第7次课-组织与人员安全管理.ppt

1、信息安全管理，信息安全管理，授课内容：组织和人员安全管理授课对象：发表教师：唐态林，本节内容，第4章组织和人员安全管理，BS7799详细信息，本节内容1 第四章组织和人员安全管理，1.1国家信息安全组织，大信息系统安全组织，小信息系统安全组织，第四章组织和人员安全管理，1.2信息安全组织的基本要求和标准，信息安全组织应由单位安全负责人指导，具体工作应由专业安全负责人负责。 安全组织成员类型多样性，安全组织有双重组织联系，基本要求：第四章组织和人员安全管理，1.2信息安全组织的基本要求和标准，阶段性的信息安全防止责任制，各级职责划分明确，基本标准：明确信息系统使用部门和岗位的安全责任，有专职或兼

2、职的保安人员， 有健全的安全管理定期进行信息系统风险评估，对信息安全实行等级保护制度，第四章组织和人员的安全管理，1.2信息安全组织的基本要求和标准，安全各方面必要的安全措施， 基本标准：本部门信息系统安全保护工作有档案记录和应急订单，严格执行信息安全事件报告制度，对信息系统安全保护工作定期评价第四章组织和人员安全管理，1.3安全组织的基本任务和功能，定期或及时进行风险评价，本公司的实际情况和需要、基本任务：第四章组织和人员的安全管理，1.3安全组织的基本任务和职能，基本职能：负责信息安全的决策和实施，根据安全需要确立各个信息系统的安全策略和安全目标，建立和健全相关实施细则，各级国家信息安全主

3、管机关， 建立技术防务机和日常业务关系参与本公司及部下信息系统的安全管理，第四章组织和人员安全管理，1.3安全组织的基本任务和功能，基本功能：建立健全系统安全操作规程和制度，明确信息安全各岗位人员的职责和权限，奖惩兼顾，执行信息安全报告制度，第四章组织和人员安全管理，1、信息安全决策机构、信息安全管理机构、信息安全执行机构、第4章组织和人员安全管理、1.4企业信息安全组织、信息安全决策机构信息安全决策机构的作用是： (1)信息安全方针的重新审视和批准；(2)信息安全管理责任的分配确认风险评估(4)审查和检测信息安全管理的重大变更(5)审查和检测信息安全事故(6)批准信息安全管理的其他重要事项，

4、第4章信息安全管理机构、信息安全管理机构的作用是： (1)将安全事件决定应采取的安全应答级别(2)决定对安全事件的应答策略和技术手段(3)管理信息安全相关的日常业务(4)管理信息安全相关的人力资源(5)管理信息安全组织内部和外部相关信息第四章组织和人员安全管理1.4企业信息安全组织、信息安全执行机构、信息安全执行机构主要由以下人员组成：信息安全技术人员信息系统集成技术人员计算机网络和通信技术人员信息安全法律专家信息系统(硬件、软件)技术人员，第四章组织和人员安全管理， 1.4企业信息安全组织企业信息安全组织的职能、建立内部信息安全协调机制、明确责任、建立信息处理设施授权流程、建立渠道、获得信息

5、安全建议、加强与政府机构的合作、独立审查组织信息安全、第四章组织和人员安全管理、 1.4企业信息安全组织、与外部组织访问相关的风险识别、访问类型如下的逻辑访问：例如访问组织的数据库和信息系统等网络连接：持续连接和远程访问等。第四章组织和人员安全管理、1.4企业信息安全组织、识别与外部组织访问相关的风险，识别外部组织访问风险应考虑以下问题：外部组织需要访问的信息处理设施； 对相关信息的价值和敏感性，以及业务运营的危险性，处理与组织信息相关的外部组织的人员，第四章组织和人员安全管理，1.4企业信息安全组织，外部组织的访问控制，外部组织的访问实施访问许可管理， 对被授权进行物理访问的外部组织标注易识

6、别的标志，对长期访问的外部组织签订信息安全协议，第四章组织与人员安全管理、1.4企业信息安全组织、外包双方的合同中，信息系统、网络和/或桌面系统环境的风险第四章组织和人员安全管理、1.4企业信息安全组织、外包控制、双方合同中，明确规定了信息系统、网络和/或桌面系统环境的风险管理、安全控制措施和实施程序，按合同要求实施。 本节的内容，2，人员安全管理，第四章组织和人员安全管理，2.1人员安全管理的概要，人是经常影响信息系统安全的最大因素，人员管理必然是安全管理的关键，第四章组织和人员安全管理，2.2人员安全审查，人员审查应根据信息系统规定的安全等级制定审查标准人员录用因素选择人员，制定合理的人员

7、选择方案。 第四章组织和人员安全管理、2.3人事安全审查、人事安全审查是某人参与信息安全保障和接触敏感情感信息是否妥当、可靠的审查。 审查内容是“思想观念方面”，对信息安全的认知度体验。第四章组织和人员安全管理、2.4人员安全教育、信息安全教育的对象主要有：信息系统工程技术人员一般用户计算机及设备制造商法律相关人员及其他相关人员，包括指导和管理人员在内的系统开发与维护。第四章组织和人员安全管理、2.4人安全教育、信息安全教育的内容：法规教育安全技术教育安全意识教育、第四章组织和人员安全管理、2.5人安全保密管理、安全保密合同管理、远程人员安全管理、人员调动、人员解聘、总结，在中国，信息企业的信息安全组织， 由信息安全决策机构、信息安全管理机构、信息安全致动器构成的人始终是影响信息安全的最大因素，人员管理是安全管理的关键。 第四章组织和人员