返回
组织与人员安全管理

组织与人员安全管理

ID:40002364

大小:235.00 KB

页数:35页

时间:2019-07-17

组织与人员安全管理_第1页
组织与人员安全管理_第2页
组织与人员安全管理_第3页
组织与人员安全管理_第4页
组织与人员安全管理_第5页
资源描述:

《组织与人员安全管理》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第6章组织与人员安全管理内容提要◎国家信息安全组织◎企业信息安全组织◎信息安全的角色与职务◎人员安全及其教育、培训和意识提升6.1国家信息安全组织宏观《中华人民共和国计算机信息系统安全保护条例》第四条:“公安部主管全国的计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学角色等重要领域的计算机信息系统的安全”。微观《中华人民共和国计算机信息系统安全保护条例》第十三条:“计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作”。6.1国家信息安全组织6.1.1信息安全组织的基

2、本要求信息安全组织应当由单位安全负责人领导具体工作应当由专门的安全负责人负责安全组织成员类型的多样性安全组织有着双重的组织联系信息安全组织的运行应独立于信息系统的运行,同时是一个综合性的组织。6.1.2信息安全组织的基本标准逐级信息安全防范责任制,各级的职责划分明确明确信息系统使用部门或岗位的安全责任有专职或兼职的安全员有健全的安全管理规章制度在工作人员中普及安全知识定期进行信息系统风险评估,并对信息安全实行等级保护制度在安全各方面采取必要的安全措施对本部门信息系统的安全保护工作有档案记录和应急计划严格执行信息安全事件上报制度对信

3、息系统安全保护工作定期总结评比6.1.3信息安全组织的基本任务在政府主管部门的管理指导下定期或适时进行风险评估,根据本单位的实际情况和需要,确定信息系统的安全等级和管理总体目标,提出相应的对策并监督实施。6.1.4信息安全组织的职能负责与信息安全有关方面的决策与实施根据安全需求建立各自信息系统的安全策略和安全目标建立和健全有关的实施细则与各级国家信息安全主管机关、技术和保卫机构建立日常工作关系参与本单位及下属单位的信息系统的安全管理工作建立和健全系统安全操作规程和制度明确信息安全各岗位人员的职责和权限奖罚并重执行信息安全报告制度6

4、.1.5信息安全组织的规模大型机构大型机构有1000台以上的设备需要安全管理,一般都有专门的职员来支持安全项目。专职安全人员的配置依赖于大量的因素,包括所保护信息的敏感性、行业规则(如金融业和卫生保健业)以及收益率。公司用于人员预算的资源越多,则越有可能保持较大的信息安全人员配置。注:这主要取决于机构的文化意识。如果上层管理者认为信息安全只是在浪费时间和资源,那么信息安全项目将得不到有力的支持,信息安全人员所做的努力会被认为与机构的任务相抵触,不利于机构生产率的提高;相反,如果管理层对信息安全有较高的认识并且态度积极,那么安全项目

5、不管是在经济上还是在其他方面都有可能得到很大的支持。6.1.5信息安全组织的规模一个典型的大型机构平均有1个专职安全管理人员,4个专职的安全系统管理员或技术员和15个兼职人员,这些兼职人员除了其他的工作职责外还有信息安全职责。6.1.5信息安全组织的规模中型机构中型机构拥有100—1000台要求安全管理的机器。这些机构也可能大到足以执行多级安全方法,虽然这种方法是为大型机构提供的,但这些机构也可以使用这种方法,只是专门小组的数量会减少,而每个小组会有更多的功能。当信息安全部门没有能力为某项功能配置人员,并且机构不支持或要求IT或其

6、他部门代为执行该项功能时,中型机构趋向于忽略一些特别功能。在这种情况下,CISO必须增强各小组之间的协作,而且必须有能力执行相关决定。6.1.5信息安全组织的规模中型机构中的全职和兼职员工要明显地少于大型机构,可能只有1个全职安全人员,以及3个兼职信息安全人员。6.1.5信息安全组织的规模小型机构管理少于100个系统的小型机构面临特殊的挑战。小型机构中的信息安全管理常常是一个多面手的责任,他是一个单独的安全管理员,可能会有1—2个助手来协助他管理技术工作。由此,安全管理员常常是处理桌面管理、病毒防护以及本地网络安全问题。小型机构的

7、资源通常有限,所以安全管理员常常会求助于免费软件和黑客软件以降低评估和执行安全的成本。在小型机构中,安全培训与安全意识提升通常实施在一个一对一的基础上,安全管理员直接向需要帮助的用户提出建议。注:小型机构的规模让它们避免了一些前面提到的威胁。6.1.5信息安全组织的规模小型机构有1个全日制安全人员对信息安全负责,或者,更可能是一个全日制IT人员在附带管理或指导信息安全工作。当然他可能会有1—2个助手协助工作。6.2企业信息安全组织建立有效的信息安全组织是企业安全管理的基础。6.2.1企业信息安全组织的构成信息安全决策机构信息安全管

8、理机构信息安全执行机构6.2.1.1信息安全决策机构信息安全决策机构应当由组织的的最高管理层、与信息安全管理有关的部门负责人和管理技术人员组成,其职责是为组织信息安全管理提供向导与支持。任务包括:(1)评审和审批信息安全方针(2)分配信息安全管理职

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。