06组织与人员安全管理

第6章组织与人员安全管理内容提要◎国家信息安全组织◎企业信息安全组织◎信息安全的角色与职务◎人员安全及其教育、培训和意识提升6.1国家信息安全组织宏观《中华人民共和国计算机信息系统安全保护条例》第四条：“公安部主管全国的计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学角色等重要领域的计算机信息系统的安全”。微观《中华人民共和国计算机信息系统安全保护条例》第十三条：“计算机信息系统的使用单位应当建立健全安全管理制度，负责本单位计算机信息系统的安全保护工作”。6.1国家信息安全组织各部委信息安全管理部门各省信息安全管理部门基层信息安全管理部门下属单位下属单位……6.1.1信息安全组织的基本要求信息安全组织应当由单位安全负责人领导具体工作应当由专门的安全负责人负责安全组织成员类型的多样性安全组织有着双重的组织联系信息安全组织的运行应独立于信息系统的运行，同时是一个综合性的组织。6.1.2信息安全组织的基本标准逐级信息安全防范责任制，各级的职责划分明确明确信息系统使用部门或岗位的安全责任有专职或兼职的安全员有健全的安全管理规章制度在工作人员中普及安全知识定期进行信息系统风险评估，并对信息安全实行等级保护制度在安全各方面采取必要的安全措施对本部门信息系统的安全保护工作有档案记录和应急计划严格执行信息安全事件上报制度对信息系统安全保护工作定期总结评比6.1.3信息安全组织的基本任务在政府主管部门的管理指导下定期或适时进行风险评估，根据本单位的实际情况和需要，确定信息系统的安全等级和管理总体目标，提出相应的对策并监督实施。6.1.4信息安全组织的职能负责与信息安全有关方面的决策与实施根据安全需求建立各自信息系统的安全策略和安全目标建立和健全有关的实施细则与各级国家信息安全主管机关、技术和保卫机构建立日常工作关系参与本单位及下属单位的信息系统的安全管理工作建立和健全系统安全操作规程和制度明确信息安全各岗位人员的职责和权限奖罚并重执行信息安全报告制度6.1.5信息安全组织的规模大型机构大型机构有1000台以上的设备需要安全管理，一般都有专门的职员来支持安全项目。专职安全人员的配置依赖于大量的因素，包括所保护信息的敏感性、行业规则（如金融业和卫生保健业）以及收益率。公司用于人员预算的资源越多，则越有可能保持较大的信息安全人员配置。注：这主要取决于机构的文化意识。如果上层管理者认为信息安全只是在浪费时间和资源，那么信息安全项目将得不到有力的支持，信息安全人员所做的努力会被认为与机构的任务相抵触，不利于机构生产率的提高；相反，如果管理层对信息安全有较高的认识并且态度积极，那么安全项目不管是在经济上还是在其他方面都有可能得到很大的支持。6.1.5信息安全组织的规模一个典型的大型机构平均有1个专职安全管理人员，4个专职的安全系统管理员或技术员和15个兼职人员，这些兼职人员除了其他的工作职责外还有信息安全职责。6.1.5信息安全组织的规模中型机构中型机构拥有100—1000台要求安全管理的机器。这些机构也可能大到足以执行多级安全方法，虽然这种方法是为大型机构提供的，但这些机构也可以使用这种方法，只是专门小组的数量会减少，而每个小组会有更多的功能。当信息安全部门没有能力为某项功能配置人员，并且机构不支持或要求IT或其他部门代为执行该项功能时，中型机构趋向于忽略一些特别功能。在这种情况下，CISO必须增强各小组之间的协作，而且必须有能力执行相关决定。6.1.5信息安全组织的规模中型机构中的全职和兼职员工要明显地少于大型机构，可能只有1个全职安全人员，以及3个兼职信息安全人员。6.1.5信息安全组织的规模小型机构管理少于100个系统的小型机构面临特殊的挑战。小型机构中的信息安全管理常常是一个多面手的责任，他是一个单独的安全管理员，可能会有1—2个助手来协助他管理技术工作。由此，安全管理员常常是处理桌面管理、病毒防护以及本地网络安全问题。小型机构的资源通常有限，所以安全管理员常常会求助于免费软件和黑客软件以降低评估和执行安全的成本。在小型机构中，安全培训与安全意识提升通常实施在一个一对一的基础上，安全管理员直接向需要帮助的用户提出建议。注：小型机构的规模让它们避免了一些前面提到的威胁。6.1.5信息安全组织的规模小型机构有1个全日制安全人员对信息安全负责，或者，更可能是一个全日制IT人员在附带管理或指导信息安全工作。当然他可能会有1—2个助手协助工作。6.2企业信息安全组织建立有效的信息安全组织是企业安全管理的基础。6.2.1企业信息安全组织的构成信息安全决策机构信息安全管理机构信息安全执行机构6.2.1.1信息安全决策机构信息安全决策机构应当由组织的的最高管理层、与信息安全管理有关的部门负责人和管理技术人员组成，其职责是为组织信息安全管理提供向导与支持。任务包括：（1）评审和审批信息安全方针（2）分配信息安全管理职责（3）确认风险评估的结果（4）对与信息安全管理有关的重大更改事项（5）评审和检测信息安全事故（6）审批与信息安全管理有关的其他重要事项6.2.1.2信息安全管理机构信息安全管理机构主要通过对人力资源的管理，完成对事件、任务和事务的管理。任务包括：（1）对安全事件进行评估，确定应采取的安全响应级别（2）确定对安全事件的响应策略及技术手段（3）管理信息安全相关的日常工作（4）管理信息安全相关的人力资源（5）管理信息安全组织内部和外部的相关信息（6）管理信息安全组织的资产6.2.1.3信息安全执行机构信息安全执行机构是信息安全事件的响应机构。主要人员组成：（1）信息安全技术人员（2）信息系统集成技术人员（3）计算机网络与通信技术人员（4）信息安全法律专家（5）信息系统（硬件、软件）技术人员6.2.2企业信息安全组织职能（1）建立内部信息安全协调机制（2）明确职责（3）建立信息处理设施授权程序（4）建立渠道，获取信息安全建议（5）加强与政府机构的协作（6）对组织信息安全进行独立评审（7）识别与外部组织访问相关的风险（8）对外部组织访问控制（9）外包控制6.2.2企业信息安全组织职能识别与外部组织访问相关的风险访问类型包括：物理访问：例如进入办公室、计算机机房和档案室等；逻辑访问：例如访问组织的数据库和信息系统等；网络连接：例如永久性连接和远程访问等。（6）对组织信息安全进行独立评审外部组织访问的风险的识别应考虑以下问题：外部组织需要访问的信息处理设施；所涉及信息的价值和敏感性，及对业务运行的危险程度处理组织信息所涉及的外部组织的人员6.2.2企业信息安全组织职能对外部组织访问控制对外部组织访问应实行访问授权管理对于经过授权进行物理访问的外部组织，应佩带易于识别的标志对于长期访问的外部组织，应通过签订信息安全协议6.2.2企业信息安全组织职能外包控制在双方的合同中明确规定信息系统、网络和（或）桌面系统环境的风险管理、安全控制措施与实施程序，并按照合同的要求进行实施。6.3信息安全角色和职务信息安全职务可分为3种类型：制定、建立、管理。制定者提供策略、方针和标准，还提供咨询和风险评估，以及开发产品、制定技术架构。建立者是真正的技术人员，负责建立和制定安全解决方案管理者操作和管理安全工具、实施安全监控以及不断地改进解决方案。也就是说，由具备一定资历的人员作为制定者，由擅长技术的人员作为建立者，而一部分人员作为操作主管。6.3信息安全角色和职务一个典型的机构有着许多具有信息安全责任心的人，大多数工作可分为以下几种类别：首席信息安全官（CISO）安全主管安全管理员和分析员安全技术人员安全工作人员安全顾问安全官员和调查员客户服务人员6.3信息安全角色和职务6.3信息安全角色和职务首席信息安全官（CISO）CISO主要负责机构信息安全项目的评估、管理和实施。该职务也被称做安全主管、安全管理者等。CISO一般直接向CIO汇报。安全主管安全主管负责信息安全项目的日常运作，完成CISO确定的目标，他们还要解决技术人员、管理员、分析员或他们管理的员工所提出的一系列问题。注：管理技术本身就需要首先对技术理解，但并不一定需要掌握技术的配置、操作以及故障的排除。6.3信息安全角色和职务安全管理员和分析员安全管理员负有安全技术人员和安全主管的双重责任，同时具备技术知识和管理技能，负责管理安全技术的日常运作，同时还要协助制定和管理培训计划、策略等。安全分析员是专门的安全管理员。在传统的IT部门中，安全管理员协助系统管理员或数据库管理员工作，而安全分析员则协助系统分析员工作。安全技术人员安全技术人员是具备一定技术资格的人员，他们负责配置防火墙和IDS、运行安全软件、诊断问题所在、解决问题以及配合系统和网络管理员以确保安全技术的合理应用。安全技术人员要专业化，即要擅长某种安全技术（防火墙、IDS、服务器、路由器或软件），甚至对某种特定的软件或硬件也很熟悉，要在这类技术上达到高度专业化是很困难的。6.3信息安全角色和职务安全工作人员“安全工作人员”是一个广泛的概念，指那些完成日常工作的员工。他们负责观察入侵控制台、监控电子邮件账户以及执行其他日常工作，还包括支持信息安全部门工作的重要人员。安全顾问信息安全顾问是信息安全某些领域的专家（灾难恢复、业务连续性计划、安全架构、策略制定或战略计划）。当机构决定将安全项目的一个或多个部分外包时，就会聘请安全顾问。安全官员和调查员客户服务人员客户服务技术人员在信息安全中的工作要求高度的专业化，他们有必要接受专业化的训练。他们必须随时准备识别和诊断信息安全中存在的传统技术问题和威胁，这样可以节省事故响应的宝贵时间。6.4人员安全及其教育、培训和意识提升信息资产所面临的最大威胁来自人类自身的错误，教育、培训和意识提升有两大好处：改善员工的行为使员工对他们的工作更具责任感教育、培训和意识提升有3种途径：根据需要纵向拓展知识，以设计和执行本机构的安全项目让计算机用户学习技能和知识，以便能更安全地使用IT系统完成自身的工作提升系统资源的保护意识6.4人员安全及其教育、培训和意识提升信息安全教育的对象主要包括：领导和管理人员信息系统的工程技术人员，包括系统研发和维护人员一般用户计算机及设备生产厂商法律工作者其他有关人员6.4.1安全教育信息安全领域内存在许多分支学科，每一学科都可能有不同的知识需求。例如：关注管理的学生想在政策、计划、个人管理和别的方面得到培养；侧重在技术方面的学生可能需要在诸如Windows网络安全、防火墙、IDS、远程访问和身份鉴定等特定领域方面的课程。认证信息系统安全专家（CISSP）系统安全从业者认证（SSCP）全球信息保证证书（GIAC）6.4.2安全培训安全培训涉及到给机构成员提供详细信息和管理设备，使他们能够安全地履行职责。有两种用户化的培训方法：基于功能背景的培训一般用户管理类用户技术用户基于技能水平的培训初学者中等水平高水平6.4.3安全意识提升安全意识提升项目使用户在日常工作中首先想到的就是保护信息的安全，在控制和处理信息的员工之中慢慢地灌输责任感和目标意识，并引导员工更关心他们的工作环境。当开展一个新的意识提升项目时，有一些重要的观念要记住：人既能制造问题又能解决问题尽量少使用技术术语，讲用户理解的语言至少确定一个关键学习目标，清楚地说明它，提供充分的细节和报道来加强学习尽量使事情简单，不要喋喋不休地向员工进行宣传不要用海量信息淹没用户帮助用户明白他们在信息安全中的任务和破坏安全将如何影响他们的工作6.4.3安全意识提升利用内部通讯介质来传送消息使意识提升项目正规化，策划和记录全部活动尽快提供好的信息