管理信息系统中的安全问题分析(四)

销售价格:

（一）组织体系建设

1. 组织机构建设

1)公司成立信息安全领导小组，是信息安全的最高决策机构，下设办公室，负责信息

安全领导小组的日常事务。

2)信息安全领导小组负责研究重大事件，落实方针政策和制定总体策略等。主要职责：

根据国家和行业有关信息安全的政策、法律和法规，批准公司信息安全总体策略规划、管理规范和技术标准；确定公司信息安全各有关部门工作职责，指导、监督信息安全工作。

3)信息安全领导小组下设两个工作组：信息安全工作组、应急处理工作组。组长均由

公司负责人担任。其中信息安全工作组主要起决策作用，当组织出现紧急信息安全事件报告，组织进行事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施；应急处理工作组会根据情况启动应急预案，排除故障，恢复系统；

4)公司应指定分管信息的领导负责本单位信息安全管理，并配备信息安全技术人员，

有条件的应设置信息安全工作小组或办公室，对公司信息安全领导小组和工作小组负责，落实本单位信息安全工作和应急处理工作。

2. 人员安全管理

设置信息系统的关键岗位并加强管理，配备系统管理员、网络管理员、应用开发管

理员、安全审计员、安全保密管理员，要求五人各自独立。

系统管理员主要负责系统的运行管理、用户权限管理等；网络管理员负责实施网络安全策略和安全运行细则；应用开发管理员负责保证系统具备信息安全功能及对系统核心技术保密；安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计和监督，主要职能包括；安全保密管理员负责日常安全保密管理活动。

。

（二）管理体系建设

信息安全管理体系，即Information Security Management System(简称ISMS)，是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。国际标准包括ISO27001和ISO17799，其中ISO17799是信息安全管理实施细则。

ISO27001标准是建立信息安全管理体系ISMS的一套规范，其中详细说明了建立、实施和维护信息安全管理体系的要求，指出实施机构应该遵循的风险评估标准。ISO27001指导相关人员去应用ISO17799。

1.ISMS体系设计

在组织中要实现信息安全，第一步是要按照PDCA的原则建立信息安全管理体系。

1)计划和实施

首先是文件化实践（即所有计划及操作过的事情都要有文件记录），将风险管理的过程正式化，确定评审的方法和配置资源。这些活动通常作为循环的开始，这个阶段在评审阶段开始实施时结束。计划阶段用来保证为信息安全管理体系建立的内容和范围正确地建立，评估信息安全风险和建立适当地处理这些风险的计划。实施阶段用来实施在计划阶段确定的决定和解决方案。

2)检查与行动

检查和处置评审阶段用来加强、修改和改进已识别和实施的安全方案。评审可以在任何时间、以任何频率实施，取决于怎样做适合于考虑的具体情况。在一些体系中他们可能需要建立在计算机化的过程中以运行和立即回应。其他过程可能只需在有信息安全事故时、被保护的信息资产变化时或需要增加时、威胁和脆弱性变化时需要回应。最后，需要周期性评审或审核以保证整个管理体系达成其目标。

3)控制措施总结

一份控制措施小结可以使处理业务关系变得容易，如供电外包等。可能包含敏感的信息，因此当在外部和内部同时应用时，应考虑他们对于接收者是否合适。

2.ISMS建设过程

3．ISMS运行

ISMS体系文件编制完成后，组织按照文件的控制要求进行审核与批准并发布实施，至此，ISMS体系将进入运行阶段。在试运行的基础上，总结经验，选择恰当的时机进行ISMS体系的正式运行。只有保证ISMS持续运行，才能使ISMS的制度真正落到实处，使安全状况得到改善。

（三）技术体系建设

首页上一页 1 2 3 4 5 6 下一页尾页 4/6/6