实训91熟悉信息安全管理Word格式.docx
《实训91熟悉信息安全管理Word格式.docx》由会员分享,可在线阅读,更多相关《实训91熟悉信息安全管理Word格式.docx(16页珍藏版)》请在冰豆网上搜索。
不论信息系统的安全等级如何,要求信息系统所涉及人员普遍参与并与社会相关方面协同、协调,共同保障信息系统的安全。
3)信息安全管理机构的构成及其主要职责是什么?
1、在国家认证认可监督管理委员会(以下简称国家认监委)批准的业务范围内,开展认证工作;
2、开展信息安全认证相关标准和检测技术、评价方法研发工作,为建立和完善信息安全认证制度提供技术支持;
3、在批准的业务范围内,开展认证人员培训工作。
开展信息安全技术培训工作;
4、依据法律、法规及授权开展涉及信息技术安全领域的相关工作;
5、承担对本中心委托检测和检查机构的监督与管理工作;
6、依据国家法律、法规及授权开展信息安全相关领域的国际合作与交流活动;
7、承办总局和国家认监委交办的其他事项。
4)为什么说信息安全工程是一个系统工程?
它不只包含的一个子目,是有多个单位、单项工程组成的
5)如何理解需求分析与风险评估的重要性?
一旦需求确定下来,就意味着目标的确定和资源的投入,如果随意地做出决定将来可能会受到惩罚。
(2)案例学习:
某金融管理部门的计算机安全管理规定
本案例是某金融管理部门(以下简称“本单位”)制订的计算机安全管理规定(节选,以下简称《规定》),请认真阅读并分析。
第一章
总则
第一条
为加强本单位计算机信息系统安全保护工作,保障计算机信息系统安全、稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》和《金融机构计算机信息安全保护工作暂行规定》等有关法律、法规,制定本规定。
第二条
本规定适用于本单位及其分支机构。
第三条
本单位计算机安全管理工作的指导方针是“预防为主,安全第一,依法办事,综合治理”。
“预防为主”是计算机安全管理工作的基本方针。
第四条
本单位计算机安全管理部门应对电子化项目建设的规划、立项、开发、验收、运行及废止各环节进行安全监管。
第五条
本单位计算机安全工作实行统一领导和分级管理。
第二章
计算机安全人员管理
第一节
人员基本要求
第六条
本规定所称计算机安全人员,是指本单位科技部门计算机安全管理机构人员和专(兼)职计算机安全管理人员。
第七条
计算机安全人员应当政治过硬、业务素质高、遵纪守法、恪尽职守。
第八条
计算机安全管理机构人员及专职计算机安全管理员应有银行计算机工作三年以上经历,具备本科以上学历。
兼职计算机安全管理员应有银行业务工作五年以上或专职计算机维护管理工作三年以上经历,具备专科以上学历。
第九条
违反国家法律、法规和行业规章受到处罚的人员,不得从事计算机安全管理工作。
第十条
计算机安全人员应具有公安部门颁发的计算机安全培训合格证书,并获得本单位颁发的《银行计算机安全检查证》证书。
第二节
人员配备与管理
第十一条
本单位应配备应配备专职或兼职计算机安全管理员。
第十三条
计算机安全人员必须实行持证上岗制度。
第十四条
计算机安全人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。
涉及业务核心技术的计算机安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。
第三节
职责范围
第十五条 计算机安全管理机构的职责是:
(一)
贯彻执行计算机安全管理工作领导小组的决议,指导、监督、协调和规范银行系统计算机安全工作;
(二)
拟订计算机安全总体规划和计算机安全管理制度,并监督执行;
(三)跟踪先进的计算机安全技术,提出计算机安全防范策略;
(四)参与计算机系统工程建设中的安全规划,监督安全措施的执行;
(五)负责计算机安全专用产品的选型,组织计算机信息系统安全的评估和审批;
(六)组织辖内计算机安全检查,分析辖内计算机安全总体状况,提出安全分析报告和安全防范建议;
(七)组织辖内计算机安全知识的培训和宣传工作;
(八)配合有关部门进行计算机安全内部审计和金融计算机犯罪案件调查,打击金融计算机犯罪;
(九)加强与公安机关计算机安全职能部门、政府安全保密职能部门联系,并接受指导;
(十)及时向计算机安全工作领导小组和有关部门、单位报告计算机安全事件。
第十六条 专(兼)职计算机安全管理员应履行以下职责:
(一)负责计算机安全管理的日常工作;
(二)开展计算机安全检查工作,对要害岗位人员安全工作进行指导;
(三)开展计算机安全知识的培训和宣传工作;
(四)监控计算机安全总体状况,提出安全分析报告;
(五)了解行业动态,为改进和完善计算机安全管理工作,提出安全防范建议;
(六)及时向计算机安全工作领导小组和有关部门、单位报告计算机安全事件。
第十七条
计算机安全人员在行使职责时,确因工作需要,经批准,可了解涉及计算机信息系统的机密信息。
第十八条
计算机安全人员发现本单位重大安全隐患,有权向上级机构计算机安全管理主管部门报告。
第十九条
计算机安全人员发现计算机信息系统要害岗位人员使用不当,应及时建议有关单位、部门进行调整。
第二十条
计算机安全人员必须严格遵守国家有关法律、法规和行业规章,严守国家、行业和岗位秘密。
第四节
培训与教育
第二十一条
计算机安全人员应定期参加下列计算机安全知识和技能的培训:
(一)计算机安全法律法规及行业规章制度的培训;
(二)计算机安全基本知识的培训;
(三)计算机安全专门技能的培训。
第二十二条
计算机安全人员应定期接受政治思想教育、职业道德教育和安全保密教育。
第三章
计算机信息系统要害岗位人员管理
人员管理
第二十三条
本规定所称计算机信息系统要害岗位人员,是指与重要计算机信息系统直接相关的系统管理员、网络管理员、系统开发员、系统维护员、业务操作员等岗位人员。
第二十四条
本规定所称重要计算机信息系统,是指涉及资金和金融秘密信息的计算机信息系统。
第二十五条
要害岗位人员上岗前必须经单位人事部门进行政治素质审查,技术部门进行业务技能考核,合格者方可上岗。
第二十六条
要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。
系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员;
系统开发人员不得兼任系统管理员;
系统管理人员不得兼任柜面及事后稽核工作。
第二十七条
对要害岗位人员应实行年度强制休假制度和定期考查制度,并进行必要的安全教育和培训。
第二十八条
要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。
涉及业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。
第二十九条
要害岗位人员离岗后,必须即刻更换操作密码或注销用户。
安全责任
第三十条
系统管理员安全责任
(一)负责系统的运行管理,实施系统安全运行细则;
(二)严格用户权限管理,维护系统安全正常运行;
(三)认真记录系统安全事项,及时向计算机安全人员报告安全事件;
(四)对进行系统操作的其他人员予以安全监督。
第三十一条
网络管理员安全责任
(一)负责网络的运行管理,实施网络安全策略和安全运行细则;
(二)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
(三)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向计算机安全人员报告安全事件;
(四)对操作网络管理功能的其他人员进行安全监督。
第三十二条
系统开发员安全责任
(一)系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现;
(二)系统投产运行前,应完整移交系统源代码和相关涉密资料;
(三)不得对系统设置“后门”;
(四)对系统核心技术保密。
第三十三条
系统维护员安全责任
(一)负责系统维护,及时解除系统故障,确保系统正常运行;
(二)不得擅自改变系统功能;
(三)不得安装与系统无关的其他计算机程序;
(四)维护过程中,发现安全漏洞应及时报告计算机安全人员。
第三十四条
业务操作员安全责任
(一)严格执行系统操作规程和运行安全管理制度;
(二)不得向他人提供自己的操作密码;
(三)及时向系统管理员报告系统各种异常事件。
第三十五条
各要害岗位人员必须严格遵守保密法规和有关计算机安全管理规定。
第四章
计算机机房安全管理
机房建设安全管理
第三十六条
机房安全建设和改造方案应通过上级保卫部门的安全审批。
第三十七条
机房安全建设应通过上级保卫部门组织的安全验收。
第三十八条
机房应按重要性进行分级管理,分级标准按有关规定执行。
第三十九条
机房应按相应级别合理分区,保障生产环境与运行环境有效的安全空间隔离。
第四十条
机房建设应当符合下列基本安全要求:
(一)机房周围100米内不得存在危险建筑物,如加油站、煤气站等。
(二)机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施。
(三)机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统,并与当地公安机关110联网。
(四)机房应设专用的供电系统,配备必要的UPS和发电机。
机房运行安全管理
第四十一条
机房是重点保护的要害部位,机房主管部门应依照安全第一的原则,建立、健全严格的机房安全管理制度,如值班制度、紧急安全事件联系制度、安全应急制度、安全事件处理制度、机房安全防护系统维护制度等,并定期检查制度执行情况。
第四十二条
计算机机房实行分区管理原则。
核心区实行24小时连续监控,生产区实行工作时间连续监控,辅助区实施联动监控。
第四十三条
监控设备的安装应符合安全保密原则,确保监控的安全规范运作,防止监控信息的泄密。
第四十四条
加强进出机房人员管理。
禁止未经批准的外部人员进入机房。
非机房工作人员进出机房须经机房主管部门领导批准,外来人员进出机房还须办理登记手续,并由专人陪同。
第四十五条
发生机房重大事故或案件,机房主管部门应立即向有关单位报告,并保护现场。
第五章
计算机网络安全管理
网络建设安全管理
第四十六条
网络建设方案应通过上级计算机安全主管部门的安全审批。
第四十七条
网络投入使用前应通过计算机安全主管部门组织的安全测试和验收。
第四十八条
网络建设应配备必要的安全专用产品。
第四十九条
网络建设中涉及网络安全的资料,应备案建档,统一管理。
第五十条
网络建设应符合下列基本安全要求:
(一)网络规划应有完整的安全策略;
(二)能够保证网络传输信道的安全,信息在传输过程中