《计算机网络与信息安全技术》电子课件CH14信息安全管理.pptx

信息安全管理;基本内容;14.1制定信息安全管理策略;14.1制定信息安全管理策略;14.1制定信息安全管理策略;3）策略主题。通常一个组织可能会考虑开发下列主题的信息安全管理策略：①设备和及其环境的安全。②信息的分级和人员责任。③安全事故的报告与响应。④第三方访问的安全性。⑤外围处理系统的安全。⑥计算机和网络的访问控制和审核。⑦远程工作的安全。⑧加密技术控制。⑨备份、灾难恢复和可持续发展的要求。

4）策略签署。信息安全管理策略是强制性的、惩罚性的，策略的执行需要来自管理层的支持，通常是信息安全主管或总经理签署信息安全管理策略。签署人的管理地位不能太低；否则会有执行的难度，如果遭到某高层主管的抵制常会导致策略失败，高层主管的签署也表明信息安全不单单是信息安全部门的事情，还是和整个组织所有成员都是密切相关的。

5）策略的生效时间和有效期。旧策略的更新和过时策略的废除也是很重要的，应该保持生效的策略中包含新的安全要求。;6）重新评审策略的时机。策略除了常规的评审时机，在下列情况下也需要重新评审：①企业管理体系发生很大变化。②相关的法律法规发生了变化。③企业信息系统或者信息技术发生了大的变化。④企业发生了重大的信息安全事故。

7）与其他相关策略的引用关系。因为多种策略可能相互关联，引用关系可以描述策略的层次结构，而且在策略修改时候也经常涉及其他相关策略的调整，清楚的引用关系可以节省查找的时间。

8）策略解释。由于工作环境、知识背景等原因的不同，可能导致员工在理解策略时出现误解、歧义的情况。因此，应建立一个专门的权威的解释机构或指定专门的解释人员来进行策略的解释。

9）例外情况的处理。策略不可能做到面面俱到，在策略中应提供特殊情况下的安全通道。;14.1制定信息安全管理策略;14.2建立信息安全机构和队伍;14.2建立信息安全机构和队伍;14.2建立信息安全机构和队伍;14.2建立信息安全机构和队伍;14.2建立信息安全机构和队伍;14.2建立信息安全机构和队伍;14.2建立信息安全机构和队伍;14.2建立信息???全机构和队伍;14.2建立信息安全机构和队伍;14.2建立信息安全机构和队伍;15）根据国家和上级保密工作规定，审查系统操作人员对系统信息的使用，审查系统对外发表的信息，防止发生泄密。

16）采取切实可行的措施，防止系统操作人员对系统信息泄露和破坏、篡改数据、防止未经许可越权使用系统资源。

17）建立必要的系统访问批准制度，监督、管理系统外维修人员对系统设备的检修及维护。

18）采取切实可行的措施，防止计算机设备的损坏、改换和盗用。

19）定期做信息系统的漏洞检查，向本组织安全领导小组提供信息安全管理系统的风险分析报告，提出相应的对策和实施计划。

20）负责存取系统和修改系统授权以及系统特权口令。;组织信息安全工作队伍主要包括信息安全员、系统安全员、网络安全员、设备安全员、数据库安全员、数据安全员、防病毒安全员。;14.2建立信息安全机构和队伍;14.2建立信息安全机构和队伍;14.2建立信息安全机构和队伍;14.2建立信息安全机构和队伍;14.2建立信息安全机构和队伍;14.2建立信息安全机构和队伍;14.2建立信息安全机构和队伍;14.2建立信息安全机构和队伍;14.3制定信息安全管理制度;14.3制定信息安全管理制度;14.3制定信息安全管理制度;14.3制定信息安全管理制度;14.4信息安全法律保障;本章小结;9、春去春又回，新桃换旧符。在那桃花盛开的地方，在这醉人芬芳的季节，愿你生活像春天一样阳光，心情像桃花一样美丽，日子像桃子一样甜蜜。10月-2010月-20Monday,October19,2020

10、人的志向通常和他们的能力成正比例。11:33:4311:33:4311:3310/19/202011:33:43AM

11、夫学须志也，才须学也，非学无以广才，非志无以成学。10月-2011:33:4311:33Oct-2019-Oct-20

12、越是无能的人，越喜欢挑剔别人的错儿。11:33:4311:33:4311:33Monday,October19,2020

13、志不立，天下无可成之事。10月-2010月-2011:33:4311:33:43October19,2020

14、Thankyouverymuchfortakingmewithyouonthatsplendidoutin