组织与人员安全管理

《组织与人员安全管理》由会员分享，可在线阅读，更多相关《组织与人员安全管理（35页珍藏版）》请在装配图网上搜索。

1、第第6章章 组织与人员安全管理组织与人员安全管理内容提要内容提要国家信息安全组织国家信息安全组织企业信息安全组织企业信息安全组织 信息安全的角色与职务信息安全的角色与职务人员安全及其教育、培训和意识提升人员安全及其教育、培训和意识提升6.1 国家信息安全组织国家信息安全组织n宏观宏观中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例第第四条：四条：“公安部主管全国的计算机信息系统的安全保护工公安部主管全国的计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学作，重点维护国家事务、经济建设、国防建设、尖端科学角色等重要领域的计算机信息系统的安

2、全角色等重要领域的计算机信息系统的安全”。n微观微观中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例第第十三条：十三条：“计算机信息系统的使用单位应当建立健全安全计算机信息系统的使用单位应当建立健全安全管理制度，负责本单位计算机信息系统的安全保护工作管理制度，负责本单位计算机信息系统的安全保护工作”。6.1 国家信息安全组织国家信息安全组织6.1.1 信息安全组织的基本要求信息安全组织的基本要求n信息安全组织应当由单位安全负责人领导信息安全组织应当由单位安全负责人领导n具体工作应当由专门的安全负责人负责具体工作应当由专门的安全负责人负责 n安全组织成员类型的多样

3、性安全组织成员类型的多样性 n安全组织有着双重的组织联系安全组织有着双重的组织联系 信息安全组织的运行应独立于信息系统的运行，同时信息安全组织的运行应独立于信息系统的运行，同时是一个综合性的组织。是一个综合性的组织。6.1.2 信息安全组织的基本标准信息安全组织的基本标准n逐级信息安全防范责任制，各级的职责划分明确逐级信息安全防范责任制，各级的职责划分明确n明确信息系统使用部门或岗位的安全责任明确信息系统使用部门或岗位的安全责任n有专职或兼职的安全员有专职或兼职的安全员n有健全的安全管理规章制度有健全的安全管理规章制度n在工作人员中普及安全知识在工作人员中普及安全知识n定期进行信息系统风险评估

4、，并对信息安全实行等级保护定期进行信息系统风险评估，并对信息安全实行等级保护制度制度n在安全各方面采取必要的安全措施在安全各方面采取必要的安全措施n对本部门信息系统的安全保护工作有档案记录和应急计划对本部门信息系统的安全保护工作有档案记录和应急计划n严格执行信息安全事件上报制度严格执行信息安全事件上报制度n对信息系统安全保护工作定期总结评比对信息系统安全保护工作定期总结评比6.1.3 信息安全组织的基本任务信息安全组织的基本任务在政府主管部门的管理指导下在政府主管部门的管理指导下定期或适定期或适时进行风险评估时进行风险评估，根据本单位的实际情况，根据本单位的实际情况和需要，确定信息系统的安全等

5、级和管理和需要，确定信息系统的安全等级和管理总体目标，总体目标，提出相应的对策并监督实施提出相应的对策并监督实施。6.1.4 信息安全组织的职能信息安全组织的职能n负责与信息安全有关方面的决策与实施负责与信息安全有关方面的决策与实施n根据安全需求建立各自信息系统的安全策略和安全目标根据安全需求建立各自信息系统的安全策略和安全目标n建立和健全有关的实施细则建立和健全有关的实施细则n与各级国家信息安全主管机关、技术和保卫机构建立日常与各级国家信息安全主管机关、技术和保卫机构建立日常工作关系工作关系n参与本单位及下属单位的信息系统的安全管理工作参与本单位及下属单位的信息系统的安全管理工作n建立和健全

6、系统安全操作规程和制度建立和健全系统安全操作规程和制度n明确信息安全各岗位人员的职责和权限明确信息安全各岗位人员的职责和权限 n奖罚并重奖罚并重 n执行信息安全报告制度执行信息安全报告制度 6.1.5 信息安全组织的规模信息安全组织的规模n大型机构大型机构大型机构有大型机构有1 000台以上的设备需要安全管理，一般台以上的设备需要安全管理，一般都有专门的职员来支持安全项目。都有专门的职员来支持安全项目。专职安全人员的配置依赖于大量的因素，包括所保护专职安全人员的配置依赖于大量的因素，包括所保护信息的敏感性、行业规则（如金融业和卫生保健业）以及信息的敏感性、行业规则（如金融业和卫生保健业）以及收

7、益率。公司用于人员预算的资源越多，则越有可能保持收益率。公司用于人员预算的资源越多，则越有可能保持较大的信息安全人员配置。较大的信息安全人员配置。注：这主要取决于机构的文化意识。注：这主要取决于机构的文化意识。如果上层管理者认为信息安全只是在浪费时间和资源，如果上层管理者认为信息安全只是在浪费时间和资源，那么信息安全项目将得不到有力的支持，信息安全人员所那么信息安全项目将得不到有力的支持，信息安全人员所做的努力会被认为与机构的任务相抵触，不利于机构生产做的努力会被认为与机构的任务相抵触，不利于机构生产率的提高；相反，如果管理层对信息安全有较高的认识并率的提高；相反，如果管理层对信息安全有较高的

8、认识并且态度积极，那么安全项目不管是在经济上还是在其他方且态度积极，那么安全项目不管是在经济上还是在其他方面都有可能得到很大的支持。面都有可能得到很大的支持。6.1.5 信息安全组织的规模信息安全组织的规模一个典型的大型机构平均有一个典型的大型机构平均有 1 个专职安全管理人员个专职安全管理人员，4 个专职的安全系统管理员或技术员个专职的安全系统管理员或技术员和和 15 个兼职人员个兼职人员，这些，这些兼职人员除了其他的工作职责外还有信息安全职责。兼职人员除了其他的工作职责外还有信息安全职责。6.1.5 信息安全组织的规模信息安全组织的规模n中型机构中型机构 中型机构拥有中型机构拥有 100

9、1000 台要求安全管理的机器。台要求安全管理的机器。这些机构也可能大到足以执行多级安全方法，虽然这这些机构也可能大到足以执行多级安全方法，虽然这种方法是为大型机构提供的，但这些机构也可以使用这种种方法是为大型机构提供的，但这些机构也可以使用这种方法，只是专门小组的数量会减少，而每个小组会有更多方法，只是专门小组的数量会减少，而每个小组会有更多的功能。的功能。当信息安全部门没有能力为某项功能配置人员，并且当信息安全部门没有能力为某项功能配置人员，并且机构不支持或要求机构不支持或要求 IT或其他部门代为执行该项功能时，或其他部门代为执行该项功能时，中型机构趋向于忽略一些特别功能。中型机构趋向于忽

10、略一些特别功能。在这种情况下，在这种情况下，CISO 必须增强各小组之间的协作，而且必须有能力执行必须增强各小组之间的协作，而且必须有能力执行相关决定相关决定。6.1.5 信息安全组织的规模信息安全组织的规模中型机构中的全职和兼职员工要明显地少中型机构中的全职和兼职员工要明显地少于大型机构，可能只有于大型机构，可能只有 1 个全职安全人员个全职安全人员，以及以及 3 个兼职信息安全人员个兼职信息安全人员。6.1.5 信息安全组织的规模信息安全组织的规模n小型机构小型机构 管理少于管理少于 100 个系统的小型机构面临特殊的挑战。个系统的小型机构面临特殊的挑战。小型机构中的信息安全管理常常是一个

11、多面手的责任，小型机构中的信息安全管理常常是一个多面手的责任，他是一个单独的安全管理员，可能会有他是一个单独的安全管理员，可能会有1 2个助手来协个助手来协助他管理技术工作。由此，安全管理员常常是处理桌面管助他管理技术工作。由此，安全管理员常常是处理桌面管理、病毒防护以及本地网络安全问题。理、病毒防护以及本地网络安全问题。小型机构的资源通常有限，所以安全管理员常常会求小型机构的资源通常有限，所以安全管理员常常会求助于免费软件和黑客软件以降低评估和执行安全的成本。助于免费软件和黑客软件以降低评估和执行安全的成本。在小型机构中，安全培训与安全意识提升通常实施在一个在小型机构中，安全培训与安全意识提

12、升通常实施在一个一对一的基础上，安全管理员直接向需要帮助的用户提出一对一的基础上，安全管理员直接向需要帮助的用户提出建议。建议。注：小型机构的规模让它们避免了一些前面提到的威胁注：小型机构的规模让它们避免了一些前面提到的威胁。6.1.5 信息安全组织的规模信息安全组织的规模小型机构有小型机构有 1 个全日制安全人员对信息安全负个全日制安全人员对信息安全负责，或者，更可能是一个全日制责，或者，更可能是一个全日制 IT 人员在附带管人员在附带管理或指导信息安全工作。当然他可能会有理或指导信息安全工作。当然他可能会有 12 个个助手协助工作。助手协助工作。6.2 企业信息安全组织企业信息安全组织建立

13、有效的信息安全组织是企业安全管理的基础。建立有效的信息安全组织是企业安全管理的基础。6.2.1 企业信息安全组织的构成企业信息安全组织的构成n信息安全决策机构信息安全决策机构n信息安全管理机构信息安全管理机构n信息安全执行机构信息安全执行机构6.2.1.1 信息安全决策机构信息安全决策机构信息安全决策机构应当由组织的的最高管理层、与信信息安全决策机构应当由组织的的最高管理层、与信息安全管理有关的部门负责人和管理技术人员组成，其职息安全管理有关的部门负责人和管理技术人员组成，其职责是为组织信息安全管理提供向导与支持。责是为组织信息安全管理提供向导与支持。任务包括：任务包括：（1）评审和审批信息安

14、全方针）评审和审批信息安全方针（2）分配信息安全管理职责）分配信息安全管理职责（3）确认风险评估的结果）确认风险评估的结果（4）对与信息安全管理有关的重大更改事项）对与信息安全管理有关的重大更改事项（5）评审和检测信息安全事故）评审和检测信息安全事故（6）审批与信息安全管理有关的其他重要事项）审批与信息安全管理有关的其他重要事项 6.2.1.2 信息安全管理机构信息安全管理机构信息安全管理机构主要通过对人力资源的管理，完成信息安全管理机构主要通过对人力资源的管理，完成对事件、任务和事务的管理。对事件、任务和事务的管理。任务包括：任务包括：（1）对安全事件进行评估，确定应采取的安全响应级别）对安

15、全事件进行评估，确定应采取的安全响应级别（2）确定对安全事件的响应策略及技术手段）确定对安全事件的响应策略及技术手段（3）管理信息安全相关的日常工作）管理信息安全相关的日常工作（4）管理信息安全相关的人力资源）管理信息安全相关的人力资源（5）管理信息安全组织内部和外部的相关信息）管理信息安全组织内部和外部的相关信息（6）管理信息安全组织的资产）管理信息安全组织的资产 6.2.1.3 信息安全执行机构信息安全执行机构信息安全执行机构是信息安全事件的响应机构。信息安全执行机构是信息安全事件的响应机构。主要人员组成：主要人员组成：（1）信息安全技术人员）信息安全技术人员（2）信息系统集成技术人员）信

16、息系统集成技术人员（3）计算机网络与通信技术人员）计算机网络与通信技术人员（4）信息安全法律专家）信息安全法律专家（5）信息系统（硬件、软件）技术人员）信息系统（硬件、软件）技术人员6.2.2 企业信息安全组织职能企业信息安全组织职能（1）建立内部信息安全协调机制建立内部信息安全协调机制（2）明确职责明确职责（3）建立信息处理设施授权程序建立信息处理设施授权程序（4）建立渠道，获取信息安全建议建立渠道，获取信息安全建议（5）加强与政府机构的协作加强与政府机构的协作（6）对组织信息安全进行独立评审对组织信息安全进行独立评审（7）识别与外部组织访问相关的风险识别与外部组织访问相关的风险（8）对外部

17、组织访问控制对外部组织访问控制（9）外包控制外包控制 6.2.2 企业信息安全组织职能企业信息安全组织职能 访问类型包括：访问类型包括：n物理访问：例如进入办公室、计算机机房和档案室等；物理访问：例如进入办公室、计算机机房和档案室等；n逻辑访问：例如访问组织的数据库和信息系统等；逻辑访问：例如访问组织的数据库和信息系统等；n网络连接：例如永久性连接和远程访问等。（网络连接：例如永久性连接和远程访问等。（6 6）对组）对组织信息安全进行独立评审织信息安全进行独立评审 外部组织访问的风险的识别应考虑以下问题：外部组织访问的风险的识别应考虑以下问题：n外部组织需要访问的信息处理设施；外部组织需要访问

18、的信息处理设施；n所涉及信息的价值和敏感性，及对业务运行的危险程所涉及信息的价值和敏感性，及对业务运行的危险程度度n处理组织信息所涉及的外部组织的人员处理组织信息所涉及的外部组织的人员6.2.2 企业信息安全组织职能企业信息安全组织职能 n对外部组织访问应实行访问授权管理对外部组织访问应实行访问授权管理n对于经过授权进行物理访问的外部组织，应佩带易于对于经过授权进行物理访问的外部组织，应佩带易于识别的标志识别的标志n对于长期访问的外部组织，应通过签订信息安全协议对于长期访问的外部组织，应通过签订信息安全协议 6.2.2 企业信息安全组织职能企业信息安全组织职能在双方的合同中明确规定信息系统、网

19、络和在双方的合同中明确规定信息系统、网络和（或）桌面系统环境的风险管理、安全控制措施与实（或）桌面系统环境的风险管理、安全控制措施与实施程序，并按照合同的要求进行实施。施程序，并按照合同的要求进行实施。6.3 信息安全角色和职务信息安全角色和职务信息安全职务可分为信息安全职务可分为 3 3 种类型：制定、建立、管理。种类型：制定、建立、管理。n制定者提供策略、方针和标准，还提供咨询和风险评估，制定者提供策略、方针和标准，还提供咨询和风险评估，以及开发产品、制定技术架构。以及开发产品、制定技术架构。n建立者是真正的技术人员，负责建立和制定安全解决方案建立者是真正的技术人员，负责建立和制定安全解决

20、方案 n管理者操作和管理安全工具、实施安全监控以及不断地改管理者操作和管理安全工具、实施安全监控以及不断地改进解决方案。进解决方案。也就是说，由具备一定资历的人员作为制定者，由擅也就是说，由具备一定资历的人员作为制定者，由擅长技术的人员作为建立者，而一部分人员作为操作主管。长技术的人员作为建立者，而一部分人员作为操作主管。6.3 信息安全角色和职务信息安全角色和职务一个典型的机构有着许多具有信息安全责任心的人，一个典型的机构有着许多具有信息安全责任心的人，大多数工作可分为以下几种类别：大多数工作可分为以下几种类别：n首席信息安全官（首席信息安全官（CISO）n安全主管安全主管 n安全管理员和分

21、析员安全管理员和分析员 n安全技术人员安全技术人员 n安全工作人员安全工作人员 n安全顾问安全顾问 n安全官员和调查员安全官员和调查员 n客户服务人员客户服务人员 6.3 信息安全角色和职务信息安全角色和职务6.3 信息安全角色和职务信息安全角色和职务n首席信息安全官（首席信息安全官（CISO）CISO 主要负责机构信息安全项目的评估、管理和实主要负责机构信息安全项目的评估、管理和实施。该职务也被称做安全主管、安全管理者等。施。该职务也被称做安全主管、安全管理者等。CISO 一一般直接向般直接向 CIO 汇报。汇报。n安全主管安全主管安全主管负责信息安全项目的日常运作，完成安全主管负责信息安全

22、项目的日常运作，完成 CISO 确定的目标，他们还要解决技术人员、管理员、分析员或确定的目标，他们还要解决技术人员、管理员、分析员或他们管理的员工所提出的一系列问题。他们管理的员工所提出的一系列问题。注：管理技术本身就需要首先对技术理解，但并不一注：管理技术本身就需要首先对技术理解，但并不一定需要掌握技术的配置、操作以及故障的排除。定需要掌握技术的配置、操作以及故障的排除。6.3 信息安全角色和职务信息安全角色和职务n安全管理员和分析员安全管理员和分析员安全管理员负有安全技术人员和安全主管的双重责任，安全管理员负有安全技术人员和安全主管的双重责任，同时具备技术知识和管理技能，负责管理安全技术的

23、日常运同时具备技术知识和管理技能，负责管理安全技术的日常运作，同时还要协助制定和管理培训计划、策略等。作，同时还要协助制定和管理培训计划、策略等。安全分析员是专门的安全管理员。在传统的安全分析员是专门的安全管理员。在传统的 IT 部门中，部门中，安全管理员协助系统管理员或数据库管理员工作，而安全分安全管理员协助系统管理员或数据库管理员工作，而安全分析员则协助系统分析员工作。析员则协助系统分析员工作。n安全技术人员安全技术人员安全技术人员是具备一定技术资格的人员，他们负责配安全技术人员是具备一定技术资格的人员，他们负责配置防火墙和置防火墙和 IDS、运行安全软件、诊断问题所在、解决问题、运行安全

24、软件、诊断问题所在、解决问题以及配合系统和网络管理员以确保安全技术的合理应用。以及配合系统和网络管理员以确保安全技术的合理应用。安全技术人员要专业化，即要擅长某种安全技术（防火安全技术人员要专业化，即要擅长某种安全技术（防火墙、墙、IDS、服务器、路由器或软件），甚至对某种特定的软、服务器、路由器或软件），甚至对某种特定的软件或硬件也很熟悉，要在这类技术上达到高度专业化是很困件或硬件也很熟悉，要在这类技术上达到高度专业化是很困难的。难的。6.3 信息安全角色和职务信息安全角色和职务n安全工作人员安全工作人员“安全工作人员安全工作人员”是一个广泛的概念，指那些完成日常是一个广泛的概念，指那些完成

25、日常工作的员工。他们负责观察入侵控制台、监控电子邮件账户工作的员工。他们负责观察入侵控制台、监控电子邮件账户以及执行其他日常工作，还包括支持信息安全部门工作的重以及执行其他日常工作，还包括支持信息安全部门工作的重要人员要人员。n安全顾问安全顾问信息安全顾问是信息安全某些领域的专家（灾难恢复、信息安全顾问是信息安全某些领域的专家（灾难恢复、业务连续性计划、安全架构、策略制定或战略计划）。当机业务连续性计划、安全架构、策略制定或战略计划）。当机构决定将安全项目的一个或多个部分外包时，就会聘请安全构决定将安全项目的一个或多个部分外包时，就会聘请安全顾问。顾问。n安全官员和调查员安全官员和调查员n客户

26、服务人员客户服务人员 客户服务技术人员在信息安全中的工作要求高度的专业客户服务技术人员在信息安全中的工作要求高度的专业化，他们有必要接受专业化的训练。他们必须随时准备识别化，他们有必要接受专业化的训练。他们必须随时准备识别和诊断信息安全中存在的传统技术问题和威胁，这样可以节和诊断信息安全中存在的传统技术问题和威胁，这样可以节省事故响应的宝贵时间。省事故响应的宝贵时间。6.4 人员人员安全安全及其教育、培训和意识提升及其教育、培训和意识提升信息资产所面临的最大威胁来自人类自身的错误，教信息资产所面临的最大威胁来自人类自身的错误，教育、培训和意识提升有育、培训和意识提升有两大好处两大好处：n改善员

27、工的行为改善员工的行为n使员工对他们的工作更具责任感使员工对他们的工作更具责任感教育、培训和意识提升有教育、培训和意识提升有3种途径种途径：n根据需要纵向拓展知识，以设计和执行本机构的安全项目根据需要纵向拓展知识，以设计和执行本机构的安全项目 n让计算机用户学习技能和知识，以便能更安全地使用让计算机用户学习技能和知识，以便能更安全地使用 IT 系统完成自身的工作系统完成自身的工作 n提升系统资源的保护意识提升系统资源的保护意识6.4 人员人员安全安全及其教育、培训和意识提升及其教育、培训和意识提升信息安全教育的对象主要包括：信息安全教育的对象主要包括：n领导和管理人员领导和管理人员n信息系统的

28、工程技术人员，包括系统研发和维护人员信息系统的工程技术人员，包括系统研发和维护人员n一般用户一般用户n计算机及设备生产厂商计算机及设备生产厂商n法律工作者法律工作者n其他有关人员其他有关人员6.4.1 安全教育安全教育信息安全领域内存在许多分支学科，每一学科都可能信息安全领域内存在许多分支学科，每一学科都可能有不同的知识需求。例如：有不同的知识需求。例如：关注管理的学生想在政策、计划、个人管理和别的方关注管理的学生想在政策、计划、个人管理和别的方面得到培养；面得到培养；侧重在技术方面的学生可能需要在诸如侧重在技术方面的学生可能需要在诸如 Windows网网络安全、防火墙、络安全、防火墙、IDS

29、、远程访问和身份鉴定等特定领域、远程访问和身份鉴定等特定领域方面的课程。方面的课程。p认证信息系统安全专家（认证信息系统安全专家（CISSP）p系统安全从业者认证（系统安全从业者认证（SSCP）p全球信息保证证书（全球信息保证证书（GIAC）6.4.2 安全培训安全培训安全培训涉及到给机构成员提供详细信息和管理设备，安全培训涉及到给机构成员提供详细信息和管理设备，使他们能够安全地履行职责使他们能够安全地履行职责。有两种用户化的培训方法：有两种用户化的培训方法：n基于功能背景的培训基于功能背景的培训p一般用户一般用户p管理类用户管理类用户p技术用户技术用户n基于技能水平的培训基于技能水平的培训p

30、初学者初学者p中等水平中等水平p高水平高水平6.4.3 安全意识安全意识提升提升安全意识提升项目使用户在日常工作中首先想到的就安全意识提升项目使用户在日常工作中首先想到的就是保护信息的安全，在控制和处理信息的员工之中慢慢地是保护信息的安全，在控制和处理信息的员工之中慢慢地灌输责任感和目标意识，并引导员工更关心他们的工作环灌输责任感和目标意识，并引导员工更关心他们的工作环境。境。当开展一个新的意识提升项目时，有一些重要的观念当开展一个新的意识提升项目时，有一些重要的观念要记住：要记住：n人既能制造问题又能解决问题人既能制造问题又能解决问题 n尽量少使用技术术语，讲用户理解的语言尽量少使用技术术语

31、，讲用户理解的语言 n至少确定一个关键学习目标，清楚地说明它，提供充分的至少确定一个关键学习目标，清楚地说明它，提供充分的细节和报道来加强学习细节和报道来加强学习 n尽量使事情简单，不要喋喋不休地向员工进行宣传尽量使事情简单，不要喋喋不休地向员工进行宣传 n不要用海量信息淹没用户不要用海量信息淹没用户 n帮助用户明白他们在信息安全中的任务和破坏安全将如何帮助用户明白他们在信息安全中的任务和破坏安全将如何影响他们的工作影响他们的工作 6.4.3 安全意识安全意识提升提升n利用内部通讯介质来传送消息利用内部通讯介质来传送消息 n使意识提升项目正规化，策划和记录全部活动使意识提升项目正规化，策划和记录全部活动 n尽快提供好的信息尽快提供好的信息