信息安全管理与监管

信息安全管理与监管

宗勇

云南大学网络与信息中心主任

信息安全管理与使用技术知识第二章，信息安全管理与监管。本章包含五题内容。技术与管理的关系一直是信息安全工作的热点问题，从BISS公布的数据看，超过70%的信息安全事故如果事先加强管理都是可以得到避免的，也就是三分技术，七分管理，二者并重。

一、信息安全管理组织、人员和制度

第一题，信息安全管理组织、人员和制度。信息安全的组织机构是实施信息安全管理的必要保证。如图所示，信息安全管理组织主要包括安全审查和决策机构、安全主管机构、安全运行维护机构、安全审计机构、安全培训和安全工作人员。通常用信息安全问题是由单位内部的专门机构控制和管理的，必要时，应与外部相关组织进行沟通协调，各单位在进行自身信息安全管理工作时应与与公安机关公共信息网络安全监察部门密切配合。

主要体现如图所示的三个层次。符合性（合规性）管理：是指单位、组织根据自身业务特点和具体情况所制定的信息安全管理办法和规范，必须符合国家信息安全相关法律、法规的规定。符合性从单位自身微观的层次上体现了信息安全管理与国家的宏观的信息安全管理的一致和配合。

信息安全的人员管理，人员的素质是提高信息安全性致关重要的因素。信息安全的人员管理中，人员因素是信息安全管理环节中最重要的一环，全面提高人员的技术水平、道德品质、政治觉悟和安全意识是信息安全的重要保障。信息安全工作人员管理包括安全审查、安全保密管理、安全教育培训、岗位安全考核、离岗人员安全管理等几个方面。

事实证明，许多安全事件都是由内部人员造成的，因些对于关键岗位必须建立严格的人员安全审查制度，把好人员安全管理的第一关，各单位的信息系统和内部资源应跟极其敏感程度和重要程度进行密集划分，信息资源的密集直接决定了接触和管理试信息资源的岗位对人员安全等级的要求，因依此要求建立相应的人员安全审查的标准，人员的安全审查应该从安全意识、法律意识、安全技能等几方面进行，应试具有政治可靠、思想进步、作风正派、

技术合格等基本素质，关键岗位人员的审查标准。

信息系统的关键岗位人员的审查标准应具有以下几个方面，一般必须是单位组织的正式员工、必须经过严格的政审、背景和资历调查、必须经过业务能力的综合考核、不得出现在其他关键岗位兼职的情况。应根据单位、组织相关秘密保护办法与信息安全工作人员签订保密协议，通过保密协议约定工作范围、工作期限以及处罚和审查事项等。同时应定期对安全工作人员进行法律法规、方针政策、操作流程和技能的训练与考核。

培训内容主要有三个方面，第一基本安全教育及基本概念可能存在的威胁和风险、理解相关方针和规章制度、提高安全意识、掌握基本安全操作概念。二、专业安全方面的培训及职业道德教育与岗位相关安全技术理论培训、岗位职能和操作技能培训。第三方面，安全的高级培训及国家和行业相关法律法规、全面的安全技术理论和知识、全面的安全管理理论、安全工程理论、关键岗位职能与责任的培训。

定期的考核，岗位安全考核，主要是从思想政治和业务表现两方面进行。对于离岗人员安全管理，应该按照离岗的不同原因，建立技术人员离岗的安全管理制度：一、正常离岗人员。正常离岗之前要旅行移交手续，完成密码、设备、技术资料及相关敏感信息的移交。相关系统必须更换口令，取消该人员所使用过的所有帐号，向离岗人员重申安全保密责任和义务。二、强制离岗人员，必须严格办理调离手续，必要时应在调离决定通知其本人之前，立即或者提前进行移交手续，不能拖延。第三种情况，因工作问题被解聘人员，应该严格审查其工作问题，严格执行相关处罚，若有触犯法律、法规的行为，应依法追究其法律责任。在信息安全的制度管理方面，应该结合本单位的实际情况，编制完整的、全面的、分层次的信息安全的制度管理制度和规范，并加以认真贯彻落实。

下面列举三个信息安全管理制度：一、物理环境安全管理规范，它包括安全域、门禁控制、监控与报警、电源和电缆管理、环境管理与维护、设备常规管理、变更管理、事故处理等。二、终端计算机安全使用规范，包括安装防病毒软件、操作系统定期自动升级、密码保护、IE安全级别设置、邮件管理、重要文件备份等。三、包括防火墙系统管理规范，包括明确岗位职责、防火墙的规划部署、配置测试；状态监控、日志分析、安全事件的响应处理等。

二、互联网、重点单位信息安全管理

第二个问题，互联网、重点单位信息安全管理。《计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《互联网安全保护技术措施规定》的国

家现行的法律法规，在安全保护职责、安全管理制度、安全保护技术措施、禁止行为等方面对互联网服务提供者、互联网数据中心、联网使用单位做出明确的规定和要求。

其中，《计算机信息网络国际联网管理暂行规定》第13条规定，从事国际联网业务的单位和个人应当遵守国家有关法律、行政法规，严格执行安全保密制度，不得利用国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动；不得制作、查阅、复制和传播妨碍社会治安的信息和淫秽色情等信息。

《计算机信息网络国际联网安全保护管理办法》第5条、第6条，对禁止在互联网上发布的信息内容、禁止互联网活动行为分别做出强劲的规定。《计算机信息网络国际联网安全保护管理办法》第10条还规定，互联网单位、接入单位及国际联网的法人和其他组织应当履行，一、建立健全安全保护管理制度；二、落实安全保护技术措施；三、开展安全教育和培训；四、对发布信息的单位和个人登记、对发布内容进行审核；五、建立电子公告系统的用户登记和信息管理制度；六、对违反法律法规的行为保留有关原始记录并及时报案；七、及时删除违反法律法规的内容、地址、目录或者关闭服务器。

互联网管理中的安全管理制度，健全的互联网安全管理制度应包含：新闻组、BBS等交互式栏目及个人主页等信息服务栏目的安全管理制度、信息发布审核和登记制度、信息巡查、保存、清除和备份制度等其他与安全保护有关的管理制度。

安全保护技术措施。《互联网安全保护技术措施》规定，互联网服务的提供者、联网使用者和单位应当建立和落实基本的安全技术措施，包括防病毒、防网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施，重要数据库和系统主要设备的冗灾备份措施，记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施。

重点单位及其确定原则，《计算机信息系统安全保护条例》第4条明确规定：“计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。”加强网络安全保护工作，首先要抓好重点单位及其确定原则，加强信息网络安全保护工作，首先要抓好重点抓好国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全，这些重要领域的信息网络安全直接关系到国家安全、社会稳定以及经济建设的健康发展，凡是涉及这些要领域的信息网络的单位均属于重点单位。

我国信息网络重点单位列举，我国根据安全需要，从实际出发，全面权衡后，确定了信息网络重点单位一共有12类，我国根据安全需要，从实际出发，全面权衡后，将下列单位列入信息网络重点单位：1、国家各级党政机关单位，2、银行、保险、证券等金融机构，3、