CH信息安全管理PPT文件格式下载.ppt

CH信息安全管理PPT文件格式下载.ppt

《CH信息安全管理PPT文件格式下载.ppt》由会员分享，可在线阅读，更多相关《CH信息安全管理PPT文件格式下载.ppt（35页珍藏版）》请在冰豆网上搜索。

33）可行性。

策略应该具有切实可行性，其目标应该可以实现，并容易测量和审核。

没有可行性的策略不仅浪费时间还会引起政策混乱。

44）经济性。

策略应该经济合理，过分复杂和草率都是不可取的。

55）完整性。

能够反映组织的所有业务流程的安全需要。

66）一致性。

策略的一致性包括下面三个层次：

和国家、地方的法律法规保持一致；

和组织己有的策略、方针保持一致；

整体安全策略保持一致，要反映企业对信息安全的一般看法。

77）弹性。

策略不仅要满足当前的组织要求，还要满足组织和环境在未来一段时间内发展的要求。

15.1.215.1.2制定策略的原则第5页/共27页共27页15.115.1制定信息安全管理策略理论上，一个完整的策略体系应该保障组织信息的机密性、可用性和完整性。

信息安全策略应包含下列一些内容：

11）适用范围。

“”包括人员范围和时效性，例如本规定适用于所有员工“”，适用于工作时间和非工作时间。

不仅要消除本该受到约束的员工有认为自己是个例外的想法，也保证策略不至于被误解是针对某个员工的；

同时也告诉员工本规定在什么时间发挥效力。

22）目标。

“例如，为确保企业的经营、技术等机密信息不泄漏，维护”企业的经济利益，根据国家有关法律，结合企业实际，特制定本条例。

明确了信息安全保护对公司是有着重要意义的，而且与国家的法律法规是一致的。

主题明确的策略可能会有更加确切、详细的目标，如防病毒策略的目标“可以是：

为了正确执行对计算机病毒（蠕虫、特洛伊木马、黑客恶意程”序）的预防、侦测和清除过程，特制定本策略。

15.1.315.1.3策略的主要内容第6页/共27页共27页33）策略主题。

通常一个组织可能会考虑开发下列主题的信息安全管理策略：

设备和及其环境的安全。

信息的分级和人员责任。

安全事故的报告与响应。

第三方访问的安全性。

外围处理系统的安全。

计算机和网络的访问控制和审核。

远程工作的安全。

加密技术控制。

备份、灾难恢复和可持续发展的要求。

44）策略签署。

信息安全管理策略是强制性的、惩罚性的，策略的执行需要来自管理层的支持，通常是信息安全主管或总经理签署信息安全管理策略。

签署人的管理地位不能太低；

否则会有执行的难度，如果遭到某高层主管的抵制常会导致策略失败，高层主管的签署也表明信息安全不单单是信息安全部门的事情，还是和整个组织所有成员都是密切相关的。

55）策略的生效时间和有效期。

旧策略的更新和过时策略的废除也是很重要的，应该保持生效的策略中包含新的安全要求。

15.115.1制定信息安全管理策略15.1.315.1.3策略的主要内容（续续）第7页/共27页共27页66）重新评审策略的时机。

策略除了常规的评审时机，在下列情况下也需要重新评审：

企业管理体系发生很大变化。

相关的法律法规发生了变化。

企业信息系统或者信息技术发生了大的变化。

企业发生了重大的信息安全事故。

77）与其他相关策略的引用关系。

因为多种策略可能相互关联，引用关系可以描述策略的层次结构，而且在策略修改时候也经常涉及其他相关策略的调整，清楚的引用关系可以节省查找的时间。

88）策略解释。

由于工作环境、知识背景等原因的不同，可能导致员工在理解策略时出现误解、歧义的情况。

因此，应建立一个专门的权威的解释机构或指定专门的解释人员来进行策略的解释。

99）例外情况的处理。

策略不可能做到面面俱到，在策略中应提供特殊情况下的安全通道。

15.115.1制定信息安全管理策略15.1.315.1.3策略的主要内容（续续）第8页/共27页共27页15.115.1制定信息安全管理策略15.1.415.1.4信息安全管理策略案例第9页/共27页共27页15.215.2建立信息安全机构和队伍为了保护国家信息的安全，维护国家的利益，各国政府均指定了政府有关机构主管信息安全工作。

我国成立了国家信息化领导小组，由国务院领导亲自任组长，中央国家机关有关部委的领导参加小组的工作。

国家信息化领导小组为了强化对信息化工作的领导，对信息产业部、公安部、安全部、国家保密局等部门在信息安全管理方面进行了职能分工，明确了各自的责任，对于保障我国信息化工作的正常发展，保护信息安全起到了重要的作用。

第10页/共27页共27页15.215.2建立信息安全机构和队伍15.2.115.2.1信息安全管理机构一个组织的信息安全对本企业也是非常重要的，因此，对信息的安全管理是不容忽视的问题，必须要引起组织最高领导层的充分重视。

信息安全的管理层级一般分三个层次，每一层级都应有明确的责任制。

11）决策机构。

负责宏观管理。

22）管理机构。

负责日常协调、管理工作。

33）配备各类安全管理、技术人员。

负责落实规章制度、技术规范，处理技术方面的问题。

凡对信息安全有需求的组织，必须成立相应的安全机构、配备必要的管理人员和技术人员、制定规章制度、配备安全设备、从而保障信息安全管理工作的正常开展。

安全组织机构对信息系统的安全管理工作是垂直的，网络延伸到哪里，信息安全管理工作就要管到哪里，下一级信息安全组织机构必须无条件地接受上一级安全组织机构的领导。

第11页/共27页共27页15.215.2建立信息安全机构和队伍15.2.115.2.1信息安全管理机构（续续）11信息安全领导小组（11）领导小组成员11）信息安全领导小组组长由组织主要领导担任。

22）其他成员由计算机、通信、综合信息、保卫、保密、人事、监察等有关方面的负责人担任。

信息安全领导小组是组织中信息安全工作最高领导决策机构，不隶属任何部门，直接对组织最高领导层负责。

领导小组是常设机构，有例会工作制度；

领导小组负责本组织、本系统信息安全工作的宏观领导。

第12页/共27页共27页15.215.2建立信息安全机构和队伍15.2.115.2.1信息安全管理机构（续续）（22）领导小组职能11）制定与信息安全有关的长远规划、建设，研究信息安全工作的资金投入、安全（技术、管理）策略、资源利用，处理信息安全的重大事故，决定信息安全的人事问题。

22）根据国家信息安全的法律、法规、制度和规范，结合本组织的实际，批准本组织信息安全方面的规章制度、实施细则、安全目标岗位责任制。

33）领导本组织信息系统的安全工作，并监督整个信息系统安全体系的日常工作。

安全负责人要接受本组织信息安全领导小组和信息安全领导小组办公室的领导。

44）领导本组织所属的信息安全工作机构，定期召开信息安全工作会议，研究布置工作，解决重大问题。

55）定期向组织最高领导层汇报信息安全工作情况，取得最高层领导对信息安全工作的支持。

66）审核批准安全年报、安全教育计划。

77）表彰信息安全工作先进者，处置违规行为。

第13页/共27页共27页15.215.2建立信息安全机构和队伍15.2.115.2.1信息安全管理机构（续续）（33）领导小组决策的主要内容11）审核系统安全管理人员的各种安全报告，并做出相关的决定。

22）决定信息系统和信息的安全等级。

33）决定信息系统是否要采取安全措施。

44）作出新的信息安全风险评测，决定是否增加安全措施。

55）决定所采用安全保护措施的投入资金量。

66）批准系统安全管理人员草拟或修改的各种安全策略手册。

77）审定并公布本组织信息安全规章制度。

88）仲裁本组织信息安全事故的责任。

99）决定系统安全管理人员的任免。

1010）所形成的决定性意见，以信息安全领导小组名义，用决策决定书的形式公告。

第14页/共27页共27页15.215.2建立信息安全机构和队伍15.2.115.2.1信息安全管理机构（续续）（44）领导小组决策的依据11）系统信息安全管理员提供的报告。

22）信息安全现状报告。

33）安全新风险分析报告。

44）本组织新增加的安全保密防范措施。

55）组织信息安全事故初步分析报告。

66）新增加安全措施的经费报告。

77）新增加安全措施的效益估计。

88）信息的安全现状及对组织效益的影响。

第15页/共27页共27页15.215.2建立信息安全机构和队伍15.2.115.2.1信息安全管理机构（续续）22信息安全顾问委员会组织信息安全顾问委员会以信息安全领导小组成员为核心，邀请本组织或社会上信息安全、法律政策、行政（企业）管理、技术专家、组织策划等有关方面专家学者参加，组成智囊团，对组织信息安全领导小组负责。

委员会定期或不定期为信息安全管理提供最新的安全动态、面临的风险、技术，改进建议和应对措施，并为组织提供咨询服务，组织信息安全顾问委员会是非常设机构，不一定需要例会制度。

第16页/共27页共27页15.215.2建立信息安全机构和队伍15.2.115.2.1信息安全管理机构（续续）33信息安全领导小组办公室（信息中心）信息安全领导小组办公室（信息中心）是在信息安全领导小组直接领导下进行工作，为常设机构，有例会工作制度，负责处理本组织信息安全管理的日常工作。

（11）办公室组成人员11）信息安全领导小组办公室主任负责组织、处理信息安全方面大量的日常工作，有些工作技术性比较强，因此需要懂技术的信息中心主要负责人（CIOCIO）担任，或由安全负责人担任，但应有一名懂技术的信息中心领导担任副主任，负责技术管理工作。

22）其他人员由系统管理、系统分析、通信、软件、硬件、保卫、保密、机要、监察和人事等有关方面的工作人员组成。

第17页/共27页共27页15.215.2建立信息安全机构和队伍15.2.115.2.1信息安全管理机构（续续）33信息安全领导小组办公室（信息中心）（22）办公室职能11）接受信息安全领导小组的直接领导;

处理信息安全工作的日常工作。

22）制定本组织信息安全的工作制度、安全目标和各级工作人员的权限、岗位职责。

33）定期向组织信息安全领导小组汇报工作，报告工作计划。

44）与国家有关信息安全工作的主管部门、技术部门建立日常工作联系，及时报告重大事件，并协助有关部门做好处理工作。

55）制定本系统安全操作规程制度。

66）负责管理各类安全管理人员，定期或不定期组织安全教育或培训。

77）定期检查各部门的安全工作，及时通报检查结果和违章行为。

88）负责安全事故调查，起草安