第15章企事业单位信息安全管理

第15章企事业单位信息安全管理第15章企事业单位信息安全管理15.1信息安全管理概述15.2企事业单位信息安全管理模型15.3企事业单位信息安全管理中的关键环节15.4ISO/IEC27000系列标准简介思考题实验15学院网站安全方案设计第15章企事业单位信息安全管理内容导读企事业单位信息安全管理的最终目标是保护其信息资产，保证其业务的安全平稳运行。企业信息安全管理模型遵循管理的一般循环模式，即计划(Plan)、执行(Do)、检查(Check)和行动(Action)的持续改进模式，简称PDCA模式。第15章企事业单位信息安全管理每一次的安全管理活动循环都是在已有的安全管理策略指导下进行的，每次循环都会通过检查环节发现新的问题，然后采取行动予以改进，从而形成了安全管理策略和活动的螺旋式提升。第15章企事业单位信息安全管理信息安全管理策略的制订、信息系统的安全运行管理和信息安全应急管理是企事业单位信息安全管理的关键环节。风险评估是安全策略制订的重要依据，而以“信息安全应急响应预案、加强应急机制建设，建立健全应急体制，依据相关法制”的一案三制为核心内容的应急管理体系建设是做好信息安全应急管理工作的基础。第15章企事业单位信息安全管理建立完善的信息安全管理体系是企事业单位进行科学信息安全管理的客观要求。ISO/IEC27000系列标准中的27001《信息安全管理体系要求》和27002《信息安全管理实用规则》，阐述了一个组织建立信息安全管理体系的标准相关过程和活动，对提高组织的实际安全管理水平具有重要指导意义。第15章企事业单位信息安全管理15.1信息安全管理概述15.1.1信息安全管理的概念国家、组织或个人为了实现信息安全目标，运用一定的手段或技术体系，对涉及信息安全的非技术因素进行系统管理的活动称为信息安全管理。第15章企事业单位信息安全管理该定义揭示了信息安全管理的主体(即国家、组织或个体)、对象(即信息安全的非技术因素)与目的(即实现信息安全目标)，并强调手段或技术体系的运用与系统管理的活动过程。该定义还明确了信息安全管理的对象主要是非技术因素，范围广泛，符合当前的综合治理理论，也提醒人们要用系统的观点来审视信息安全问题。第15章企事业单位信息安全管理信息安全管理具有广义和狭义之分，广义的信息安全管理是指宏观层面上的国家的信息安全管理，狭义的信息安全管理则指微观层面上的组织或个体的信息安全管理。第15章企事业单位信息安全管理15.1.2人们对信息安全管理重要性的认识随着对信息安全问题认识的不断深入，人们越来越认识到，做好信息安全工作不仅要靠信息安全技术，更要靠信息安全管理。通过深化这种思想，信息安全的实践活动可划分为三个阶段来体现。第15章企事业单位信息安全管理第一阶段，技术浪潮。这个阶段主要通过技术手段保障信息的安全。第二阶段，管理浪潮。因为高层管理人员对安全问题的关注，关于信息安全的文件化规定迅速发展起来。第15章企事业单位信息安全管理第三阶段，制度浪潮。人们很自然地关心自己的组织比其他的组织在信息安全活动上是否更成功。信息安全标准化可以解决用户“如何得知在实践中漏掉了哪些方面”，信息安全认证可以解决“怎么向合作伙伴证明组织的信息安全”，培育组织自己的信息安全文化可以消除“组织内部用户是组织的最大敌人”等问题。第15章企事业单位信息安全管理15.1.3信息安全管理的内容构成不同的信息安全管理主体具有不同的信息安全管理目标和任务，因而其信息安全管理的内容构成也不相同。对于国家层面的信息安全管理机构和组织来说，主要致力于信息安全战略、信息安全政策及法律法规、信息安全标准与认证、信息安全治理、信息安全国际合作等方面的规划与实施；第15章企事业单位信息安全管理对于企业、公司和学校这种普通组织机构而言，其信息安全管理的主要任务则是通过信息安全体系规划、信息安全策略制定、信息分级保护、信息安全风险管理、信息安全措施实施与协调、信息安全危机与应急管理、信息安全文化培育等来保障组织业务的连续性；而对于用户而言，则更侧重于个人权力的行使和个人财产和隐私的保护。第15章企事业单位信息安全管理另外，对于普通组织和机构而言，业务性质的不同，其信息安全管理的内容和侧重点也不相同。各行业或部门的信息安全管理均体现出本行业或部门的特点，反映其特殊规律。例如，我们可以根据行业特点把普通组织和机构的信息安全管理划分为电子政务信息安全管理、电子商务信息安全管理、军队信息安全管理、校园网信息安全管理和银行信息安全管理等。第15章企事业单位信息安全管理总之，信息安全管理的内容构成非常广泛和丰富，随着时代的发展和技术的进步，信息安全管理的内容、方法和手段也都在不断地变化和更新。第15章企事业单位信息安全管理下面对信息安全管理领域的一些内容构成作简单介绍。(1)信息安全战略管理。在当前全球化、信息化、网络化的背景下，信息安全在整个国家安全中具有极其重要的战略地位与意义，因此，信息安全战略管理成为当前各国信息安全管理的一项基本内容。第15章企事业单位信息安全管理信息安全战略管理主要通过战略的研究、制定、实施与评估等，对信息安全复杂多变与不确定性的环境预先规划好目标及应对措施；从维护国家安全和保障国家信息化建设健康发展的高度，提出信息安全战略发展的指导思想、战略目标、推进策略、运作机制和实施路线等，以利于统一思想、综合协调、形成合力。进而指导、动员和促进信息安全的全面建设。第15章企事业单位信息安全管理(2)信息安全政策及法律法规。信息安全政策及法律法规是联结信息安全战略目标与信息安全工作成果的“中控环节”，是信息安全保障的具体规则及制度，明确反映了国家及组织高层对特定领域的信息安全意志或理念。这方面的管理主要涉及信息安全政策及法律法规的制定、实施、监控、评价、反馈与完善等。第15章企事业单位信息安全管理(3)信息安全标准与认证。信息安全标准是由国家权威部门制定，相关机构遵守的一套具体规范及依据。管理内容主要包括信息安全技术与管理标准的制定、实施、评估及反馈等。在颁布标准的基础上，权威部门还建立了信息安全测评认证体系，实行“准入”制度，要求对信息安全产品、信息系统安全、信息安全服务资质和信息安全人员资质等实施认证，对符合标准与达到要求者，颁发相应证书。第15章企事业单位信息安全管理(4)信息安全组织结构。信息安全组织结构作为信息安全管理体制和机制层面的问题，是信息安全管理的重要内容之一。该方面的管理主要通过信息安全组织结构的设立、精简、整合或撤销等，以优化结构、理顺关系、明确职责，进而支撑信息安全战略的顺利实施。第15章企事业单位信息安全管理信息安全领导是引领信息安全事业实现持续快速发展的前提。只有通过科学合理、坚强有力的引导，促使信息安全工作人员安心并不遗余力地工作，才能有效保障信息安全战略的顺利实现，进而带动信息安全事业的发展。第15章企事业单位信息安全管理(5)信息安全人力资源开发与管理。人力资源开发与管理是现代信息安全管理的核心。加强信息安全人力资源管理，有利于扭转重技术轻管理、重物质资源轻人力资源的倾向，并有利于消除内部人员管理上的漏洞，解决信息安全人才不足的问题。这方面的具体内容包括：信息安全工作分析与设计，信息安全人力资源规划，信息安全人员招聘，信息安全人员绩效管理，信息安全人员薪酬管理，信息安全人员培训开发，信息安全人员职业发展，信息安全人员使用、调配与离职管理，信息安全团队建设，信息安全人才教育与管理等。第15章企事业单位信息安全管理(6)信息安全等级保护。信息安全等级保护是我国信息安全保障的一项基本制度，主要是指有关方面对信息系统进行安全等级分级，并加以贯彻落实、监控与评估等。第15章企事业单位信息安全管理(7)信息安全治理。信息安全治理就是落实“综合防范”的方针，即综合运用行政、法律、技术等多种手段，强调国家、企业和个人共同的责任，各个部门齐抓共管，用系统工程和体系建设的思路来抓信息安全。它的基本内容或要求是统筹规划、群防群治、多方联动、责任分担、成果共享。第15章企事业单位信息安全管理(8)信息安全策略。信息安全策略一般也称作信息安全方针，是有关信息安全的行为规范。它是整个安全管理体系的起始点和基本原则，是实现信息系统安全目标的根本保证。与宏观层面的信息安全政策相比，信息安全策略更侧重于组织内部微观的信息安全管理，是一个组织所颁布的对组织信息安全的定义和理解，主要内容是界定与管理组织的安全目标、安全范围、安全技术、安全标准和安全责任等。第15章企事业单位信息安全管理(9)信息安全风险管理。目前，风险管理已经是信息安全管理的一个主流范式。它以风险为主线，通过风险战略规划、风险评估、风险控制、风险防范等基本环节，对信息、信息载体、信息环境进行安全管理以达到安全目标。其中，风险评估为关键，但又不否定其他环节的重要性，它们相辅相成，共同构成一个完整的信息安全风险管理体系。信息安全风险管理与信息安全标准关系尤为密切，往往以标准为依据，实施针对性的管理。第15章企事业单位信息安全管理(10)信息安全危机与应急管理。安全问题必定涉及到危机与应急问题，因此危机与应急管理是信息安全管理必然具备的基本内容。这方面主要通过构建信息安全应急响应与处置体系，在预警、应急、响应、处置等方面实现联动，通过事前预警、灾难备份、事中应急协调、事后灾难恢复等，来提高应对信息安全危机或突发事件的处理能力。第15章企事业单位信息安全管理(11)信息安全文化培育。安全文化是以精神、价值观为导向，反映个人和集体的价值观、态度、能力和行为方式的综合产物。安全文化作为组织文化的一个子概念，具有无形管理、全面管理、能动管理的特点。把安全管理放到社会文化背景的大视野中去研究思考，用文化的核心元素，用文化管理的更高境界，创新和提升安全管理的水平，这是“以人为本”的科学发展观对安全生产提出的客观要求。第15章企事业单位信息安全管理通过信息网络安全文化建设，能够实现安全认识的导向功能、安全思想的凝聚功能、安全行为的规范功能。通过加大信息网络安全文化宣传力度，能够使上网人员主动接受正确的安全意识、态度和信念；通过信息网络安全文化知识的传播、教育，能够形成人人需要网络安全的共识，使上网人员从“要我安全”变为“我要安全”；第15章企事业单位信息安全管理通过加强信息网络安全文化建设，将会使上网人员加深对网络安全法律、法规、标准的理解和认识，学习网络安全知识及技能，增强信息素质，从而对上网人员起到重要规范作用或产生自觉的约束功能。第15章企事业单位信息安全管理(12)信息安全国际合作。当前，信息安全问题不只是某个国家的国内安全问题，也不单是凭一个国家、一个企业或一种技术就能解决得了的问题，而是需要通过各国政府、各种国际组织、民间团体、私营企业和个人之间的充分合作，才有可能解决的全球性安全问题。信息安全国际合作的内容包括参加国际性的安全会议、加入国际安全组织、把中国的信息安全技术和理念推向世界等。第15章企事业单位信息安全管理15.2企事业单位信息安全管理模型企事业单位信息安全管理的最终目标是保护其信息资产，保证其业务的安全平稳运行。由于新的风险在不断出现，系统的安全需求也在不断变化，因此，企事业单位的信息安全管理应该是一个动态的不断改进的持续发展过程。第15章企事业单位信息安全管理由美国管理学博士戴明(W.E.Deming)于20世纪50年代初提出的戴明环，即规划(Plan)、执行(Do)、检查(Check)和行动(Action)的持续改进模型(简称PDCA模型)，是进行质量管理的基本方法。逐渐的管理实践表明，PDCA循环管理模式是能使任何一项活动有效进行的一种合乎逻辑的工作程序，是管理学中的一个通用模型。第15章企事业单位信息安全管理上述持续改进PDCA过程模式同样适用于企事业单位的信息安全管理，只不过这里P、D、C、A的具体涵义均应体现信息安全管理特色，如图15-1所示。第15章企事业单位信息安全管理图15-1企事业单位信息安全管理PDCA模型相关方信息安全需求和目标相关方可管理的信息安全建立