《第22讲 信息安全管理策略与法律法规ppt课件.ppt》由会员分享,可在线阅读,更多相关《第22讲 信息安全管理策略与法律法规ppt课件.ppt(35页珍藏版)》请在三一办公上搜索。
1、第22讲 信息安全管理,全国信息安全标准化技术委员会简称(),其编号为(),直属国家标准化管理委员会,下设()个工作组。()下属的信息安全分技术委员会国际标准化组织的英文缩写是()。国际电工委员会的英文缩写是()。,TC260,信安标委,信息技术联合技术委员会,ISO,IEC,7,课前检查,新课引入,?为什么会导致这些事故发生,信息安全管理策略,信息安全管理策略也称信息安全方针,是组织对信息和信息处理设施进行管理、保护和分配的准则和规划,以及使信息系统免遭入侵和破坏而必须采取的措施。它告诉组织成员在日常的工作中什么是必须做的,什么是可以做的,什么是不可以做的;哪里是安全区,哪里是敏感区,就像交
2、通规则之于车辆和行人,信息安全策略是有关信息安全方面的行为规范。,信息安全管理策略,一个成功的安全策略应当遵循:1)综合平衡(综合考虑需求、风险、代价等诸多因素)。2)整体优化(利用系统工程思想,使系统总体性能最优)。3)易于操作和确保可靠。,10,在制定信息安全管理策略时,要严格遵守以下主要原则。1)目的性。策略是为组织完成自己的信息安全使命而制定的,策略应该反映组织的整体利益和可持续发展的要求。2)适用性。策略应该反映组织的真实环境和信息安全的发展水平。3)可行性。策略应该具有切实可行性,其目标应该可以实现,并容易测量和审核。没有可行性的策略不仅浪费时间还会引起政策混乱。4)经济性。策略应
3、该经济合理,过分复杂和草率都是不可取的。5)完整性。能够反映组织的所有业务流程的安全需要。6)一致性。策略的一致性包括下面三个层次:和国家、地方的法律法规保持一致;和组织己有的策略、方针保持一致;整体安全策略保持一致,要反映企业对信息安全的一般看法。7)弹性。策略不仅要满足当前的组织要求,还要满足组织和环境在未来一段时间内发展的要求。,制定策略的原则,11,理论上,一个完整的策略体系应该保障组织信息的机密性、可用性和完整性。信息安全策略应包含下列一些内容:1)适用范围。包括人员范围和时效性,例如“本规定适用于所有员工”,“适用于工作时间和非工作时间”。不仅要消除本该受到约束的员工有认为自己是个
4、例外的想法,也保证策略不至于被误解是针对某个员工的;同时也告诉员工本规定在什么时间发挥效力。2)目标。例如,“为确保企业的经营、技术等机密信息不泄漏,维护企业的经济利益,根据国家有关法律,结合企业实际,特制定本条例。”明确了信息安全保护对公司是有着重要意义的,而且与国家的法律法规是一致的。主题明确的策略可能会有更加确切、详细的目标,如防病毒策略的目标可以是:“为了正确执行对计算机病毒(蠕虫、特洛伊木马、黑客恶意程序)的预防、侦测和清除过程,特制定本策略”。,策略的主要内容,12,3)策略主题。通常一个组织可能会考虑开发下列主题的信息安全管理策略:设备和及其环境的安全。信息的分级和人员责任。安全
5、事故的报告与响应。第三方访问的安全性。外围处理系统的安全。计算机和网络的访问控制和审核。远程工作的安全。加密技术控制。备份、灾难恢复和可持续发展的要求。4)策略签署。信息安全管理策略是强制性的、惩罚性的,策略的执行需要来自管理层的支持,通常是信息安全主管或总经理签署信息安全管理策略。签署人的管理地位不能太低;否则会有执行的难度,如果遭到某高层主管的抵制常会导致策略失败,高层主管的签署也表明信息安全不单单是信息安全部门的事情,还是和整个组织所有成员都是密切相关的。5)策略的生效时间和有效期。旧策略的更新和过时策略的废除也是很重要的,应该保持生效的策略中包含新的安全要求。,策略的主要内容(续),1
6、3,6)重新评审策略的时机。策略除了常规的评审时机,在下列情况下也需要重新评审:企业管理体系发生很大变化。相关的法律法规发生了变化。企业信息系统或者信息技术发生了大的变化。企业发生了重大的信息安全事故。7)与其他相关策略的引用关系。因为多种策略可能相互关联,引用关系可以描述策略的层次结构,而且在策略修改时候也经常涉及其他相关策略的调整,清楚的引用关系可以节省查找的时间。8)策略解释。由于工作环境、知识背景等原因的不同,可能导致员工在理解策略时出现误解、歧义的情况。因此,应建立一个专门的权威的解释机构或指定专门的解释人员来进行策略的解释。9)例外情况的处理。策略不可能做到面面俱到,在策略中应提供
7、特殊情况下的安全通道。,策略的主要内容(续),14,信息安全管理策略案例,15,建立信息安全机构和队伍,信息安全管理机构,一个组织的信息安全对本企业也是非常重要的,因此,对信息的安全管理是不容忽视的问题,必须要引起组织最高领导层的充分重视。信息安全的管理层级一般分三个层次,每一层级都应有明确的责任制。1)决策机构。负责宏观管理。2)管理机构。负责日常协调、管理工作。3)配备各类安全管理、技术人员。负责落实规章制度、技术规范,处理技术方面的问题。凡对信息安全有需求的组织,必须成立相应的安全机构、配备必要的管理人员和技术人员、制定规章制度、配备安全设备、从而保障信息安全管理工作的正常开展。安全组织
8、机构对信息系统的安全管理工作是垂直的,网络延伸到哪里,信息安全管理工作就要管到哪里,下一级信息安全组织机构必须无条件地接受上一级安全组织机构的领导。,16,组织信息安全工作队伍主要包括信息安全员、系统安全员、网络安全员、设备安全员、数据库安全员、数据安全员、防病毒安全员。,信息安全队伍,信息安全工作人员的条件 由于各类信息安全工作人员的工作岗位处于信息系统的核心敏感部位,因此要有比较高的政治素质和业务水平,这些人员应具备以下条件。1)政治可靠,对组织忠诚。2)工作认真负责,有敬业精神。3)处理问题公正严明,不拘私情。4)熟悉业务,具有一定的实践经验。5)从事网络系统操作或管理的工作人员应是具备
9、一定实践经验的网络工程师。,17,信息安全工作人员岗位职责,(1)信息安全员的职责 信息安全员主要负责信息网络系统的信息安全和保密信息的管理。其主要职责是:1)负责涉密信息网信息安全,监督检查涉密信息的报送、接受和传输的安全性。2)负责监督检查信息网对外发布的信息;保证符合安全保密规定。3)负责监督检查各部门的涉密信息的安全保密措施,防止泄密事件的发生。4)负责监督检查信息网对国际互联网上国家禁止的网站的非法访问及有害信息的侵入。5)负责协助有关部门对网络泄密事件进行调查与技术分析。,18,(2)系统安全员的职责 系统安全员主要负责信息网络操作系统及服务器操作系统的安全及管理。其主要职责是:1
10、)负责信息网络操作系统和服务器操作系统的安装、运行和维护、管理,保障系统的安全稳定地运行。2)负责对用户的身份进行验证,防止非法用户进入系统。3)负责用户的口令管理,建立口令管理规程和检验创建账户机制,避免口令泄露。4)负责实时监控系统,发现异常及时采取措施,恢复系统正常状态。5)负责对系统各种硬软件资源的合理分配和科学使用,避免造成系统资源的浪费。,19,(3)网络安全员的职责 网络安全员主要负责信息网络系统的安全保密工作。其主要职责是:1)负责信息网络系统及其网络安全保密系统的运行与维护,发现故障及时排除,保障系统安全可靠地运行。2)负责配置和管理访问控制表,根据安全需求为各用户配置相应的
11、访问权限。3)负责网络审计系统的管理和维护,认真记录、检查和保管审计日志。4)负责检查系统的安全漏洞和隐患,发现安全隐患及时进行修复或提出改进意见。5)负责实时对系统进行非法入侵检测,防止和阻止“黑客”入侵。,20,(4)设备安全员的职责 设备安全员负责对专用计算机安全保密设备(防火墙、加密机、干扰仪等)的管理、使用和维护。其主要职责是:1)负责设备的领用和保管,做好设备的领用、进出库、报废登记。2)负责设备的正确使用和安奎运行,并建立详细的运行日志。3)负责设备的清洁和定期的保养维护,并做好维护记录。4)负责设备的维修,制定设备维修计划,做好设备维修记录。5)负责对安全保密设备密钥的管理与注
12、入。,21,(5)数据库安全员的职责 数据库安全员负责数据库管理系统的安全及维护管理工作。其主要职责是:1)负责数据库管理系统的安装、备份和维护,保证系统安全、正常运行。2)负责定期检查系统运行情况,检测并优化系统性能。3)负责检查数据库系统的用户权限,防止非法用户的侵入和越权访问。4)负责定期检查数据库数据的完整性和可用性,发现系统故障及时排除,做好系统恢复。,22,(6)数据安全员的职责 数据安全员负责信息网络中运行数据的安全。其主要职责是:1)负责信息网络数据的安全,保障信息的保密性、完整性和可用性。2)负责对信息网络数据备份与灾难恢复系统的维护与管理,实时对重要数据进行安全备份。3)负
13、责对信息采集、传输及存储的技术手段和工作环境以及介质管理各环节的监督检查,发现问题和漏洞及时解决。4)负责定期对重要数据存储备份介质的检查,防止数据的丢失或被破坏。,23,(7)防病毒安全员的职责 防病毒安全员负责信息网络系统的计算机病毒的防护工作。其主要职责是:1)负责计算机防病毒软件的购置、保管、发放、升级和安装。2)负责信息网络系统的计算机病毒的防护,在病毒发作日前及时发布公告,并采取必要的预防措施。3)负责定期对信息网络系统进行病毒检测,发现系统被计算机病毒感染,及时组织清除病毒。4)负责计算机病毒防护知识的宣传教育工作。,24,信息安全管理标准ISOIEC l7799,信息安全管理的
14、原则之一就是规范化、系统化,如何在信息安全管理实践中落实这一原则,需要相应的信息安全管理标准。BS7799标准是英国标准协会(BSI)制定的国际上具有代表性的信息安全管理体系标准。该标准包括两个部分:信息安全管理实施细则(BS7799 1:1999)和信息安全管理体系规范(BS7799 2:1999)。其中,BS7799-1标准目前已正式转换成ISO国际标准,即信息安全管理体系实施指南(IS0 17799),并于2000年12月1日颁布。它所阐述的主题是安全策略和优秀的、具有普遍意义的安全操作。标准主要讨论了如下的主题:建立机构的安全策略、机构的安全基础设施、资产分类和控制、人员安全、物理与环
15、境安全、通讯与操作管理、访问控制、系统开发和维护、业务连续性管理、遵循性。,25,信息安全管理标准ISOIEC l7799,采用ISO/IEC l7799标准建立起来的信息安全管理体系(ISMS),是建立在系统、全面、科学的安全风险评估之上,是一个系统化、文件化、程序化、科学化的管理体系。它体现预防控制为主思想,强调遵守国家有关信息安全的法律、法规及其它要求,强调全过程和动态控制,本着成本费用与风险平衡的原则选择安全控制方式,保护组织所拥有的关键信息资产,确保信息的保密性、完整性、可用性,对网络环境下的信息安全管理无疑具有十分重要的意义。,信息安全管理体系标准发展,信息安全管理体系所涉及的领域
16、,湖南移动信息安全管理体系,信息安全法律法规,我国历来重视信息安全法律法规的建设,经过多年的探索和实践,我国已经制定和颁布了涉及信息系统安全、信息内容安全、信息产品安全、网络犯罪、密码管理等方面的多项法律法规,构建了较为完善的信息安全法律框架。从发展过程来看,我国的信息安全法律法规建设是一个与一些关键信息安全技术和事件密切相关的动态发展过程。1994年,国务院颁布了计算机信息系统安全保护条例,在该条例中首次使用了“信息系统安全”的表述,以该条例为起点,中国开始了信息安全领域的立法进程。2002年12月28日,第九届全国人民代表大会常务委员会第十九次会议通过了全国人民代表大会常务委员会关于维护互
17、联网安全的决定,该决定规定禁止利用互联网实施危害互联网安全运行、危害国家安全和社会稳定、危害社会主义市场经济秩序和社会管理秩序、危害个人、法人和其他组织的人身、财产等合法权益,开启了我国在信息安全领域实施法治化的新纪元。,信息安全法律法规,2003年7月22日,国家信息化领导小组第三次会议通过了国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号),简称27号文,意见明确要求加强信息安全法制建设和标准化建设,抓紧研究起草信息安全法,建立和完善信息安全法律法规和制度,明确社会各方面保障信息安全的责任和义务。以此为标志,我国的信息安全立法工作进入了全面发展的阶段。2012年12月
18、28日,全国人民代表大会常务委员会第三十次会议通过了全国人民代表大会常务委员会关于加强网络信息保护的决定,该决定的内容全面涵盖了个人网络电子信息保护、垃圾电子信息治理、网络和手机用户身份管理、网络服务提供商对国家有关主管部门的协助执法等重要制度。其核心内容和立法宗旨是建立公民个人电子信息保护制度,将公民信息权利保护,特别是信息安全的保护,提升到了十分显著的位置,这是我国信息安全立法的重大突破,填补了长久以来我国在个人信息保护方面的立法缺位,反映了我国信息安全立法开始加强对个人信息安全的关注。,信息安全法律法规,我国信息安全法制建设的基本原则要实现我国信息安全立法工作的有序进行,必须首先明确信息
19、安全法制建设的基本原则。法律原则是法律的基础性原理,是立法主体进行立法活动的重要依据,体现着立法的内在精神。信息安全法制建设必须在基本原则的指导下进行,这样才能准确把握信息安全的客观规律,更好地发挥信息安全法律的保障作用。通过保障安全促进发展的原则。积极预防原则。重点保护原则。谁主管、谁负责和协同原则。,信息安全法律法规,其他国家的信息安全立法情况美国的信息安全立法美国规范信息安全的法律经历了一个从预防为主到先发制人、以控制硬件设备到控制网络信息内容的演化过程。总体而言,美国当前有关信息安全立法的发展趋势是要扩大政府部门在网络监管中的权限,明确其职责和任务,以满足应对与日俱增的信息安全风险的需求。俄罗斯的信息安全立法从整体上来看,俄罗斯的信息安全立法将保护范围从只侧重国家机关的信息安全保护逐步扩大到对公民、组织和社会的信息安全保护,在不断发展中寻求着各方利益的平衡。欧盟的信息安全立法欧盟的信息安全法律框架经历了一个逐步完善的过程。欧盟通过一系列的战略突出了数字时代信息安全的重要性,在战略布局下,欧盟通过统一立法、各成员国独立立法、专项立法等多层次组成,既强调了欧盟整体利益,又照顾到了各个成员国的具体实际。,实践,查找并学习我国的信息安全法律法规,
