信息安全管理与灾难恢复概述
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
§备份技术是将整个系统的数据或状态保存下来,
但它并不保证系统的实时可用性。而集群和容灾 技术的目的就是为了保证系统的可用性。也就是 说,当意外发生时,系统所提供的服务和功能不 会因此而间断。在有一定规模的系统中,备份技 术、集群技术和容灾技术互相不可替代,并且稳 定和谐地配合工作,共同保证着系统的正常运转 。
9.1.1 信息安全管理策略
– 7) 弹性。策略不仅要满足当前的要求,还要满足组织 和环境在未来一段时间内发展的要求。
9.1.1 信息安全管理策略
§(2) 策略的主要内容 §理论上,一个完整的信息安全策略体系应该保障
组织信息的机密性、可用性和完整性。虽然每个 组织的性质、规模和内、外部环境各不相同,但 一个正式的信息安全策略应包含下列一些内容:
9.1.1 信息安全管理策略
– 5) 明确责任。维护信息与网络系统的安全不仅仅是安 全管理员的事,要调动大家的积极性,明确每个人在 安全保护工程中的责任和义务。为了确保事故处理任 务的落实,必须建立监督和管理机制,保证各项条款 的严格执行。
– 6) 策略签署。信息安全管理策略是强制性的、带惩罚 性的,策略的执行需要来自管理层的支持,因此,通 常是信息安全主管或总经理签署信息安全管理策略。
– 1) 适用范围。包括人员范围和时效性,例如“本规定 适用于所有员工”,“适用于工作时间和非工作时间” 。
9.1.1 信息安全管理策略
– 2) 保护目标。安全策略中要包含信息系统中要保护的 所有资产 (包括硬件、软件和数据) 以及每件资产的重 要性和其要达到的安全程度。例如,“为确保企业的 经营、技术等机密信息不被泄漏,维护企业的经济利 益,根据国家有关法律,结合企业实际,特制定本条 例。”
9.1.1 信息安全管理策略
– 9) 与其他相关策略的引用关系。因为多种策略可能相 互关联,引用关系可以描述策略的层次结构,而且在 策略修改时候也经常涉及其他相关策略的调整。
– 10) 策略解释。由于工作环境、知识背景等的不同, 可能导致员工在理解策略时出现误解、歧义的情况。 因此,应建立一个专门和权威的解释机构或指定专门 的解释人员来进行策略的解释。
第9章 信息安全管理与灾难恢复
§9.1 信息安全管理与工程 §9.2 信息灾难恢复规划
9.1 信息安全管理与工程
§信息安全管理策略告诉组织成员在日常的工作中
什么ຫໍສະໝຸດ Baidu必须做的,什么是可以做的,什么是不可 以做的;哪里是安全区,哪里是敏感区;等等。
9.1.1 信息安全管理策略
§作为有关信息安全方面的行为规范,一个成功的
9.1.1 信息安全管理策略
– 4) 实施方法。明确对网络信息系统中各类资产进行保 护所采用的具体方法,如对于实体安全可以用隔离、 防辐射、防自然灾害的措施实现;对于数据信息可以 采用授权访问技术来实现;对于网络传输可以采用安 全隧道技术来实现,等等。另外,还要明确所采用的 具体方法,如使用什么样的算法和产品等。
9.1.1 信息安全管理策略
– 3) 策略主题。例如:设备及其环境的安全;信息的分 级和人员责任;安全事故的报告与响应;第三方访问 的安全性;外围处理系统的安全;计算机和网络的访 问控制和审核;远程工作的安全;加密技术控制;备 份、灾难恢复和可持续发展的要求等。
– 也可以划分为如账号管理策略、口令管理策略、防病 毒策略、E-mail使用策略,因特网访问控制策略等。 每一种主题都可以借鉴相关的标准和条例。
9.1.1 信息安全管理策略
§(1) 制订策略的原则 §在制定信息安全管理策略时,应严格遵守以下原
则:
– 1) 目的性。策略是为组织完成自己的信息安全使命而 制定的,应该反映组织整体利益和可持续发展的要求 。
– 2) 适用性。策略应该反映组织的真实环境和当前信息 安全的发展水平。
9.1.1 信息安全管理策略
– 3) 可行性。策略的目标应该可以实现,并容易测量和 审核。
– 4) 经济性。策略应该经济合理,过分复杂和草率都不 可取。
– 5) 完整性。策略能够反映组织的所有业务流程的安全 需要。
– 6) 一致性。策略应该和国家、地方的法律法规保持一 致;和组织已有的策略、方针保持一致;以及和整体 安全策略保持一致。
9.1.2 信息安全机构和队伍
§国家信息化领导小组为了强化对信息化工作的领
信息安全管理与灾难恢 复概述
2020年4月25日星期六
第9章 信息安全管理与灾难恢复
§信息安全管理策略是为发布、管理和保护敏感的
信息资源 (信息和信息处理设施) 而制定的一组法 律、法规和措施的总和,是对信息资源使用、管 理规则的正式描述,是企业内所有成员都必须遵 守的规则。
第9章 信息安全管理与灾难恢复
信息安全策略应当遵循:
– 1) 综合平衡 (综合考虑需求、风险、代价等诸多因素) 。
– 2) 整体优化 (利用系统工程思想,使系统总体性能最 优) 。
– 3) 易于操作和确保可靠。
9.1.1 信息安全管理策略
§信息安全策略应该简单明了、通俗易懂,并形成
书面文件,发给组织内的所有成员;对所有相关 员工进行信息安全策略的培训;对信息安全负有 特殊责任的人员要进行特殊的培训,以使信息安 全方针真正落实到实际工作中。当然,需要根据 组织内各个部门的实际情况,分别制订不同的信 息安全策略,为信息安全提供管理指导和支持。
– 11) 例外情况的处理:策略不可能做到面面俱到,在 策略中应提供特殊情况下的安全通道。
9.1.2 信息安全机构和队伍
§为了保护国家信息的安全,维护国家利益,各国
政府均指定了政府有关机构主管信息安全工作。 例如,为了加强对信息化工作的领导,我国成立 了国家信息化领导小组,由国务院领导任组长, 国家机关有关部委的领导参加小组的工作。
9.1.1 信息安全管理策略
– 7) 策略生效时间和有效期。旧策略的更新和过时策略 的废除也是很重要的。
– 8) 重新评审策略的时机。除了常规的评审时机外,下 列情况下也需要组织重新评审,例如:企业管理体系 发生很大变化;相关的法律法规发生变化;企业信息 系统或者信息技术发生大的变化;企业发生了重大的 信息安全事故等。
但它并不保证系统的实时可用性。而集群和容灾 技术的目的就是为了保证系统的可用性。也就是 说,当意外发生时,系统所提供的服务和功能不 会因此而间断。在有一定规模的系统中,备份技 术、集群技术和容灾技术互相不可替代,并且稳 定和谐地配合工作,共同保证着系统的正常运转 。
9.1.1 信息安全管理策略
– 7) 弹性。策略不仅要满足当前的要求,还要满足组织 和环境在未来一段时间内发展的要求。
9.1.1 信息安全管理策略
§(2) 策略的主要内容 §理论上,一个完整的信息安全策略体系应该保障
组织信息的机密性、可用性和完整性。虽然每个 组织的性质、规模和内、外部环境各不相同,但 一个正式的信息安全策略应包含下列一些内容:
9.1.1 信息安全管理策略
– 5) 明确责任。维护信息与网络系统的安全不仅仅是安 全管理员的事,要调动大家的积极性,明确每个人在 安全保护工程中的责任和义务。为了确保事故处理任 务的落实,必须建立监督和管理机制,保证各项条款 的严格执行。
– 6) 策略签署。信息安全管理策略是强制性的、带惩罚 性的,策略的执行需要来自管理层的支持,因此,通 常是信息安全主管或总经理签署信息安全管理策略。
– 1) 适用范围。包括人员范围和时效性,例如“本规定 适用于所有员工”,“适用于工作时间和非工作时间” 。
9.1.1 信息安全管理策略
– 2) 保护目标。安全策略中要包含信息系统中要保护的 所有资产 (包括硬件、软件和数据) 以及每件资产的重 要性和其要达到的安全程度。例如,“为确保企业的 经营、技术等机密信息不被泄漏,维护企业的经济利 益,根据国家有关法律,结合企业实际,特制定本条 例。”
9.1.1 信息安全管理策略
– 9) 与其他相关策略的引用关系。因为多种策略可能相 互关联,引用关系可以描述策略的层次结构,而且在 策略修改时候也经常涉及其他相关策略的调整。
– 10) 策略解释。由于工作环境、知识背景等的不同, 可能导致员工在理解策略时出现误解、歧义的情况。 因此,应建立一个专门和权威的解释机构或指定专门 的解释人员来进行策略的解释。
第9章 信息安全管理与灾难恢复
§9.1 信息安全管理与工程 §9.2 信息灾难恢复规划
9.1 信息安全管理与工程
§信息安全管理策略告诉组织成员在日常的工作中
什么ຫໍສະໝຸດ Baidu必须做的,什么是可以做的,什么是不可 以做的;哪里是安全区,哪里是敏感区;等等。
9.1.1 信息安全管理策略
§作为有关信息安全方面的行为规范,一个成功的
9.1.1 信息安全管理策略
– 4) 实施方法。明确对网络信息系统中各类资产进行保 护所采用的具体方法,如对于实体安全可以用隔离、 防辐射、防自然灾害的措施实现;对于数据信息可以 采用授权访问技术来实现;对于网络传输可以采用安 全隧道技术来实现,等等。另外,还要明确所采用的 具体方法,如使用什么样的算法和产品等。
9.1.1 信息安全管理策略
– 3) 策略主题。例如:设备及其环境的安全;信息的分 级和人员责任;安全事故的报告与响应;第三方访问 的安全性;外围处理系统的安全;计算机和网络的访 问控制和审核;远程工作的安全;加密技术控制;备 份、灾难恢复和可持续发展的要求等。
– 也可以划分为如账号管理策略、口令管理策略、防病 毒策略、E-mail使用策略,因特网访问控制策略等。 每一种主题都可以借鉴相关的标准和条例。
9.1.1 信息安全管理策略
§(1) 制订策略的原则 §在制定信息安全管理策略时,应严格遵守以下原
则:
– 1) 目的性。策略是为组织完成自己的信息安全使命而 制定的,应该反映组织整体利益和可持续发展的要求 。
– 2) 适用性。策略应该反映组织的真实环境和当前信息 安全的发展水平。
9.1.1 信息安全管理策略
– 3) 可行性。策略的目标应该可以实现,并容易测量和 审核。
– 4) 经济性。策略应该经济合理,过分复杂和草率都不 可取。
– 5) 完整性。策略能够反映组织的所有业务流程的安全 需要。
– 6) 一致性。策略应该和国家、地方的法律法规保持一 致;和组织已有的策略、方针保持一致;以及和整体 安全策略保持一致。
9.1.2 信息安全机构和队伍
§国家信息化领导小组为了强化对信息化工作的领
信息安全管理与灾难恢 复概述
2020年4月25日星期六
第9章 信息安全管理与灾难恢复
§信息安全管理策略是为发布、管理和保护敏感的
信息资源 (信息和信息处理设施) 而制定的一组法 律、法规和措施的总和,是对信息资源使用、管 理规则的正式描述,是企业内所有成员都必须遵 守的规则。
第9章 信息安全管理与灾难恢复
信息安全策略应当遵循:
– 1) 综合平衡 (综合考虑需求、风险、代价等诸多因素) 。
– 2) 整体优化 (利用系统工程思想,使系统总体性能最 优) 。
– 3) 易于操作和确保可靠。
9.1.1 信息安全管理策略
§信息安全策略应该简单明了、通俗易懂,并形成
书面文件,发给组织内的所有成员;对所有相关 员工进行信息安全策略的培训;对信息安全负有 特殊责任的人员要进行特殊的培训,以使信息安 全方针真正落实到实际工作中。当然,需要根据 组织内各个部门的实际情况,分别制订不同的信 息安全策略,为信息安全提供管理指导和支持。
– 11) 例外情况的处理:策略不可能做到面面俱到,在 策略中应提供特殊情况下的安全通道。
9.1.2 信息安全机构和队伍
§为了保护国家信息的安全,维护国家利益,各国
政府均指定了政府有关机构主管信息安全工作。 例如,为了加强对信息化工作的领导,我国成立 了国家信息化领导小组,由国务院领导任组长, 国家机关有关部委的领导参加小组的工作。
9.1.1 信息安全管理策略
– 7) 策略生效时间和有效期。旧策略的更新和过时策略 的废除也是很重要的。
– 8) 重新评审策略的时机。除了常规的评审时机外,下 列情况下也需要组织重新评审,例如:企业管理体系 发生很大变化;相关的法律法规发生变化;企业信息 系统或者信息技术发生大的变化;企业发生了重大的 信息安全事故等。