《計(jì)算機(jī)網(wǎng)絡(luò)與信息安全技術(shù)》電子課件CH14信息安全管理

信息安全管理第14章信息安全管理第14章基本內(nèi)容管理安全是信息安全體系重要的組成部分。健全的管理制度、良好的設(shè)備使用制度，結(jié)合專門的機(jī)構(gòu)與人員，可以對網(wǎng)絡(luò)與信息進(jìn)行綜合防護(hù)。本章介紹安全管理相關(guān)的知識(shí)?；緝?nèi)容管理安全是信息安全體系重要的組成部分。健全的管理制度14.1制定信息安全管理策略

信息安全管理策略也稱信息安全方針，是組織對信息和信息處理設(shè)施進(jìn)行管理、保護(hù)和分配的準(zhǔn)則和規(guī)劃，以及使信息系統(tǒng)免遭入侵和破壞而必須采取的措施。它告訴組織成員在日常的工作中什么是必須做的，什么是可以做的，什么是不可以做的；哪里是安全區(qū)，哪里是敏感區(qū)，就像交通規(guī)則之于車輛和行人，信息安全策略是有關(guān)信息安全方面的行為規(guī)范。一個(gè)成功的安全策略應(yīng)當(dāng)遵循：1）綜合平衡(綜合考慮需求、風(fēng)險(xiǎn)、代價(jià)等諸多因素)。2）整體優(yōu)化(利用系統(tǒng)工程思想，使系統(tǒng)總體性能最優(yōu))。3）易于操作和確?？煽俊?/p>

14.1.1信息安全管理策略概述14.1制定信息安全管理策略信息安全管理策略也稱信14.1制定信息安全管理策略

在制定信息安全管理策略時(shí)，要嚴(yán)格遵守以下主要原則。

1）目的性。策略是為組織完成自己的信息安全使命而制定的，策略應(yīng)該反映組織的整體利益和可持續(xù)發(fā)展的要求。

2）適用性。策略應(yīng)該反映組織的真實(shí)環(huán)境和信息安全的發(fā)展水平。

3）可行性。策略應(yīng)該具有切實(shí)可行性，其目標(biāo)應(yīng)該可以實(shí)現(xiàn)，并容易測量和審核。沒有可行性的策略不僅浪費(fèi)時(shí)間還會(huì)引起政策混亂。

4）經(jīng)濟(jì)性。策略應(yīng)該經(jīng)濟(jì)合理，過分復(fù)雜和草率都是不可取的。

5）完整性。能夠反映組織的所有業(yè)務(wù)流程的安全需要。

6）一致性。策略的一致性包括下面三個(gè)層次：①和國家、地方的法律法規(guī)保持一致；②和組織己有的策略、方針保持一致；③整體安全策略保持一致，要反映企業(yè)對信息安全的一般看法。

7）彈性。策略不僅要滿足當(dāng)前的組織要求，還要滿足組織和環(huán)境在未來一段時(shí)間內(nèi)發(fā)展的要求。14.1.2制定策略的原則14.1制定信息安全管理策略在制定信息安全管理策略14.1制定信息安全管理策略

理論上，一個(gè)完整的策略體系應(yīng)該保障組織信息的機(jī)密性、可用性和完整性。信息安全策略應(yīng)包含下列一些內(nèi)容：

1）適用范圍。包括人員范圍和時(shí)效性，例如“本規(guī)定適用于所有員工”，“適用于工作時(shí)間和非工作時(shí)間”。不僅要消除本該受到約束的員工有認(rèn)為自己是個(gè)例外的想法，也保證策略不至于被誤解是針對某個(gè)員工的；同時(shí)也告訴員工本規(guī)定在什么時(shí)間發(fā)揮效力。

2）目標(biāo)。例如，“為確保企業(yè)的經(jīng)營、技術(shù)等機(jī)密信息不泄漏，維護(hù)企業(yè)的經(jīng)濟(jì)利益，根據(jù)國家有關(guān)法律，結(jié)合企業(yè)實(shí)際，特制定本條例?！泵鞔_了信息安全保護(hù)對公司是有著重要意義的，而且與國家的法律法規(guī)是一致的。主題明確的策略可能會(huì)有更加確切、詳細(xì)的目標(biāo)，如防病毒策略的目標(biāo)可以是：“為了正確執(zhí)行對計(jì)算機(jī)病毒（蠕蟲、特洛伊木馬、黑客惡意程序）的預(yù)防、偵測和清除過程，特制定本策略”。14.1.3策略的主要內(nèi)容14.1制定信息安全管理策略理論上，一個(gè)完整的策

3）策略主題。通常一個(gè)組織可能會(huì)考慮開發(fā)下列主題的信息安全管理策略：①設(shè)備和及其環(huán)境的安全。②信息的分級(jí)和人員責(zé)任。③安全事故的報(bào)告與響應(yīng)。④第三方訪問的安全性。⑤外圍處理系統(tǒng)的安全。⑥計(jì)算機(jī)和網(wǎng)絡(luò)的訪問控制和審核。⑦遠(yuǎn)程工作的安全。⑧加密技術(shù)控制。⑨備份、災(zāi)難恢復(fù)和可持續(xù)發(fā)展的要求。

4）策略簽署。信息安全管理策略是強(qiáng)制性的、懲罰性的，策略的執(zhí)行需要來自管理層的支持，通常是信息安全主管或總經(jīng)理簽署信息安全管理策略。簽署人的管理地位不能太低；否則會(huì)有執(zhí)行的難度，如果遭到某高層主管的抵制常會(huì)導(dǎo)致策略失敗，高層主管的簽署也表明信息安全不單單是信息安全部門的事情，還是和整個(gè)組織所有成員都是密切相關(guān)的。

5）策略的生效時(shí)間和有效期。舊策略的更新和過時(shí)策略的廢除也是很重要的，應(yīng)該保持生效的策略中包含新的安全要求。14.1制定信息安全管理策略14.1.3策略的主要內(nèi)容(續(xù))

3）策略主題。通常一個(gè)組織可能會(huì)考慮開發(fā)下列主題的信

6）重新評審策略的時(shí)機(jī)。策略除了常規(guī)的評審時(shí)機(jī)，在下列情況下也需要重新評審：①企業(yè)管理體系發(fā)生很大變化。②相關(guān)的法律法規(guī)發(fā)生了變化。③企業(yè)信息系統(tǒng)或者信息技術(shù)發(fā)生了大的變化。④企業(yè)發(fā)生了重大的信息安全事故。

7）與其他相關(guān)策略的引用關(guān)系。因?yàn)槎喾N策略可能相互關(guān)聯(lián)，引用關(guān)系可以描述策略的層次結(jié)構(gòu)，而且在策略修改時(shí)候也經(jīng)常涉及其他相關(guān)策略的調(diào)整，清楚的引用關(guān)系可以節(jié)省查找的時(shí)間。

8）策略解釋。由于工作環(huán)境、知識(shí)背景等原因的不同，可能導(dǎo)致員工在理解策略時(shí)出現(xiàn)誤解、歧義的情況。因此，應(yīng)建立一個(gè)專門的權(quán)威的解釋機(jī)構(gòu)或指定專門的解釋人員來進(jìn)行策略的解釋。

9）例外情況的處理。策略不可能做到面面俱到，在策略中應(yīng)提供特殊情況下的安全通道。

14.1制定信息安全管理策略14.1.3策略的主要內(nèi)容(續(xù))

6）重新評審策略的時(shí)機(jī)。策略除了常規(guī)的評審時(shí)機(jī)，在下14.1制定信息安全管理策略14.1.4信息安全管理策略案例14.1制定信息安全管理策略14.1.4信息安全管14.2建立信息安全機(jī)構(gòu)和隊(duì)伍為了保護(hù)國家信息的安全，維護(hù)國家的利益，各國政府均指定了政府有關(guān)機(jī)構(gòu)主管信息安全工作。我國成立了國家信息化領(lǐng)導(dǎo)小組，由國務(wù)院領(lǐng)導(dǎo)親自任組長，中央國家機(jī)關(guān)有關(guān)部委的領(lǐng)導(dǎo)參加小組的工作。國家信息化領(lǐng)導(dǎo)小組為了強(qiáng)化對信息化工作的領(lǐng)導(dǎo)，對信息產(chǎn)業(yè)部、公安部、安全部、國家保密局等部門在信息安全管理方面進(jìn)行了職能分工，明確了各自的責(zé)任，對于保障我國信息化工作的正常發(fā)展，保護(hù)信息安全起到了重要的作用。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍為了保護(hù)國家信息14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全管理機(jī)構(gòu)一個(gè)組織的信息安全對本企業(yè)也是非常重要的，因此，對信息的安全管理是不容忽視的問題，必須要引起組織最高領(lǐng)導(dǎo)層的充分重視。信息安全的管理層級(jí)一般分三個(gè)層次，每一層級(jí)都應(yīng)有明確的責(zé)任制。1）決策機(jī)構(gòu)。負(fù)責(zé)宏觀管理。

2）管理機(jī)構(gòu)。負(fù)責(zé)日常協(xié)調(diào)、管理工作。3）配備各類安全管理、技術(shù)人員。負(fù)責(zé)落實(shí)規(guī)章制度、技術(shù)規(guī)范，處理技術(shù)方面的問題。凡對信息安全有需求的組織，必須成立相應(yīng)的安全機(jī)構(gòu)、配備必要的管理人員和技術(shù)人員、制定規(guī)章制度、配備安全設(shè)備、從而保障信息安全管理工作的正常開展。安全組織機(jī)構(gòu)對信息系統(tǒng)的安全管理工作是垂直的，網(wǎng)絡(luò)延伸到哪里，信息安全管理工作就要管到哪里，下一級(jí)信息安全組織機(jī)構(gòu)必須無條件地接受上一級(jí)安全組織機(jī)構(gòu)的領(lǐng)導(dǎo)。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全管理機(jī)構(gòu)(續(xù))

1．信息安全領(lǐng)導(dǎo)小組（1）領(lǐng)導(dǎo)小組成員

1）信息安全領(lǐng)導(dǎo)小組組長由組織主要領(lǐng)導(dǎo)擔(dān)任。

2）其他成員由計(jì)算機(jī)、通信、綜合信息、保衛(wèi)、保密、人事、監(jiān)察等有關(guān)方面的負(fù)責(zé)人擔(dān)任。

信息安全領(lǐng)導(dǎo)小組是組織中信息安全工作最高領(lǐng)導(dǎo)決策機(jī)構(gòu)，不隸屬任何部門，直接對組織最高領(lǐng)導(dǎo)層負(fù)責(zé)。領(lǐng)導(dǎo)小組是常設(shè)機(jī)構(gòu)，有例會(huì)工作制度；領(lǐng)導(dǎo)小組負(fù)責(zé)本組織、本系統(tǒng)信息安全工作的宏觀領(lǐng)導(dǎo)。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全管理機(jī)構(gòu)(續(xù))

（2）領(lǐng)導(dǎo)小組職能

1）制定與信息安全有關(guān)的長遠(yuǎn)規(guī)劃、建設(shè)，研究信息安全工作的資金投入、安全（技術(shù)、管理）策略、資源利用，處理信息安全的重大事故，決定信息安全的人事問題。

2）根據(jù)國家信息安全的法律、法規(guī)、制度和規(guī)范，結(jié)合本組織的實(shí)際，批準(zhǔn)本組織信息安全方面的規(guī)章制度、實(shí)施細(xì)則、安全目標(biāo)崗位責(zé)任制。

3）領(lǐng)導(dǎo)本組織信息系統(tǒng)的安全工作，并監(jiān)督整個(gè)信息系統(tǒng)安全體系的日常工作。安全負(fù)責(zé)人要接受本組織信息安全領(lǐng)導(dǎo)小組和信息安全領(lǐng)導(dǎo)小組辦公室的領(lǐng)導(dǎo)。

4）領(lǐng)導(dǎo)本組織所屬的信息安全工作機(jī)構(gòu)，定期召開信息安全工作會(huì)議，研究布置工作，解決重大問題。

5）定期向組織最高領(lǐng)導(dǎo)層匯報(bào)信息安全工作情況，取得最高層領(lǐng)導(dǎo)對信息安全工作的支持。

6）審核批準(zhǔn)安全年報(bào)、安全教育計(jì)劃。

7）表彰信息安全工作先進(jìn)者，處置違規(guī)行為。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全管理機(jī)構(gòu)(續(xù))

（3）領(lǐng)導(dǎo)小組決策的主要內(nèi)容

1）審核系統(tǒng)安全管理人員的各種安全報(bào)告，并做出相關(guān)的決定。

2）決定信息系統(tǒng)和信息的安全等級(jí)。

3）決定信息系統(tǒng)是否要采取安全措施。

4）作出新的信息安全風(fēng)險(xiǎn)評測，決定是否增加安全措施。

5）決定所采用安全保護(hù)措施的投入資金量。

6）批準(zhǔn)系統(tǒng)安全管理人員草擬或修改的各種安全策略手冊。

7）審定并公布本組織信息安全規(guī)章制度。

8）仲裁本組織信息安全事故的責(zé)任。

9）決定系統(tǒng)安全管理人員的任免。

10）所形成的決定性意見，以信息安全領(lǐng)導(dǎo)小組名義，用決策決定書的形式公告。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全管理機(jī)構(gòu)(續(xù))

（4）領(lǐng)導(dǎo)小組決策的依據(jù)

1）系統(tǒng)信息安全管理員提供的報(bào)告。

2）信息安全現(xiàn)狀報(bào)告。

3）安全新風(fēng)險(xiǎn)分析報(bào)告。

4）本組織新增加的安全保密防范措施。

5）組織信息安全事故初步分析報(bào)告。

6）新增加安全措施的經(jīng)費(fèi)報(bào)告。

7）新增加安全措施的效益估計(jì)。

8）信息的安全現(xiàn)狀及對組織效益的影響。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全管理機(jī)構(gòu)(續(xù))

2．信息安全顧問委員會(huì)

組織信息安全顧問委員會(huì)以信息安全領(lǐng)導(dǎo)小組成員為核心，邀請本組織或社會(huì)上信息安全、法律政策、行政（企業(yè)）管理、技術(shù)專家、組織策劃等有關(guān)方面專家學(xué)者參加，組成智囊團(tuán)，對組織信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)。

委員會(huì)定期或不定期為信息安全管理提供最新的安全動(dòng)態(tài)、面臨的風(fēng)險(xiǎn)、技術(shù)，改進(jìn)建議和應(yīng)對措施，并為組織提供咨詢服務(wù)，組織信息安全顧問委員會(huì)是非常設(shè)機(jī)構(gòu)，不一定需要例會(huì)制度。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全管理機(jī)構(gòu)(續(xù))

3．信息安全領(lǐng)導(dǎo)小組辦公室（信息中心）

信息安全領(lǐng)導(dǎo)小組辦公室（信息中心）是在信息安全領(lǐng)導(dǎo)小組直接領(lǐng)導(dǎo)下進(jìn)行工作，為常設(shè)機(jī)構(gòu)，有例會(huì)工作制度，負(fù)責(zé)處理本組織信息安全管理的日常工作。（1）辦公室組成人員

1）信息安全領(lǐng)導(dǎo)小組辦公室主任負(fù)責(zé)組織、處理信息安全方面大量的日常工作，有些工作技術(shù)性比較強(qiáng)，因此需要懂技術(shù)的信息中心主要負(fù)責(zé)人（CIO）擔(dān)任，或由安全負(fù)責(zé)人擔(dān)任，但應(yīng)有一名懂技術(shù)的信息中心領(lǐng)導(dǎo)擔(dān)任副主任，負(fù)責(zé)技術(shù)管理工作。

2）其他人員由系統(tǒng)管理、系統(tǒng)分析、通信、軟件、硬件、保衛(wèi)、保密、機(jī)要、監(jiān)察和人事等有關(guān)方面的工作人員組成。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全管理機(jī)構(gòu)(續(xù))

3．信息安全領(lǐng)導(dǎo)小組辦公室（信息中心）

（2）辦公室職能

1）接受信息安全領(lǐng)導(dǎo)小組的直接領(lǐng)導(dǎo);處理信息安全工作的日常工作。

2）制定本組織信息安全的工作制度、安全目標(biāo)和各級(jí)工作人員的權(quán)限、崗位職責(zé)。

3）定期向組織信息安全領(lǐng)導(dǎo)小組匯報(bào)工作，報(bào)告工作計(jì)劃。

4）與國家有關(guān)信息安全工作的主管部門、技術(shù)部門建立日常工作聯(lián)系，及時(shí)報(bào)告重大事件，并協(xié)助有關(guān)部門做好處理工作。

5）制定本系統(tǒng)安全操作規(guī)程制度。

6）負(fù)責(zé)管理各類安全管理人員，定期或不定期組織安全教育或培訓(xùn)。

7）定期檢查各部門的安全工作，及時(shí)通報(bào)檢查結(jié)果和違章行為。

8）負(fù)責(zé)安全事故調(diào)查，起草安全事故報(bào)告，提出處理意見。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全管理機(jī)構(gòu)(續(xù))

3．信息安全領(lǐng)導(dǎo)小組辦公室（信息中心）

9）聽取所屬組織安全領(lǐng)導(dǎo)小組（負(fù)責(zé)人）的工作匯報(bào)，對報(bào)告中的重大問題及時(shí)報(bào)告組織安全領(lǐng)導(dǎo)小組。

10）對本級(jí)和本級(jí)所屬安全工作人員進(jìn)行工作業(yè)績考核，并提出工作人員稱職、不稱職或表彰、處罰的意見。

11）起草年度信息安全工作報(bào)告和有關(guān)信息安全宣傳、教育、培訓(xùn)計(jì)劃。

12）審閱控制臺(tái)操作記錄、系統(tǒng)日志、系統(tǒng)報(bào)警記錄、系統(tǒng)統(tǒng)計(jì)活動(dòng)、警衛(wèi)報(bào)告、加班報(bào)表以及其他與安全有關(guān)的材料，發(fā)現(xiàn)問題及時(shí)作出補(bǔ)救決定。

13）管理、檢查、監(jiān)督、分析系統(tǒng)運(yùn)行日志和系統(tǒng)監(jiān)督文檔，定期對系統(tǒng)做出安全評價(jià)。

14）制定、管理和定期分發(fā)系統(tǒng)及用戶的身份識(shí)別號(hào)碼、密鑰和口令。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全

15）根據(jù)國家和上級(jí)保密工作規(guī)定，審查系統(tǒng)操作人員對系統(tǒng)信息的使用，審查系統(tǒng)對外發(fā)表的信息，防止發(fā)生泄密。

16）采取切實(shí)可行的措施，防止系統(tǒng)操作人員對系統(tǒng)信息泄露和破壞、篡改數(shù)據(jù)、防止未經(jīng)許可越權(quán)使用系統(tǒng)資源。

17）建立必要的系統(tǒng)訪問批準(zhǔn)制度，監(jiān)督、管理系統(tǒng)外維修人員對系統(tǒng)設(shè)備的檢修及維護(hù)。

18）采取切實(shí)可行的措施，防止計(jì)算機(jī)設(shè)備的損壞、改換和盜用。

19）定期做信息系統(tǒng)的漏洞檢查，向本組織安全領(lǐng)導(dǎo)小組提供信息安全管理系統(tǒng)的風(fēng)險(xiǎn)分析報(bào)告，提出相應(yīng)的對策和實(shí)施計(jì)劃。

20）負(fù)責(zé)存取系統(tǒng)和修改系統(tǒng)授權(quán)以及系統(tǒng)特權(quán)口令。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全管理機(jī)構(gòu)(續(xù))

3．信息安全領(lǐng)導(dǎo)小組辦公室（信息中心）15）根據(jù)國家和上級(jí)保密工作規(guī)定，審查系統(tǒng)操作人員對

組織信息安全工作隊(duì)伍主要包括信息安全員、系統(tǒng)安全員、網(wǎng)絡(luò)安全員、設(shè)備安全員、數(shù)據(jù)庫安全員、數(shù)據(jù)安全員、防病毒安全員。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全隊(duì)伍

1．信息安全工作人員的條件

由于各類信息安全工作人員的工作崗位處于信息系統(tǒng)的核心敏感部位，因此要有比較高的政治素質(zhì)和業(yè)務(wù)水平，這些人員應(yīng)具備以下條件。

1）政治可靠，對組織忠誠。

2）工作認(rèn)真負(fù)責(zé)，有敬業(yè)精神。

3）處理問題公正嚴(yán)明，不拘私情。

4）熟悉業(yè)務(wù)，具有一定的實(shí)踐經(jīng)驗(yàn)。

5）從事網(wǎng)絡(luò)系統(tǒng)操作或管理的工作人員應(yīng)是具備一定實(shí)踐經(jīng)驗(yàn)的網(wǎng)絡(luò)工程師。組織信息安全工作隊(duì)伍主要包括信息安全員、系統(tǒng)安全員、14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全隊(duì)伍(續(xù))

2．信息安全工作人員的管理原則

1）人員審查原則

2）簽訂保密協(xié)定原則

3）持證上崗原則

4）人員培訓(xùn)原則

5）人員考核原則

6）權(quán)力分散原則

7）人員離崗原則14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全隊(duì)伍(續(xù))

3．信息安全工作人員的崗位職責(zé)

（1）信息安全員的職責(zé)

信息安全員主要負(fù)責(zé)信息網(wǎng)絡(luò)系統(tǒng)的信息安全和保密信息的管理。其主要職責(zé)是：

1）負(fù)責(zé)涉密信息網(wǎng)信息安全，監(jiān)督檢查涉密信息的報(bào)送、接受和傳輸?shù)陌踩浴?/p>

2）負(fù)責(zé)監(jiān)督檢查信息網(wǎng)對外發(fā)布的信息;保證符合安全保密規(guī)定。

3）負(fù)責(zé)監(jiān)督檢查各部門的涉密信息的安全保密措施，防止泄密事件的發(fā)生。

4）負(fù)責(zé)監(jiān)督檢查信息網(wǎng)對國際互聯(lián)網(wǎng)上國家禁止的網(wǎng)站的非法訪問及有害信息的侵入。

5）負(fù)責(zé)協(xié)助有關(guān)部門對網(wǎng)絡(luò)泄密事件進(jìn)行調(diào)查與技術(shù)分析。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全隊(duì)伍(續(xù))

3．信息安全工作人員的崗位職責(zé)

（2）系統(tǒng)安全員的職責(zé)

系統(tǒng)安全員主要負(fù)責(zé)信息網(wǎng)絡(luò)操作系統(tǒng)及服務(wù)器操作系統(tǒng)的安全及管理。其主要職責(zé)是：

1）負(fù)責(zé)信息網(wǎng)絡(luò)操作系統(tǒng)和服務(wù)器操作系統(tǒng)的安裝、運(yùn)行和維護(hù)、管理，保障系統(tǒng)的安全穩(wěn)定地運(yùn)行。

2）負(fù)責(zé)對用戶的身份進(jìn)行驗(yàn)證，防止非法用戶進(jìn)入系統(tǒng)。

3）負(fù)責(zé)用戶的口令管理，建立口令管理規(guī)程和檢驗(yàn)創(chuàng)建賬戶機(jī)制，避免口令泄露。

4）負(fù)責(zé)實(shí)時(shí)監(jiān)控系統(tǒng)，發(fā)現(xiàn)異常及時(shí)采取措施，恢復(fù)系統(tǒng)正常狀態(tài)。

5）負(fù)責(zé)對系統(tǒng)各種硬軟件資源的合理分配和科學(xué)使用，避免造成系統(tǒng)資源的浪費(fèi)。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全隊(duì)伍(續(xù))

3．信息安全工作人員的崗位職責(zé)

（3）網(wǎng)絡(luò)安全員的職責(zé)

網(wǎng)絡(luò)安全員主要負(fù)責(zé)信息網(wǎng)絡(luò)系統(tǒng)的安全保密工作。其主要職責(zé)是：

1）負(fù)責(zé)信息網(wǎng)絡(luò)系統(tǒng)及其網(wǎng)絡(luò)安全保密系統(tǒng)的運(yùn)行與維護(hù)，發(fā)現(xiàn)故障及時(shí)排除，保障系統(tǒng)安全可靠地運(yùn)行。

2）負(fù)責(zé)配置和管理訪問控制表，根據(jù)安全需求為各用戶配置相應(yīng)的訪問權(quán)限。

3）負(fù)責(zé)網(wǎng)絡(luò)審計(jì)系統(tǒng)的管理和維護(hù)，認(rèn)真記錄、檢查和保管審計(jì)日志。

4）負(fù)責(zé)檢查系統(tǒng)的安全漏洞和隱患，發(fā)現(xiàn)安全隱患及時(shí)進(jìn)行修復(fù)或提出改進(jìn)意見。

5）負(fù)責(zé)實(shí)時(shí)對系統(tǒng)進(jìn)行非法入侵檢測，防止和阻止“黑客”入侵。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全隊(duì)伍(續(xù))

3．信息安全工作人員的崗位職責(zé)

（4）設(shè)備安全員的職責(zé)

設(shè)備安全員負(fù)責(zé)對專用計(jì)算機(jī)安全保密設(shè)備(防火墻、加密機(jī)、干擾儀等)的管理、使用和維護(hù)。其主要職責(zé)是：

1）負(fù)責(zé)設(shè)備的領(lǐng)用和保管，做好設(shè)備的領(lǐng)用、進(jìn)出庫、報(bào)廢登記。

2）負(fù)責(zé)設(shè)備的正確使用和安奎運(yùn)行，并建立詳細(xì)的運(yùn)行日志。

3）負(fù)責(zé)設(shè)備的清潔和定期的保養(yǎng)維護(hù)，并做好維護(hù)記錄。

4）負(fù)責(zé)設(shè)備的維修，制定設(shè)備維修計(jì)劃，做好設(shè)備維修記錄。

5）負(fù)責(zé)對安全保密設(shè)備密鑰的管理與注入。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全隊(duì)伍(續(xù))

3．信息安全工作人員的崗位職責(zé)

（5）數(shù)據(jù)庫安全員的職責(zé)

數(shù)據(jù)庫安全員負(fù)責(zé)數(shù)據(jù)庫管理系統(tǒng)的安全及維護(hù)管理工作。其主要職責(zé)是：

1）負(fù)責(zé)數(shù)據(jù)庫管理系統(tǒng)的安裝、備份和維護(hù)，保證系統(tǒng)安全、正常運(yùn)行。

2）負(fù)責(zé)定期檢查系統(tǒng)運(yùn)行情況，檢測并優(yōu)化系統(tǒng)性能。

3）負(fù)責(zé)檢查數(shù)據(jù)庫系統(tǒng)的用戶權(quán)限，防止非法用戶的侵入和越權(quán)訪問。

4）負(fù)責(zé)定期檢查數(shù)據(jù)庫數(shù)據(jù)的完整性和可用性，發(fā)現(xiàn)系統(tǒng)故障及時(shí)排除，做好系統(tǒng)恢復(fù)。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全隊(duì)伍(續(xù))

3．信息安全工作人員的崗位職責(zé)

（6）數(shù)據(jù)安全員的職責(zé)

數(shù)據(jù)安全員負(fù)責(zé)信息網(wǎng)絡(luò)中運(yùn)行數(shù)據(jù)的安全。其主要職責(zé)是：

1）負(fù)責(zé)信息網(wǎng)絡(luò)數(shù)據(jù)的安全，保障信息的保密性、完整性和可用性。

2）負(fù)責(zé)對信息網(wǎng)絡(luò)數(shù)據(jù)備份與災(zāi)難恢復(fù)系統(tǒng)的維護(hù)與管理，實(shí)時(shí)對重要數(shù)據(jù)進(jìn)行安全備份。

3）負(fù)責(zé)對信息采集、傳輸及存儲(chǔ)的技術(shù)手段和工作環(huán)境以及介質(zhì)管理各環(huán)節(jié)的監(jiān)督檢查，發(fā)現(xiàn)問題和漏洞及時(shí)解決。

4）負(fù)責(zé)定期對重要數(shù)據(jù)存儲(chǔ)備份介質(zhì)的檢查，防止數(shù)據(jù)的丟失或被破壞。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全隊(duì)伍(續(xù))

3．信息安全工作人員的崗位職責(zé)

（7）防病毒安全員的職責(zé)

防病毒安全員負(fù)責(zé)信息網(wǎng)絡(luò)系統(tǒng)的計(jì)算機(jī)病毒的防護(hù)工作。其主要職責(zé)是：

1）負(fù)責(zé)計(jì)算機(jī)防病毒軟件的購置、保管、發(fā)放、升級(jí)和安裝。

2）負(fù)責(zé)信息網(wǎng)絡(luò)系統(tǒng)的計(jì)算機(jī)病毒的防護(hù)，在病毒發(fā)作日前及時(shí)發(fā)布公告，并采取必要的預(yù)防措施。

3）負(fù)責(zé)定期對信息網(wǎng)絡(luò)系統(tǒng)進(jìn)行病毒檢測，發(fā)現(xiàn)系統(tǒng)被計(jì)算機(jī)病毒感染，及時(shí)組織清除病毒。

4）負(fù)責(zé)計(jì)算機(jī)病毒防護(hù)知識(shí)的宣傳教育工作。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全14.3制定信息安全管理制度信息安全已不只是人們傳統(tǒng)意義上的添加防火墻或路由器等簡單的設(shè)備就可保證的安全，而是成為一種系統(tǒng)和全局的安全。信息安全管理制度是保證信息安全的基礎(chǔ)，需要通過一系列規(guī)章制度的實(shí)施，來確保各類人員按照規(guī)定的職責(zé)行事，做到各行其職、各負(fù)其責(zé)，避免責(zé)任事故的發(fā)生和防止惡意侵犯。常見的信息安全管理制度主要包括：人員安全管理制度、設(shè)備安全管理制度、運(yùn)行安全管理制度、安全操作管理制度、應(yīng)急維護(hù)制度、安全等級(jí)保護(hù)制度；有害數(shù)據(jù)及計(jì)算機(jī)病毒防范管理制度；敏感數(shù)據(jù)保護(hù)制度、安全技術(shù)保障制度、安全計(jì)劃管理制度等。14.3制定信息安全管理制度信息安全已不只是人14.3制定信息安全管理制度14.3.1制定信息安全管理制度的原則制定信息安全管理制度應(yīng)遵循統(tǒng)一的安全管理原則如下：1）規(guī)范化原則2）系統(tǒng)化原則3）綜合保障原則4）以人為本原則5）首長負(fù)責(zé)原則6）預(yù)防原則7）風(fēng)險(xiǎn)評估原則8）動(dòng)態(tài)原則9）成本效益原則10）均衡防護(hù)原則14.3制定信息安全管理制度14.3.1制定信息安全14.3制定信息安全管理制度14.3.2信息安全管理標(biāo)準(zhǔn)——ISO／IECl7799

信息安全管理的原則之一就是規(guī)范化、系統(tǒng)化，如何在信息安全管理實(shí)踐中落實(shí)這一原則，需要相應(yīng)的信息安全管理標(biāo)準(zhǔn)。

BS7799標(biāo)準(zhǔn)是英國標(biāo)準(zhǔn)協(xié)會(huì)（BSI）制定的國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)包括兩個(gè)部分：《信息安全管理實(shí)施細(xì)則》（BS77991：1999）和《信息安全管理體系規(guī)范》（BS77992：1999）。

其中，BS7799-1標(biāo)準(zhǔn)目前已正式轉(zhuǎn)換成ISO國際標(biāo)準(zhǔn)，即《信息安全管理體系實(shí)施指南》（IS017799），并于2000年12月1日頒布。它所闡述的主題是安全策略和優(yōu)秀的、具有普遍意義的安全操作。

標(biāo)準(zhǔn)主要討論了如下的主題：建立機(jī)構(gòu)的安全策略、機(jī)構(gòu)的安全基礎(chǔ)設(shè)施、資產(chǎn)分類和控制、人員安全、物理與環(huán)境安全、通訊與操作管理、訪問控制、系統(tǒng)開發(fā)和維護(hù)、業(yè)務(wù)連續(xù)性管理、遵循性。

14.3制定信息安全管理制度14.3.2信息安全管理14.3制定信息安全管理制度14.3.2信息安全管理標(biāo)準(zhǔn)——ISO／IECl7799

采用ISO/IECl7799標(biāo)準(zhǔn)建立起來的信息安全管理體系(ISMS)，是建立在系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評估之上，是一個(gè)系統(tǒng)化、文件化、程序化、科學(xué)化的管理體系。

它體現(xiàn)預(yù)防控制為主思想，強(qiáng)調(diào)遵守國家有關(guān)信息安全的法律、法規(guī)及其它要求，強(qiáng)調(diào)全過程和動(dòng)態(tài)控制，本著成本費(fèi)用與風(fēng)險(xiǎn)平衡的原則選擇安全控制方式，保護(hù)組織所擁有的關(guān)鍵信息資產(chǎn)，確保信息的保密性、完整性、可用性，對網(wǎng)絡(luò)環(huán)境下的信息安全管理無疑具有十分重要的意義。14.3制定信息安全管理制度14.3.2信息安全管理14.4信息安全法律保障

網(wǎng)絡(luò)已深入到社會(huì)的各個(gè)角落,黑客和病毒給社會(huì)帶來的負(fù)面影響也隨著網(wǎng)絡(luò)功能的增強(qiáng)而擴(kuò)大，網(wǎng)絡(luò)的安全性隨之上升到國家安全、公共安全的層面,世界各國亦越來越傾向依靠法律——這個(gè)強(qiáng)有力的國家工具來保障網(wǎng)絡(luò)安全。

各國信息安全的立法雖各不相同,但各國信息安全專家對這一點(diǎn)的認(rèn)識(shí)是相同的,即保障信息網(wǎng)絡(luò)安全必須構(gòu)建一個(gè)全方位、立體化的防御體系。

我國已初步形成了一個(gè)保護(hù)網(wǎng)絡(luò)安全的法律體系。我國憲法明確規(guī)定了公民具有保守國家秘密的義務(wù)；基本法律中有《保守國家秘密法》，《刑法》分則中的相關(guān)規(guī)定；行政法規(guī)有《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》等；此外，大量的行政規(guī)章和地方性法規(guī)也對計(jì)算機(jī)信息系統(tǒng)安全作了規(guī)定，如《中國公民計(jì)算機(jī)互聯(lián)網(wǎng)國際聯(lián)網(wǎng)管理辦法》、《鐵路計(jì)算機(jī)系統(tǒng)安全管理暫行辦法》、《浙江省計(jì)算機(jī)安全管理規(guī)定》等。14.4信息安全法律保障網(wǎng)絡(luò)已深入到社會(huì)的各個(gè)角落本章小結(jié)

本章從保障的角度介紹了信息安全管理的作用，包括信息安全管理策略的制定、信息安全管理機(jī)構(gòu)的設(shè)立和人員構(gòu)成、信息安全管理制度的建立等。這些內(nèi)容的確立必須遵循相關(guān)標(biāo)準(zhǔn)的要求，如ISO17799標(biāo)準(zhǔn)。

最后簡單介紹了信息安全的法律保障體系。本章小結(jié)本章從保障的角度介紹了信息安全管理的作用，包括信息安全管理第14章信息安全管理第14章基本內(nèi)容管理安全是信息安全體系重要的組成部分。健全的管理制度、良好的設(shè)備使用制度，結(jié)合專門的機(jī)構(gòu)與人員，可以對網(wǎng)絡(luò)與信息進(jìn)行綜合防護(hù)。本章介紹安全管理相關(guān)的知識(shí)?；緝?nèi)容管理安全是信息安全體系重要的組成部分。健全的管理制度14.1制定信息安全管理策略

信息安全管理策略也稱信息安全方針，是組織對信息和信息處理設(shè)施進(jìn)行管理、保護(hù)和分配的準(zhǔn)則和規(guī)劃，以及使信息系統(tǒng)免遭入侵和破壞而必須采取的措施。它告訴組織成員在日常的工作中什么是必須做的，什么是可以做的，什么是不可以做的；哪里是安全區(qū)，哪里是敏感區(qū)，就像交通規(guī)則之于車輛和行人，信息安全策略是有關(guān)信息安全方面的行為規(guī)范。一個(gè)成功的安全策略應(yīng)當(dāng)遵循：1）綜合平衡(綜合考慮需求、風(fēng)險(xiǎn)、代價(jià)等諸多因素)。2）整體優(yōu)化(利用系統(tǒng)工程思想，使系統(tǒng)總體性能最優(yōu))。3）易于操作和確?？煽?。

14.1.1信息安全管理策略概述14.1制定信息安全管理策略信息安全管理策略也稱信14.1制定信息安全管理策略

在制定信息安全管理策略時(shí)，要嚴(yán)格遵守以下主要原則。

1）目的性。策略是為組織完成自己的信息安全使命而制定的，策略應(yīng)該反映組織的整體利益和可持續(xù)發(fā)展的要求。

2）適用性。策略應(yīng)該反映組織的真實(shí)環(huán)境和信息安全的發(fā)展水平。

3）可行性。策略應(yīng)該具有切實(shí)可行性，其目標(biāo)應(yīng)該可以實(shí)現(xiàn)，并容易測量和審核。沒有可行性的策略不僅浪費(fèi)時(shí)間還會(huì)引起政策混亂。

4）經(jīng)濟(jì)性。策略應(yīng)該經(jīng)濟(jì)合理，過分復(fù)雜和草率都是不可取的。

5）完整性。能夠反映組織的所有業(yè)務(wù)流程的安全需要。

6）一致性。策略的一致性包括下面三個(gè)層次：①和國家、地方的法律法規(guī)保持一致；②和組織己有的策略、方針保持一致；③整體安全策略保持一致，要反映企業(yè)對信息安全的一般看法。

7）彈性。策略不僅要滿足當(dāng)前的組織要求，還要滿足組織和環(huán)境在未來一段時(shí)間內(nèi)發(fā)展的要求。14.1.2制定策略的原則14.1制定信息安全管理策略在制定信息安全管理策略14.1制定信息安全管理策略

理論上，一個(gè)完整的策略體系應(yīng)該保障組織信息的機(jī)密性、可用性和完整性。信息安全策略應(yīng)包含下列一些內(nèi)容：

1）適用范圍。包括人員范圍和時(shí)效性，例如“本規(guī)定適用于所有員工”，“適用于工作時(shí)間和非工作時(shí)間”。不僅要消除本該受到約束的員工有認(rèn)為自己是個(gè)例外的想法，也保證策略不至于被誤解是針對某個(gè)員工的；同時(shí)也告訴員工本規(guī)定在什么時(shí)間發(fā)揮效力。

2）目標(biāo)。例如，“為確保企業(yè)的經(jīng)營、技術(shù)等機(jī)密信息不泄漏，維護(hù)企業(yè)的經(jīng)濟(jì)利益，根據(jù)國家有關(guān)法律，結(jié)合企業(yè)實(shí)際，特制定本條例?！泵鞔_了信息安全保護(hù)對公司是有著重要意義的，而且與國家的法律法規(guī)是一致的。主題明確的策略可能會(huì)有更加確切、詳細(xì)的目標(biāo)，如防病毒策略的目標(biāo)可以是：“為了正確執(zhí)行對計(jì)算機(jī)病毒（蠕蟲、特洛伊木馬、黑客惡意程序）的預(yù)防、偵測和清除過程，特制定本策略”。14.1.3策略的主要內(nèi)容14.1制定信息安全管理策略理論上，一個(gè)完整的策

3）策略主題。通常一個(gè)組織可能會(huì)考慮開發(fā)下列主題的信息安全管理策略：①設(shè)備和及其環(huán)境的安全。②信息的分級(jí)和人員責(zé)任。③安全事故的報(bào)告與響應(yīng)。④第三方訪問的安全性。⑤外圍處理系統(tǒng)的安全。⑥計(jì)算機(jī)和網(wǎng)絡(luò)的訪問控制和審核。⑦遠(yuǎn)程工作的安全。⑧加密技術(shù)控制。⑨備份、災(zāi)難恢復(fù)和可持續(xù)發(fā)展的要求。

4）策略簽署。信息安全管理策略是強(qiáng)制性的、懲罰性的，策略的執(zhí)行需要來自管理層的支持，通常是信息安全主管或總經(jīng)理簽署信息安全管理策略。簽署人的管理地位不能太低；否則會(huì)有執(zhí)行的難度，如果遭到某高層主管的抵制常會(huì)導(dǎo)致策略失敗，高層主管的簽署也表明信息安全不單單是信息安全部門的事情，還是和整個(gè)組織所有成員都是密切相關(guān)的。

5）策略的生效時(shí)間和有效期。舊策略的更新和過時(shí)策略的廢除也是很重要的，應(yīng)該保持生效的策略中包含新的安全要求。14.1制定信息安全管理策略14.1.3策略的主要內(nèi)容(續(xù))

3）策略主題。通常一個(gè)組織可能會(huì)考慮開發(fā)下列主題的信

6）重新評審策略的時(shí)機(jī)。策略除了常規(guī)的評審時(shí)機(jī)，在下列情況下也需要重新評審：①企業(yè)管理體系發(fā)生很大變化。②相關(guān)的法律法規(guī)發(fā)生了變化。③企業(yè)信息系統(tǒng)或者信息技術(shù)發(fā)生了大的變化。④企業(yè)發(fā)生了重大的信息安全事故。

7）與其他相關(guān)策略的引用關(guān)系。因?yàn)槎喾N策略可能相互關(guān)聯(lián)，引用關(guān)系可以描述策略的層次結(jié)構(gòu)，而且在策略修改時(shí)候也經(jīng)常涉及其他相關(guān)策略的調(diào)整，清楚的引用關(guān)系可以節(jié)省查找的時(shí)間。

8）策略解釋。由于工作環(huán)境、知識(shí)背景等原因的不同，可能導(dǎo)致員工在理解策略時(shí)出現(xiàn)誤解、歧義的情況。因此，應(yīng)建立一個(gè)專門的權(quán)威的解釋機(jī)構(gòu)或指定專門的解釋人員來進(jìn)行策略的解釋。

9）例外情況的處理。策略不可能做到面面俱到，在策略中應(yīng)提供特殊情況下的安全通道。

14.1制定信息安全管理策略14.1.3策略的主要內(nèi)容(續(xù))

6）重新評審策略的時(shí)機(jī)。策略除了常規(guī)的評審時(shí)機(jī)，在下14.1制定信息安全管理策略14.1.4信息安全管理策略案例14.1制定信息安全管理策略14.1.4信息安全管14.2建立信息安全機(jī)構(gòu)和隊(duì)伍為了保護(hù)國家信息的安全，維護(hù)國家的利益，各國政府均指定了政府有關(guān)機(jī)構(gòu)主管信息安全工作。我國成立了國家信息化領(lǐng)導(dǎo)小組，由國務(wù)院領(lǐng)導(dǎo)親自任組長，中央國家機(jī)關(guān)有關(guān)部委的領(lǐng)導(dǎo)參加小組的工作。國家信息化領(lǐng)導(dǎo)小組為了強(qiáng)化對信息化工作的領(lǐng)導(dǎo)，對信息產(chǎn)業(yè)部、公安部、安全部、國家保密局等部門在信息安全管理方面進(jìn)行了職能分工，明確了各自的責(zé)任，對于保障我國信息化工作的正常發(fā)展，保護(hù)信息安全起到了重要的作用。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍為了保護(hù)國家信息14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全管理機(jī)構(gòu)一個(gè)組織的信息安全對本企業(yè)也是非常重要的，因此，對信息的安全管理是不容忽視的問題，必須要引起組織最高領(lǐng)導(dǎo)層的充分重視。信息安全的管理層級(jí)一般分三個(gè)層次，每一層級(jí)都應(yīng)有明確的責(zé)任制。1）決策機(jī)構(gòu)。負(fù)責(zé)宏觀管理。

2）管理機(jī)構(gòu)。負(fù)責(zé)日常協(xié)調(diào)、管理工作。3）配備各類安全管理、技術(shù)人員。負(fù)責(zé)落實(shí)規(guī)章制度、技術(shù)規(guī)范，處理技術(shù)方面的問題。凡對信息安全有需求的組織，必須成立相應(yīng)的安全機(jī)構(gòu)、配備必要的管理人員和技術(shù)人員、制定規(guī)章制度、配備安全設(shè)備、從而保障信息安全管理工作的正常開展。安全組織機(jī)構(gòu)對信息系統(tǒng)的安全管理工作是垂直的，網(wǎng)絡(luò)延伸到哪里，信息安全管理工作就要管到哪里，下一級(jí)信息安全組織機(jī)構(gòu)必須無條件地接受上一級(jí)安全組織機(jī)構(gòu)的領(lǐng)導(dǎo)。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全管理機(jī)構(gòu)(續(xù))

1．信息安全領(lǐng)導(dǎo)小組（1）領(lǐng)導(dǎo)小組成員

1）信息安全領(lǐng)導(dǎo)小組組長由組織主要領(lǐng)導(dǎo)擔(dān)任。

2）其他成員由計(jì)算機(jī)、通信、綜合信息、保衛(wèi)、保密、人事、監(jiān)察等有關(guān)方面的負(fù)責(zé)人擔(dān)任。

信息安全領(lǐng)導(dǎo)小組是組織中信息安全工作最高領(lǐng)導(dǎo)決策機(jī)構(gòu)，不隸屬任何部門，直接對組織最高領(lǐng)導(dǎo)層負(fù)責(zé)。領(lǐng)導(dǎo)小組是常設(shè)機(jī)構(gòu)，有例會(huì)工作制度；領(lǐng)導(dǎo)小組負(fù)責(zé)本組織、本系統(tǒng)信息安全工作的宏觀領(lǐng)導(dǎo)。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全管理機(jī)構(gòu)(續(xù))

（2）領(lǐng)導(dǎo)小組職能

1）制定與信息安全有關(guān)的長遠(yuǎn)規(guī)劃、建設(shè)，研究信息安全工作的資金投入、安全（技術(shù)、管理）策略、資源利用，處理信息安全的重大事故，決定信息安全的人事問題。

2）根據(jù)國家信息安全的法律、法規(guī)、制度和規(guī)范，結(jié)合本組織的實(shí)際，批準(zhǔn)本組織信息安全方面的規(guī)章制度、實(shí)施細(xì)則、安全目標(biāo)崗位責(zé)任制。

3）領(lǐng)導(dǎo)本組織信息系統(tǒng)的安全工作，并監(jiān)督整個(gè)信息系統(tǒng)安全體系的日常工作。安全負(fù)責(zé)人要接受本組織信息安全領(lǐng)導(dǎo)小組和信息安全領(lǐng)導(dǎo)小組辦公室的領(lǐng)導(dǎo)。

4）領(lǐng)導(dǎo)本組織所屬的信息安全工作機(jī)構(gòu)，定期召開信息安全工作會(huì)議，研究布置工作，解決重大問題。

5）定期向組織最高領(lǐng)導(dǎo)層匯報(bào)信息安全工作情況，取得最高層領(lǐng)導(dǎo)對信息安全工作的支持。

6）審核批準(zhǔn)安全年報(bào)、安全教育計(jì)劃。

7）表彰信息安全工作先進(jìn)者，處置違規(guī)行為。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全管理機(jī)構(gòu)(續(xù))

（3）領(lǐng)導(dǎo)小組決策的主要內(nèi)容

1）審核系統(tǒng)安全管理人員的各種安全報(bào)告，并做出相關(guān)的決定。

2）決定信息系統(tǒng)和信息的安全等級(jí)。

3）決定信息系統(tǒng)是否要采取安全措施。

4）作出新的信息安全風(fēng)險(xiǎn)評測，決定是否增加安全措施。

5）決定所采用安全保護(hù)措施的投入資金量。

6）批準(zhǔn)系統(tǒng)安全管理人員草擬或修改的各種安全策略手冊。

7）審定并公布本組織信息安全規(guī)章制度。

8）仲裁本組織信息安全事故的責(zé)任。

9）決定系統(tǒng)安全管理人員的任免。

10）所形成的決定性意見，以信息安全領(lǐng)導(dǎo)小組名義，用決策決定書的形式公告。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全管理機(jī)構(gòu)(續(xù))

（4）領(lǐng)導(dǎo)小組決策的依據(jù)

1）系統(tǒng)信息安全管理員提供的報(bào)告。

2）信息安全現(xiàn)狀報(bào)告。

3）安全新風(fēng)險(xiǎn)分析報(bào)告。

4）本組織新增加的安全保密防范措施。

5）組織信息安全事故初步分析報(bào)告。

6）新增加安全措施的經(jīng)費(fèi)報(bào)告。

7）新增加安全措施的效益估計(jì)。

8）信息的安全現(xiàn)狀及對組織效益的影響。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全管理機(jī)構(gòu)(續(xù))

2．信息安全顧問委員會(huì)

組織信息安全顧問委員會(huì)以信息安全領(lǐng)導(dǎo)小組成員為核心，邀請本組織或社會(huì)上信息安全、法律政策、行政（企業(yè)）管理、技術(shù)專家、組織策劃等有關(guān)方面專家學(xué)者參加，組成智囊團(tuán)，對組織信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)。

委員會(huì)定期或不定期為信息安全管理提供最新的安全動(dòng)態(tài)、面臨的風(fēng)險(xiǎn)、技術(shù)，改進(jìn)建議和應(yīng)對措施，并為組織提供咨詢服務(wù)，組織信息安全顧問委員會(huì)是非常設(shè)機(jī)構(gòu)，不一定需要例會(huì)制度。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全管理機(jī)構(gòu)(續(xù))

3．信息安全領(lǐng)導(dǎo)小組辦公室（信息中心）

信息安全領(lǐng)導(dǎo)小組辦公室（信息中心）是在信息安全領(lǐng)導(dǎo)小組直接領(lǐng)導(dǎo)下進(jìn)行工作，為常設(shè)機(jī)構(gòu)，有例會(huì)工作制度，負(fù)責(zé)處理本組織信息安全管理的日常工作。（1）辦公室組成人員

1）信息安全領(lǐng)導(dǎo)小組辦公室主任負(fù)責(zé)組織、處理信息安全方面大量的日常工作，有些工作技術(shù)性比較強(qiáng)，因此需要懂技術(shù)的信息中心主要負(fù)責(zé)人（CIO）擔(dān)任，或由安全負(fù)責(zé)人擔(dān)任，但應(yīng)有一名懂技術(shù)的信息中心領(lǐng)導(dǎo)擔(dān)任副主任，負(fù)責(zé)技術(shù)管理工作。

2）其他人員由系統(tǒng)管理、系統(tǒng)分析、通信、軟件、硬件、保衛(wèi)、保密、機(jī)要、監(jiān)察和人事等有關(guān)方面的工作人員組成。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全管理機(jī)構(gòu)(續(xù))

3．信息安全領(lǐng)導(dǎo)小組辦公室（信息中心）

（2）辦公室職能

1）接受信息安全領(lǐng)導(dǎo)小組的直接領(lǐng)導(dǎo);處理信息安全工作的日常工作。

2）制定本組織信息安全的工作制度、安全目標(biāo)和各級(jí)工作人員的權(quán)限、崗位職責(zé)。

3）定期向組織信息安全領(lǐng)導(dǎo)小組匯報(bào)工作，報(bào)告工作計(jì)劃。

4）與國家有關(guān)信息安全工作的主管部門、技術(shù)部門建立日常工作聯(lián)系，及時(shí)報(bào)告重大事件，并協(xié)助有關(guān)部門做好處理工作。

5）制定本系統(tǒng)安全操作規(guī)程制度。

6）負(fù)責(zé)管理各類安全管理人員，定期或不定期組織安全教育或培訓(xùn)。

7）定期檢查各部門的安全工作，及時(shí)通報(bào)檢查結(jié)果和違章行為。

8）負(fù)責(zé)安全事故調(diào)查，起草安全事故報(bào)告，提出處理意見。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全管理機(jī)構(gòu)(續(xù))

3．信息安全領(lǐng)導(dǎo)小組辦公室（信息中心）

9）聽取所屬組織安全領(lǐng)導(dǎo)小組（負(fù)責(zé)人）的工作匯報(bào)，對報(bào)告中的重大問題及時(shí)報(bào)告組織安全領(lǐng)導(dǎo)小組。

10）對本級(jí)和本級(jí)所屬安全工作人員進(jìn)行工作業(yè)績考核，并提出工作人員稱職、不稱職或表彰、處罰的意見。

11）起草年度信息安全工作報(bào)告和有關(guān)信息安全宣傳、教育、培訓(xùn)計(jì)劃。

12）審閱控制臺(tái)操作記錄、系統(tǒng)日志、系統(tǒng)報(bào)警記錄、系統(tǒng)統(tǒng)計(jì)活動(dòng)、警衛(wèi)報(bào)告、加班報(bào)表以及其他與安全有關(guān)的材料，發(fā)現(xiàn)問題及時(shí)作出補(bǔ)救決定。

13）管理、檢查、監(jiān)督、分析系統(tǒng)運(yùn)行日志和系統(tǒng)監(jiān)督文檔，定期對系統(tǒng)做出安全評價(jià)。

14）制定、管理和定期分發(fā)系統(tǒng)及用戶的身份識(shí)別號(hào)碼、密鑰和口令。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全

15）根據(jù)國家和上級(jí)保密工作規(guī)定，審查系統(tǒng)操作人員對系統(tǒng)信息的使用，審查系統(tǒng)對外發(fā)表的信息，防止發(fā)生泄密。

16）采取切實(shí)可行的措施，防止系統(tǒng)操作人員對系統(tǒng)信息泄露和破壞、篡改數(shù)據(jù)、防止未經(jīng)許可越權(quán)使用系統(tǒng)資源。

17）建立必要的系統(tǒng)訪問批準(zhǔn)制度，監(jiān)督、管理系統(tǒng)外維修人員對系統(tǒng)設(shè)備的檢修及維護(hù)。

18）采取切實(shí)可行的措施，防止計(jì)算機(jī)設(shè)備的損壞、改換和盜用。

19）定期做信息系統(tǒng)的漏洞檢查，向本組織安全領(lǐng)導(dǎo)小組提供信息安全管理系統(tǒng)的風(fēng)險(xiǎn)分析報(bào)告，提出相應(yīng)的對策和實(shí)施計(jì)劃。

20）負(fù)責(zé)存取系統(tǒng)和修改系統(tǒng)授權(quán)以及系統(tǒng)特權(quán)口令。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.1信息安全管理機(jī)構(gòu)(續(xù))

3．信息安全領(lǐng)導(dǎo)小組辦公室（信息中心）15）根據(jù)國家和上級(jí)保密工作規(guī)定，審查系統(tǒng)操作人員對

組織信息安全工作隊(duì)伍主要包括信息安全員、系統(tǒng)安全員、網(wǎng)絡(luò)安全員、設(shè)備安全員、數(shù)據(jù)庫安全員、數(shù)據(jù)安全員、防病毒安全員。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全隊(duì)伍

1．信息安全工作人員的條件

由于各類信息安全工作人員的工作崗位處于信息系統(tǒng)的核心敏感部位，因此要有比較高的政治素質(zhì)和業(yè)務(wù)水平，這些人員應(yīng)具備以下條件。

1）政治可靠，對組織忠誠。

2）工作認(rèn)真負(fù)責(zé)，有敬業(yè)精神。

3）處理問題公正嚴(yán)明，不拘私情。

4）熟悉業(yè)務(wù)，具有一定的實(shí)踐經(jīng)驗(yàn)。

5）從事網(wǎng)絡(luò)系統(tǒng)操作或管理的工作人員應(yīng)是具備一定實(shí)踐經(jīng)驗(yàn)的網(wǎng)絡(luò)工程師。組織信息安全工作隊(duì)伍主要包括信息安全員、系統(tǒng)安全員、14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全隊(duì)伍(續(xù))

2．信息安全工作人員的管理原則

1）人員審查原則

2）簽訂保密協(xié)定原則

3）持證上崗原則

4）人員培訓(xùn)原則

5）人員考核原則

6）權(quán)力分散原則

7）人員離崗原則14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全隊(duì)伍(續(xù))

3．信息安全工作人員的崗位職責(zé)

（1）信息安全員的職責(zé)

信息安全員主要負(fù)責(zé)信息網(wǎng)絡(luò)系統(tǒng)的信息安全和保密信息的管理。其主要職責(zé)是：

1）負(fù)責(zé)涉密信息網(wǎng)信息安全，監(jiān)督檢查涉密信息的報(bào)送、接受和傳輸?shù)陌踩浴?/p>

2）負(fù)責(zé)監(jiān)督檢查信息網(wǎng)對外發(fā)布的信息;保證符合安全保密規(guī)定。

3）負(fù)責(zé)監(jiān)督檢查各部門的涉密信息的安全保密措施，防止泄密事件的發(fā)生。

4）負(fù)責(zé)監(jiān)督檢查信息網(wǎng)對國際互聯(lián)網(wǎng)上國家禁止的網(wǎng)站的非法訪問及有害信息的侵入。

5）負(fù)責(zé)協(xié)助有關(guān)部門對網(wǎng)絡(luò)泄密事件進(jìn)行調(diào)查與技術(shù)分析。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全隊(duì)伍(續(xù))

3．信息安全工作人員的崗位職責(zé)

（2）系統(tǒng)安全員的職責(zé)

系統(tǒng)安全員主要負(fù)責(zé)信息網(wǎng)絡(luò)操作系統(tǒng)及服務(wù)器操作系統(tǒng)的安全及管理。其主要職責(zé)是：

1）負(fù)責(zé)信息網(wǎng)絡(luò)操作系統(tǒng)和服務(wù)器操作系統(tǒng)的安裝、運(yùn)行和維護(hù)、管理，保障系統(tǒng)的安全穩(wěn)定地運(yùn)行。

2）負(fù)責(zé)對用戶的身份進(jìn)行驗(yàn)證，防止非法用戶進(jìn)入系統(tǒng)。

3）負(fù)責(zé)用戶的口令管理，建立口令管理規(guī)程和檢驗(yàn)創(chuàng)建賬戶機(jī)制，避免口令泄露。

4）負(fù)責(zé)實(shí)時(shí)監(jiān)控系統(tǒng)，發(fā)現(xiàn)異常及時(shí)采取措施，恢復(fù)系統(tǒng)正常狀態(tài)。

5）負(fù)責(zé)對系統(tǒng)各種硬軟件資源的合理分配和科學(xué)使用，避免造成系統(tǒng)資源的浪費(fèi)。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全隊(duì)伍(續(xù))

3．信息安全工作人員的崗位職責(zé)

（3）網(wǎng)絡(luò)安全員的職責(zé)

網(wǎng)絡(luò)安全員主要負(fù)責(zé)信息網(wǎng)絡(luò)系統(tǒng)的安全保密工作。其主要職責(zé)是：

1）負(fù)責(zé)信息網(wǎng)絡(luò)系統(tǒng)及其網(wǎng)絡(luò)安全保密系統(tǒng)的運(yùn)行與維護(hù)，發(fā)現(xiàn)故障及時(shí)排除，保障系統(tǒng)安全可靠地運(yùn)行。

2）負(fù)責(zé)配置和管理訪問控制表，根據(jù)安全需求為各用戶配置相應(yīng)的訪問權(quán)限。

3）負(fù)責(zé)網(wǎng)絡(luò)審計(jì)系統(tǒng)的管理和維護(hù)，認(rèn)真記錄、檢查和保管審計(jì)日志。

4）負(fù)責(zé)檢查系統(tǒng)的安全漏洞和隱患，發(fā)現(xiàn)安全隱患及時(shí)進(jìn)行修復(fù)或提出改進(jìn)意見。

5）負(fù)責(zé)實(shí)時(shí)對系統(tǒng)進(jìn)行非法入侵檢測，防止和阻止“黑客”入侵。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全隊(duì)伍(續(xù))

3．信息安全工作人員的崗位職責(zé)

（4）設(shè)備安全員的職責(zé)

設(shè)備安全員負(fù)責(zé)對專用計(jì)算機(jī)安全保密設(shè)備(防火墻、加密機(jī)、干擾儀等)的管理、使用和維護(hù)。其主要職責(zé)是：

1）負(fù)責(zé)設(shè)備的領(lǐng)用和保管，做好設(shè)備的領(lǐng)用、進(jìn)出庫、報(bào)廢登記。

2）負(fù)責(zé)設(shè)備的正確使用和安奎運(yùn)行，并建立詳細(xì)的運(yùn)行日志。

3）負(fù)責(zé)設(shè)備的清潔和定期的保養(yǎng)維護(hù)，并做好維護(hù)記錄。

4）負(fù)責(zé)設(shè)備的維修，制定設(shè)備維修計(jì)劃，做好設(shè)備維修記錄。

5）負(fù)責(zé)對安全保密設(shè)備密鑰的管理與注入。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全隊(duì)伍(續(xù))

3．信息安全工作人員的崗位職責(zé)

（5）數(shù)據(jù)庫安全員的職責(zé)

數(shù)據(jù)庫安全員負(fù)責(zé)數(shù)據(jù)庫管理系統(tǒng)的安全及維護(hù)管理工作。其主要職責(zé)是：

1）負(fù)責(zé)數(shù)據(jù)庫管理系統(tǒng)的安裝、備份和維護(hù)，保證系統(tǒng)安全、正常運(yùn)行。

2）負(fù)責(zé)定期檢查系統(tǒng)運(yùn)行情況，檢測并優(yōu)化系統(tǒng)性能。

3）負(fù)責(zé)檢查數(shù)據(jù)庫系統(tǒng)的用戶權(quán)限，防止非法用戶的侵入和越權(quán)訪問。

4）負(fù)責(zé)定期檢查數(shù)據(jù)庫數(shù)據(jù)的完整性和可用性，發(fā)現(xiàn)系統(tǒng)故障及時(shí)排除，做好系統(tǒng)恢復(fù)。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全隊(duì)伍(續(xù))

3．信息安全工作人員的崗位職責(zé)

（6）數(shù)據(jù)安全員的職責(zé)

數(shù)據(jù)安全員負(fù)責(zé)信息網(wǎng)絡(luò)中運(yùn)行數(shù)據(jù)的安全。其主要職責(zé)是：

1）負(fù)責(zé)信息網(wǎng)絡(luò)數(shù)據(jù)的安全，保障信息的保密性、完整性和可用性。

2）負(fù)責(zé)對信息網(wǎng)絡(luò)數(shù)據(jù)備份與災(zāi)難恢復(fù)系統(tǒng)的維護(hù)與管理，實(shí)時(shí)對重要數(shù)據(jù)進(jìn)行安全備份。

3）負(fù)責(zé)對信息采集、傳輸及存儲(chǔ)的技術(shù)手段和工作環(huán)境以及介質(zhì)管理各環(huán)節(jié)的監(jiān)督檢查，發(fā)現(xiàn)問題和漏洞及時(shí)解決。

4）負(fù)責(zé)定期對重要數(shù)據(jù)存儲(chǔ)備份介質(zhì)的檢查，防止數(shù)據(jù)的丟失或被破壞。14.2建立信息安全機(jī)構(gòu)和隊(duì)伍14.2.2信息安全14.2建立信