• / 117
  • 下载费用:40 金币  

信息网络安全管理

关 键 词:
信息网络安全管理 网络安全管理 网络信息安全管理 信息网络安全 信息安全管理
资源描述:
吉林省公安厅网络警察总队 欢迎参加 信息网络 安全管理 吉林省公安厅网络警察总队 全继天 信息网络安全管理 ◆信息安全法律法规与标准介绍 ◆信息网络违法犯罪 ◆信息安全管理简介 ◆信息安全监管 信息网络安全管理 ◆信息安全法律法规与标准介绍 ◆法律法规 ◇中华人民共和国刑法(第285、286、287条)1997.3.14 ◇中华人民共和国人民警察法 1995.2.28 ◇中华人民共和国治安管理处罚法 2005.8.28 ◇全国人民代表大会常务委员会关于维护互联网安全的决定 2000.12.28 ◇中华人民共和国计算机信息系统安全保护条例 1994.2.18 ◇计算机信息网络国际联网安全保护管理办法 1997.12.30 ◇计算机信息系统安全专用产品检测和销售许可证管理办法 1997.6.28 ◇计算机病毒防治管理办法 2000.3.30 ◇金融机构计算机信息系统安全保护工作暂行规定 1998.8.31 ◇互联网电子公告服务管理规定 2000.10.8 ◇计算机信息系统保密管理暂行规定 1998.2.26 ◇信息安全等级保护管理办法 2006.3.1 ◇互联网安全保护技术措施规定 2006.3.1 信息网络安全管理 ◆信息安全法律法规与标准介绍 ◆国家标准 ◇计算机信息系统安全专用产品分类原则 GA163-1997 ◇计算机信息系统防雷保安器 GA173-1998 ◇信息技术设备的无线电干扰极限值和测量方法 GB9254-88 ◇计算站场地安全要求 GB9361-88 ◇计算站场地技术条件 GB2887-89 ◇电子计算机机房设计规范 GB50174-93 ◇电子计算机机房施工及验收规范 SJ/T30003-93 ◇计算机信息安全保护等级划分准则 GB-17859:1999 ◇计算机信息系统安全等级保护通用技术要求 GA/T390-2002 ◇计算机信息系统安全等级保护操作系统技术要求 GA/T388-2002 ◇计算机信息系统安全等级保护数据库管理系统技术要求 GA/T387-2002 ◇计算机信息系统安全等级保护管理要求 GA/T391-2002 ◆国际标准 ◇信息安全管理标准 BS7799 ◇ISO/IEC17799 国际信息安全管理标准 信息网络安全管理 ◆信息安全法律法规与标准介绍 ◆信息系统安全保护《条例》与《办法》 ◇中华人民共和国计算机信息系统安全保护条例 ◇适用范围 《条例》规定不得利用计算机信息系统 从事危害国家利益、集体利益和公民合法利 益的活动,不得危害计算机信息系统的安全 。《条例》适用于任何组织或者个人。中华 人民共和国境内的计算机信息系统的安全保 护适用本条例。 信息网络安全管理 ◆信息安全法律法规与标准介绍 ◆信息系统安全保护《条例》与《办法》 ◇中华人民共和国计算机信息系统安全保护条例 ◇主要内容 .准确标明了安全保护工作的性质 .科学界定了“计算机信息系统”的概念 .系统设置了安全保护的制度 .明确确定了安全监督的职权 .全面规定了违法者的法律责任 .定义了计算机病毒及专用安全产品 信息网络安全管理 ◆信息安全法律法规与标准介绍 ◆信息系统安全保护《条例》与《办法》 ◇计算机信息网络国际联网安全管理办法 ◇适用范围和公安机关职责 .《办法》适用于中华人民共和国境内的计算机信息网 络国际联网安全保护管理。 .《办法》的调整对象是从事国际联网业务的单位和个 人。 .公安机关职责划分:公安部计算机管理监察机构负责 计算机信息网络国际联网的安全保护管理工作。公安 机关计算机管理监察机构应当保护计算机信息网络国 际联网的公共安全,维护从事国际联网业务的单位和 个人的合法权益及公众利益。 信息网络安全管理 ◆信息安全法律法规与标准介绍 ◆信息系统安全保护《条例》与《办法》 ◇计算机信息网络国际联网安全管理办法 ◇安全责任、义务和法律责任 .安全保护职责 .安全监督 .法律责任 信息网络安全管理 ◆信息安全法律法规与标准介绍 ◇互联网安全保护技术措施规定 ▪明确互联网安全保护技术措施定义 互联网安全保护技术措施,是指保障互联网网络安全和信息安全 、防范违法犯罪的技术设施和技术方法 ▪规范了互联网安全保护技术措施使用原则 互联网服务提供者、联网使用单位负责落实互联网安全保护技术 措施,并保障互联网安全保护技术措施功能的正常发挥。 互联网服务提供者、联网使用单位应当建立相应的管理制度。未 经用户同意不得公开、泄露用户注册信息,但法律、法规另有规定的 除外。 互联网服务提供者、联网使用单位应当依法使用互联网安全保护 技术措施,不得利用互联网安全保护技术措施侵犯用户的通信自由和 通信秘密。 ▪明确监管主体和技术标准 公安机关公共信息网络安全监察部门负责对互联网安全保护技术 措施的落实情况依法实施监督管理。 互联网安全保护技术措施应当符合国家标准。没有国家标准的, 应当符合公共安全行业技术标准。 信息网络安全管理 ◆信息安全法律法规与标准介绍 ◇互联网安全保护技术措施规定 ▪互联网服务提供者和联网使用单位应当落实以下互联网安全保 护技术措施: 1、防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项 或者行为的技术措施; 2、重要数据库和系统主要设备的冗灾备份措施; 3、记录并留存用户登录和退出时间、主叫号码、账号、互联网 地址或域名、系统维护日志的技术措施; 4、法律、法规和规章规定应当落实的其他安全保护技术措施。 信息网络安全管理 ◆信息安全法律法规与标准介绍 ◇互联网安全保护技术措施规定 ▪提供互联网接入服务的单位除落实上述四项技术措施外,还应当落实 具有以下功能的安全保护技术措施: (一)记录并留存用户注册信息; (二)使用内部网络地址与互联网网络地址转换方式为用户提供接入 服务的,能够记录并留存用户使用的互联网网络地址和内部网络地址 对应关系; (三)记录、跟踪网络运行状态,监测、记录网络安全事件等安全审 计功能。 信息网络安全管理 ◆信息安全法律法规与标准介绍 ◇互联网安全保护技术措施规定 ▪ 提供互联网信息服务的单位除落实上述四条技术措施外,还应当落 实具有以下功能的安全保护技术措施: (一)在公共信息服务中发现、停止传输违法信息,并保留相关记录 ; (二)提供新闻、出版以及电子公告等服务的,能够记录并留存发布 的信息内容及发布时间; (三)开办门户网站、新闻网站、电子商务网站的,能够防范网站、 网页被篡改,被篡改后能够自动恢复; (四)开办电子公告服务的,具有用户注册信息和发布信息审计功能 ; (五)开办电子邮件和网上短信息服务的,能够防范、清除以群发方 式发送伪造、隐匿信息发送者真实标记的电子邮件或者短信息。 信息网络安全管理 ◆信息安全法律法规与标准介绍 ◇互联网安全保护技术措施规定 ▪ 提供互联网数据中心服务的单位和联网使用单位除落实上述 四项技术措施外,还应当落实具有以下功能的安全保护技术措 施: (一)记录并留存用户注册信息; (二)在公共信息服务中发现、停止传输违法信息,并保留相 关记录; (三)联网使用单位使用内部网络地址与互联网网络地址转换 方式向用户提供接入服务的,能够记录并留存用户使用的互联 网网络地址和内部网络地址对应关系。 信息网络安全管理 ◆信息安全法律法规与标准介绍 ◇互联网安全保护技术措施规定 ▪提供互联网上网服务的单位,除落实上述四项技术措施外,还 应当安装并运行互联网公共上网服务场所安全管理系统。 ▪互联网服务提供者依照规定采取的互联网安全保护技术措施应 当具有符合公共安全行业技术标准的联网接口。 ▪互联网服务提供者和联网使用单位依照本规定落实的记录留存 技术措施,应当具有至少保存六十天记录备份的功能。 信息网络安全管理 ◆信息安全法律法规与标准介绍 ◇互联网安全保护技术措施规定 ▪互联网服务提供者和联网使用单位不得实施下列破坏互联网安 全保护技术措施的行为: (一)擅自停止或者部分停止安全保护技术设施、技术手段运 行; (二)故意破坏安全保护技术设施; (三)擅自删除、篡改安全保护技术设施、技术手段运行程序 和记录; (四)擅自改变安全保护技术措施的用途和范围; (五)其他故意破坏安全保护技术措施或者妨碍其功能正常发 挥的行为。 信息网络安全管理 关于执行《计算机信息网络国际联网安全保护管理办法 》中有关问题的解释 (一)、 关于“安全保护管理制度”问题 《办法》第十条第一项和第二十一条第一项中的 “安全保护管理制度主要包括:(1)信息发布审核 、登记制度;(2)信息监视、保存、清除和备份制 度;(3)病毒检测和网络安全漏洞检测制度;(4) 违法案件报告和协助查处制度;(5)帐号使用登记 和操作权限管理制度;(6)安全管理人员岗位工作 职责;(7)安全教育和培训制度;(8)其他与安全 保护相关的管理制度。 信息网络安全管理 关于执行《计算机信息网络国际联网安全保护管理办法 》中有关问题的解释 (二)、关于“安全保护技术措施”问题 《办法》第十条第二项中的“安全保护技术措施 ”和第二十一条第二项中的“安全保护技术措施”主 要包括:(1)具有保存3个月以上系统网络运行日志 和用户使用日志记录功能,内容包括IP地址分配及使 用情况,交互式信息发布者、主页维护者、邮箱使用 者和拨号用户上网的起止时间和对应IP地址,交互式 栏目的信息等;(2)具有安全审计或预警功能;(3 )开设邮件服务的,具有垃圾邮件清理功能;(4) 开设交互式信息栏目的,具有身份登记和识别确认功 能;(5)计算机病毒防护功能;(6)其他保护信息 和系统网络安全的技术措施。 信息网络安全管理 关于执行《计算机信息网络国际联网安全保护管理办法 》中有关问题的解释 ( 三)、 关于“安全保护管理所需信息、资料及数据 文件”问题 《办法》第八条中的“有关安全保护的信息、资 料及数据文件”和第二十一条第四项中的“安全保护 管理所需信息、资料及数据文件”主要包括:(1) 用户注册登记、使用与变更情况(含用户帐号、IP与 Email地址等);(2)IP地址分配、使用及变更情况 ;(3)网页栏目设置与变更及栏目负责人情况;(4 )网络服务功能设置情况;(5)与安全保护相关的 其他信息。 信息网络安全管理 关于执行《计算机信息网络国际联网安全保护 管理办法》中有关问题的解释 (四)、关于“保留有关原始记录”问题 《办法》第十条第六项中的“有关原始 记录”是指有关信息或行为在网上出现或发 生时,计算机记录、存贮的所有相关数据, 包括时间、内容(如图象、文字、声音等) 、来源(如源IP地址、Email地址等)及系统 网络运行日志、用户使用日志等。 信息网络安全管理 关于执行《计算机信息网络国际联网安全保护 管理办法》中有关问题的解释 (五)、关于“停机整顿”处罚的执行问题 按照《办法》规定作出“停机整顿”的 处罚决定,可采取的执行措施包括:(1)停 止计算机信息系统运行;(2)停止部分计算 机信息系统功能;(3)冻结用户联网帐号; (4)其他有效执行措施。 信息网络安全管理 ◆信息网络违法犯罪 ◆计算机案件 ◇ 治安案件和一般行政案件 违反行政法规所构成的计算机案件被称 为行政案件。例如,《计算机信息系统安全 保护条理》中的规定和制度,涵盖了计算机 信息系统安全保护的过程。凡是违反有关规 定和制度的,均构成违反《计算机信息系统 安全保护条理》的违法行为,要追究行政法 律责任。 信息网络安全管理 ◆信息网络违法犯罪 ◆计算机案件 ◇ 刑事案件 触犯刑律所构成的计算机案件被称为计算机刑事 案件。例如,我国刑法中关于计算机犯罪的规定,对 非法侵入重要计算机信息系统,以及违反《计算机信 息系统安全保护条理》并造成严重后果构成犯罪的, 则追究其刑事责任。 我过刑法关于计算机犯罪的三个专门条款,分别 规定了非法侵入计算机信息系统罪;破坏计算机信息 系统罪;利用计算机实施金融诈骗、盗窃、贪污、挪 用公款、窃取国家秘密或者其他犯罪,并将其一并归 入第六章“妨害社会管理秩序罪”第一节“扰乱公共 秩序罪”。 信息网络安全管理 ◆信息网络违法犯罪 ◆计算机案件 ◇ 刑事案件 刑法有关计算机犯罪的规定,总体上可以分为两 大类:一类是纯粹的计算机犯罪,即刑法第285条、 第286条单列的两种计算机犯罪独立罪名;另一类不 是纯粹的计算机犯罪,而是隐含于其他犯罪罪名的计 算机犯罪形式。例如,刑法第287条规定:“利用计 算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国 家秘密或者其他犯罪的,依照本法有关规定定罪处罚 。”之所以要区分这两种类别,是因为第二类犯罪与 传统犯罪之间并无本质区别,只是在犯罪工具使用上 有所不同而已,因此不需要为其单列罪名,而第一类 犯罪不仅在具体手段和侵犯客体方面与传统犯罪存在 差别,而且有其特殊性,传统犯罪各罪名已无法包括 这些犯罪形式,因此为其单列罪名。 信息网络安全管理 ◆信息网络违法犯罪 ◆计算机犯罪 ◇计算机案件的性质界定 计算机案件包括行政违法案件和刑事违法案件,行政违法行 为要受到行政处罚,刑事违法行为则应受到刑事处罚。在我国 法律责任体系中,两者在内容和性质上有许多不同。因此必须 正确界定案件性质并依法进行制裁。 对于特定的计算机犯罪案件,到底是按照行政案件进行处罚 ,还是按照刑事案件进行处罚,在性质界定方面有以下依据: ◇根据违法行为的情节和所造成的后果进行界定 违法行为的情节或者危害后果轻微的是行政违法,情节较重 或者造成严重后果的是刑事违法,这是现行法律运用最为广泛 的划分标准。例如,我国刑法第286条规定的破坏计算机信息系 统功能、破坏计算机信息系统数据和应用程序、制作和传播破 坏程序,均以后果严重作为构成犯罪的要件。 信息网络安全管理 ◆信息网络违法犯罪 ◆计算机犯罪 ◇计算机案件的性质界定 ◇根据违法行为的类别进行界定 有些违法行为一经实施就是刑事违法行为。例如,非法侵入计算 机信息系统罪,任何人只要未经允许侵入国家事务、国防建设、尖端 科学技术领域的计算机信息系统就构成刑事犯罪,此类行为不仅承担 行政责任,同时应当受到刑事处罚。而另外一些违法行为则只属于行 政违法行为,不属于刑事违法行为。例如,将计算机信息系统接入互 联网的法人和其他组织,未按照规定进行备案,依据《计算机信息网 络国际联网安全保护管理爆发》,由公安机关给予行政处罚,但是该 行为不构成刑事违法行为,不需进行刑事处罚。 ◇根据违法行为所违反的法律规范来界定 行政违法行为所违反的是行政法律规范,应当受到行政法律的制 裁,承担行政责任;刑事违法行为违反的是刑事法律规范,应当受到 刑法制裁,承担刑事法律责任。《计算机信息系统安全保护条例》第 24条明确规定:“违反本条例的规定,构成违反治安管理行为的,依 照《中华人民共和国治安管理处罚条例》的有关规定处罚;构成犯罪 的,依法追究刑事责任。” 信息网络安全管理 ◆信息网络违法犯罪 ◆计算机犯罪 ◆犯罪的概念 《中华人民共和国刑法》第二章第十三条对犯罪作了如下定 义:一切危害国家主权、领土完整和安全、分裂国家、颠覆人 民民主专政和推翻社会主义制度,破坏社会秩序和经济秩序, 侵犯国有财产或劳动群众集体所有的财产,侵犯公民私人所有 的财产,侵犯公民的人身权利、民主权利和其他权利,以及其 他危害社会的行为,依照法律应当受刑罚处罚的,都属于犯罪 ,但是情节显著轻微且危害不大的,不认为是犯罪。 信息网络安全管理 ◆信息网络违法犯罪 ◆计算机犯罪 ◆计算机犯罪的概念 计算机犯罪是指行为人通过计算机操作所实施的危害计算 机信息系统安全以及其他严重危害社会的并应当处以刑罚的行 为。 ◆计算机犯罪分类: 一般可分为两大类:一类是针对计算机信息系统实施的犯 罪,如非法入侵、删除修改重要数据、传播计算机病毒等。 另一类是行为人利用计算机实施危害社会的犯罪,如:盗 窃、诈骗、赌博、传播淫秽色情物品等传统犯罪。 信息网络安全管理 ◆信息网络违法犯罪 ◆计算机犯罪 ◆计算机犯罪的表现形式 1、非法侵入计算机信息系统罪 新刑法第285条对非法侵入计算机信息系统罪作了明确规定 :违反国家规定,侵入国家事物、国防建设、尖端科学技术领 域的计算机信息系统的,处三年以下的有期徒刑或者拘役。 2、破坏计算机信息系统罪 新刑法第286条明确规定:违反国家规定,对计算机信息 系统功能进行删除、修改、增加、干扰,造成计算机信息系统 不能正常运行,后果严重的,处五年以下有期徒刑或者拘役; 后果特别严重的,处五年以上的有期徒刑。 信息网络安全管理 ◆信息网络违法犯罪 ◆计算机犯罪 ◆计算机犯罪的表现形式 3、利用计算机信息系统实施的犯罪 新刑法第287条明确规定利用计算机实施金融诈骗、盗窃、 贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有 关规定定罪处罚。 信息网络安全管理 ◆信息网络违法犯罪 ◆计算机犯罪 ◆互联网犯罪 互联网犯罪是指行为人利用计算机信息网络国际联网实施犯 罪的一种表现形式。随着网络技术的飞速发展,人们对网络的 依赖程度越来越高,互联网在给人们带来福音的同时,网络犯 罪也悄然而至,并且来势迅猛。利用互联网危害国家安全、扰 乱社会管理秩序、侵犯公私财产、侵犯公民人身权利和民主权 利、黄、赌、毒犯罪案件日显突出,给社会带来极大危害。利 用互联网实施犯罪的种类繁多,如网上邪教组织;网上窃取、 泄露国家机密;网上侵犯商业秘密;网上毁损商誉;网上侮辱 、诽谤;网上盗窃、诈骗、洗钱、赌博、贩毒、买卖枪支、传 播淫秽色情物品等。 信息网络安全管理 ◆信息网络违法犯罪 ◆计算机犯罪 ◆互联网犯罪 ◇互联网犯罪特点: 1、范围广,速度快,成本低。 2、犯罪手段隐蔽 ,证据易被销毁。 3、犯罪人员的高智能性和危害的严重性。 4、传统领域犯罪逐步向网络犯罪渗透。 信息网络安全管理 ◆信息网络违法犯罪 ◆计算机犯罪 ◆互联网犯罪 ◇我省网络犯罪状况 自1998年我省破获首起利用计算机信息网络贪污侵占银行存 款案件起,利用计算机信息网络进行违法犯罪活动逐渐呈现, 发展速度十分惊人。1999年全省公安机关立案侦查的计算机违 法犯罪案件仅为10余起;2000年为60余起;2004年达到530余起 ,比2000年上升了8倍。2006年全省公安机关网络警察查处网络 违法犯罪案件达到1900余起。其中,90%以上的计算机违法犯罪 案件牵涉国际互联网 。 信息网络安全管理 ◆信息网络违法犯罪 ◆计算机犯罪 ◆互联网犯罪 ◇我省网络犯罪特点 1、利用互联网危害国家安全的案件持续上升。 2、利用网络制作、复制、传播淫秽色情物品进行赌博的案 件 十分突出。 3、利用计算机网络侵犯公私财物的案件呈多发趋势。 4、危害计算机信息网络安全的案件增幅较大。 5、侵犯公民人身权利和民主权利的案件增多。 信息网络安全管理 ◆信息安全管理简介 ◆信息安全组织管理 ◇信息安全管理组织构架与职能 信息系统安全管理机构是实施系统安全,进行安全管理的必要 保证。通常,信息安全问题是由单位、组织内部的专门机构控制和 管理的,由健全的安全管理机构保障和实施应用系统的安全措施。 信息安全管理机构的组织结构中,包括以下组织部分: ●内部信息安全管理组织包括: 安全审查和决策机构:负责信息安全工作的权威机构,通常形式是 信息安全管理委员会,由高级管理层、各部门管理层的代表组成, 负责制定信息安全目标、原则、方针和策略。 安全主观机构:负责具体的信息安全建设和管理,依据安全策略 ,制定各项安全管理制度,采用必要的安全技术措施。 信息网络安全管理 ◆信息安全管理简介 ◆信息安全组织管理 ◇信息安全管理组织构架与职能 ●内部信息安全管理组织包括: 安全运行维护机构:对相关的安全技术机制和系统,按照安全管理 规范的要求,进行运行维护,保证安全系统稳定可靠,发挥有效保 护作用。 安全审计机构:担负保护系统安全的责任,但工作重点偏向于监视 系统的运行情况,并且对安全管理制度的贯彻执行情况进行监督和 检查。 安全培训机构:负责与信息安全有关的教育和培训工作。 安全人员:信息安全管理是一个复杂的过程,需要多方面的人才, 包括安全、审计、系统分析、软硬件、通信、保安等有关方面的人 员。 信息网络安全管理 ◆信息安全管理简介 ◆信息安全组织管理 ◇信息安全管理组织构架与职能 ●外部信息安全管理组织包括: 国家职能监管机构:包括公安机关、国家保密机 关 等国家规定的信息安全职能监管机构。 外部合作组织:由权威第三方安全组织、信息安 全专业厂商组成,在必要时,为单位、组织提供外 部的技术支持。 专家顾问组:由外聘资深专家和顾问组成,为决 策机构提供必要的建设和决策支持。 信息网络安全管理 ◆信息安全管理简介 ◆信息安全组织管理 ◇信息安全管理和公安机关公共信息网络安全监察部门的配合 公安部是国家授权对信息安全和网络安全进行监控和管 理的职能机构,各单位、组织的信息安全管理工作,应当与 公安机关公共信息网络安全监察部门密切配合,从国家宏观 和组织自身微观两个层次是实现有效的信息安全管理。 符合性(合规性)管理: 是指单位、组织根据自身业务特点和具体情况所制定的信 息安全管理办法和规范,必须符合国家信息安全相关法律、 法规的规定,不得违背。符合性(合规性)管理是信息安全 管理的重要组成部分,在组织自身微观的层次上,体现了信 息安全管理与国家宏观信息安全管理的一致和配合。 信息网络安全管理 ◆信息安全管理简介 ◆信息安全组织管理 ◇信息安全管理和公安机关公共信息网络安全监察部门的配合 ●单位、组织的信息安全管理工作与公安机关公共信息网络安全监察 部门之间的配合主要体现在以下方面: ●单位、组织的信息安全管理,必须遵循信息安全法律、法规对于安 全管理职责、备案、禁止行为、安全管理制度和安全技术机制要求 等方面的内容规定,不得违反;否则,将按照相关法律、法规的规 定,追究法律责任,并给予行政和刑事处罚。 ●法律、法规赋予公安机关公共信息网络安全监察部门对信息安全的 监管职责,各单位、组织必须接受和配合公安机关公共信息网络安 全监察部门的监督和检查。 ●在发生信息安全案件后,单位、组织应当及时向公安机关公共信息 网络安全监察部门报案,并在取证和调查等环节给予密切配合。 信息网络安全管理 ◆信息安全管理简介 ◆信息安全人员管理 ●人员安全管理是信息安全管理中的一个重要方面,人员安全管理应 当考虑以下主要内容: ●安全审查 ●安全保密管理 ●安全教育与培训 ●岗位安全考核 ●离岗人员安全管理 信息网络安全管理 ◆信息安全管理简介 ◆信息安全人员管理 ●安全审查 人的因素在各个安全环节中是最重要的,全面提高人员的技术 水平、道德品质、政治觉悟和安全意识是信息安全的重要保障。事 实证明很多安全事件都是由内部人员所制造的,而高技术、现代化 的网络和信息系统又不可能脱离高素质的技术人员独立运行。因此 。对于关键岗位必须建立严格的人员安全审查制度,把好人员安全 管理的第一关。 根据单位、组织网络和信息系统内部资源的敏感程度和重要程 度不同,对信息资源进行密级划分。信息资源的密级直接决定了接 触和管理该信息资源的岗位对人员安全等级的要求,应该依此要求 建立相应的人员安全审查的标准。人员的安全审查应该从安全意识 、法律意识、安全技能等几方面进行,人员应该具有政治可靠、思 想进步、作风正派、技术合格等基本素质。 信息网络安全管理 ◆信息安全管理简介 ◆信息安全人员管理 ●安全审查 网络和信息系统的关键岗位人选的审查标准如下 : 1、必须是单位、组织的正式员工。 2、必须经过严格的政审、背景和资历调查。 3、必须经过业务能力的综合考核。 4、不得出现在其他关键岗位兼职的情况。 信息网络安全管理 ◆信息安全管理简介 ◆信息安全人员管理 ●安全保密管理 所有进入网络和信息系统工作的人员,必须签订保密协议 ,承诺其对网络和信息系统应尽的安全保密义务,保证在岗 工作期间和离岗后一定时期内,均不违反保密协议,不泄露 系统秘密。 新加入的正式雇员在办理手续的时候,应该签订保密协 议,作为雇佣合同的必要组成部分和附件;现有正式雇员, 如果过去没有签订保密协议,应该及时的补办相应手续;临 时人员和第三方人员在接触网络和信息系统之前,也应该签 署相关的保密协议。 信息网络安全管理 ◆信息安全管理简介 ◆信息安全人员管理 ●安全保密管理 保密协议的内容应当根据单位、组织相关的商业秘密保护办法制定: 1、保密的范围至少应不限于包括网络和信息系统的软硬件配置 参数、相关技术文档、系统敏感数据、信息安全管理制度和规定以 及可能损害单位、组织形象和信誉的事件或案件情况。 2、应该对保密期限进行明确规定,对于重要的岗位,不仅要求 员工在岗期间遵守保密协议,还应该规定在员工离岗之后一定的时 期内,保密协议仍然有效。 3、应该针对违反保密协议的违规情况,指定响应的惩处条款。 4、应该在雇佣合同或者雇佣条款发生变化的时候,对员工保密 协议进行审查。 信息网络安全管理 ◆信息安全管理简介 ◆信息安全人员管理 ●安全教育与培训 一、安全策略 安全教育与培训是人员安全管理的重要内容,通过持续有效的安全教育与培训, 提高相关人员的安全能力和专业技能,此项管理工作应当在相应安全策略的指导下进 行,信息安全教育与培训策略应当包含以下内容: 1、应定期对员工进行信息安全教育与培训,促使员工理解信息安全的重要性以及 网络和信息系统所面临的各种可能的安全风险,以提高员工的信息安全意识,并遵守 各种信息安全管理规定。 2、应当以人员角色及岗位职能为基础,针对不同层次的人员,进行适当的信息安 全教育与培训。信息安全教育与培训的内容应当包括信息安全相关的法律、法规,信 息安全方针与策略,信息安全的操作流程以及使用和管理信息安全技术基础设施的技 能训练。 3、信息安全教育与培训,除了使用于内部员工之外,同样使用于所有接入和使用 网络和信息系统的第三方人员。 4、信息安全教育与培训的内容应该具有针对性,根据业务发展和信息系统的变化 ,及时进行调整、修正和补充,并应当建立考核制度,检验信息安全教育与培训的效 果。 信息网络安全管理 ◆信息安全管理简介 ◆信息安全人员管理 ●安全教育与培训 二、培训内容 根据信息安全教育与培训策略,安全教育与培训共包括三类不 同层次的培训内容,分别是对所有接触和使用网络和信息系统的拥 护进行基本安全教育;对负责信息安全基础设施运行和维护的专业 技术人员进行专业安全培训;对信息安全保障体系的规划者、管理 者和建设实施人员进行高级安全培训。 信息网络安全管理 ◆信息安全管理简介 ◆信息安全人员管理 ●安全教育与培训 二、培训内容 1、基本安全教育 基本安全教育的培训对象是所有接触和使用网络和信息系统 的人员,包括内部人员以及相关的第三方人员。 基本安全教育旨在使培训对象了解信息安全的基本概念,认识 到可能存在的各种安全威胁和安全风险,理解信息安全的方针策略 和管理制度,从而达到提高信息安全意识,掌握基本安全操作技能 ,遵守信息安全管理制度和规定的目的。 信息网络安全管理 ●安全教育与培训 二、培训内容 1、基本安全教育 基本安全教育的内容包括: ●信息安全的含义,信息安全所涵盖的各项主要方面,信息安全的最基本常 识。 ●组织内部哪些重要区域和设备严格限制普通人员进入和使用,违反规定, 会受到什么样的处罚。 ●特别强调业务数据对于组织的重要性,业务数据是组织的核心商业机密, 任何篡改、破坏业务数据的行为必将受到严厉的法律制裁。这部分内容可 以结合既有案例进行讲述。 ●计算机用户安全操作管理规范,使用户了解作为一个普通用户,应该如何 安全地对本地桌面计算机系统进行操作,包括用户名/口令的规定、防病毒 软件的配置和使用、系统补丁和版本升级的维护、计算机配置的管理措施 、访问互联网时要注意的安全事项等。 ●普通用户在应急响应计划中的角色和作用。例如,发现安全事件时,保护 好现场,及时按照规程向应急响应部门报警,并配合取证调查。 信息网络安全管理 ●安全教育与培训 二、培训内容 1、基本安全教育 基本安全教育的内容包括: ● 普通用户在灾难恢复计划中的角色和作用。例如,灾难发生时的 人员自救和紧急疏散规程,灾难发生后,尽快到达备份工作地点, 配合灾难恢复部门的工作,迅速重新开始正常工作,确保业务的连 续性。 ● 典型的安全时间案例介绍,介绍内容包括事件的起因,造成的影 响和后果,相关人员受到的处罚情况,使学员增加对安全事件的直 观认识,提高安全防护的意识,同时起到心里震慑作用,抑制不良 想法和心理。 ● 信息安全管理的监督和检查机构,使学员了解任何的违规行为都 会被发现,会视情节和影响的严重性,受到响应的处理。 信息网络安全管理 ●安全教育与培训 二、培训内容 2、专业安全培训 专业安全培训的对象为负责信息安全基础设施运行和维护 的专业技术人员,包括安全系统管理员、操作系统管理员、 数据库系统管理员、网络管理员、机房管理员、密匙管理员 以及其他相关维护人员。 专业安全培训为负责信息安全基础设施的专业技术人员 提供与其岗位和工作职责相关的专业理论知识、操作技能以 及管理制度的培训,使得培训对象能够具备岗位和职责所要 求的必要理论基础和操作技能,了解并遵守相应的安全管理 规范,保证信息安全基础设施稳定有效的运行。 信息网络安全管理 ●安全教育与培训 二、培训内容 2、专业安全培训 专业安全培训的内容包括: ● 进行职业道德教育。信息安全的职业道德包括约束从业人员的言行 ,指导他们思想的一整套道德规范,涉及到信息安全从业人员的思 想认识、工作态度、业务钻研、待遇得失及其公共道德等方面。 ● 与岗位职能相关的信息安全技术理论培训。例如:防火墙系统管理员 需要接受防火墙技术理论的培训,系统管理员需要接受与系统安全 有关的安全技术理论的培训。 ● 岗位职能与操作技能培训,使得培训对象理解和遵守岗位职能范围 内的信息安全管理内容和流程规范,包括日常维护的操作规范,安 全事件应急响应计划中的角色职责和处理流程,灾难恢复计划中的 角色职责和处理流程等。 信息网络安全管理 ●安全教育与培训 二、培训内容 3、高级安全培训 高级安全培训的对象包括负责信息安全保障体系规划和建 设的专业技术人员、信息安全基础设施的设计和工程实施人 员。 高级安全培训旨在为单位、组织培养信息安全高级管理 和技术人才,胜任各级信息安全管理部门中的关键岗位,实 现信息安全保障体系的自主规划、管理和项目实施。 信息网络安全管理 ●安全教育与培训 二、培训内容 3、高级安全培训 高级安全培训的内容包括: ● 国家和行业与信息安全有关的法律、法规内容,这些法律、法规都是信息安 全保障体系的规划和设计过程所必须遵循的基本规定。 ● 全面的信息安全技术理论和知识,包括物理安全、网络安全、系统安全、应 用安全等各个层次的安全标准和安全机制。 ● 全面的信息安全管理理论,包括信息安全管理的国际标准、安全风险评估理 论与方法、信息安全方针和策略的指定和维护、组织机构和人员安全管理 以及诸如应急响应和灾难恢复之类各项信息安全规范和流程的管理。 ● 信息安全工程理论,包括信息安全基础设施从需求分析、详细设计到开发和 项目实施过程中,与信息安全相关的管理要素。 ● 关键岗位职能与责任,使得培训对象理解与具体岗位相关的职能范围和工作 流程。关键岗位包括各级信息安全管理部门负责人、信息安全管理专员、 应急响应计划专员、灾难恢复计划专员、安全系统项目实施经理等。 信息网络安全管理 ◆信息安全管理简介 ◆信息安全人员管理 ●安全教育与培训 信息安全教育和培训由单位、组织和信息安全管理部门 定期组织进行。培训结束后,必须进行考核,以检验教育和 培训的效果。信息安全管理部门定期组织安全检查,检验信 息安全教育和培训的实际效果以及安全规范的遵守和执行情 况。 信息网络安全管理 ◆信息安全管理简介 ◆信息安全人员管理 ●岗位安全考核 人员安全管理部门要定期对网络和信息系统所有的工作人 员从思想政治和业务表现两方面进行考核。 思想政治方面的考核内容包括是否能够遵守法律、法规; 是否能够执行单位、组织的安全策略、纪律规范和规章制度 ;是否能够遵守职业道德,具有良好的劳动服务态度。 业务表现方面的考核依据人员的具体职责进行,考核内容 包括相关的业务理论水平和实际操作技能,特别是能否严格 按照相关的安全管理规范进行业务操作,是否具有较高的信 息安全意识。 信息网络安全管理 ◆信息安全管理简介 ◆信息安全人员管理 ●离岗人员安全管理 1、应该建立技术人员离岗的安全管理制度,在人员离岗的同时收回 钥匙、移交工作、更换系统口令、撤销帐号,并向离岗人员重新申 明其保密义务。 2、人员正常离岗之前要旅行移交手续,完成密码、设备、技术资料 及相关敏感信息的移交。移交手续包括收回所有的钥匙和证件,归 还使用的计算机设备,退还全部技术手册及相关资料,相关系统必 须更换口令,取消该人员所使用过的所有帐号,向离岗人员重申其 负有的安全保密责任和义务。 3、对不情愿被调走的离岗人员,或者因为不适合安全管理要求而被 调离的人员,必须严格办理调离手续,必要时应在调离决定通知其 本人之前,立即或者提前进行移交手续,不能拖延。 4、对于因工作问题而被解聘的人员,应该严格审查其工作问题,相 关惩处应该严格按照保密协议的规章执行,如有触犯法律、法规的 行为,应依法追究其法律责任。 信息网络安全管理 ◆信息安全管理简介 ◆信息安全制度管理 安全管理制度和安全管理规范是对信息安全方针 和策略的深化和细化,是安全策略在某一个特定问题 或者特定安全系统中的具体体现,安全管理制度必须 符合安全策略,并与之保持一致。只要符合国家信息 安全法律、法规的规定,符合单位、组织的信息安全 策略,各单位、组织即可以根据自身的实际情况和特 点,有针对性地制定相关的信息安全管理制度。信息 安全管理制度应当覆盖信息安全管理的方方面面,构 成一个全面有机的管理体系。 信息网络安全管理 ◆信息安全管理简介 ◆信息安全制度管理 ●信息安全管理制度应包含以下方面内容: 1.安全策略与制度。确定单位、组织拥有明确的信息安全方针以及配套 的策略和制度,以实现对信息安全工作的支持和承诺,保证信息安全 的资金投入。 2.安全风险管理。信息安全建设不是避免风险的过程,而是管理风险的过 程。没有绝对的安全,风险总是存在的。信息安全体系建设的目标就 是要把风险控制在可以接受的范围之内。风险管理同时也是一个动态 持续的过程。 3.人员和组织安全管理。建立组织机构,明确人员岗位职责,提供安全教 育与培训;对第三方人员进行管理、协调信息安全监管部门与其他部 门之间的关系,保证信息安全工作的人力资源要求,避免由于人员和 组织上的错误产生的信息安全风险。 信息网络安全管理 ●信息安全管理制度应包含以下方面内容: 4. 环境和设备安全管理。控制由于物理环境和硬件设施的不当 所产生的风险。管理内容包括物理环境安全、设备安全、介质 安全等。 5. 网络和通信安全管理。控制和保护网络和通信系统,防止其 受到破坏和滥用,避免和减低由于网络和通信系统的问题对业 务系统的损害。 6. 主机和系统安全管理。控制和保护计算机主机及其系统,防 止其受到破坏和滥用,避免和降低由此对业务系统的损害。 7. 应用和业务安全管理。对各类应用和业务系统进行安全管理 ,防止其受到破坏和滥用。 8. 数据安全和加密管理。采用数据加密和完整性保护机制,防 止数据被窃取和篡改,保护业务数据的安全。 9. 项目工程安全管理。保护信息吸引项目工程过程的安全,确 保项目的成果是可靠的安全系统。 信息网络安全管理 ●信息安全管理制度应包含以下方面内容: 10.运行和维护安全管理。保护信息系统在运行期间的安全, 并确保系统维护工作的安全。 11.业务连续性管理。通过设计和执行业务连续性计划,确保 信息系统在任何灾难和攻击下,都能够保证业务的连续 性。 12.合规性(符合性)管理。确保信息安全保障工作符合国家 法律、法规的要求,且信息安全方针、规定和标准得到了 遵循。 信息网络安全管理 ◆信息安全管理简介 ◆信息安
展开阅读全文
  麦档网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:信息网络安全管理
链接地址:https://www.maidoc.com/p-15678728.html

当前资源信息

天马****3

编号: 20180816034010860204

类型: 共享资源

格式: PPT

大小: 1.95MB

上传时间: 2019-11-07

关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

[email protected] 2018-2020 maidoc.com版权所有  文库上传用户QQ群:3303921 

麦档网为“文档C2C模式”,即用户上传的文档所得金币直接给(下载)用户,本站只是中间服务平台,本站所有文档下载所得的金币归上传人(含作者)所有。
备案号:蜀ICP备17040478号-3  
川公网安备:51019002001290号 

本站提供办公文档学习资料考试资料文档下载


收起
展开