护技术措施规定提供互联网上网服务的单位，除落实上述四项技术措施外，还应当安装并运行互联网公共上网服务场所安全管理系统。互联网服务提供者依照规定采取的互联网安全保护技术措施应当具有符合公共安全行业技术标准的联网接口。互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施，应当具有至少保存六十天记录备份的功能。信息网络安全管理信息安全法律法规与标准介绍互联网安全保护技术措施规定互联网服务提供者和联网使用单位不得实施下列破坏互联网安全保护技术措施的行为（一）擅自停止或者部分停止安全保护技术设施、技术手段运行；（二）故意破坏安全保护技术设施；（三）擅自删除、篡改安全保护技术设施、技术手段运行程序和记录；（四）擅自改变安全保护技术措施的用途和范围；（五）其他故意破坏安全保护技术措施或者妨碍其功能正常发挥的行为。信息网络安全管理关于执行计算机信息网络国际联网安全保护管理办法中有关问题的解释（一）、关于“安全保护管理制度”问题办法第十条第一项和第二十一条第一项中的“安全保护管理制度主要包括（1）信息发布审核、登记制度；（2）信息监视、保存、清除和备份制度；（3）病毒检测和网络安全漏洞检测制度；（4）违法案件报告和协助查处制度；（5）帐号使用登记和操作权限管理制度；（6）安全管理人员岗位工作职责；（7）安全教育和培训制度；（8）其他与安全保护相关的管理制度。信息网络安全管理关于执行计算机信息网络国际联网安全保护管理办法中有关问题的解释（二）、关于“安全保护技术措施”问题办法第十条第二项中的“安全保护技术措施”和第二十一条第二项中的“安全保护技术措施”主要包括（1）具有保存3个月以上系统网络运行日志和用户使用日志记录功能，内容包括IP地址分配及使用情况，交互式信息发布者、主页维护者、邮箱使用者和拨号用户上网的起止时间和对应IP地址，交互式栏目的信息等；（2）具有安全审计或预警功能；（3）开设邮件服务的，具有垃圾邮件清理功能；（4）开设交互式信息栏目的，具有身份登记和识别确认功能；（5）计算机病毒防护功能；（6）其他保护信息和系统网络安全的技术措施。信息网络安全管理关于执行计算机信息网络国际联网安全保护管理办法中有关问题的解释（三）、关于“安全保护管理所需信息、资料及数据文件”问题办法第八条中的“有关安全保护的信息、资料及数据文件”和第二十一条第四项中的“安全保护管理所需信息、资料及数据文件”主要包括（1）用户注册登记、使用与变更情况（含用户帐号、IP与EMAIL地址等）；（2）IP地址分配、使用及变更情况；（3）网页栏目设置与变更及栏目负责人情况；（4）网络服务功能设置情况；（5）与安全保护相关的其他信息。信息网络安全管理关于执行计算机信息网络国际联网安全保护管理办法中有关问题的解释（四）、关于“保留有关原始记录”问题办法第十条第六项中的“有关原始记录”是指有关信息或行为在网上出现或发生时，计算机记录、存贮的所有相关数据，包括时间、内容（如图象、文字、声音等）、来源（如源IP地址、EMAIL地址等）及系统网络运行日志、用户使用日志等。信息网络安全管理关于执行计算机信息网络国际联网安全保护管理办法中有关问题的解释（五）、关于“停机整顿”处罚的执行问题按照办法规定作出“停机整顿”的处罚决定，可采取的执行措施包括（1）停止计算机信息系统运行；（2）停止部分计算机信息系统功能；（3）冻结用户联网帐号；（4）其他有效执行措施。信息网络安全管理信息网络违法犯罪计算机案件治安案件和一般行政案件违反行政法规所构成的计算机案件被称为行政案件。例如，计算机信息系统安全保护条理中的规定和制度，涵盖了计算机信息系统安全保护的过程。凡是违反有关规定和制度的，均构成违反计算机信息系统安全保护条理的违法行为，要追究行政法律责任。信息网络安全管理信息网络违法犯罪计算机案件刑事案件触犯刑律所构成的计算机案件被称为计算机刑事案件。例如，我国刑法中关于计算机犯罪的规定，对非法侵入重要计算机信息系统，以及违反计算机信息系统安全保护条理并造成严重后果构成犯罪的，则追究其刑事责任。我过刑法关于计算机犯罪的三个专门条款，分别规定了非法侵入计算机信息系统罪；破坏计算机信息系统罪；利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪，并将其一并归入第六章“妨害社会管理秩序罪”第一节“扰乱公共秩序罪”。信息网络安全管理信息网络违法犯罪计算机案件刑事案件刑法有关计算机犯罪的规定，总体上可以分为两大类一类是纯粹的计算机犯罪，即刑法第285条、第286条单列的两种计算机犯罪独立罪名；另一类不是纯粹的计算机犯罪，而是隐含于其他犯罪罪名的计算机犯罪形式。例如，刑法第287条规定“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。”之所以要区分这两种类别，是因为第二类犯罪与传统犯罪之间并无本质区别，只是在犯罪工具使用上有所不同而已，因此不需要为其单列罪名，而第一类犯罪不仅在具体手段和侵犯客体方面与传统犯罪存在差别，而且有其特殊性，传统犯罪各罪名已无法包括这些犯罪形式，因此为其单列罪名。信息网络安全管理信息网络违法犯罪计算机犯罪计算机案件的性质界定计算机案件包括行政违法案件和刑事违法案件，行政违法行为要受到行政处罚，刑事违法行为则应受到刑事处罚。在我国法律责任体系中，两者在内容和性质上有许多不同。因此必须正确界定案件性质并依法进行制裁。对于特定的计算机犯罪案件，到底是按照行政案件进行处罚，还是按照刑事案件进行处罚，在性质界定方面有以下依据根据违法行为的情节和所造成的后果进行界定违法行为的情节或者危害后果轻微的是行政违法，情节较重或者造成严重后果的是刑事违法，这是现行法律运用最为广泛的划分标准。例如，我国刑法第286条规定的破坏计算机信息系统功能、破坏计算机信息系统数据和应用程序、制作和传播破坏程序，均以后果严重作为构成犯罪的要件。信息网络安全管理信息网络违法犯罪计算机犯罪计算机案件的性质界定根据违法行为的类别进行界定有些违法行为一经实施就是刑事违法行为。例如，非法侵入计算机信息系统罪，任何人只要未经允许侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统就构成刑事犯罪，此类行为不仅承担行政责任，同时应当受到刑事处罚。而另外一些违法行为则只属于行政违法行为，不属于刑事违法行为。例如，将计算机信息系统接入互联网的法人和其他组织，未按照规定进行备案，依据计算机信息网络国际联网安全保护管理爆发，由公安机关给予行政处罚，但是该行为不构成刑事违法行为，不需进行刑事处罚。根据违法行为所违反的法律规范来界定行政违法行为所违反的是行政法律规范，应当受到行政法律的制裁，承担行政责任；刑事违法行为违反的是刑事法律规范，应当受到刑法制裁，承担刑事法律责任。计算机信息系统安全保护条例第24条明确规定“违反本条例的规定，构成违反治安管理行为的，依照中华人民共和国治安管理处罚条例的有关规定处罚；构成犯罪的，依法追究刑事责任。”信息网络安全管理信息网络违法犯罪计算机犯罪犯罪的概念中华人民共和国刑法第二章第十三条对犯罪作了如下定义一切危害国家主权、领土完整和安全、分裂国家、颠覆人民民主专政和推翻社会主义制度，破坏社会秩序和经济秩序，侵犯国有财产或劳动群众集体所有的财产，侵犯公民私人所有的财产，侵犯公民的人身权利、民主权利和其他权利，以及其他危害社会的行为，依照法律应当受刑罚处罚的，都属于犯罪，但是情节显著轻微且危害不大的，不认为是犯罪。信息网络安全管理信息网络违法犯罪计算机犯罪计算机犯罪的概念计算机犯罪是指行为人通过计算机操作所实施的危害计算机信息系统安全以及其他严重危害社会的并应当处以刑罚的行为。计算机犯罪分类一般可分为两大类一类是针对计算机信息系统实施的犯罪，如非法入侵、删除修改重要数据、传播计算机病毒等。另一类是行为人利用计算机实施危害社会的犯罪，如盗窃、诈骗、赌博、传播淫秽色情物品等传统犯罪。信息网络安全管理信息网络违法犯罪计算机犯罪计算机犯罪的表现形式1、非法侵入计算机信息系统罪新刑法第285条对非法侵入计算机信息系统罪作了明确规定违反国家规定，侵入国家事物、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下的有期徒刑或者拘役。2、破坏计算机信息系统罪新刑法第286条明确规定违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上的有期徒刑。信息网络安全管理信息网络违法犯罪计算机犯罪计算机犯罪的表现形式3、利用计算机信息系统实施的犯罪新刑法第287条明确规定利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。信息网络安全管理信息网络违法犯罪计算机犯罪互联网犯罪互联网犯罪是指行为人利用计算机信息网络国际联网实施犯罪的一种表现形式。随着网络技术的飞速发展，人们对网络的依赖程度越来越高，互联网在给人们带来福音的同时，网络犯罪也悄然而至，并且来势迅猛。利用互联网危害国家安全、扰乱社会管理秩序、侵犯公私财产、侵犯公民人身权利和民主权利、黄、赌、毒犯罪案件日显突出，给社会带来极大危害。利用互联网实施犯罪的种类繁多，如网上邪教组织；网上窃取、泄露国家机密；网上侵犯商业秘密；网上毁损商誉；网上侮辱、诽谤；网上盗窃、诈骗、洗钱、赌博、贩毒、买卖枪支、传播淫秽色情物品等。信息网络安全管理信息网络违法犯罪计算机犯罪互联网犯罪互联网犯罪特点1、范围广，速度快，成本低。2、犯罪手段隐蔽，证据易被销毁。3、犯罪人员的高智能性和危害的严重性。4、传统领域犯罪逐步向网络犯罪渗透。信息网络安全管理信息网络违法犯罪计算机犯罪互联网犯罪我省网络犯罪状况自1998年我省破获首起利用计算机信息网络贪污侵占银行存款案件起，利用计算机信息网络进行违法犯罪活动逐渐呈现，发展速度十分惊人。1999年全省公安机关立案侦查的计算机违法犯罪案件仅为10余起；2000年为60余起；2004年达到530余起，比2000年上升了8倍。2006年全省公安机关网络警察查处网络违法犯罪案件达到1900余起。其中，90以上的计算机违法犯罪案件牵涉国际互联网。信息网络安全管理信息网络违法犯罪计算机犯罪互联网犯罪我省网络犯罪特点1、利用互联网危害国家安全的案件持续上升。2、利用网络制作、复制、传播淫秽色情物品进行赌博的案件十分突出。3、利用计算机网络侵犯公私财物的案件呈多发趋势。4、危害计算机信息网络安全的案件增幅较大。5、侵犯公民人身权利和民主权利的案件增多。信息网络安全管理信息安全管理简介信息安全组织管理信息安全管理组织构架与职能信息系统安全管理机构是实施系统安全，进行安全管理的必要保证。通常，信息安全问题是由单位、组织内部的专门机构控制和管理的，由健全的安全管理机构保障和实施应用系统的安全措施。信息安全管理机构的组织结构中，包括以下组织部分内部信息安全管理组织包括安全审查和决策机构负责信息安全工作的权威机构，通常形式是信息安全管理委员会，由高级管理层、各部门管理层的代表组成，负责制定信息安全目标、原则、方针和策略。安全主观机构负责具体的信息安全建设和管理，依据安全策略，制定各项安全管理制度，采用必要的安全技术措施。信息网络安全管理信息安全管理简介信息安全组织管理信息安全管理组织构架与职能内部信息安全管理组织包括安全运行维护机构对相关的安全技术机制和系统，按照安全管理规范的要求，进行运行维护，保证安全系统稳定可靠，发挥有效保护作用。安全审计机构担负保护系统安全的责任，但工作重点偏向于监视系统的运行情况，并且对安全管理制度的贯彻执行情况进行监督和检查。安全培训机构负责与信息安全有关的教育和培训工作。安全人员信息安全管理是一个复杂的过程，需要多方面的人才，包括安全、审计、系统分析、软硬件、通信、保安等有关方面的人员。信息网络安全管理信息安全管理简介信息安全组织管理信息安全管理组织构架与职能外部信息安全管理组织包括国家职能监管机构包括公安机关、国家保密机关等国家规定的信息安全职能监管机构。外部合作组织由权威第三方安全组织、信息安全专业厂商组成，在必要时，为单位、组织提供外部的技术支持。专家顾问组由外聘资深专家和顾问组成，为决策机构提供必要的建设和决策支持。信息网络安全管理信息安全管理简介信息安全组织管理信息安全管理和公安机关公共信息网络安全监察部门的配合公安部是国家授权对信息安全和网络安全进行监控和管理的职能机构，各单位、组织的信息安全管理工作，应当与公安机关公共信息网络安全监察部门密切配合，从国家宏观和组织自身微观两个层次是实现有效的信息安全管理。符合性（合规性）管理是指单位、组织根据自身业务特点和具体情况所制定的信息安全管理办法和规范，必须符合国家信息安全相关法律、法规的规定，不得违背。符合性（合规性）管理是信息安全管理的重要组成部分，在组织自身微观的层次上，体现了信息安全管理与国家宏观信息安全管理的一致和配合。信息网络安全管理信息安全管理简介信息安全组织管理信息安全管理和公安机关公共信息网络安全监察部门的配合单位、组织的信息安全管理工作与公安机关公共信息网络安全监察部门之间的配合主要体现在以下方面单位、组织的信息安全管理，必须遵循信息安全法律、法规对于安全管理职责、备案、禁止行为、安全管理制度和安全技术机制要求等方面的内容规定，不得违反；否则，将按照相关法律、法规的规定，追究法律责任，并给予行政和刑事处罚。法律、法规赋予公安机关公共信息网络安全监察部门对信息安全的监管职责，各单位、组织必须接受和配合公安机关公共信息网络安全监察部门的监督和检查。在发生信息安全案件后，单位、组织应当及时向公安机关公共信息网络安全监察部门报案，并在取证和调查等环节给予密切配合。信息网络安全管理信息安全管理简介信息安全人员管理人员安全管理是信息安全管理中的一个重要方面，人员安全管理应当考虑以下主要内容安全审查安全保密管理安全教育与培训岗位安全考核离岗人员安全管理信息网络安全管理信息安全管理简介信息安全人员管理安全审查人的因素在各个安全环节中是最重要的，全面提高人员的技术水平、道德品质、政治觉悟和安全意识是信息安全的重要保障。事实证明很多安全事件都是由内部人员所制造的，而高技术、现代化的网络和信息系统又不可能脱离高素质的技术人员独立运行。因此。对于关键岗位必须建立严格的人员安全审查制度，把好人员安全管理的第一关。根据单位、组织网络和信息系统内部资源的敏感程度和重要程度不同，对信息资源进行密级划分。信息资源的密级直接决定了接触和管理该信息资源的岗位对人员安全等级的要求，应该依此要求建立相应的人员安全审查的标准。人员的安全审查应该从安全意识、法律意识、安全技能等几方面进行，人员应该具有政治可靠、思想进步、作风正派、技术合格等基本素质。信息网络安全管理信息安全管理简介信息安全人员管理安全审查网络和信息系统的关键岗位人选的审查标准如下1、必须是单位、组织的正式员工。2、必须经过严格的政审、背景和资历调查。3、必须经过业务能力的综合考核。4、不得出现在其他关键岗位兼职的情况。信息网络安全管理信息安全管理简介信息安全人员管理安全保密管理所有进入网络和信息系统工作的人员，必须签订保密协议，承诺其对网络和信息系统应尽的安全保密义务，保证在岗工作期间和离岗后一定时期内，均不违反保密协议，不泄露系统秘密。新加入的正式雇员在办理手续的时候，应该签订保密协议，作为雇佣合同的必要组成部分和附件；现有正式雇员，如果过去没有签订保密协议，应该及时的补办相应手续；临时人员和第三方人员在接触网络和信息系统之前，也应该签署相关的保密协议。信息网络安全管理信息安全管理简介信息安全人员管理安全保密管理保密协议的内容应当根据单位、组织相关的商业秘密保护办法制定1、保密的范围至少应不限于包括网络和信息系统的软硬件配置参数、相关技术文档、系统敏感数据、信息安全管理制度和规定以及可能损害单位、组织形象和信誉的事件或案件情况。2、应该对保密期限进行明确规定，对于重要的岗位，不仅要求员工在岗期间遵守保密协议，还应该规定在员工离岗之后一定的时期内，保密协议仍然有效。3、应该针对违反保密协议的违规情况，指定响应的惩处条款。4、应该在雇佣合同或者雇佣条款发生变化的时候，对员工保密协议进行审查。信息网络安全管理信息安全管理简介信息安全人员管理安全教育与培训一、安全策略安全教育与培训是人员安全管理的重要内容，通过持续有效的安全教育与培训，提高相关人员的安全能力和专业技能，此项管理工作应当在相应安全策略的指导下进行，信息安全教育与培训策略应当包含以下内容1、应定期对员工进行信息安全教育与培训，促使员工理解信息安全的重要性以及网络和信息系统所面临的各种可能的安全风险，以提高员工的信息安全意识，并遵守各种信息安全管理规定。2、应当以人员角色及岗位职能为基础，针对不同层次的人员，进行适当的信息安全教育与培训。信息安全教育与培训的内容应当包括信息安全相关的法律、法规，信息安全方针与策略，信息安全的操作流程以及使用和管理信息安全技术基础设施的技能训练。3、信息安全教育与培训，除了使用于内部员工之外，同样使用于所有接入和使用网络和信息系统的第三方人员。4、信息安全教育与培训的内容应该具有针对性，根据业务发展和信息系统的变化，及时进行调整、修正和补充，并应当建立考核制度，检验信息安全教育与培训的效果。信息网络安全管理信息安全管理简介信息安全人员管理安全教育与培训二、培训内容根据信息安全教育与培训策略，安全教育与培训共包括三类不同层次的培训内容，分别是对所有接触和使用网络和信息系统的拥护进行基本安全教育；对负责信息安全基础设施运行和维护的专业技术人员进行专业安全培训；对信息安全保障体系的规划者、管理者和建设实施人员进行高级安全培训。信息网络安全管理信息安全管理简介信息安全人员管理安全教育与培训二、培训内容1、基本安全教育基本安全教育的培训对象是所有接触和使用网络和信息系统的人员，包括内部人员以及相关的第三方人员。基本安全教育旨在使培训对象了解信息安全的基本概念，认识到可能存在的各种安全威胁和安全风险，理解信息安全的方针策略和管理制度，从而达到提高信息安全意识，掌握基本安全操作技能，遵守信息安全管理制度和规定的目的。信息网络安全管理安全教育与培训二、培训内容1、基本安全教育基本安全教育的内容包括信息安全的含义，信息安全所涵盖的各项主要方面，信息安全的最基本常识。组织内部哪些重要区域和设备严格限制普通人员进入和使用，违反规定，会受到什么样的处罚。特别强调业务数据对于组织的重要性，业务数据是组织的核心商业机密，任何篡改、破坏业务数据的行为必将受到严厉的法律制裁。这部分内容可以结合既有案例进行讲述。计算机用户安全操作管理规范，使用户了解作为一个普通用户，应该如何安全地对本地桌面计算机系统进行操作，包括用户名/口令的规定、防病毒软件的配置和使用、系统补丁和版本升级的维护、计算机配置的管理措施、访问互联网时要注意的安全事项等。普通用户在应急响应计划中的角色和作用。例如，发现安全事件时，保护好现场，及时按照规程向应急响应部门报警，并配合取证调查。信息网络安全管理安全教育与培训二、培训内容1、基本安全教育基本安全教育的内容包括普通用户在灾难恢复计划中的角色和作用。例如，灾难发生时的人员自救和紧急疏散规程，灾难发生后，尽快到达备份工作地点，配合灾难恢复部门的工作，迅速重新开始正常工作，确保业务的连续性。典型的安全时间案例介绍，介绍内容包括事件的起因，造成的影响和后果，相关人员受到的处罚情况，使学员增加对安全事件的直观认识，提高安全防护的意识，同时起到心里震慑作用，抑制不良想法和心理。信息安全管理的监督和检查机构，使学员了解任何的违规行为都会被发现，会视情节和影响的严重性，受到响应的处理。信息网络安全管理安全教育与培训二、培训内容2、专业安全培训专业安全培训的对象为负责信息安全基础设施运行和维护的专业技术人员，包括安全系统管理员、操作系统管理员、数据库系统管理员、网络管理员、机房管理员、密匙管理员以及其他相关维护人员。专业安全培训为负责信息安全基础设施的专业技术人员提供与其岗位和工作职责相关的专业理论知识、操作技能以及管理制度的培训，使得培训对象能够具备岗位和职责所要求的必要理论基础和操作技能，了解并遵守相应的安全管理规范，保证信息安全基础设施稳定有效的运行。信息网络安全管理安全教育与培训二、培训内容2、专业安全培训专业安全培训的内容包括进行职业道德教育。信息安全的职业道德包括约束从业人员的言行，指导他们思想的一整套道德规范，涉及到信息安全从业人员的思想认识、工作态度、业务钻研、待遇得失及其公共道德等方面。与岗位职能相关的信息安全技术理论培训。例如防火墙系统管理员需要接受防火墙技术理论的培训，系统管理员需要接受与系统安全有关的安全技术理论的培训。岗位职能与操作技能培训，使得培训对象理解和遵守岗位职能范围内的信息安全管理内容和流程规范，包括日常维护的操作规范，安全事件应急响应计划中的角色职责和处理流程，灾难恢复计划中的角色职责和处理流程等。信息网络安全管理安全教育与培训二、培训内容3、高级安全培训高级安全培训的对象包括负责信息安全保障体系规划和建设的专业技术人员、信息安全基础设施的设计和工程实施人员。高级安全培训旨在为单位、组织培养信息安全高级管理和技术人才，胜任各级信息安全管理部门中的关键岗位，实现信息安全保障体系的自主规划、管理和项目实施。信息网络安全管理安全教育与培训二、培训内容3、高级安全培训高级安全培训的内容包括国家和行业与信息安全有关的法律、法规内容，这些法律、法规都是信息安全保障体系的规划和设计过程所必须遵循的基本规定。全面的信息安全技术理论和知识，包括物理安全、网络安全、系统安全、应用安全等各个层次的安全标准和安全机制。全面的信息安全管理理论，包括信息安全管理的国际标准、安全风险评估理论与方法、信息安全方针和策略的指定和维护、组织机构和人员安全管理以及诸如应急响应和灾难恢复之类各项信息安全规范和流程的管理。信息安全工程理论，包括信息安全基础设施从需求分析、详细设计到开发和项目实施过程中，与信息安全相关的管理要素。关键岗位职能与责任，使得培训对象理解与具体岗位相关的职能范围和工作流程。关键岗位包括各级信息安全管理部门负责人、信息安全管理专员、应急响应计划专员、灾难恢复计划专员、安全系统项目实施经理等。信息网络安全管理信息安全管理简介信息安全人员管理安全教育与培训信息安全教育和培训由单位、组织和信息安全管理部门定期组织进行。培训结束后，必须进行考核，以检验教育和培训的效果。信息安全管理部门定期组织安全检查，检验信息安全教育和培训的实际效果以及安全规范的遵守和执行情况。信息网络安全管理信息安全管理简介信息安全人员管理岗位安全考核人员安全管理部门要定期对网络和信息系统所有的工作人员从思想政治和业务表现两方面进行考核。思想政治方面的考核内容包括是否能够遵守法律、法规；是否能够执行单位、组织的安全策略、纪律规范和规章制度；是否能够遵守职业道德，具有良好的劳动服务态度。业务表现方面的考核依据人员的具体职责进行，考核内容包括相关的业务理论水平和实际操作技能，特别是能否严格按照相关的安全管理规范进行业务操作，是否具有较高的信息安全意识。信息网络安全管理信息安全管理简介信息安全人员管理离岗人员安全管理1、应该建立技术人员离岗的安全管理制度，在人员离岗的同时收回钥匙、移交工作、更换系统口令、撤销帐号，并向离岗人员重新申明其保密义务。2、人员正常离岗之前要旅行移交手续，完成密码、设备、技术资料及相关敏感信息的移交。移交手续包括收回所有的钥匙和证件，归还使用的计算机设备，退还全部技术手册及相关资料，相关系统必须更换口令，取消该人员所使用过的所有帐号，向离岗人员重申其负有的安全保密责任和义务。3、对不情愿被调走的离岗人员，或者因为不适合安全管理要求而被调离的人员，必须严格办理调离手续，必要时应在调离决定通知其本人之前，立即或者提前进行移交手续，不能拖延。4、对于因工作问题而被解聘的人员，应该严格审查其工作问题，相关惩处应该严格按照保密协议的规章执行，如有触犯法律、法规的行为，应依法追究其法律责任。信息网络安全管理信息安全管理简介信息安全制度管理安全管理制度和安全管理规范是对信息安全方针和策略的深化和细化，是安全策略在某一个特定问题或者特定安全系统中的具体体现，安全管理制度必须符合安全策略，并与之保持一致。只要符合国家信息安全法律、法规的规定，符合单位、组织的信息安全策略，各单位、组织即可以根据自身的实际情况和特点，有针对性地制定相关的信息安全管理制度。信息安全管理制度应当覆盖信息安全管理的方方面面，构成一个全面有机的管理体系。信息网络安全管理信息安全管理简介信息安全制度管理信息安全管理制度应包含以下方面内容1安全策略与制度。确定单位、组织拥有明确的信息安全方针以及配套的策略和制度，以实现对信息安全工作的支持和承诺，保证信息安全的资金投入。2安全风险管理。信息安全建设不是避免风险的过程，而是管理风险的过程。没有绝对的安全，风险总是存在的。信息安全体系建设的目标就是要把风险控制在可以接受的范围之内。风险管理同时也是一个动态持续的过程。3人员和组织安全管理。建立组织机构，明确人员岗位职责，提供安全教育与培训；对第三方人员进行管理、协调信息安全监管部门与其他部门之间的关系，保证信息安全工作的人力资源要求，避免由于人员和组织上的错误产生的信息安全风险。信息网络安全管理信息安全管理制度应包含以下方面内容4环境和设备安全管理。控制由于物理环境和硬件设施的不当所产生的风险。管理内容包括物理环境安全、设备安全、介质安全等。5网络和通信安全管理。控制和保护网络和通信系统，防止其受到破坏和滥用，避免和减低由于网络和通信系统的问题对业务系统的损害。6主机和系统安全管理。控制和保护计算机主机及其系统，防止其受到破坏和滥用，避免和降低由此对业务系统的损害。7应用和业务安全管理。对各类应用和业务系统进行安全管理，防止其受到破坏和滥用。8数据安全和加密管理。采用数据加密和完整性保护机制，防止数据被窃取和篡改，保护业务数据的安全。9项目工程安全管理。保护信息吸引项目工程过程的安全，确保项目的成果是可靠的安全系统。信息网络安全管理信息安全管理制度应包含以下方面内容10运行和维护安全管理。保护信息系统在运行期间的安全，并确保系统维护工作的安全。11业务连续性管理。通过设计和执行业务连续性计划，确保信息系统在任何灾难和攻击下，都能够保证业务的连续性。12合规性（符合性）管理。确保信息安全保障工作符合国家法律、法规的要求，且信息安全方针、规定和标准得到了遵循。信息网络安全管理信息安全管理简介信息安全制度管理信息安全管理制度示例物理环境安全管理规范终端计算机安全使用规范防火墙系统管理规范信息网络安全管理物理环境安全管理规范1安全域根据计算机机房内部设备的功能、性质、任务、类型以及重要程度不同，同时为了防止非法进入、危害和干扰，确保内部设备的运行安全和信息安全，应当在计算机机房内部划分安全域。计算机机房内部的安全域包括主机、网络、打印、操作、介质、电源、空调等，对于特别重要的安全域，如主机、网络、介质、主控等，应当设立完全独立的房间和控制装置，严格控制人员的出入。对于高污染的打印设备，应当远离主机、介质安全域，并安排专门的环境。2门禁控制计算机机房是信息处理的重要场所，计算机机房内部的重要区域（如机房大门、主机安全域、网络设备安全域、介质安全域、主控安全域）必须设置控制人员出门的门禁系统（如磁卡、IC卡、指纹识别等），并建立24小时值班制度。门禁系统按照最小授权原则，严格控制计算机机房及内部各安全域的人员出入。根据进入机房人员的岗位职责，对其实行不同区域的授权。外单位人员因工作需要，必须经批准登记，在专人陪同下，进入计算机机房的指定区域。信息网络安全管理物理环境安全管理规范3监控与报警计算机机房必须安装场地监控系统，对电源、防水、放火等环境安全设备进行集中监控，自动登记机房环境的温度、湿度、电压、漏水等状况，在检测到异常情况时，自动报警。计算机机房必须安装摄像监控系统，对机房大门和重要区域进行监控和记录，在发现异常情况时，启动报警系统。计算机机房的报警系统应当与保卫部门的保安系统以及公安110系统实现联动。4人员安全管理计算机机房工作岗位属于关键岗位，对机房工作人员除了进行岗位操作和技能培训外，还必须进行相应的信息安全、职业道德、法律规范的培训，才能上岗工作。人力资源部门和信息安全管理部门应定期对机房工作人员进行考核，对于不能达到考核标准的人员，应该立即调离。对于机房工作人员，按照其工作岗位职能进行不同级别的授权，严格控制人员访问机房内部区域的权限，确保机房物理环境的安全。信息网络安全管理物理环境安全管理规范5设备放置与保护计算机机房内的设备应放置在安全位置，降低环境和事故造成的风险，减少非法访问的机会，设备放置与保护应遵循下列原则关键设备和需要特别保护的设备，应在物理上实现有效隔离。设备放置应有助于控制并降低潜在威胁和防线（如水、火、温度、通风、尘埃、震动、辐射、盗窃、破坏）。设备放置应考虑到便于维护。设备应该放置在相应的安全区域。信息网络安全管理物理环境安全管理规范6电源管理计算机机房电源管理包括以下内容。配电系统应当有详细的配线图，表明各路电源的电压、容量、分配和连接的设备。配电柜设备要放置在便于维护的明显位置，每一个配电开关应表明电源的来源和去向，以便掌握各相线的负载。增加、迁移、变更设备的时候，必须及时修改配线图。对于要求双路供电的设备，双路电源必须来自不同的UPS。信息网络安全管理物理环境安全管理规范电缆管理电缆管理包括电源电缆和通信电缆的安全管理，主要包括以下内容计算机机房内，电源电缆和通信电缆应铺设在地板下，从不同的线槽铺设、走线，并通过屏蔽保护以避免干扰，同时还要考虑阻燃、防水、防虫、防鼠、防腐等保护。根据设备的用电负载合理选用电缆，按色标明相线、零线和地线。对与多路主干通信线路进入计算机机房的情况，应采用不同方向，不同电缆井的入户方式，以降低外界施工造成通信线路被全面破坏的风险。信息网络安全管理物理环境安全管理规范环境管理与维护计算机机房中，环境管理与维护的内容包括定时检查和记录机房环境的温度、湿度、漏水、通风系统的运行情况。定时巡检各种环境设备的运转状况，记录出现的故障代码，供有关人员进行设备维修时使用。定期对各类环境设备进行例行检修，确保环境设备和系统处于良好的运行状态。信息网络安全管理物理环境安全管理规范环境管理与维护环境设备的定期检修包括对空调系统，每月检测压缩机的工作电流，清洁过滤网、排水管和加湿器；每季度清扫室外冷凝机组，确保通风顺畅。对电源和UPS系统，每月分析系统的运行记录，每季度进行蓄电池的充放电测试；每半年对UPS进行双机切换操作，并对电源配电柜进行检修。对发电机组，每月启动一次，每季度进行备用发电与市电切换的带载演练。对监控系统和门禁系统，要定期收集整理记录信息，分类存档，发现问题及时查清。定期检查消防灭火设施，及时更换不合格的设备。信息网络安全管理物理环境安全管理规范设备常规管理对机房工作人员、维修技术人员加强保密纪律教育，自觉遵守操作程序，不得随意向无关人员透露工作流程、软件版本、机器配置等信息。不得在机房内拍照，不得随意取走机房内的设备和资料。建立签收制度，设立专职介质管理岗位，严格管理各种存储介质和信息报表文档。介质设备在报废之前应删除信息，并集中统一保管，按照相应规范的保密性要求进行报废处理。对设备进行维护，应当提前作好备份，外单位、组织人员现场维护时，应由本单位、组织相关人员陪同，并且采取外单位、组织人员指导本单位、组织人员操作的方式，对磁盘等设备的维修应该尽量采用现场维护或者由本单位、组织人员陪同送修。不允许远程登陆生产或者开发系统进行维护。在无人使用或者离开时，应注销登陆，或者启动屏幕保护等安全措施。信息网络安全管理物理环境安全管理规范设备变更管理为确保机房内各系统的安全运行，对任何设备的迁移、扩容和升级、维修、施工等操作都应该制定相应的制度和标准工作流程，包括变更方案、实施步骤和回退措施等。安全检查部门应该参与变更管理方案的审定；实施结束，应向安全检查部门提交相应的记录和技术文档。任何变更操作应由两名以上工程技术人员完成，外单位、组织人员进行的操作应由本单位、组织相关人员陪同。当机房内的施工和维修操作必须明火作业时，要报经消防安全部门和保卫部门同意，采取必要的防范措施，在指定时间、地点按计划、按步骤完成作业，经检查确认没有火灾隐患后，方可结束施工。任何施工和维修操作所使用的电器设备，应当单独连接维修电源，以保证不对生产设备产生干扰。信息网络安全管理物理环境安全管理规范设备故障处理按照机房环境设备对生产系统造成的影响以及环境设备的修复时间，可以将故障分为两类一类故障包括电源等系统故障。二类故障空调、通风、发电机、门禁、照明等系统故障。发生一类故障，应及时采取应急措施，如切换到UPS或者启动发电机供电，同时以最快速度修复。发生二类故障，应在不影响正常生产的情况下，尽快查找故障原因并排除故障。信息网络安全管理物理环境安全管理规范管理制度和规定应当指定严密的规范和各项管理制度，包括值班制度、机房管理规定等，并将上述规定张贴于相应的工作区域内。安排专人负责管理制度实施情况的监督和检查，并处理机房的日常管理事项。信息网络安全管理终端计算机安全使用规范终端计算机的安全使用规范包括以下主要内容办公桌面系统必须安装防病毒软件，并且启动病毒监控和在线自动更新功能。为了防止客户机在浏览互联网时，被含有恶意代码的程序所感染，应将IE浏览器的安全级别调整为“中”，并将隐私级别设置为“中高”。应当安装操作系统最新的补丁软件包，弥补操作系统本身存在的安全漏洞，防止被攻击者或者计算机病毒所利用。启动操作系统的自动更新服务，操作系统会定期自动升级并安装最新的补丁程序。应该按照一定的规则设置桌面系统的登陆密码，并且定期修改，减少登陆密码泄露或被破解的可能性。信息网络安全管理终端计算机安全使用规范终端计算机的安全使用规范包括以下主要内容定时清除IE浏览器的临时文件夹，可以防止部分敏感内容的泄露。为防止意外情况造成文件损失，注意定期备份重要的文件，并保管好储存备份文件的介质。为防止恶意代码植入系统，预防计算机病毒感染，在收到来历不明的电子邮件时，应注意不要随意打开邮件，并立给予以删除。禁止在未经授权的情况下，私自修改系统的计算机命名标识和网络配置。禁止任何联入办公网络的桌面系统使用调制解调器拨号上网。禁止在为经授权的情况下，私自安装任何应用软件，在获得授权后，只允许安装与工作有关的正版应用软件。禁止访问互联网上与工作无关或来历不明的站点，禁止从互联网下载与工作无关的文件。信息网络安全管理防火墙系统管理规范防火墙是企业网络安全的关键设备，是不同网络安全领域间通信流的唯一通道，能根据企业有关的安全策略控制（允许、拒绝、监视、记录）并出网络的访问行为，同时也能控制着网络资源的分配和应用。防火墙的部署和配置必须适应企业的安全策略；防火墙对网络安全事件的记录需要事后分析审计；防火墙对敏感信息流的监控信息也需要及时地做出响应。所有这些要求应有专门的人员负责防火墙的管理工作。信息网络安全管理信息安全管理简介重点单位信息安全管理计算机信息系统安全保护条例第4条明确规定“计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。”这些重要领域的信息网络安全，直接关系到国家安全、社会安定以及经济建设的健康发展。凡是涉及上述重要领域的信息网络单位，均属于重点单位。信息网络安全管理重点单位信息安全管理重点单位分类我国信息网络重点单位一共分为十二类国家各级党政机关单位；银行、保险、政券等金融机构；邮政、电信、广播电视部门；电力、热力、燃气、煤炭、油料等能源单位；航空、航天等尖端科技企业和研究单位；铁路、公路、水路、海运等交通运输单位；水利及水资源供给部门；医疗、消防、紧急救援等社会应急服务单位；重要物资储备单位；经济建设的重点工程建设单位；互联网管理中心及其重要网站；其他重要领域和单位。信息网络安