信息安全管理简要概述
第六章信息安全管理
第一节信息安全管理概述
一、信息安全管理的内容
1、什么信息安全管理?
通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源,以期有效达到组织信息安全目标的活动。
2、信息安全管理的主要活动
制定信息安全目标和寻找实现目标的途径;
建设信息安全组织机构,设置岗位、配置人员并分配职责;
实施信息安全风险评估和管理;制定并实施信息安全策略;
为实现信息安全目标提供资源并实施管理;
信息安全的教育与培训;信息安全事故管理;信息安全的持续改进。
3、信息安全管理的基本任务
(1)组织机构建设(2)风险评估(3)信息安全策略的制定和实施
(4)信息安全工程项目管理(5)资源管理
◆(1)组织机构建设
★组织应建立专门信息安全组织机构,负责:
①确定信息安全要求和目标;②制定实现信息安全目标的时间表和预算
③建立各级信息安全组织机构和设置相应岗位④分配相应职责和建立奖惩制度
⑤提出信息安全年度预算,并监督预算的执行⑥组织实施信息安全风险评估并监督检查
⑦组织制定和实施信息安全策略,并对其有效性和效果进行监督检查
⑧组织实施信息安全工程项目⑨信息安全事件的调查和处理
⑩组织实施信息安全教育培训⑾组织信息安全审核和持续改进工作
★组织应设立信息安全总负责人岗位,负责:
①向组织最高管理者负责并报告工作②执行信息安全组织机构的决定
③提出信息安全年度工作计划④总协调、联络
◆(2)风险评估
★信息系统的安全风险
信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。
★信息安全风险评估
是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程
它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
★信息系统安全风险评估的总体目标是:
服务于国家信息化发展,促进信息安全保障体系的建设,提高信息系统的安全保护能力。
★信息系统安全风险评估的目的是:
认清信息安全环境、信息安全状况;有助于达成共识,明确责任;采取或完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性。
★信息安全风险评估的基本要素
使命:一个单位通过信息化实现的工作任务。
依赖度:一个单位的使命对信息系统和信息的依靠程度。
资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。
价值:资产的重要程度和敏感程度。
威胁:一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画:威胁的主体(威胁源)、
能力、资源、动机、途径、可能性和后果。
脆弱性:信息资产及其防护措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。
风险:由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两种指标来衡量。
残余风险:采取了安全防护措施,提高了防护能力后,仍然可能存在的风险。
安全需求:为保证单位的使命能够正常行使,在信息安全防护措施方面提出的要求。
安全防护措施:对付威胁,减少脆弱性,保护资产,限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。
★信息安全风险评估的标准制定工作
2004年全国信息安全标准化技术委员会将《信息安全风险评估指南》列入2005年度国家信息安全标准制定工作计划中, 将《信息安全风险管理指南》列入国家信息安全标准研究工作规划中。
目前《信息安全风险评估指南》已完成评审, 报国家标准管理委员会颁布
国信办已以国信【2006】9号文的形式发各部委和省市
★《信息安全风险评估指南》主要内容
规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则;
介绍了风险评估的定义、风险评估的模型以及风险评估的实施过程;
详细描述了对资产、威胁和脆弱性的识别方法;
描述了风险评估在信息系统生命周期中的作用;描述了风险评估的不同形式;
在附件中介绍了信息安全风险评估的方法、工具和实施案例
◆(3)信息安全策略的制定和实施
策略:解决某一方面问题的目的、范围、流程、准则的集合
信息安全策略文件
就每一个策略建立实施计划,落实所需资源
策略发布后,实施培训
策略的评审和修订
◆(4)信息安全工程项目管理
需求分析;规划立项;实施;验收;工程监理
◆(5)资源管理
信息安全预算;人力资源;基础设施;信息安全教育培训
二、信息安全管理体系
1、什么是管理体系
★ISO9000-2000中的相关定义
体系 system——相互关联和相互作用的一组要素
管理体系 management system——建立方针和目标并实现这些目标的体系
我国管理体系组织机构
国家认证认可监
督管理委员会
中国合格评定
国家认可中心
CNAB CNAT CNAL
★目前流行的管理体系
质量管理体系 QMS——ISO/IEC9000,9001,9004等;环境管理体系 EMS——ISO/IEC14000;职业安全卫生管理体系—— OHMSAS18000;信息安全管理体系 ISMS——ISO/IE17799&ISO27001;
2、信息安全管理体系
★ISMS:
◇Information Security Management System 信息安全管理体系
◇指在信息安全方面指挥和控制组织的以实现信息安全目标的相互关联和相互作用的一组要素。
◇信息安全目标应是可度量的
★信息安全管理体系要素包括
◇信息安全方针、策略;◇信息安全组织结构;◇各种活动、过程;◇信息安全控制措施;
◇人力、物力等资源;◇其他……
信息安全管理体系方法图解:
三、信息安全管理标准
★安全标准可以分成以下几大类:
安全体系结构和框架标准;分层安全协议标准;安全技术标准;具体应用安全标准;安全管理标准
当前信息安全面临着“道高一尺,魔高一丈”的尴尬处境,在信息安全技术进步的同时,信息安全问题却越来越严重,人们逐渐深刻地认识到,信息安全不只是个技术问题,而更多地是商业、管理和法律的问题。实现信息安全不仅仅需要采用技术措施,还需要更多地借助于技术以外的其它手段,如规范安全标准和进行信息安全管理,这一观点被越来越多的人们所接受。单纯的技术不能提供信息全面的安全保护,仅靠安全产品并不能完全解决信息的安全问题已逐渐成为共识。
在全社会普遍关注信息安全的情况下,各个企业或机构又都面临遵循保密标准与安全法规的要求,越来越多的经理人和董事会或领导层也逐渐认识到自己在信息安全管理中所必须担负的责任和义务。同时,有关信息安全标准、法律和法规的数量正在迅速增加,许多机构都面临遵守各种安全标准和法规的要求。随着越来越多的标准、法律和法规的出台,统一安全标准的需求自然成为一个很现实的问
题。
★信息安全管理国际标准的发展过程
1992年,世界经济合作与发展组织(oecd)发表了《信息系统安全指南》,旨在帮助成员和非成员的政府和企业组织增强信息系统的风险意识,提供一般性的安全知识框架。美国、oecd的其他23个成员,以及十几个非oecd成员都批准了这一指南。
该指南旨在提高信息系统风险意识和安全措施,提供一个一般性的框架以辅助针对信息系统安全的有效的度量方法、实践和程序的制定和实施,鼓励关心信息系统安全的公共和私有部门间的合作。促进人们对信息系统的信心,促进人们应用和使用信息系统,方便国家间和国际间信息系统的开发、使用和安全防护。这个框架包括法律、行动准则、技术评估、管理和用户实践,及公众教育/宣传活动。该指南的最终目的是作为政府、公众和私有部门的信息安全管理的基准,相关机构能通过此基准来衡量本身在信息安全管理方面的进展。
1998年,国际会计师联合会发表了一个有关《信息安全管理》的文件,认为信息系统安全的目标有三个:可用性,即确保信息系统在需要的时候可用;保密性,即对数据信息的访问控制设计完备的策略;完整性,即保证数据信息不受未经授权的修改。
1993年1月,英国标准协会(british standards institution,简称bsi)成立了信息安全的行业工作小组。1993年9月,信息安全管理体系实施要则出版。1995年2月,英国标准协会制定的信息安全管理体系标准bs7799-1出版。1998年2月,bs7799-2出版。bs7799对信息安全的控制范围、安全准则、安全管理等要素做出了规范性的表述。2002年9月:bs7799-2:2002出版。
目前,在信息安全管理体系方面,ISO27001(原BS7799标准)已经成为世界上应用最广泛与典型的信息安全管理标准。
该标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,并且适用于大、中、小组织。
1998年英国公布标准的第二部分BS 7799-2《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,是一个组织的全面或部分信息安全管理体系评估的基础,可以作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于 1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。
2000年12月,BS7799-1:1999《信息安全管理实施细则》通过了ISO的认可,正式成为国际标准―― ISO/IEC17799-1:2000《信息技术-信息安全管理实施细则》。2002年9月5日,BS7799-2:2002草案经过广泛的讨论之后,终于发布成为正式标准――ISO27001,同时BS7799-2:1999被废止。2006年5月,BS7799-3:2006《信息安全风险管理指南》出版。
针对ISO27001标准的受认可的认证,是对组织信息安全管理体系(ISMS)符合BS7799-2 要求的一种认证。这是一种通过权威的第三方审核之后提供的保证:受认证的组织实施了信息安全管理体系,并且符合BS7799-2 标准的要求。通过认证的组织,将会被注册登记,并且与认证委员会、DTI 以及ISMS IUG的国际网络相联系。
目前,已有20多个国家引用BS 7799-2作为国标,BS 7799(ISO/IEC17799)也是卖出拷贝最多的管理标准,其在欧洲的证书发放量已经超过ISO9001。并有41 个国家和地区开展了此项业务,我国的台湾和香港地区也已经采用并推广了BS7799标准。在台湾,BS7799-1:1999 被引用为CNS 17799,而BS7799-2:2002 则被引用为CNS 17800。在中国大陆, BS7799 标准全面解析(ISMG-005)的国标化一直是个热点议题,而相关的ISMS认证工作正在逐步运行。
BS7799标准从正式发布到现在的十年时间里,全球接受并且按照BS7799 最佳实践来实施ISMS 的组织达到了近10 万家,其中很多都是国际上知名的企业,例如富士通、KPMG、Insight、三星电子、东芝、索尼、Symantec 等。根据ISO/IEC 17799(BS 7799)国际使用者协会的最新统计,到2005年4月,全球通过信息安全管理体系BS 7799-2认证的组织已经超过1200家。证书主要集中在日本、英国、印度、台湾。证书的行业分布主要在政府、金融、通信、电子、物流等行业。
★通过ISO27001认证好处
①保护企业的知识产权、商标、竞争优势;②维护企业的声誉、品牌和客户信任;
③减少可能潜在的风险隐患,减少信息系统故障、人员流失带来的经济损失;
④强化员工的信息安全意识,规范组织信息安全行为;
⑤在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度
★ISO27001的主要内容
目前ISO27001主要由3部分组成。分别是:《信息安全管理实施细则》、《信息安全管理体系规范》、《信息安全风险管理指南》。
ISO17799:2005的新架构包括11个控制域、39个控制措施,133个控制点。(其中11个控制域分别是安全策略、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作安全、信息系统获得,开发和维护、访问控制、信息安全事件管理、业务连续性管理、合规性)。作为一套管理标准,ISO27001指导相关人员怎样去应用ISO/IEC 17799,其最终目的,还在于建立适合组织需要的信息安全管理体系。
第二节信息安全策略
一、信息安全策略概述
1、什么是信息安全策略
信息安全策略(Information Security Policy)是一组规则,它们定义了一个组织要实现的安全目标和实现这些安全目标的途径。
计算机安全研究组织SANS关于计算机安全策略的定义是:“为了保护存储在计算机中的信息,安全策略要确定必须做什么,一个好的策略有足够多‘做什么’的定义,以便于执行者确定‘如何做’,并且能够进行度量和评估”。
2、信息安全策略的内容
信息安全策略可以划分为两个部分,问题策略(issue policy)和功能策略( functional policy)。
基本策略描述了一个组织所关心的安全领域和对这些领域内安全问题的基本态度。
功能策略描述如何解决所关心的问题,包括制定具体的硬件和软件配置规格说明、使用策略以及雇员行为策略。
信息安全策略必须有清晰和完全的文档描述,必须有相应的措施保证信息安全策略得到强制执行。在组织内部,必须有行政措施保证即定的信息安全策略被不打折扣地执行,管理层不能允许任何违反组织信息安全策略的行为存在,另一方面,也需要根据业务情况的变化不断地修改和补充信息安全策略。
3、信息安全策略的特性
信息安全策略的内容应该有别于技术方案,信息安全策略只是描述一个组织保证信息安全的途径的指导性文件,它不涉及具体做什么和如何做的问题,只需指出要完成的目标。信息安全策略是原则性的和不涉及具体细节,对于整个组织提供全局性指导,为具体的安全措施和规定提供一个全局性框架。在信息安全策略中不规定使用什么具体技术,也不描述技术配置参数。
信息安全策略的另外一个特性就是可以被审核,即能够对组织内各个部门信息安全策略的遵守程度给出评价
三、主要信息安全策略
◆1、口令策略
所有系统都需要口令,以拥有易于实现的第一级别的访问安全性。为确保网络安全运行,保护所拥有的权益不受侵害,可以制定如下管理策略:
(1)网络服务器口令的管理:
服务器的口令,由部门负责人和系统管理员商议确定,必须两人同时在场设定。
服务器的口令需部门负责人在场时,由系统管理员记录封存。
口令要定期更换(视网络具体情况),更换后系统管理员要销毁原记录,将新口令记录封存。
如发现口令有泄密迹象,系统管理员要立刻报告部门负责人,有关部门负责人报告安全部门,同时,要尽量保护好现场并记录,须接到上一级主管部门批示后再更换口令。
(2)用户口令的管理:
对于要求设定口令的用户,由用户方指定负责人与系统管理员商定口令,由系统管理员登记并请用户负责人确认(签字或电话通知)之后系统管理员设定口令,并保存用户档案。
在用户由于责任人更换或忘记口令时要求查询口令或要求更换口令的情况下,需向网络服务管理部门提交申请单,由部门负责人或系统管理员核实后,对用户档案做更新记载。
如果网络提供用户自我更新口令的功能,用户应自己定期更换口令,并设专人负责保密和维护工作。
◆2、计算机病毒和恶意代码防治策略
病毒防护策略必须具备下列准则:
(1)拒绝访问能力:来历不明的入侵软件(尤其是通过网络传过来的)不得进入系统。
(2)病毒检测能力:病毒总是有可能进入系统的,系统中应设置检测病毒的机制。除了检测已知类病毒外,能否检测未知病毒是一个重要的指标。
(3)控制病毒传播的能力:没有一种方法能检测出所有的病毒,一旦病毒进入了系统,应不让病毒在系统中到处传播。系统一定要有控制病毒传播的能力。
(4)清除能力:如果病毒突破了系统的防护,即使它的传播受到了控制,也要有相应的措施将它清除掉。对于已知类病毒,可以使用专用杀毒软件;对于未知类病毒,在发现后使用软件工具对它进行分析,尽快编写出消毒软件。当然,如果有后备文件,也可使用它直接覆盖受感染文件,但一定要查清楚病毒的来源。
(5)恢复能力:有可能在清除病毒以前,病毒就破坏了系统中的数据,系统应提供一种高效的方法来恢复这些数据。
(6)替代操作:可能会遇到这种情况,问题发生时,手头没有可用的技术,任务又必须执行下去。系统应该提供一种替代操作方案。在恢复系统时可用替代系统工作,等问题解决以后再换回来。这一准则对于战时的军事系统是必须的。
◆3、安全教育与培训策略
在安全教育策略具体实施过程中应该有一定的层次性:
(1)主管信息安全工作的高级负责人或各级管理人员:重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制定等。
(2)负责信息安全运行管理及维护的技术人员:重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等。
(3)用户:重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。
◆4、可接受使用策略AUP
可接受使用策略(Acceptable Use Policy)是指由官方发布的使用网络或计算机系统的有关事项说明,其中规定了对网上业务活动的某些限制。
如果没有为组织机构中的电脑和网络制定可接受使用策略(AUP),那么企业或组织就是对安全缺口、可能出现的法规罚款和诉讼敞开了大门,这些隐患可能来自员工、用户行为造成的影响,也可能
来自员工、用户对网络不正当的使用。
仅仅告诉员工不要将网络设备用于非工作活动是不够的,还需要建立和发放书面策略,并要求使用者在收到并阅读后签署策略。其关键在于要设计出有效、公平,而且持续稳定的策略。
策略的内容——可接受使用策略中一般包括以下内容:
(1)针对网络用户的个人隐私策略:
应该声明所有保存公司计算机及网络中,或者从公司计算机及网络上发送或者接收到的信息都会接受安全监控。
(2)企业信息策略:
密码与帐户信息共享的策略:禁止用户登录任何不属于自己的帐户,禁止用户委托他人使用自己的信任状进行登录,禁止在登录以后允许他人使用系统。
离开工位时需要关闭工作站的安全策略;针对电子邮件附件的策略;禁止用户取消计算机和网络上的安全性能与机制的策略;禁止非法安装软件;禁止非法在可移动介质上复制公司信息,或者向网络外部发送企业信息。等等。
(3)关于加密的使用策略:
关于在新闻组和讨论区发表意见的策略,需要免责声明来表示发送者的意见为个人行为,不代表公司行为。
关于个人所有的膝上电脑、手持电脑、智能电话接入公司网络的策略。禁止将任何未经授权的调制解调器、无线接入点以及其他设备接入公司网络。
明确规定不正当的行为,如色情文字,侵犯版权、非法的文件共享;发送骚扰或恐吓信息;发送垃圾邮件;参与网络钓鱼或者其他一些欺诈性行为;在网络内部或外部侵入他人系统;发送恶意代码;未经允许访问网络数据;拦截发送给他人的数据(使用sniffers或者其他工具);使用欺骗技术来伪装电子邮件地址或者其他网络行为。
四、信息安全策略的制定、执行和维护
1、制定信息安全策略
(1)制定信息安全策略的原则:
先进的网络安全技术是网络安全的根本保证;严格的安全管理是确保信息安全策略落实的基础;严格的法律、法规是网络安全保障的坚强后盾
1)确定信息安全策略的范围;2)风险评估/分析或者审计;3)信息安全策略的审查、批准和实施
2、信息安全策略的执行
当安全策略编写和批准发布之后,应当建立保障手段确保安全策略被有效遵守和执行,责任声明和惩罚制度是最重要的保障手段,它应该明确阐述违反安全策略的行为将要承担什么样的责任,接受哪些责任追究。
无论信息安全策略考虑得有多好,制定得有多详尽,但是如果人们不知道这些策略,仍然毫无用处。一个信息安全策略如果是由最高管理者颁布的,则是一个好的开始。除此之外,还有一些好的手段:
1)印刷日历,强调每个月不同的策略,将它们张贴在办公室中。
2)利用幽默和简单的语言表述信息安全策略,分发给每个员工。
3)设立一些几十分钟的内部培训课程。
4)进行信息安全策略知识竞赛。
5)将信息安全策略和标准发布在内部系统的网站上。
6)向员工发送宣传信息安全策略的邮件。
7)建立内部安全热线,回答雇员关于信息安全策略的问题。
3、信息安全策略的维护
信息安全策略由人制定,人对于信息和网络系统的了解和认识是在不断深化的,而且一个企业、组织的业务在不断发展,信息技术在发生日新月异的变化,因此,没有完美无缺的信息安全策略,策略文档不能够一成不变,必须接受定期的审查和修订,以保证安全策略与整体信息安全目标相一致。
信息安全策略审查周期通常为6个月或者1年,或者在企业、组织业务模式以及支撑业务实现的信息技术发生重大变化的时候进行。审查过程中最重要的内容是从风险评估或者日志审计分析中所获得的信息,其他有用的信息是从管理层得到的业务信息和业务过程信息,以及来自系统管理员和网络管理员的信息反馈。
信息安全管理范例
1、中国人民银行信息安全管理规定
2、中国移动网络与信息安全总纲
3、全国国土资源信息网络系统安全管理规定
4、税务系统网络与信息安全管理岗位及其职责
5、公安机关信息安全等级保护检查工作规范
信息安全保密管理制度.docx
信息安全保密管理制度 第一章总则 第一条信息安全保密工作是公司运营与发展的基础,是保障客户利益的基础,为给信息安全工作提供清晰的指导方向,加强安全管理工作,保障各类系统的安全运行,特制定本管理制度。 第二条本制度适用于分、支公司的信息安全管理。 第二章计算机机房安全管理 第三条计算机机房的建设应符合相应的国家标准。 第四条为杜绝火灾隐患,任何人不许在机房内吸烟。严禁在机房内使用火炉、电暖器等发热电器。机房值班人员应了解机房灭火装置的性能、特点,熟练使用机房配备的灭火器材。机房消防系统白天置手动,下班后置自动状态。一旦发生火灾应及时报警并采取应急措施。 第五条为防止水患,应对上下水道、暖气设施定期检查,及时发现并排除隐患。 第六条机房无人值班时,必须做到人走门锁;机房值班人员应对进入机房的人员进行登记,未经各级领导同意批准的人员不得擅自进入机房。 第七条为杜绝啮齿动物等对机房的破坏,机房内应采取必要的防范措施,任何人不许在机房内吃东西,不得将食品带入机房。 第八条系统管理员必须与业务系统的操作员分离,系统管
理员不得操作业务系统。应用系统运行人员必须与应用系统开发人员分离,运行人员不得修改应用系统源代码。 第三章计算机网络安全保密管理 第九条采用入侵检测、访问控制、密钥管理、安全控制等手段,保证网络的安全。 第十条对涉及到安全性的网络操作事件进行记录,以进行安全追查等事后分析,并建立和维护“安全日志”,其内容包括: 1、记录所有访问控制定义的变更情况。 2、记录网络设备或设施的启动、关闭和重新启动情况。 3、记录所有对资源的物理毁坏和威胁事件。 4、在安全措施不完善的情况下,严禁公司业务网与互联网联接。 第十一条不得随意改变例如IP地址、主机名等一切系统信息。 第四章应用软件安全保密管理 第十二条各级运行管理部门必须建立科学的、严格的软件运行管理制度。 第十三条建立软件复制及领用登记簿,建立健全相应的监督管理制度,防止软件的非法复制、流失及越权使用,保证计算机信息系统的安全; 第十四条定期更换系统和用户密码,前台(各应用部门)用户要进行动态管理,并定期更换密码。
信息安全管理简要概述
第六章信息安全管理 第一节信息安全管理概述 一、信息安全管理的内容 1、什么信息安全管理? 通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源,以期有效达到组织信息安全目标的活动。 2、信息安全管理的主要活动 制定信息安全目标和寻找实现目标的途径; 建设信息安全组织机构,设置岗位、配置人员并分配职责; 实施信息安全风险评估和管理;制定并实施信息安全策略; 为实现信息安全目标提供资源并实施管理; 信息安全的教育与培训;信息安全事故管理;信息安全的持续改进。 3、信息安全管理的基本任务 (1)组织机构建设(2)风险评估(3)信息安全策略的制定和实施 (4)信息安全工程项目管理(5)资源管理 ◆(1)组织机构建设 ★组织应建立专门信息安全组织机构,负责: ①确定信息安全要求和目标;②制定实现信息安全目标的时间表和预算 ③建立各级信息安全组织机构和设置相应岗位④分配相应职责和建立奖惩制度 ⑤提出信息安全年度预算,并监督预算的执行⑥组织实施信息安全风险评估并监督检查 ⑦组织制定和实施信息安全策略,并对其有效性和效果进行监督检查 ⑧组织实施信息安全工程项目⑨信息安全事件的调查和处理 ⑩组织实施信息安全教育培训⑾组织信息安全审核和持续改进工作 ★组织应设立信息安全总负责人岗位,负责: ①向组织最高管理者负责并报告工作②执行信息安全组织机构的决定 ③提出信息安全年度工作计划④总协调、联络 ◆(2)风险评估 ★信息系统的安全风险 信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。 ★信息安全风险评估 是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程 它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。 ★信息系统安全风险评估的总体目标是: 服务于国家信息化发展,促进信息安全保障体系的建设,提高信息系统的安全保护能力。 ★信息系统安全风险评估的目的是: 认清信息安全环境、信息安全状况;有助于达成共识,明确责任;采取或完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性。 ★信息安全风险评估的基本要素 使命:一个单位通过信息化实现的工作任务。 依赖度:一个单位的使命对信息系统和信息的依靠程度。 资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。 价值:资产的重要程度和敏感程度。 威胁:一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画:威胁的主体(威胁源)、
信息安全风险管理(考题)
CCAA信息安全风险管理(继续教育考试试题) 1、下列关于“风险管理过程”描述最准确的是(C )。 A. 风险管理过程由风险评估、风险处置、以及监测与评审等子过程构成; B.风险管理过程由建立环境、风险评估、风险处置、以及监测与评审等子过程构成; C.风险管理过程由沟通与咨询、建立环境、风险评估、风险处置、以及监测与评审等子过程构成; D.风险管理过程是一个完整的过程,独立与组织的其他过程。 2以下关于信息安全目的描述错误的是(D )。 A.保护信息 B.以争取不出事 C.让信息拥有者没有出事的感觉 D.消除导致出事的所不确定性 3、对风险术语的理解不准确的是(C )。 A.风险是遭受损害或损失的可能性 B.风险是对目标产生影响的某种事件发生的机会 C.风险可以用后果和可能性来衡量 D.风险是由偏离期望的结果或事件的可能性引起的 4、以下关于风险管理说法错误的是(A )。 A.风险管理是指如何在一个肯定有风险的环境里把风险消除的管理过程 B.风险管理包括了风险的量度、评估和应变策略 C.理想的风险管理,正是希望能够花最少的资源去尽可能化解最大的危机 D.理想的风险管理,是一连串排好优先次序的过程,使当中的可以引致最大损失及最大可能发生的事情优先处理、而相对风险较低的事情则压后处理。 5、下列哪项不在风险评估之列(D ) A.风险识别 B.风险分析 C.风险评价 D.风险处置 6、对风险管理与组织其它活动的关系,以下陈述正确的是(B )。 A.风险管理与组织的其它活动可以分离 B.风险管理构成组织所有过程整体所必需的一部分 D.相对于组织的其它活动,风险管理是附加的一项活动 7、对于“利益相关方”的概念,以下陈述错误的是(D )。 A.对于一项决策活动,可以影响它的个人或组织 B. 对于一项决策活动,可以被它影响的个人或组织 C. 对于一项决策活动,可以感知被它影响的个人或组织 D.决策者自己不属于利益相关方
公司信息安全管理制度(总4页)
公司信息安全管理制度(总4 页) -CAL-FENGHAI.-(YICAI)-Company One1 -CAL-本页仅作为文档封面,使用请直接删除
一、信息安全指导方针 保障信息安全,创造用户价值,切实推行安全管理,积极预防风险,完善控制措施,信息安全,人人有责,不断提高顾客满意度。 二、计算机设备管理制度 1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2、非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。 3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。 三、操作员安全管理制度 (一)操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置; (二)系统管理操作代码的设置与管理 1、系统管理操作代码必须经过经营管理者授权取得; 2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护; 3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权;
4、系统管理员不得使用他人操作代码进行业务操作; 5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; (三)一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。 四、密码与权限管理制度 1、密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串; 2、密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。 3、服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。
信息安全保密控制措施
信息安全保密控制措施 保障信息安全,切实推行安全管理,积极预防风险,完善控制措施。本办法适用于公司所有在职员工。 二、定义信息化设备:通指公司配发给每一位员工的,用于从事信息化工作的硬件设备,以及支撑公司正常运作的网络和服务器设备等,主要包括:台式计算机、笔记本电脑、服务器、网络交换机、防火墙、路由器以及各类软件应用平台和软件开发环境等。信息化主管部门:由公司委托对公司所有信息化系统、安全、人力实施管理的部门。 三、信息化设备管理 3.1严禁将公司配发给员工用于办公的计算机转借给非公司员工使用,严禁将公司配发的笔记本电脑带回家使用,严禁利用公司信息化设备资源为第三方从事兼职工作。 3.2公司所有硬件服务器统一放臵在机房内,由公司指定的信息主管部门承担管理职责,由专人负责服务器杀毒、升级、备份。 3.3非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,必须经过部门负责人批准,并登记备案。
3.4严格遵守计算机设备使用及安全操作规程和正确的使 用方法。任何人不允许私自处理或找非本单位技术人员对 信息化设备进行维修及操作,不得擅自拆卸、更换或破坏 信息化设备及其部件。 3.5计算机的使用部门和个人要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放臵易燃易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 3.6原则上公司所有终端电脑、服务器都必须设定开机登录密码和屏幕保护密码,对于交换机、防火墙、路由器等网 络设备也必须设臵管理密码。 3.7公司所有终端电脑、服务器都必须安装正版杀病毒软件,系统管理员必须对服务器进行定期杀毒、病毒库升级、补 丁修复。 四、系统管理员安全管理 4.1公司所有服务器,由公司指定的信息化主管部门实施统 一、集中管理。 4.2系统管理员管理权限必须经过公司管理层授权取得。
企业信息安全管理条例
信息安全管理条例第一章信息安全概述 1.1、公司信息安全管理体系 信息是一个组织的血液,它的存在方式各异。可以是打印,手写,也可以是电子,演示和口述的。当今商业竞争日趋激烈,来源于不同渠道的威胁,威胁到信息的安全性。这些威胁可能来自内部,外部,意外的,还可能是恶意的。随着信息存储、发送新技术的广泛使用,信息安全面临的威胁也越来越严重了。 信息安全不是有一个终端防火墙,或者找一个24小时提供信息安全服务的公司就可以达到的,它需要全面的综合管理。信息安全管理体系的引入,可以协调各个方面的信息管理,使信息管理更为有效。信息安全管理体系是系统地对组织敏感信息进行管理,涉及到人,程序和信息科技系统。 改善信息安全水平的主要手段有: 1)安全方针:为信息安全提供管理指导和支持; 2)安全组织:在公司内管理信息安全; 3)资产分类与管理:对公司的信息资产采取适当的保护措施; 4)人员安全:减少人为错误、偷窃、欺诈或滥用信息及处理设施的风险; 5)实体和环境安全:防止对商业场所及信息未授权的访问、损坏及干扰;
6)通讯与运作管理:确保信息处理设施正确和安全运行; 7)访问控制:妥善管理对信息的访问权限; 8)系统的获得、开发和维护:确保将安全纳入信息系统的整个生命周期; 9)安全事件管理:确保安全事件发生后有正确的处理流程与报告方式; 10)商业活动连续性管理:防止商业活动的中断,并保护关键的业务过程免受重大故 障或灾害的影响; 11)符合法律:避免违反任何刑法和民法、法律法规或者合同义务以及任何安全要求。 1.2、信息安全建设的原则 1)领导重视,全员参与; 2)信息安全不仅仅是IT部门的工作,它需要公司全体员工的共同参与; 3)技术不是绝对的; 4)信息安全管理遵循“七分管理,三分技术”的管理原则; 5)信息安全事件符合“二、八”原则; 6)20%的安全事件来自外部网络攻击,80%的安全事件发生在公司内部; 7)管理原则:管理为主,技术为辅,内外兼防,发现漏洞,消除隐患,确保安全。
ISO27001-2013信息安全管理体系要求.
目录 前言 (3 0 引言 (4 0.1 总则 (4 0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5 2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5 4.1 了解组织及其景况 (5 4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6 5.3 组织的角色,职责和权限 (7 6. 计划 (7 6.1 应对风险和机遇的行为 (7
6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11 8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12 9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13 10.1 不符合和纠正措施 (13 10.2 持续改进 (14 附录A(规范参考控制目标和控制措施 (15
参考文献 (28 前言 0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性
信息安全管理学习资料
一、信息安全管理 1、什么是信息安全管理,为什么需要信息安全管理? 国际标准化组织对信息安全的定义是:“在技术上和管理上维数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。当今的信息系统日益复杂,其中必然存在系统设计、实现、内部控制等方面的弱点。如果不采取适当的措施应对系统运行环境中的安全威胁,信息资产就可能会遭受巨大的损失甚至威胁到国家安全。 2、系统列举常用的信息安全技术? 密码技术、访问控制和鉴权;物理安全技术;网络安全技术;容灾与数据备份。 3、信息安全管理的主要内容有哪些? 信息安全管理从信息系统的安全需求出发,结合组织的信息系统建设情况,引入适当的技术控制措施和管理体系,形成了综合的信息安全管理架构。 4、什么是信息安全保障体系,它包含哪些内容? 5、信息安全法规对信息安全管理工作意义如何? 它能为信息安全提供制度保障。信息安全法律法规的保障作用至少包含以下三方面: 1.为人们从事在信息安全方面从事各种活动提供规范性指导; 2.能够预防信息安全事件的发生; 3.保障信息安全活动参与各方的合法权益,为人们追求合法权益提供了依据和手段。 二、信息安全风险评估 1、什么是信息安全风险评估?它由哪些基本步骤组成? 信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。风险评估可分为四个阶段,第一阶段为风险评估准备;第二阶段为风险识别,第三阶段为风险评价,第四阶段为风险处理。 2、信息资产可以分为哪几类?请分别举出一两个例子说明。 可以分为数据、软件、硬件、文档、人员、服务。例如:软件有系统软件、应用软件、源程序、数据库等。服务有办公服务、网络服务、信息服务等。 3、威胁源有哪些?其常见表现形式分别是什么?
企业信息安全保密管理办法
企业信息安全保密管理办法 1.目的作用 企业内部的“信息流”与企业的“人流”、“物流”、“资金流”,均为支持企业生存与发展的最基本条件。可见信息与人、财、物都是企业的财富,但信息又是一种无形的资产,客观上使人们利用过程中带来安全管理上的困难。为了保护公司的利益不受侵害,需要加强对信息的保密管理,使公司所拥有的信息在经营活动中充分利用,为公司带来最大的效益,特制定本制度。 2.管理职责 由于企业的信息贯穿在企业经营活动的全过程和各个环节,所以信息的保密管理,除了领导重视而且需全员参与,各个职能部门人员都要严格遵守公司信息保密制度,公司督察部具体负责对各部门执行情况的检查和考核。 3.公司文件资料的形成过程保密规定 拟稿过程 拟稿是文件、资料保密工作的开始,对有保密要求的文件、资料,在拟稿过程应按以下规定办理: 初稿形成后,要根据文稿内容确定密级和保密期限,在编文号时应具体标明。 草稿纸及废纸不得乱丢,如无保留价值应及时销毁。 文件、资料形成前的讨论稿、征求意见稿、审议稿等,必须同定稿一样对待,按保密原则和要求管理。 印制过程 秘密文件、资料,应由公司机要打字员打印,并应注意以下几点:要严格按照主管领导审定的份数印制,不得擅自多印多留。 要严格控制印制工程中的接触人员。 打印过程形成的底稿、清样、废页要妥善处理,即使监销。 复制过程 复制过程是按照规定的阅读范围扩大文件、资料发行数量,要求如下:复制秘密文件、资料要建立严格的审批、登记制度。 复制件与正本文件、资料同等密级对待和管理。 严禁复制国家各种秘密文稿和国家领导人的内部讲话。
绝密文件、资料、未经原发文机关批准不得自行复制。 4.公司文件资料传递、阅办过程保密规定 收发过程 收进文件时要核对收件单位或收件人,检查信件封口是否被开启。 收文启封后,要清点份数,按不同类别和密级,分别进行编号、登记、加盖收文章。 发文时要按照文件、资料的类别和文号及顺序号登记清楚去向,并填写好发文通知单,封面要编号并加盖密级章。 收发文件、资料都要建立登记制度和严格实行签收手续。 递送过程 企业内部建有文件、资料交换站的,可通过交换站进行,一律直送直取。 递送外地文件、资料,要通过机要交通或派专人递送。 凡携带秘密文件、资料外出,一般要有两人以上同行,必须装在可靠的文件包或箱内,做到文件不离人。 递送的秘密文件、资料,一律要包装密封,并标明密级。 阅办过程 呈送领导人批示的文件、资料、应进行登记。领导人批示后,要及时退还或由经管文件部门当日收回。 领导人之间不得横向传批文件、不得把文件直接交承办单位(人)。凡需有关部门(人)承办的文件、资料,一律由文件经管部门办理。 绝密文件、资料,一般不传阅,应在特别设立的阅文室内阅读。 秘密文件、资料,不得长时间在个人手中保留,更不能带回家或公共场所。 要控制文件、资料阅读范围,无关人员不能看文件、资料。 5.公司文件资料归档、保管过程中的保密规定 归档过程 秘密文件、资料在归档时,要在卷宗的扉页标明原定密级,并以文件资料中最高密级为准。 不宜于保留不属于企业留存的“三密”文件、资料,要及时清理上交或登记销毁,防止失散。 有密级的档案,要按保密文件、资料管理办法进行管理。 保密过程
信息安全管理重点概要
1国家宏观信息安全管理方面,主要有以下几方面问题: (1)法律法规问题。健全的信息安全法律法规体系是确保国家信息安全的基础,是信息安全的第一道防线. (2)管理问题。(包括三个层次:组织建设、制度建设和人员意识) (3)国家信息基础设施建设问题。目前,中国信息基础设施几乎完全是建立在外国的核心信息技术之上的,导致我国在网络时代没有制网权.2005年度经济人物之首:中国芯创立者邓中翰.十五期间,国家863计划和科技攻关的重要项目:信息安全与电子政务,金融信息化两个信息安全研究项目. 2微观信息安全管理方面存在的主要问题为: (1)缺乏信息安全意识与明确的信息安全方针。 (2)重视安全技术,轻视安全管理。信息安全大约70%以上的问题是由管理原因造成的. (3)安全管理缺乏系统管理的思想。 3信息安全的基本概念(重点CIA) 信息安全(Information security)是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。 C:信息保密性是保障信息仅仅为那些被授权使用的人获取,它因信息被允许访问对象的多少而不同. I:信息完整性是指为保护信息及其处理方法的准确性和完整性,一是指信息在利用,传输,储存等过程中不被篡改,丢失,缺损等,另外是指信息处理方法的正确性. A:信息可用性是指信息及相关信息资产在授权人需要时可立即获得.系统硬件,软件安全,可读性保障等 4信息安全的重要性:a.信息安全是国家安全的需要b.信息安全是组织持续发展的需要 c.信息安全是保护个人隐私与财产的需要 5如何确定组织信息安全的要求:a.法律法规与合同要求b.风险评估的结果(保护程度与控制 方式)c.组织的原则、目标与要求 6信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动,关于信息安全风险的指导和控制活动通常包括制定信息安全方针、风险评估、控制目标与方式选择、风险控制、安全保证等。信息安全管理实际上是风险管理的过程,管理的基础是风险的识别与评估。 7 图1-1信息安全管理PDCA持续改进模式:.doc 系统的信息安全管理原则: (1)制订信息安全方针原则:制定信息安全方针为信息安全管理提供导向和支持(2)风险评估原则:控制目标与控制方式的选择建立在风险评估的基础之上 (3)费用与风险平衡原则:将风险降至组织可接受的水平,费用太高不接受 (4)预防为主原则:信息安全控制应实行预防为主,做到防患于未然 (5)商务持续性原则:即信息安全问题一旦发生,我们应能从故障与灾难中恢复商务运作,不至于发生瘫痪,同时应尽力减少故障与灾难对关键商务过程的影响(6)动态管理原则:即对风险实施动态管理 (7)全员参与的原则: (8)PDCA原则:遵循管理的一般循环模式--Plan(策划)---Do(执行)---Check(检查)---Action(措施)的持续改进模式。PDCA模式,如图
公司IT信息安全管理制度4.doc
公司IT信息安全管理制度4 **IT信息安全管理制度 第一条总则通过加强公司计算机系统、办公网络、服务器系统的管理。保证网络系统安全运行,保证公司机密文件的安全,保障服务器、数据库的安全运行。加强计算机办公人员的安全意识和团队合作精神,把各部门相关工作做好。 第二条范围 1、计算机网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2、软件包括:服务器操作系统、数据库及应用软件、有关专业的网络应用软件等。 3、客户机的网络系统配置包括客户机在网络上的名称,IP 地址分配,用户登陆名称、用户密码、及Internet的配置等。 4、系统软件是指:操作系统(如WINDOWS XP、WINDOWS 2003等)软件。 5、平台软件是指:防伪防窜货系统、办公用软件(如OFFICE 2003)等平台软件。 6、专业软件是指:设计工作中使用的绘图软件(如Photoshop 等)。 第三条职责
1、信息网络部门为网络安全运行的管理部门,负责公司计算机网络系统、计算机系统、数据库系统的日常维护和管理。 2、负责系统软件的调研、采购、安装、升级、保管工作。 3、网络管理人员负责计算机网络系统、办公自动化系统、平台系统的安全运行;服务器安全运行和数据备份;Internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理协助各部门进行数据备份和数据归档。 4、网络管理人员执行公司保密制度,严守公司商业机密。 5、员工执行计算机安全管理制度,遵守公司保密制度。 6、系统管理员的密码必须由网络管理部门相关人员掌握。 第三条管理办法 I、公司电脑使用管理制度 1、从事计算机网络信息活动时,必须遵守《计算机信息网络国际联网安全保护管理办法》的规定,应遵守国家法律、法规,加强信息安全教育。 2、电脑由公司统一配置并定位,任何部门和个人不得允许私自挪用调换、外借和移动电脑。 3、电脑硬件及其配件添置应列出清单报行政部,在征得公司领导同意后,由网络信息管理员负责进行添置。 4、电脑操作应按规定的程序进行。
信息网络安全与保密管理制度.doc
信息网络安全与保密管理制度 为了确保**局信息网络的安全运行,防止泄密和不合理使用,规范全局系统信息化及计算机网络安全管理,促进信息化建设,提高工作效率,确保信息化网络、计算机设备安全、有效运行,特制定本制度。 一、组织机构及职责 成立信息安全和保密管理工作领导小组,负责局内信息安全和保密管理工作。组长由局长担任,副组长由副局长、纪检组长、总**师及分局局长担任。成员由各相关处室人员组成。 领导小组下设信息安全和保密办公室,设在局办公室,由**同志任主任,**任副主任。**为信息安全和保密办公室成员,负责信息安全和保密工作日常运作与联络。 二、人员管理 (一)重要岗位信息安全和保密责任 1.对重要岗位指定专人负责接入网络的安全管理,并对上网信息进行保密检查,切实做好保密防范工作。 2.重要岗位中的涉密信息不得在与国际网络联网的计算机系统中存储,处理和传输,严格做到“涉密不上网、上网不涉密”。 3.重要岗位工作人员要加强网络监控,若发现计算机或网络遭到大规模的攻击,要及时向局领导汇报,并依据有关规定处理。如发现资料泄露的情况,在采取应急措施的同时,应及时将情况
上报信息安全和保密办公室和信息安全和保密管理工作领导小组。 4.重要岗位的重要资料要做好备份,以防止资料遗失、损毁。 5重要岗位工作人员要遵守局信息储存、清除和备份的制度,定期开展信息安全检查,及时更新系统漏洞补丁,升级杀毒软件。 6.信息安全和保密办公室要加强重要岗位的信息安全和保密管理情况的监督,定期进行检查,提高泄密隐患发现能力和泄密事件处置能力,共同做好信息安全和保密工作。 (二)人员离岗离职时信息安全管理规定 机关工作人员离岗离职,有关处室应即时取消其计算机涉密信息系统访问授权,收回计算机、移动存储设备等相关物品。 三、信息安全、保密管理 (一)计算机及软件备案管理制度 1.购买计算机及相关设备由局信息中心统一组织购买,并由信息安全和保密办公室对计算机及相关设备的有关信息参数登记备案后统一发放。 2.信息安全和保密办公室要建立完整的计算机及网络设备技术档案,定期对计算机及软件安装情况进行检查。 3.计算机要安装正版信息安全防护软件,及时升级更新操作系统漏洞补丁与信息安全软件。 4.拒绝使用来历不明的软件和光盘。凡需引入使用的软件,
信息安全保密制度流程
信息安全保密制度流程 Document serial number【KK89K-LLS98YT-SS8CB-SSUT-SST108】
信息安全保密制度 第1条为了加强知识产权保护,防止信息数据丢失和外泄,保持信息系统库正常运行,特制定安全保密制度。 第2条安全保障对象包括办公场所安全,设备安全,软件安全,系统库安全,计算机及通信安全;保密对象包括档案资料,医疗数据资料,信息系统库资料。 第3条信息中心主任、工程师必须严格执行国家的有关规定和院里的有关制度,认真管理档案、医疗数据资料、数据库系统。 第4条信息中心的所有工作人员必须严格遵守院里的规章制度和信息中心的有关规定,认真做好档案、医疗数据资料、数据库系统的管理和维护工作。 第5条未经院领导和信息中心负责人同意,非管理人员不得进入控制机房,不得擅自操作系统服务器、镜像服务器、应用服务器、控制服务器及控制机房的其他设备。 第6条未经院领导和信息中心负责人同意,严禁任何人以任何形式向外提供数据。实行严格的安全准入制度,档案管理、信息系统管理、作业流程管理权限明确。管理者在授权范围内按资料应用程序提供数据。 第7条档案资料安全保密管理,遵循《档案库房管理制度》、《保密守册》、《档案室职责》、《档案资料利用管理规定》、《档案安全消防措施》执行。 第8条医疗数据资料、信息系统库资料,除参照执行第7条相关规定外,还应遵循: 第1款资料建档和资料派发要履行交接手续。 第2款原始数据、中间数据、成果数据等,应按规定作业流程办理。数据提供方要确保数据齐全、正确、安全、可靠;办公文员要对数据进行校验,注意作业流程把关、资料完整性检查、数据杀毒处理;数据处理员要严格按照“基础地理信息系统建库技术规范”要求作业;专检员要严格按照“资料成果专检”规定把关;系统入库员、系统管理员、网络管理员要保证入库、出库数据质量和数据安全保密。
《信息安全管理概述》word版
第一章信息安全管理概述 一、判断题 1.根据ISO 13335标准,信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。 2.信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。 3.只要投资充足,技术措施完备,就能够保证百分之百的信息安全。 4.我国在2006年提出的《2006~2020年国家信息化发展战略》将“建设国家信息安全保障体系”作为9大战略发展方向之一。 5.2003年7月国家信息化领导小组第三次会议发布的27号文件,是指导我国信息安全保障工作和加快推进信息化的纲领性文献。 6.在我国,严重的网络犯罪行为也不需要接受刑法的相关处罚。 7.信息安全等同于网络安全。 8.一个完整的信息安全保障体系,应当包括安全策略(Policy)、保护(Protection)、检测(Detection)、响应(Reaction)、恢复(Restoration)五个主要环节。
9.实现信息安全的途径要借助两方面的控制措施、技术措施和管理措施,从这里就能看出技术和管理并重的基本思想,重技术轻管理,或者重管理轻技术,都是不科学,并且有局限性的错误观点。 二、单选题 1.下列关于信息的说法是错误的。 A.信息是人类社会发展的重要支柱 B.信息本身是无形的 C.信息具有价值,需要保护 D.信息可以以独立形态存在 2.信息安全经历了三个发展阶段,以下不属于这三个发展阶段。 A.通信保密阶段 B.加密机阶段 C.信息安全阶段 D.安全保障阶段 3.信息安全在通信保密阶段对信息安全的关注局限在安全属性。 A.不可否认性 B.可用性 C.保密性 D.完整性 4.信息安全在通信保密阶段中主要应用于领域。 A.军事 B.商业 C.科研
信息安全管理体系建设
佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 编写人员:黄世荣 编写日期:2015年12月7日 项目缩写: 文档版本:V1.0 修改记录: 时间:2015年12月
一、信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展过程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面,伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中小企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经刻不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系协同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重要的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由于新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的范围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,“三分技术,七分管理”的理念已经被广泛接受。结合ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管理能力。 二、ISO27001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下图所示)。首先,各个组织应该根据自身的状况来搭建适合自身业务发展和信息安全需求的ISO27001信息安全管理体系框架,并在正常的业务开展过程中具体
信息安全保密管理制度
信息安全保密管理制度 为保守秘密,防止泄密问题的发生,根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,结合本单位实际,制定本制度。 一、计算机网络信息安全保密管理规定 (1)为防止病毒造成严重后果,对外来光盘、软件要严格管理,坚决不允许外来光盘、软件在公安专网计算机上使用。 (2)接入公安专网的计算机严禁将计算机设定为网络共享,严禁将机内文件设定为网络共享文件。 (3)为防止黑客攻击和网络病毒的侵袭,接入公安专网的计算机一律安装杀毒软件,并要定时对杀毒软件进行升级。 (4)禁止将保密文件存放在网络硬盘上。 (5)禁止将涉密办公计算机擅自联接国际互联网。
(6)保密级别在秘密以下的材料可通过电子信箱传递和报送,严禁保密级别在秘密以上的材料通过警综平台传递和报送。 (7)涉密计算机严禁直接或间接连接国际互联网和其他公共信息网络,必须实行物理隔离。 (8)要坚持“谁上网,谁负责”的原则,各部门要有一名领导负责此项工作,信息上网必须经过所领导严格审查,并经主管领导批准。 (9)国际互联网必须与涉密计算机系统实行物理隔离。 (10)在与国际互联网相连的信息设备上不得存储、处理和传输任何涉密信息。 (11)应加强对上网人员的保密意识教育,提高上网人员保密观念,增强防范意识,自觉执行保密规定。 (12)涉密人员在其它场所上国际互联网时,要提高保密意识,不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播国家秘密信息。使用电子函件进行网上信息交流,应当遵守国家保密规定,不得利用电子函件传递、转发或抄送国家秘密信息。 (13)严禁互联网计算机接入公安专网。
信息安全风险管理制度
信息安全风险管理办法 北京国都信业科技有限公司 2017年10月
前言 本程序所规定的是北京国都信业科技有限公司企业的信息安全风险管理原则,在具体实施过程中,各部门可结合本部门的实际情况,根据本程序的要求制定相应的文件,以便指导本部门的实施操作。 本制度自实施之日起,立即生效。 本制度由北京国都信业科技有限公司企业信息管理部起草。 本制度由北京国都信业科技有限公司企业信息管理部归口管理。
1目的 为规范北京国都信业科技有限公司企业(以下简称“本公司”)信息安全风险管理体系,建立、健全信息安全管理制度,确定信息安全方针和目标,全面覆盖信息安全风险点,对信息安全风险进行有效管理,并持续改进信息安全体系建设。 2范围 本制度适用于本公司信息管理部信息安全风险管理应用及活动。 3术语和定义 无。 4职责 信息管理部作为本公司信息安全管理的主管部门,负责实施信息安全管理体系必要的程序并维持其有效运行,制定信息安全相关策略、制度、规定,对信息管理活动各环节进行安全监督和检查,信息安全培训、宣传,信息安全事件的响应、处理及报告等工作。 信息安全管理人员负责全行信息安全策略的执行和推动。 5管理规定 5.1信息安全管理内容 信息安全管理内容应覆盖信息管理、信息管理相关的所有风险点,包括用户管理、身份验证、身份管理、用户管理、风险评估、信息资产管理、网络安全、病毒防护、敏感数据交换等内容。 5.2信息管理岗位设置 为保证本公司信息安全管理,设置信息管理部岗位分工及职责时,应全面考虑信息管理工作实际需要及责任划分,制定详细的岗位分工及职责说明,对信息
管理人员权限进行分级管理,信息管理关键岗位有设置AB 角。应配备专职安全管理员,关键区域或部位的安全管理员符合机要人员管理要求,对涉密人员签订了保密协议。 5.3信息安全人员管理 5.3.1人员雇佣安全管理 信息管理人员的雇佣符合如下要求: 信息管理人员的专业知识和业务水平达到本公司要求; 详细审核科技人员工作经历,信息管理人员应无不良记录; 针对正式信息管理人员、临时聘用或合同制信息管理人员及顾问,采取 不同的管理措施。 5.3.2人员入职安全管理 在员工工作职责说明书中除了要说明岗位的一般职责和规范以外,还要加入与此岗位相关的信息安全管理规范,具体内容参看各个安全管理规范中的适用范围部分。人员入职必须签订保密协议,在人员的入职培训内容中应该包括信息安全管理规范的相关内容解释和技术培训。 5.3.3人员安全培训 根据工作岗位对从业者的能力需求、从业者本身的实际能力以及从业者所面临信息安全风险,确定培训内容。考虑不同层次的职责、能力、文化程度以及所面临的风险,信息安全主管部门应该根据培训需求组织培训,制定培训计划,培训计划包括:培训项目、主要内容、主要负责人、培训日程安排、培训方式等,培训前要写好培训方案,并通知相关人员,培训后要进行考核。 5.3.4人员安全考核 人事部门对人员进行的定期考核中应该包括安全管理规范的相关内容。 5.3.5人员离职安全管理 本公司人员离职手续中应该包括如下安全相关的内容:
信息安全保密管理制度范本
内部管理制度系列 信息安全保密管理制度(标准、完整、实用、可修改)
编号:FS-QG-45946信息安全保密管理制度 Information security management system 说明:为规范化、制度化和统一化作业行为,使人员管理工作有章可循,提高工作效率和责任感、归属感,特此编写。 第一章总则 第一条信息安全保密工作是公司运营与发展的基础,是保障客户利益的基础,为给信息安全工作提供清晰的指导方向,加强安全管理工作,保障各类系统的安全运行,特制定本管理制度。 第二条本制度适用于分、支公司的信息安全管理。 第二章计算机机房安全管理 第三条计算机机房的建设应符合相应的国家标准。 第四条为杜绝火灾隐患,任何人不许在机房内吸烟。严禁在机房内使用火炉、电暖器等发热电器。机房值班人员应了解机房灭火装置的性能、特点,熟练使用机房配备的灭火器材。机房消防系统白天置手动,下班后置自动状态。一旦发生火灾应及时报警并采取应急措施。
第五条为防止水患,应对上下水道、暖气设施定期检查,及时发现并排除隐患。 第六条机房无人值班时,必须做到人走门锁;机房值班人员应对进入机房的人员进行登记,未经各级领导同意批准的人员不得擅自进入机房。 第七条为杜绝啮齿动物等对机房的破坏,机房内应采取必要的防范措施,任何人不许在机房内吃东西,不得将食品带入机房。 第八条系统管理员必须与业务系统的操作员分离,系统管理员不得操作业务系统。应用系统运行人员必须与应用系统开发人员分离,运行人员不得修改应用系统源代码。 第三章计算机网络安全保密管理 第九条采用入侵检测、访问控制、密钥管理、安全控制等手段,保证网络的安全。 第十条对涉及到安全性的网络操作事件进行记录,以进行安全追查等事后分析,并建立和维护“安全日志”,其内容包括: 1、记录所有访问控制定义的变更情况。
ISO27001信息安全管理手册
信息安全管理手册 版本号:V1.0
目录 01 颁布令 (1) 02 管理者代表授权书 (2) 03 企业概况 (3) 04 信息安全管理方针目标 (3) 05 手册的管理 (6) 信息安全管理手册 (7) 1 范围 (7) 1.1 总则 (7) 1.2 应用 (7) 2 规范性引用文件 (8) 3 术语和定义 (8) 3.1 本公司 (8) 3.2 信息系统 (8) 3.3 计算机病毒 (8) 3.4 信息安全事件 (8) 3.5 相关方 (8) 4 信息安全管理体系 (9) 4.1 概述 (9) 4.2 建立和管理信息安全管理体系 (9) 4.3 文件要求 (15) 5 管理职责 (18) 5.1 管理承诺 (18) 5.2 资源管理 (18) 6 内部信息安全管理体系审核 (19) 6.1 总则 (19) 6.2 内审策划 (19) 6.3 内审实施 (19) 7 管理评审 (21)
7.1 总则 (21) 7.2 评审输入 (21) 7.3 评审输出 (21) 7.4 评审程序 (22) 8 信息安全管理体系改进 (23) 8.1 持续改进 (23) 8.2 纠正措施 (23) 8.3 预防措施 (23)
01 颁布令 为提高我公司的信息安全管理水平,保障公司业务活动的正常进行,防止由于信息安全事件(信息系统的中断、数据的丢失、敏感信息的泄密)导致的公司和客户的损失,我公司开展贯彻GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了《信息安全管理手册》。 《信息安全管理手册》是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、目标,实现信息安全管理体系有效运行、持续改进,体现企业对社会的承诺。 《信息安全管理手册》符合有关信息安全法律、GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况,现正式批准发布,自2015年 12月 23 日起实施。企业全体员工必须遵照执行。 全体员工必须严格按照《信息安全管理手册》的要求,自觉遵循信息安全管理方针,贯彻实施本手册的各项要求,努力实现公司信息安全管理方针和目标。 总经理: 2015年 12 月 23 日