信息化安全管理策略

信息安全管理

本章学习目标：理解策略的含义掌握策略制定的原则、内容和编写方法熟悉信息安全管理机构的构成了解制定信息安全管理制度的原则了解基本的信息安全法律法规9.1制定信息安全管理策略

信息安全管理策略也称信息安全方针，是组织对信息和信息处理设施进行管理、保护和分配的准则和规划，以及使信息系统免遭入侵和破坏而必须采取的措施。它告诉组织成员在日常的工作中什么是必须做的，什么是可以做的，什么是不可以做的；哪里是安全区，哪里是敏感区，就像交通规则之于车辆和行人，信息安全策略是有关信息安全方面的行为规范。一个成功的安全策略应当遵循：1）综合平衡(综合考虑需求、风险、代价等诸多因素)。2）整体优化(利用系统工程思想，使系统总体性能最优)。3）易于操作和确保可靠。

9.1.1信息安全管理策略概述9.1制定信息安全管理策略

在制定信息安全管理策略时，要严格遵守以下主要原则。

1）目的性。策略是为组织完成自己的信息安全使命而制定的，策略应该反映组织的整体利益和可持续发展的要求。

2）适用性。策略应该反映组织的真实环境和信息安全的发展水平。

3）可行性。策略应该具有切实可行性，其目标应该可以实现，并容易测量和审核。没有可行性的策略不仅浪费时间还会引起政策混乱。

4）经济性。策略应该经济合理，过分复杂和草率都是不可取的。

5）完整性。能够反映组织的所有业务流程的安全需要。

6）一致性。策略的一致性包括下面三个层次：①和国家、地方的法律法规保持一致；②和组织己有的策略、方针保持一致；③整体安全策略保持一致，要反映企业对信息安全的一般看法。

7）弹性。策略不仅要满足当前的组织要求，还要满足组织和环境在未来一段时间内发展的要求。9.1.2制定策略的原则9.1制定信息安全管理策略

理论上，一个完整的策略体系应该保障组织信息的机密性、可用性和完整性。信息安全策略应包含下列一些内容：

1）适用范围。包括人员范围和时效性，例如“本规定适用于所有员工”，“适用于工作时间和非工作时间”。不仅要消除本该受到约束的员工有认为自己是个例外的想法，也保证策略不至于被误解是针对某个员工的；同时也告诉员工本规定在什么时间发挥效力。

2）目标。例如，“为确保企业的经营、技术等机密信息不泄漏，维护企业的经济利益，根据国家有关法律，结合企业实际，特制定本条例。”明确了信息安全保护对公司是有着重要意义的，而且与国家的法律法规是一致的。主题明确的策略可能会有更加确切、详细的目标，如防病毒策略的目标可以是：“为了正确执行对计算机病毒（蠕虫、特洛伊木马、黑客恶意程序）的预防、侦测和清除过程，特制定本策略”。9.1.3策略的主要内容

3）策略主题。通常一个组织可能会考虑开发下列主题的信息安全管理策略：①设备和及其环境的安全。②信息的分级和人员责任。③安全事故的报告与响应。④第三方访问的安全性。⑤外围处理系统的安全。⑥计算机和网络的访问控制和审核。⑦远程工作的安全。⑧加密技术控制。⑨备份、灾难恢复和可持续发展的要求。

4）策略签署。信息安全管理策略是强制性的、惩罚性的，策略的执行需要来自管理层的支持，通常是信息安全主管或总经理签署信息安全管理策略。签署人的管理地位不能太低；否则会有执行的难度，如果遭到某高层主管的抵制常会导致策略失败，高层主管的签署也表明信息安全不单单是信息安全部门的事情，还是和整个组织所有成员都是密切相关的。

5）策略的生效时间和有效期。旧策略的更新和过时策略的废除也是很重要的，应该保持生效的策略中包含新的安全要求。9.1制定信息安全管理策略9.1.3策略的主要内容(续)

6）重新评审策略的时机。策略除了常规的评审时机，在下列情况下也需要重新评审：①企业管理体系发生很大变化。②相关的法律法规发生了变化。③企业信息系统或者信息技术发生了大的变化。④企业发生了重大的信息安全事故。

7）与其他相关策略的引用关系。因为多种策略可能相互关联，引用关系可以描述策略的层次结构，而且在策略修改时候也经常涉及其他相关策略的调整，清楚的引用关系可以节省查找的时间。

8）策略解释。由于工作环境、知识背景等原因的不同，可能导致员工在理解策略时出现误解、歧义的情况。因此，应建立一个专门的权威的解释机构或指定专门的解释人员来进行策略的解释。

9）例外情况的处理。策略不可能做到面面俱到，在策略中应提供特殊情况下的安全通道。

9.1制定信息安全管理策略9.1.3策略的主要内容(续)

9.1制定信息安全管理策略9.1.4信息安全管理策略案例9.2建立信息安全机构和队伍为了保护国家信息的安全，维护国家的利益，各国政府均指定了政府有关机构主管信息安全工作。我国成立了国家信息化领导小组，由国务院领导亲自任组长，中央国家机关有关部委的领导参加小组的工作。国家信息化领导小组为了强化对信息化工作的领导，对信息产业部、公安部、安全部、国家保密局等部门在信息安全管理方面进行了职能分工，明确了各自的责任，对于保障我国信息化工作的正常发展，保护信息安全起到了重要的作用。9.2建立信息安全机构和队伍9.2.1信息安全管理机构一个组织的信息安全对本企业也是非常重要的，因此，对信息的安全管理是不容忽视的问题，必须要引起组织最高领导层的充分重视。信息安全的管理层级一般分三个层次，每一层级都应有明确的责任制。1）决策机构。负责宏观管理。

2）管理机构。负责日常协调、管理工作。3）配备各类安全管理、技术人员。负责落实规章制度、技术规范，处理技术方面的问题。凡对信息安全有需求的组织，必须成立相应的安全机构、配备必要的管理人员和技术人员、制定规章制度、配备安全设备、从而保障信息安全管理工作的正常开展。安全组织机构对信息系统的安全管理工作是垂直的，网络延伸到哪里，信息安全管理工作就要管到哪里，下一级信息安全组织机构必须无条件地接受上一级安全组织机构的领导。9.2建立信息安全机构和队伍9.2.1信息安全管理机构(续)

1．信息安全领导小组（1）领导小组成员

1）信息安全领导小组组长由组织主要领导担任。

2）其他成员由计算机、通信、综合信息、保卫、保密、人事、监察等有关方面的负责人担任。

信息安全领导小组是组织中信息安全工作最高领导决策机构，不隶属任何部门，直接对组织最高领导层负责。领导小组是常设机构，有例会工作制度；领导小组负责本组织、本系统信息安全工作的宏观领导。9.2建建立信息息安全机构构和队伍9.2.1信息息安全管理理机构(续)（2）领导导小组职能能1）制定与与信息安全全有关的长长远规划、、建设，研研究信息安安全工作的的资金投入入、安全（（技术、管管理）策略略、资源利利用，处理理信息安全全的重大事事故，决定定信息安全全的人事问问题。2）根据国国家信息安安全的法律律、法规、、制度和规规范，结合合本组织的的实际，批批准本组织织信息安全全方面的规规章制度、、实施细则则、安全目目标岗位责责任制。3）领导本本组织信息息系统的安安全工作，，并监督整整个信息系系统安全体体系的日常常工作。安安全负责人人要接受本本组织信息息安全领导导小组和信信息安全领领导小组办办公室的领领导。4））领领导导本本组组织织所所属属的的信信息息安安全全工工作作机机构构，，定定期期召召开开信信息息安安全全工工作作会会议议，，研研究究布布置置工工作作，，解解决决重重大大问问题题。。5））定定期期向向组组织织最最高高领领导导层层汇汇报报信信息息安安全全工工作作情情况况，，取取得得最最高高层层领领导导对对信信息息安安全全工工作作的的支支持持。。6））审审核核批批准准安安全全年年报报、、安安全全教教育育计计划划。。7））表表彰彰信信息息安安全全工工作作先先进进者者，，处处置置违违规规行行为为。。9.2建建立立信信息息安安全全机机构构和和队队伍伍信信息息安安全全管管理理机机构构(续)（3））领领导导小小组组决决策策的的主主要要内内容容1））审审核核系系统统安安全全管管理理人人员员的的各各种种安安全全报报告告，，并并做做出出相相关关的的决决定定。。2））决决定定信信息息系系统统和和信信息息的的安安全全等等级级。。3））决决定定信信息息系系统统是是否否要要采采取取安安全全措措施施。。4））作作出出新新的的信信息息安安全全风风险险评评测测，，决决定定是是否否增增加加安安全全措措施施。。5））决决定定所所采采用用安安全全保保护护措措施施的的投投入入资资金金量量。。6））批批准准系系统统安安全全管管理理人人员员草草拟拟或或修修改改的的各各种种安安全全策策略略手手册册。。7））审审定定并并公公布布本本组组织织信信息息安安全全规规章章制制度度。。8））仲仲裁裁本本组组织织信信息息安安全全事事故故的的责责任任。。9））决决定定系系统统安安全全管管理理人人员员的的任任免免。。10））所所形形成成的的决决定定性性意意见见，，以以信信息息安安全全领领导导小小组组名名义义，，用用决决策策决决定定书书的的形形式式公公告告。。9.2建建立立信信息息安安全全机机构构和和队队伍伍信信息息安安全全管管理理机机构构(续)（4））领领导导小小组组决决策策的的依依据据1））系系统统信信息息安安全全管管理理员员提提供供的的报报告告。。2））信信息息安安全全现现状状报报告告。。3）安全全新风险险分析报报告。4）本组组织新增增加的安安全保密密防范措措施。5）组织织信息安安全事故故初步分分析报告告。6）新增增加安全全措施的的经费报报告。7）新增增加安全全措施的的效益估估计。8）信息息的安全全现状及及对组织织效益的的影响。。9.2建建立立信息安安全机构构和队伍伍信信息安安全管理理机构(续)2．信息息安全顾顾问委员员会组织信息息安全顾顾问委员员会以信信息安全全领导小小组成员员为核心心，邀请请本组织织或社会会上信息息安全、、法律政政策、行行政（企企业）管管理、技技术专家家、组织织策划等等有关方方面专家家学者参参加，组组成智囊囊团，对对组织信信息安全全领导小小组负责责。委员会定定期或不不定期为为信息安安全管理理提供最最新的安安全动态态、面临临的风险险、技术术，改进进建议和和应对措措施，并并为组织织提供咨咨询服务务，组织织信息安安全顾问问委员会会是非常常设机构构，不一一定需要要例会制制度。9.2建建立立信息安安全机构构和队伍伍信信息安安全管理理机构(续)3．信息息安全领领导小组组办公室室（信息息中心））信息安全全领导小小组办公公室（信信息中心心）是在在信息安安全领导导小组直直接领导导下进行行工作，，为常设设机构，，有例会会工作制制度，负负责处理理本组织织信息安安全管理理的日常常工作。。（1）办办公室组组成人员员1）信息息安全领领导小组组办公室室主任负负责组织织、处理理信息安安全方面面大量的的日常工工作，有有些工作作技术性性比较强强，因此此需要懂懂技术的的信息中中心主要要负责人人（CIO）担担任，或或由安全全负责人人担任，，但应有有一名懂懂技术的的信息中中心领导导担任副副主任，，负责技技术管理理工作。。2）其他他人员由由系统管管理、系系统分析析、通信信、软件件、硬件件、保卫卫、保密密、机要要、监察察和人事事等有关关方面的的工作人人员组成成。9.2建建立立信息安安全机构构和队伍伍信信息安安全管理理机构(续)3．信息息安全领领导小组组办公室室（信息息中心））（2）办办公室职职能1）接受受信息安安全领导导小组的的直接领领导;处处理信息息安全工工作的日日常工作作。2）制定定本组织织信息安安全的工工作制度度、安全全目标和和各级工工作人员员的权限限、岗位位职责。。3）定期期向组织织信息安安全领导导小组汇汇报工作作，报告告工作计计划。4）与国国家有关关信息安安全工作作的主管管部门、、技术部部门建立立日常工工作联系系，及时时报告重重大事件件，并协协助有关关部门做做好处理理工作。。5）制定定本系统统安全操操作规程程制度。。6）负责责管理各各类安全全管理人人员，定定期或不不定期组组织安全全教育或或培训。。7）定期期检查各各部门的的安全工工作，及及时通报报检查结结果和违违章行为为。8）负责责安全事事故调查查，起草草安全事事故报告告，提出出处理意意见。9.2建建立立信息安安全机构构和队伍伍信信息安安全管理理机构(续)3．信息息安全领领导小组组办公室室（信息息中心））9）听取取所属组组织安全全领导小小组（负负责人））的工作作汇报，，对报告告中的重重大问题题及时报报告组织织安全领领导小组组。10）对对本级和和本级所所属安全全工作人人员进行行工作业业绩考核核，并提提出工作作人员称称职、不不称职或或表彰、、处罚的的意见。。11）起起草年度度信息安安全工作作报告和和有关信信息安全全宣传、、教育、、培训计计划。12）审审阅控制制台操作作记录、、系统日日志、系系统报警警记录、、系统统统计活动动、警卫卫报告、、加班报报表以及及其他与与安全有有关的材材料，发发现问题题及时作作出补救救决定。。13）管管理、检检查、监监督、分分析系统统运行日日志和系系统监督督文档，，定期对对系统做做出安全全评价。。14）制制定、管管理和定定期分发发系统及及用户的的身份识识别号码码、密钥钥和口令令。15）根根据国家家和上级级保密工工作规定定，审查查系统操操作人员员对系统统信息的的使用，，审查系系统对外外发表的的信息，，防止发发生泄密密。16）采采取切实实可行的的措施，，防止系系统操作作人员对对系统信信息泄露露和破坏坏、篡改改数据、、防止未未经许可可越权使使用系统统资源。。17）建建立必要要的系统统访问批批准制度度，监督督、管理理系统外外维修人人员对系系统设备备的检修修及维护护。18）采采取切实实可行的的措施，，防止计计算机设设备的损损坏、改改换和盗盗用。19）定定期做信信息系统统的漏洞洞检查，，向本组组织安全全领导小小组提供供信息安安全管理理系统的的风险分分析报告告，提出出相应的的对策和和实施计计划。20）负负责存取取系统和和修改系系统授权权以及系系统特权权口令。。9.2建建立立信息安安全机构构和队伍伍信信息安安全管理理机构(续)3．信信息安安全领领导小小组办办公室室（信信息中中心））组织信信息安安全工工作队队伍主主要包包括信信息安安全员员、系系统安安全员员、网网络安安全员员、设设备安安全员员、数数据库库安全全员、、数据据安全全员、、防病病毒安安全员员。9.2建建立立信息息安全全机构构和队队伍信信息息安全全队伍伍1．信信息安安全工工作人人员的的条件件由于各各类信信息安安全工工作人人员的的工作作岗位位处于于信息息系统统的核核心敏敏感部部位，，因此此要有有比较较高的的政治治素质质和业业务水水平，，这些些人员员应具具备以以下条条件。。1）政政治可可靠，，对组组织忠忠诚。。2）工工作认认真负负责，，有敬敬业精精神。。3）处处理问问题公公正严严明，，不拘拘私情情。4）熟熟悉业业务，，具有有一定定的实实践经经验。。5）从从事网网络系系统操操作或或管理理的工工作人人员应应是具具备一一定实实践经经验的的网络络工程程师。。9.2建建立立信息息安全全机构构和队队伍信信息息安全全队伍伍(续)2．信信息安安全工工作人人员的的管理理原则则1）人人员审审查原原则2）签签订保保密协协定原原则3）持持证上上岗原原则4）人人员培培训原原则5）人人员考考核原原则6）权权力分分散原原则7）人人员离离岗原原则9.2建建立立信息息安全全机构构和队队伍信信息息安全全队伍伍(续)3．信信息安安全工工作人人员的的岗位位职责责（1））信息息安全全员的的职责责信息安安全员员主要要负责责信息息网络络系统统的信信息安安全和和保密密信息息的管管理。。其主主要职职责是是：1）负负责涉涉密信信息网网信息息安全全，监监督检检查涉涉密信信息的的报送送、接接受和和传输输的安安全性性。2）负负责监监督检检查信信息网网对外外发布布的信信息;保证证符合合安全全保密密规定定。3）负负责监监督检检查各各部门门的涉涉密信信息的的安全全保密密措施施，防防止泄泄密事事件的的发生生。4）负负责监监督检检查信信息网网对国国际互互联网网上国国家禁禁止的的网站站的非非法访访问及及有害害信息息的侵侵入。。5）负负责协协助有有关部部门对对网络络泄密密事件件进行行调查查与技技术分分析。。9.2建建立立信息息安全全机构构和队队伍信信息息安全全队伍伍(续)3．信信息安安全工工作人人员的的岗位位职责责（2））系统统安全全员的的职责责系统安安全员员主要要负责责信息息网络络操作作系统统及服服务器器操作作系统统的安安全及及管理理。其其主要要职责责是：：1）负负责信信息网网络操操作系系统和和服务务器操操作系系统的的安装装、运运行和和维护护、管管理，，保障障系统统的安安全稳稳定地地运行行。2）负负责对对用户户的身身份进进行验验证，，防止止非法法用户户进入入系统统。3）负负责用用户的的口令令管理理，建建立口口令管管理规规程和和检验验创建建账户户机制制，避避免口口令泄泄露。。4）负负责实实时监监控系系统，，发现现异常常及时时采取取措施施，恢恢复系系统正正常状状态。。5）负负责对对系统统各种种硬软软件资资源的的合理理分配配和科科学使使用，，避免免造成成系统统资源源的浪浪费。。9.2建建立立信息息安全全机构构和队队伍信信息息安全全队伍伍(续)3．信息安安全工作人人员的岗位位职责（3）网络络安全员的的职责网络安全员员主要负责责信息网络络系统的安安全保密工工作。其主主要职责是是：1）负责信信息网络系系统及其网网络安全保保密系统的的运行与维维护，发现现故障及时时排除，保保障系统安安全可靠地地运行。2）负责配配置和管理理访问控制制表，根据据安全需求求为各用户户配置相应应的访问权权限。3）负责网网络审计系系统的管理理和维护，，认真记录录、检查和和保管审计计日志。4）负责检检查系统的的安全漏洞洞和隐患，，发现安全全隐患及时时进行修复复或提出改改进意见。。5）负责实实时对系统统进行非法法入侵检测测，防止和和阻止“黑黑客”入侵侵。9.2建建立信息息安全机构构和队伍9.2.2信息息安全队伍伍(续)3．信息安安全工作人人员的岗位位职责（4）设备备安全员的的职责设备安全员员负责对专专用计算机机安全保密密设备(防防火墙、加加密机、干干扰仪等)的管理、、使用和维维护。其主主要职责是是：1）负责设设备的领用用和保管，，做好设备备的领用、、进出库、、报废登记记。2）负责设设备的正确确使用和安安奎运行，，并建立详详细的运行行日志。3）负责设设备的清洁洁和定期的的保养维护护，并做好好维护记录录。4）负责设设备的维修修，制定设设备维修计计划，做好好设备维修修记录。5）负责对对安全保密密设备密钥钥的管理与与注入。9.2建建立信息息安全机构构和队伍9.2.2信息息安全队伍伍(续)3．信息安安全工作人人员的岗位位职责（5）数据据库安全员员的职责数据库安全全员负责数数据库管理理系统的安安全及维护护管理工作作。其主要要职责是：：1）负责数数据库管理理系统的安安装、备份份和维护，，保证系统统安全、正正常运行。。2）负责定定期检查系系统运行情情况，检测测并优化系系统性能。。3）负责检检查数据库库系统的用用户权限，，防止非法法用户的侵侵入和越权权访问。4）负责定定期检查数数据库数据据的完整性性和可用性性，发现系系统故障及及时排除，，做好系统统恢复。9.2建建立信息息安全机构构和队伍9.2.2信息息安全队伍伍(续)3．信息安安全工作人人员的岗位位职责（6）数据据安全员的的职责数据安全员员负责信息息网络中运运行数据的的安全。其其主要职责责是：1）负责信信息网络数数据的安全全，保障信信息的保密密性、完整整性和可用用性。2）负责对对信息网络络数据备份份与灾难恢恢复系统的的维护与管管理，实时时对重要数数据进行安安全备份。。3）负责对对信息采集集、传输及及存储的技技术手段

4）负责定期对重要数据存储备份介质的检查，防止数据的丢失或被破坏。9.2建建立信息息安全机构构和队伍9.2.2信息息安全队伍伍(续)3．信息安安全工作人人员的岗位位职责（7）防病病毒安全员员的职责防病毒安全全员负责信信息网络系系统的计算算机病毒的的防护工作作。其主要要职责是：：1）负责计计算机防病病毒软件的的购置、保保管、发放放、升级和和安装。2）负责信信息网络系系统的计算算机病毒的的防护，在在病毒发作作日前及时时发布公告告，并采取取必要的预预防措施。。3）负责定定期对信息息网络系统统进行病毒毒检测，发发现系统被被计算机病病毒感染，，及时组织织清除病毒毒。4）负责计计算机病毒毒防护知识识的宣传教教育工作。。9.3制制定信息息安全管理理制度信息安全已已不只是人人们传统意意义上的添添加防火墙墙或路由器器等简单的的设备就可可保证的安安全，而是是成为一种种系统和全全局的安全全。信息安全管常见的信息安全管理制度主要包括：人员安全管理制度、设备安全管理制度、运行安全管理制度、安全操作管理制度、应急维护制度、安全等级保护制度；有害数据及计算机病毒防范管理制度；敏感数据保护制度、安全技术保障制度、安全计划管理制度等。9.3制制定信息息安全管理理制度9.3.1制定定信息安全全管理制度度的原则制定信息安安全管理制制度应遵1）规范化原则2）系统化原则3）综合保障原则4）以人为本原则5）首长负责原则6）预防原则7）风险评估原则8）动态原则9）成本效益原则10）均衡防护原则9.3制制定信息息安全管理理制度9.3.2信息息安全管理理标准———ISO／／IECl7799信息安全管管理的原则则之一就是是规范化、、系统化，，如何在信信息安全管管理实践中中落实这一一原则，需需要相应的的信息安全全管理标准准。BS7799标准是是英国标准准协会（BSI）制制定的国际际上具有代代表性的信信息安全管管理体系标标准。该标标准包括两两个部分：：《信息安安全管理实实施细则》》（BS77991：1999）和和《信息安安全管理体体系规范》》（BS77992：1999）。。其中，BS7799-1标准目前已已正式转换成成ISO国际际标准，即《《信息安全管管理体系实施施指南》（IS017799），，并于2000年12月月1日颁布。。它所阐述的的主题是安全全策略和优秀秀的、具有普普遍意义的安安全操作。