论信息安全的风险防范与管理措施
本文结合各企事业单位信息安全管理现状与本单位的信息安全管理实践,重点论述了信息安全风险防范措施以及管理手段在信息安全建设中的重要性。
随着大数据时代的到来,互联网业务的飞速发展,人们对信息和信息系统依赖程度日益加深,同时,信息系统承载业务的风险上升,每天都会发生入侵、数据泄露、服务瘫痪和黑客攻击等安全事件。因此,信息安全已成为信息系统建设中急需解决的问题,人们对信息安全的需求前所未有地高涨起来。
一、信息安全建设中存在的问题
一直以来,许多企事业、机关政府在信息安全建设中,都存在以下2个方面的问题。
(1)存在重技术轻管理,重产品功能轻安全管理的问题。信息安全技术和产品的应用,在一定程度上可以解决部分信息安全问题,但却不是简单的产品堆砌,即使采购和使用了足够先进、数量充足的信息安全产品,仍然无法避免一些信息安全事件的发生。例如,在网络安全控制方面,如果在机房中部署了防火墙也配备了入侵检测设备,但配置却是”全通”策略,
那么防火墙及检测设备形同虚设。因此,安全技术需要有完备的安全管理来支持,否则安全技术发挥不了其应有的作用。
(2)欠缺信息安全管理体系的建设。有相当一部分单位的最高管理层对信息资产所面临威胁的严重性认识不足,缺乏信息安全意识及政策方针,以至于信息安全管理制度不完善,安全法律法规意识淡薄,防范安全风险的教育与培训缺失,或者即使有制度也执行不利。大部分单位现有的安全管理模式仍是传统的被动的静态的管理方法,缺少未雨绸缪的预见性,不是建立在安全风险评估基础上的动态的系统管理。
二、信息安全管理的含义与作用
信息安全管理是指整个信息安全体系中,除了纯粹的技术手段以外,为完成一定的信息安全目标,遵循安全策略,按照规定的程序,运用恰当的方法而进行的规划、组织、指导、协调、控制等活动,既经过管理而解决一些安全隐患的手段,信息安全管理是信息安全技术的重要补充。
信息安全管理包括三个方面的内容,一是在信息安全问题的解决过程中,针对信息安全技术管理内容;二是信息安全问题的解决过程中需要对人进行约束和规范的管理,如各?N规章制度、权限控制等内容;三
是在信息安全问题解决过程中,涉及技术和人员的综合性管理,如信息安全解决的总体规划的制定,信息安全策略的制定等内容。这些内容共同构成了信息安全的防护体系,信息安全管理解决宏观问题,核心思想是信息安全风险的管理控制,对象是包括人员在内的种类信息相关资产,通过对信息资产的风险管理来确保实现安全目标,使这些管理对象能够为组织的业务提供保障。
三、信息安全风险防范
信息安全是一项无论做到何种防范,都会出现纰漏的领域,但却可以通过管理和技术产品等多方面手段的提高而到有效的风险防范,其实质就是管住进口与出口。针对信息系统而言,威胁的来源可以分为内部威胁和外部威胁。
内部威胁重点管控的对象主要为办公主机和服务器。具体可以采取如下措施:1、禁止外部设备,尤其是USB设备及WIFI的接入。通过WINDOWS的组合策略来实现。2、定期巡检。内部的人为威胁危害尤其严重,人为威胁通过攻击系统暴露的要害或弱点,使得网络信息的保密性、完整性、可靠性、可控性和可用性等安全属性受到损害,造成不可估量的经济和政治上的损失。
外部威胁主要来自于网络威胁,种类很多,防范需要系统管理。首先要部署管控设备,设计可靠的网络结构,将服务器网络、办公网络区分开,同时将IP 地址与MAC地址绑定;其次要将网络行为分组,根据不同组别的特性设置不同的行为规则;另外要限制不必要的软件和通信协议,还要定期审核行为日志。
四、信息安全管理措施
(1)完善组织机构。一般来讲,应该是一个单位的核心管理层来作为安全管理负责人,要有权威,负责人要非常清楚运作流程,便于风险/事故的及时处理和流程的改进。可以通过组建信息化领导小组来实现,明确指导方针与职责分工,领导小组的主要责任在于制定和调整相关安全策略,并监督和检查策略的执行情况。
(2)完善制度和流程管理。从企事业的内部管理来讲,为应对上述的主要风险,从笔者的实际经验出发,首先需要有完善的制度和流程,应该完善以下几个主要制度:设备管理制度、网络管理制度、网络权限申请流程、设备申请流程、内网的安全管理策略、数据管理制度、用户管理制度、变更制度、运维管理记录等。
(3)实现三员分离。在笔者遇到的绝大多数中小
企业中,信息安全基本处于无人关心的状态,最多也就只是配备1名网管的状态,或者管理人员水平无法满足需求。三员分离设计主要是对管理员的权限进行控制,设置系统管理员、用户管理员和安全审计员3个角色,采用最小授权原则对系统三员进行系统权限赋予,使三者相互间制约。系统管理员负责根据用户申请完成系统角色的创建、修改与删除,用户身份标识的生成与删除、初始口令的设置及用户信息的录入,并对标识进行唯一性检查。用户管理员是完成用户与角色授权、用户审计和应用系统数据备份,对系统进行严格的访问控制策略,添加用户角色,分派角色权限,要求用户定期更换口令,保障系统安全。安全审计员主要完成与安全有关的活动的相关信息的识别、记录、存储与分析。通过采集审计数据,分析结果。
(4)定期进行风险评估与等级保护测评。风险评估是信息安全管理的关键环节,就是对信息系统面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性评估,风险管理就是用可以接受的代价,识别、控制、减少或消除可能影响信息系统的安全风险的过程并达到安全目标与安全成本的平衡。信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,是在中国、美国等很多国家都存在
的一种信息安全领域的工作,单位重要的信息系统应该每年都要进行一次系统的等保测评,这本身就是一种动态式的信息安全管理模式。
以上只是笔者一些信息安全管理经验,实际工作中还要更加细致深入地加强防范,并且要不断进行相关人员的知识更新,尤其是近两年大数据平台、云计算的各种业务都要求用户信息集中存储与协同应用,这也带来的新的风险,这就要求我们信息安全领域的人员要不断地应对变化的信息安全形势,迎难而上。
网络与信息安全管理措施 网络与信息安全不仅关系到学校的开展,还将影响到国家的安全、社会的稳定。我校将认真的开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,对有毒有害的信息进行过滤、确保网络与信息安全。 一、网站安全保障措施 1、主控室设置经公安部认证的防火墙,做好安全策略,拒绝外来的恶意攻击,保障网络正常运行。 2、对计算机病毒、有害电子邮件进行有效的防范措施,防止有害信息对网络系统的干扰和破坏。 3、做好日志的记录。内容包括IP地址,对应的IP地址情况等。 4、关闭网络系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 5、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 6、学校机房按照机房标准建设,内有必备的防静电地板、,定期进行电力、防火、防潮、检查。 二、信息安全保密管理制度 1、信息监控制度: (1)、网络信息必须标明来源;(即有关转载信息都必须
标明转载的地址) (2)、相关责任人定期或不定期检查网络系统安全,实施有效监控,做好安全监督工作; (3)、不得利用国际互联网制作、复制、查阅和传播一系列以下信息,如有违反规定有关部门将按规定对其进行处理; A、反对宪法所确定的基本原则的; B、危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的; C、损害国家荣誉和利益的; D、煽动民族仇恨、民族歧视、破坏民族团结的; E、破坏国家宗教政策,宣扬邪教和封建迷信的; F、散布谣言,扰乱社会秩序,破坏社会稳定的; G、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的; H、侮辱或者诽谤他人,侵害他人合法权益的; 含有法律、行政法规禁止的其他内容的。 2、组织结构: 设置专门的网络安全管理员,并由其上级进行监督、对学校网络系统管理实行责任制,对网络系统的管理人员,以及领导明确各级人员的责任,管理网络系统的正常运行,严格抓管理工作,实行谁管理谁负责。
1目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。 2范围 本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。 3职责 3.1研发中心 负责牵头成立信息安全管理委员会。 3.2信息安全管理委员会 负责编制《信息安全风险评估计划》,确认评估结果,形成《风险评估报告》及《风险处理计划》。 3.3各部门 负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。 4相关文件 《信息安全管理手册》 《GB-T20984-2007信息安全风险评估规范》 《信息技术安全技术信息技术安全管理指南第3部分:IT安全管理技术》 5程序 5.1风险评估前准备 ①研发中心牵头成立信息安全管理委员会,委员会成员应包含信息安全重要责任部门的成员。 ②信息安全管理委员会制定《信息安全风险评估计划》,下发各部门。 ③风险评估方法-定性综合风险评估方法 本项目采用的是定性的风险评估方法。定性风险评估并不强求对构成风险的各个要素(特别是资产)进行精确的量化评价,它有赖于评估者的经验判断、业界惯例以及组织自身定义的标准,来对风险要素进行相对的等级分化,最终得出的风险大小,只需要通过等级差别来分出风险处理的优先顺序即可。 综合评估是先识别资产并对资产进行赋值评估,得出重要资产,然后对重要资产进行详细的风险评估。
5.2资产赋值 ①各部门信息安全管理委员会成员对本部门资产进行识别,并进行资产赋值。 资产价值计算方法:资产价值= 保密性赋值+完整性赋值+可用性赋值 ②资产赋值的过程是对资产在信息分类、机密性、完整性、可用性进行分析评估,并在此基础上 得出综合结果的过程。 ③确定信息类别 信息分类按“资产识别参考(资产类别)”进行,信息分类不适用时,可不填写。 ④机密性(C)赋值 根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的 应达成的不同程度或者机密性缺失时对整个组织的影响。 ⑤完整性(I)赋值 根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的 达成的不同程度或者完整性缺失时对整个组织的影响。 ⑥可用性(A)赋值 根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的 达成的不同程度。
CCAA信息安全风险管理(继续教育考试试题) 1、下列关于“风险管理过程”描述最准确的是(C )。 A. 风险管理过程由风险评估、风险处置、以及监测与评审等子过程构成; B.风险管理过程由建立环境、风险评估、风险处置、以及监测与评审等子过程构成; C.风险管理过程由沟通与咨询、建立环境、风险评估、风险处置、以及监测与评审等子过程构成; D.风险管理过程是一个完整的过程,独立与组织的其他过程。 2以下关于信息安全目的描述错误的是(D )。 A.保护信息 B.以争取不出事 C.让信息拥有者没有出事的感觉 D.消除导致出事的所不确定性 3、对风险术语的理解不准确的是(C )。 A.风险是遭受损害或损失的可能性 B.风险是对目标产生影响的某种事件发生的机会 C.风险可以用后果和可能性来衡量 D.风险是由偏离期望的结果或事件的可能性引起的 4、以下关于风险管理说法错误的是(A )。 A.风险管理是指如何在一个肯定有风险的环境里把风险消除的管理过程 B.风险管理包括了风险的量度、评估和应变策略 C.理想的风险管理,正是希望能够花最少的资源去尽可能化解最大的危机 D.理想的风险管理,是一连串排好优先次序的过程,使当中的可以引致最大损失及最大可能发生的事情优先处理、而相对风险较低的事情则压后处理。 5、下列哪项不在风险评估之列(D ) A.风险识别 B.风险分析 C.风险评价 D.风险处置 6、对风险管理与组织其它活动的关系,以下陈述正确的是(B )。 A.风险管理与组织的其它活动可以分离 B.风险管理构成组织所有过程整体所必需的一部分 D.相对于组织的其它活动,风险管理是附加的一项活动 7、对于“利益相关方”的概念,以下陈述错误的是(D )。 A.对于一项决策活动,可以影响它的个人或组织 B. 对于一项决策活动,可以被它影响的个人或组织 C. 对于一项决策活动,可以感知被它影响的个人或组织 D.决策者自己不属于利益相关方
龙源期刊网 https://www.doczj.com/doc/3511477741.html, 浅谈政府机关网络信息安全问题及应对措施作者:王振宇 来源:《科学大众》2019年第11期 摘; ;要:随着科学技术的迅猛发展和信息技术的广泛应用,网络与信息系统的基础性、全局性作用日益增强。同时,网络和信息安全问题也日益凸显出来,政府机关不同于普通单位,往往掌握着大量重要机密数据,因此常常成为网络攻击、网络窃密等主要攻击对象,相关的围绕信息的非法获取也愈演愈烈。政府机关网络信息安全事关国家安全的重大战略问题,进行网络信息安全措施有着重要意义。 关键词:政府机关;网络信息;安全 1; ; 背景介绍 随着网络信息技术的不断发展,基础信息网络和重要信息系统安全事件时有发生,病毒传播和网络攻击对信息网络安全威胁日益加剧。政府机关和企事业单位由于保管和处理重要的信息数据,常常受到不法分子攻击,我国针对计算机网络犯罪的主要法律《刑法》第285和286条对危害信息安全的犯罪也有了明确的规定。作为公职人员,预防和处理各种信息网络安全事故,增强安全意识,加强重要领域采购和使用信息安全产品和安全服务的管控,保护国家、集体和个人的财产安全尤为重要。 2; ; 相关风险 2.1; 网络间谍风险 由于政府机关的特殊性,有些政府部门甚至掌管着国家机密,因此,境外间谍为获取相关机密信息,通过木马控制IP紧盯着我国大陆被控制的电脑,有些境外间谍机构甚至设立数十个网络情报据点、数千个僵尸网络服务器针对大陆地区,疯狂地对我国进行网络窃密和情報渗透,采用的方式一般有两种:一种是“狼群战术”,另一种是“蛙跳攻击”。间谍机关一般以我国中等城市政府网站为跳板,向外发送伪装邮件,侵入其他一些重要部门进行监听窃密。 2.2; 摆渡攻击风险 境外间谍部门专门设计了各种摆渡木马,获取了我国大量保密单位工作人员的邮箱和个人网志信息,一旦这些工作人员联网使用U盘等移动介质,摆渡木马就会悄悄植入。如果内部 工作人员将U盘插入电脑,相关病毒就会感染内网,远程下载相关保密资料到移动介质,并 通过自动控制端将相关保密资料传送到间谍机关。
信息安全控制目标和控制措施 表A-1所列的控制目标和控制措施是直接引用并与ISO/IEC 17799:2005第5到15章一致。表A.1中的清单并不完备,一个组织可能考虑另外必要的控制目标和控制措施。在这些表中选择控制目标和控制措施是条款4.2.1规定的ISMS过程的一部分。 ISO/IEC 17799:2005第5至15章提供了最佳实践的实施建议和指南,以支持A.5到A.15列出的控制措施。 表A.1控制目标和控制措施 A.5 安全方针 A.5.1 信息安全方针 目标:依据业务要求和相关法律法规提供管理指导并支持信息安全。 A.5.1.1 信息安全方针文件 控制措施 信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。 A.5.1.2 信息安全方针的评审 控制措施 应按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性。 A.6信息安全组织 A.6.1内部组织 目标:在组织内管理信息安全。
A.6.1.1 信息安全的管理承诺 控制措施 管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认,来积极支持组织内的安全。 A.6.1.2 信息安全协调 控制措施 信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调。 A.6.1.3 信息安全职责的分配 控制措施 所有的信息安全职责应予以清晰地定义。 A.6.1.4 信息处理设施的授权过程 控制措施 新信息处理设施应定义和实施一个管理授权过程。 A.6.1.5 保密性协议 控制措施 应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。 A.6.1.6 与政府部门的联系 控制措施 应保持与政府相关部门的适当联系。
城云科技(杭州)有限公司信息安全风险管理程序
目录
第一章目的 第一条目的:指导信息安全组织针对信息系统及其管理开展的信息风险评估工作。本指南定义了风险评估的基本概念、原理及实施流程;对资产、威胁和脆弱性识别要求进行了详细描述。 第二章范围 第二条范围:适用于风险评估组开展各项信息安全风险评估工作。 第三章名词解释 第三条资产 对组织具有价值的信息或资源,是安全策略保护的对象。 第四条资产价值 资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。资产价值通过机密性、完整性和可用性三个方面评估计算获得。 (一)机密性(Confidentiality):确保只有经过授权的人才能访问信息; (二)完整性(Integrality):保护信息和信息的处理方法准确而完整; (三)可用性(Availability):确保经过授权的用户在需要时可以访问信息并使用相关信息资产。 第五条威胁 可能导致对系统或组织危害的不希望事故潜在起因。 第六条脆弱性 可能被威胁所利用的资产或若干资产的弱点。 第七条信息安全风险 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。 第八条信息安全评估 依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储
的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。 第九条残余风险 采取了安全措施后,信息系统仍然可能存在的风险。 第四章风险评估方法 第十条风险管理模型 图1 风险管理模型 图1为风险管理的基本模型,椭圆部分的内容是与这些要素相关的属性。风险管理围绕着资产、威胁、脆弱性和安全措施这些基本要素展开。信息安全风险评估在对风险管理要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。 图1中的风险管理要素及属性之间存在着以下关系: (一)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小; (二)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价
浅谈如何保障信息安全 摘要 现如今我们已经步入了信息网络时代,计算机的使用率只增不减,导致计算机信息技术的迅猛发展。这也导致了计算机网络越发成为重要信息交换媒介,并且渗透到社会生活的各个角落。然而,这种重要的信息交换媒介并不能很好的保证信息安全,各种信息都有着它的重要性。因此,认清网络的脆弱性和潜在威胁的严重性,采取强有力安全策略势在必行。然而影响信息资源安全的因素较多,采用的安全防护手段日益更新,信息资源的行政管理是其安全管理的重要保障。 关键词:计算机网络信息安全网络威胁处理措施
一、信息安全 1、信息安全 信息安全是指为保证信息的完整性、可用性和保密性所需的全面管理、规程和控制。信息安全分为计算机安全和网络安全。 2、计算机安全 计算机安全是指保护信息系统免遭拒绝服务、未授权暴露、修改和数据破坏的措施和控制。 3、网络安全 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意而遭到破坏、更改、泄露,系统连续可靠正常的运行,网络服务不中断。 二、信息安全存在的威胁 如今计算机网络信息的广泛使用,信息安全的威胁也就来自方方面面。 1、信息泄露:保护的信息被泄露或透露给某个非授权的实体。 2、破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。 3、拒绝服务:信息使用者对信息或其他资源的合法访问被无条件地阻止。 4、非法使用:某一资源被某个非授权的人,或以非授权的方式使用。 5、窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。 6、业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信 息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。 7、假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用 户冒充成为特权大的用户的目的。 8、旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。 9、计算机病毒:这是一种在计算机系统运行过程中能够实现传染和侵害功能的程序,行为 类似病毒,故称作计算机病毒。 由于受到威胁的方式涉及到方方面面,但是,目前使用最广泛,发生概率最高的受威胁方式为此。
计算机信息安全及防范 措施精编W O R D版 IBM system office room 【A0816H-A0912AAAHH-GX8Q8-GNTHHJ8】
计算机信息安全及防范措施摘要计算机网络是一把“双刃剑”,给我们的生活带来便利的同时也带来了一些安全方面的问题,如不解决这些安全问题,将会对我们的经济和生活带来重大影响。鉴于此,文章试图从影响计算机信息安全的因素方面进行分析,并提出了一些有效的防范措施,旨在为提升计算机信息安全性提供参考。 关键词计算机信息安全防范措施 中图分类号:TP393 文献标识码:A 0引言 随着网络时代的不断发展,全球信息化、网络化、科技化已成为世界发展的大趋势。但由于计算机网络所具备的开放性、互通性、多样性等特征,导致计算机非常容易受到黑客的威胁和攻击,这也给计算机信息安全提出了更高的要求。因此,为了保障人们计算机信息安全、财产安全,相关人员有必要加强对计算机信息安全的研究。 1威胁计算机信息安全的因素 1.1黑客攻击 网络黑客的攻击与威胁是计算机网络信息安全所面临的最复杂、最难解决的问题之一,黑客的攻击手段分为非破坏性和破坏性两种,破坏性攻击会直接攻击电脑的主系统,盗取资料和重要信息,以破坏电脑的程序为主要目的。非破坏性攻击主要是扰乱电脑程序,并不盗取资料。黑客入侵的手段存在多样性,如电子邮件攻击、木马攻击、获取口令等。
1.2计算机病毒 在实践中,计算机病毒具有一定的破坏性。通常来说,我们难以发现计算机病毒的主要原因在于,它们往往会选择藏身于数据文件以及相关程序之中,相对比较隐蔽。计算机病毒会通过运行程序、传输文件、远程控制、复制文件等等进行传播。据了解,广大用户不轻易间打开的软件以及网页中隐藏着病毒,是计算机感染病毒的主要方式。值得肯定的是,计算机病毒具有较强的破坏性,给人们的日常生活带来的较大的不便。 1.3系统漏洞 网络漏洞是在计算机硬件或软件的具体实现或者安全策略上存在的缺陷,网络漏洞一旦存在于计算机网络系统中,就有可能对计算机系统中的组成数据造成非常大的危害,攻击者可以利用网络漏洞来对系统进行攻击。网络漏洞会大范围的影响计算机软硬件系统,在不同的软硬件设备中都可能存在漏洞问题。随着使用者对系统的深入使用,系统中的漏洞会不断的暴露出来,旧版本的漏洞会被补丁软件修复,但是在修复的同时,又会产生新的漏洞和错误,随着时间的推移,旧漏洞会逐渐消失,而新漏洞会不断涌现,网络漏洞问题也会长期存在。 2计算机信息安全防范措施 2.1提高网络系统的防御力 网络系统的漏洞是危害计算机信息安全的根本原因,通过信息技术提高网络系统的防御能力,更好地维护网络安全才是解决问题的有效途径。想要提高网络系统的防御力,可以设置计算机防火墙,通过防火墙保护所有数据,而防火墙自身对于攻击、渗透是免疫的,可以有效阻隔感染性病毒和木马入侵。还有一种方法就是在计算机内安装防毒软件,该软件是电脑内部的监控系统,监控后台数据走向,一些病毒、木马通过漏洞进入计算机
信息安全风险识别与评 价管理程序 文件编码(GHTU-UITID-GGBKT-POIU-WUUI-8968)
通过风险评估,采取有效措施,降低威胁事件发生的可能性,或者减少威胁事件造成的影响,从而将风险消减到可接受的水平。 二、范围: 适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。 三、责任: 管理者代表 信息中心执行信息安全风险的识别与评价;审核并批准重大信息安全风险,并负责编制《信息资产风险评估准则》,执行信息安全风险调查与评价,提出重大信息安全风险报告。 各部门 协助信息中心的调查,参与讨论重大信息安全风险的管理办法。 四、内容: 资产识别 保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此,应对组织中的资产进行识别。 在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握。根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。 表1 列出了一种资产分类方法。
信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项。 信息分类定义: a)“国家秘密事项”:《中华人民共和国保守国家秘密法》中指定的秘密事; b)“企业秘密事项”:不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害,或者由于业务上的需要仅限有关人员知道的商业秘密事项; c)“敏感信息事项”:为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项; d)“一般事项”:秘密事项以外,仅用来传递信息、昭示承诺或对外宣传所涉及的事项; e)“公开事项”:其他可以完全公开的事项。 信息分类不适用时,可不填写。
目录 摘要与关键词 (Ⅱ) 一、企业信息管理的现状 (1) 1.信息管理制度不完善 (1) 2.对内部和外部网络使用管理混乱 (1) 3.企业管理落后,缺少信息安全意识 (1) 4.信息安全源于每一个员工 (1) 5.管理者战略对信息建设认识不足 (1) 6.上层管理不重视,重要性被弱化 (1) 7.信息系统陈旧低端 (2) 8.信息系统、网络系统不匹配 (2) 二、安全信息的管理策略及措 (2) (一)信息安全管理策略 (2) 1.构建并完善信息管理制度 (2) 2.必须进行统一规划和分工 (2) 3.提升全员信息安全意识 (2) 4.建立信息安全培训教育制度 (2) 5.建立信息中心,加强管理和维护 (2) 6.信息安全问题需要从技术、运行环境与异常突发事件的保障三方面解决 (2) 7.定期评估,不断的改进 (2) 8.及时改进安全方案,调整安全策略 (3) (二)信息安全管理措施 (3) 三、综述 (3) 参考文献 (4)
摘要:本文以XX的信息管理为研究对象,对信息安全现状进行调研和分析,并对未来的信息安全建设将会遇到的主要问题做了深入研究。从目前信息建设、人员配置、机制流程等方面进行了差距分析与对比,结合本企业的实际情况,制定出了符合本企业的信息安全管理策略的基本框架和指导建议,并提供了信息安全管理体系实施的搭建方案,最终对该信息安全体系实施进行了总结评价与未来展望。在企业信息化大规模发展的形势下,如何有效地减少或避免因信息安全事故而带来的企业经济损失,是亟需解决的、具有重大战略意义的研究课题。本论文的研究是为了保障企业信息安全建设目标达成,并最大化地保障企业利益,并取得良好的管理效果。 关键词:信息管理;信息安全系统; 信息安全管理体系;
公司信息安全管理制度 一、信息安全指导方针 保障信息安全,创造用户价值,切实推行安全管理,积极预防风险,完善控制措施,信息安全,人人有责,不断提高顾客满意度。 二、计算机设备管理制度 1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2、非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。 3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。 三、操作员安全管理制度 (一)操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置; (二)系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得; 2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护; 3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权; 4、系统管理员不得使用他人操作代码进行业务操作; 5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; (三)一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。 四、密码与权限管理制度 1、密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串; 2、密码应定期修改,间隔时间不得超过一个月,如发现或怀
浅谈网络安全和信息化形势下信息安全应对措施 2014年2月27日国家主席主持召开中央网络安全和信息化小组首次会议,要求把我国建设成为网络强国。这足以看出国家对信息化建设和网络安全建设的重视,也侧面说明安全态势严峻。 当今世界,信息技术革命日新月异,互联网和信息化工作取得了显著发展成就,但在享受信息化建设带来的诸多便利时,信息的安全问题也日益受到重视。特别在去年6月6日“棱镜门”事件的被曝光后,让国家和更多企业正视了安全问题,促使大家对信息安全重新深度思考。 面对信息易泄露、网络易受攻击的安全态势,国家相关机关为加强管理已颁布了许多政策和法规,各企事业单位为确保信息安全,也采取了防火墙、入侵检测防御、文件流转监控、漏洞扫描等等相应技术手段防止敏感信息泄露和阻止恶意攻击,并收到了较好的效果,但在各种变幻莫测的剽窃手段面前,我们只好未雨绸缪,多维度挖掘发现隐藏的安全漏洞,从根源上保护敏感信息安全,及时制止非法接入行为,实时阻断各种恶意攻击,避免无谓的经济损失和安全威胁。对此,认为可引进以下技术产品,进一步加强信息安全保护工作。 1、多防护功能集成的UltraUTM 新一代的攻击表现出了许多新的特点:一是混合型攻击,即多种攻击方式的混合;二是新漏洞的攻击产生速度快;三是伴随社会工程陷阱元素的攻击层出不穷,间谍软件、网络欺诈、基于邮件的攻击和恶意Web站点等,使得企业内部网络、敏感资产和重要数据的安全难以得到保证。 用户非常需要多样化和集成化的安全防护产品来保障应用系统的安全运行和保证内部网络和重要数据不被侵扰,例如蓝盾的高性能UTM产品,它基于蓝盾4D-UTM架构,引进动立方技术理念,采用各种科技前沿技术:先进的云安全技术、多核并行处理技术、智能检测/防御技术、蜜罐陷阱技术、自动反向拍照技术,深度整合公司多款优势的安全防护产品,形成一体化架构,革新性地解决了网络“点”(即主机)、“线”(即边界)、“面”(即全面安全策略管理)的安全管理难题,并通过加密隧道的立体防护机制,打造一个全面覆盖整体网络及设备的安全防御体系,大幅提高整体防护效率,把防护上升到应用层,实现七层协议的保护,真正做到了全网安全防护。 此外,蓝盾UltraUTM将原有基于X86架构的全线网关产品改造为多核架构(基于Cavium Octeon芯片架构),在提供多功能防护的基础上,实现并行计算性能的整体提高,解决了大数据的处理性能瓶颈,降低能耗,减少成本。 2、全网络安全设备联动 信息安全就是保护信息的保密性、完整性和可用性。但在面对黑客不断升级的攻击方式和窃密手段的多元化和藏匿化,单一的安全防护产品已显得力不从心。这方面如SOC之类的综合安全管理平台表现出色,它能与防火墙、IDS、信息审计、主机安全等多款网络安全设备进行联动,收集各安全设备传送过来的事件信息,进行过滤、归类、分析、整合等处理后,自动改变安全策略并统一下发至各安全设备,各安全设备接收到细粒度安全策略,及时对违规接入和恶意攻击进行阻断,形成一个自适应的闭环处理链,使网络能适应动态的安全要求。这种联动防御机制能更加快速地拆接数据包,实时审计出数据包内容是否合法,并第一时间联动其它网络安全设备实施相应的应对策略,是一种时效性较高的防御方法。 3、磁盘全盘动态加解密技术 采用国内最为先进的动态加解密技术,基于全盘物理扇区级和文件级的加密方法,结合拦截、获取、加解密、数据存取等机制对全盘数据进行实时加解密,使有居心者在加密数据面前无能为力。
网络与信息安全保障措施 信息安全保密制度 1、我公司建立了健全的信息安全保密管理制度,实现信息 安全保密责任制,切实负起确保网络与信息安全保密的责 任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和 流程,建立完善管理制度和实施办法,确保使用网络和提供 信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成, 工作人员素质高、专业水平好, 有强烈的责任心和责任感。网站所有信 息发布之前都经分管领导审核批准。 工作人员采集信息将严格遵守国家的有关法律、法规和相关 规定。严禁通过我公司网站及短信平台散布《互联网信息管 理办法》等相关法律法规明令禁止的信息(即“九不准”), 一经发现,立即删除。 3、遵守对网站服务信息监视,保存、清除和备份的制度。 开展对网络有害信息的清理整治工作,对违法犯罪案件,报 告并协助公安机关查处。 4、所有信息都及时做备份。按照国家有关规定,网站将保 存60 天内系统运行日志和用户使用日志记录,短信服务系 统将保存 5 个月以内的系统及用户收发短信记录。制定并遵守安全教
育和培训制度。加大宣传教育力度,增强用户网络安全意识,自觉遵守互联网管理有关法律、法规,不泄密、不制作和传 播有害信息,不链接有害信息或网页。 安全技术保障措施 防病毒、防黑客攻击技术措施是防止不法分子利用互联网络 进行破坏活动,保护互联网络和电子公告服务的信息安全的 需要。我公司特此制定以下防病毒、防黑客攻击的安全技术 措施: 1、所有接入互联网的计算机应使用经公安机关检测合格的 防病毒产品并定期下载病毒特征码对杀毒软 件升级,确保计算机不会受到已发现的病毒攻击。 2、确保物理网络安全,防范因为物理介质、信号辐射等造 成的安全风险。 3、采用网络安全控制技术,联网单位已采用防火墙、IDS 等设备对网络安全进行防护。 4、使用漏洞扫描软件扫描系统漏洞,关闭不必要的服务端 口。 5、制订口令管理制度,防止系统口令泄露和被暴力破解。 6、制订系统补丁的管理制度,确定系统补丁的更新、安装、 发布措施,及时堵住系统漏洞。
浅谈某公司的信息安全建设与 管理(通用版) Safety work has only a starting point and no end. Only the leadership can really pay attention to it, measures are implemented, and assessments are in place. ( 安全管理 ) 单位:______________________ 姓名:______________________ 日期:______________________ 编号:AQ-SN-0439
浅谈某公司的信息安全建设与管理(通用 版) 摘要:本文以XX的信息管理为研究对象,对信息安全现状进行调研和分析,并对未来的信息安全建设将会遇到的主要问题做了深入研究。从目前信息建设、人员配置、机制流程等方面进行了差距分析与对比,结合本企业的实际情况,制定出了符合本企业的信息安全管理策略的基本框架和指导建议,并提供了信息安全管理体系实施的搭建方案,最终对该信息安全体系实施进行了总结评价与未来展望。在企业信息化大规模发展的形势下,如何有效地减少或避免因信息安全事故而带来的企业经济损失,是亟需解决的、具有重大战略意义的研究课题。本论文的研究是为了保障企业信息安全建设目标达成,并最大化地保障企业利益,并取得良好的管理效果。 关键词:信息管理;信息安全系统;信息安全管理体系;一、前言
北京XX有限公司(简称BSMC)的前身是首钢日电电子有限公司(SGNEC),成立于1991年12月。由首钢总公司和日本NEC电子株式会社,致力于半导体集成电路制造和销售的生产厂商。公司拥有半导体集成电路生产的完整生产线(包括晶圆制造和IC封装),主要产品品种有MCU(微机控制单元)电路、遥控电路、显示驱动电路、通用LIC等。公司主要负责NEC电子及美国的客户,同时面向国内客户,开展Foundry产品的代研。是我国最早从事大规模集成电路设计、制造、封装和测试的高科技企业之一。由于技术合同到期,2013年12月,成为首钢总公司旗下的全资子公司。 该公司依托日本先进的半导体企业管理模式,严控制、高效率,建立了较为完备的生产管理系统。但企业信息系统的建设并不完善,还存在着各种问题。尤其是在制造业企业信息化的发展过程中,企业信息安全建设存在与企业发展不符的现象,有待于针对这些问题认真剖析展开调查进而解决,希望能够对企业今后的持续发展带来帮助。 二、企业信息管理的现状
论信息安全的风险防范与管理措施 本文结合各企事业单位信息安全管理现状与本单位的信息安全管理实践,重点论述了信息安全风险防范措施以及管理手段在信息安全建设中的重要性。 随着大数据时代的到来,互联网业务的飞速发展,人们对信息和信息系统依赖程度日益加深,同时,信息系统承载业务的风险上升,每天都会发生入侵、数据泄露、服务瘫痪和黑客攻击等安全事件。因此,信息安全已成为信息系统建设中急需解决的问题,人们对信息安全的需求前所未有地高涨起来。 一、信息安全建设中存在的问题 一直以来,许多企事业、机关政府在信息安全建设中,都存在以下2个方面的问题。 (1)存在重技术轻管理,重产品功能轻安全管理的问题。信息安全技术和产品的应用,在一定程度上可以解决部分信息安全问题,但却不是简单的产品堆砌,即使采购和使用了足够先进、数量充足的信息安全产品,仍然无法避免一些信息安全事件的发生。例如,在网络安全控制方面,如果在机房中部署了防火墙也配备了入侵检测设备,但配置却是”全通”策略,
那么防火墙及检测设备形同虚设。因此,安全技术需要有完备的安全管理来支持,否则安全技术发挥不了其应有的作用。 (2)欠缺信息安全管理体系的建设。有相当一部分单位的最高管理层对信息资产所面临威胁的严重性认识不足,缺乏信息安全意识及政策方针,以至于信息安全管理制度不完善,安全法律法规意识淡薄,防范安全风险的教育与培训缺失,或者即使有制度也执行不利。大部分单位现有的安全管理模式仍是传统的被动的静态的管理方法,缺少未雨绸缪的预见性,不是建立在安全风险评估基础上的动态的系统管理。 二、信息安全管理的含义与作用 信息安全管理是指整个信息安全体系中,除了纯粹的技术手段以外,为完成一定的信息安全目标,遵循安全策略,按照规定的程序,运用恰当的方法而进行的规划、组织、指导、协调、控制等活动,既经过管理而解决一些安全隐患的手段,信息安全管理是信息安全技术的重要补充。 信息安全管理包括三个方面的内容,一是在信息安全问题的解决过程中,针对信息安全技术管理内容;二是信息安全问题的解决过程中需要对人进行约束和规范的管理,如各?N规章制度、权限控制等内容;三
本程序,作为《WX-WI-IT-001 信息安全管理流程A0版》的附件,随制度发行,并同步生效。 信息安全风险评估管理程序 1.0目的 在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估,形成评估报告,描述风险等级,识别和评价供处理风险的可选措施,选择控制目标和控制措施处理风险。 2.0适用范围 在ISMS 覆盖范围内主要信息资产 3.0定义(无) 4.0职责 4.1各部门负责部门内部资产的识别,确定资产价值。 4.2IT部负责风险评估和制订控制措施。 4.3财务中心副部负责信息系统运行的批准。 5.0流程图 同信息安全管理程序的流程 6.0内容 6.1资产的识别 6.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别,确定资产价值。 6.1.2资产分类 根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员 等类。 6.1.3资产(A)赋值 资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析,选 择对资产机密性、完整性和可用性最为重要(分值最高)的一个属性的赋值 等级作为资产的最终赋值结果。资产等级划分为五级,分别代表资产重要性
的高低。等级数值越大,资产价值越高。 1)机密性赋值 根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产 2)完整性赋值 根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产 3)可用性赋值 根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。
3分以上为重要资产,重要信息资产由IT 部确立清单 6.2威胁识别 6.2.1威胁分类 对重要资产应由ISMS 小组识别其面临的威胁。针对威胁来源,根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等。 6.2.2威胁(T)赋值 评估者应根据经验和(或)有关的统计数据来判断威胁出现的频率。 威胁频率等级划分为五级,分别代表威胁出现的频率的高低。等级数值越大,威胁出现
佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 编写人员:黄世荣 编写日期:2015年12月7日 项目缩写: 文档版本:V1.0 修改记录: 时间:2015年12月
一、信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展过程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面,伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中小企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经刻不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系协同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重要的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由于新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的范围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,“三分技术,七分管理”的理念已经被广泛接受。结合ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管理能力。 二、ISO27001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下图所示)。首先,各个组织应该根据自身的状况来搭建适合自身业务发展和信息安全需求的ISO27001信息安全管理体系框架,并在正常的业务开展过程中具体
信息安全保障措施 网络与信息的安全不仅关系到公司正常业务的开展,还将影响到国家的安全,社会的稳定。我公司将认真开展网络与信息安全工作,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件。对有毒有害的信息进行过滤,对用户信息进行保密,确保网络与信息安全。 我公司承诺在开展信息服务业务时,将依照信息产业部颁布的《增值电信业务网络信息安全保障基本要求》(YDN126-2005)完善公司的网络与信息安全保障措施,制定相应的信息安全管理制度,建立网络与信息安全应急流程,落实信息安全责任.具体措施如下: 8-1、信息安全管理人员的要求: 8-1-1、信息安全联络员制度: 我公司将建立信息安全联络员制度,具体由赵建强担任,7*24小时,我公司承诺,如我公司信息安全联络员人员有变动和调整,将在2个工作日内以书面的方式向陕西省通信管理局进行汇报。 8-1-2、信息安全管理组织机构: 我公司将建立以副总经理徐国华为主的的,以公司技术部、研发部、市场部、客户部三个部门主管领导为成员的信息安全管理组织机构,全面负责公司网络与信息安全工作.具体由信息安全联络员赵建强负责实施,由公司技术部经理高强(7*24小时)担任公司信息系统安全员,由研发部经理刘斌(7*24小时)担任公司网络技术安全员具体实施和维护网络和信息安全。 8-2、信息安全管理制度要求: 8-2-1、信息安全管理职责 我公司信息安全主要由我公司信息安全联络员赵建强督促技术部和研发部实施,具体包含以下方面: A、对整个所管范围的信息系统安全问题负责。在安全方面网络安全员、系统管理员、网络管理员和操作员要服从信息系统安全员的领导和管理; B、负责信息系统安全策略、计划和事件处理程序的决策; C、负责安全建设和运营方案的决策; D、负责安全事件处理的决策;
一、信息安全管理 1、什么是信息安全管理,为什么需要信息安全管理? 国际标准化组织对信息安全的定义是:“在技术上和管理上维数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。当今的信息系统日益复杂,其中必然存在系统设计、实现、内部控制等方面的弱点。如果不采取适当的措施应对系统运行环境中的安全威胁,信息资产就可能会遭受巨大的损失甚至威胁到国家安全。 2、系统列举常用的信息安全技术? 密码技术、访问控制和鉴权;物理安全技术;网络安全技术;容灾与数据备份。 3、信息安全管理的主要内容有哪些? 信息安全管理从信息系统的安全需求出发,结合组织的信息系统建设情况,引入适当的技术控制措施和管理体系,形成了综合的信息安全管理架构。 4、什么是信息安全保障体系,它包含哪些内容? 5、信息安全法规对信息安全管理工作意义如何? 它能为信息安全提供制度保障。信息安全法律法规的保障作用至少包含以下三方面: 1.为人们从事在信息安全方面从事各种活动提供规范性指导; 2.能够预防信息安全事件的发生; 3.保障信息安全活动参与各方的合法权益,为人们追求合法权益提供了依据和手段。 二、信息安全风险评估 1、什么是信息安全风险评估?它由哪些基本步骤组成? 信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。风险评估可分为四个阶段,第一阶段为风险评估准备;第二阶段为风险识别,第三阶段为风险评价,第四阶段为风险处理。 2、信息资产可以分为哪几类?请分别举出一两个例子说明。 可以分为数据、软件、硬件、文档、人员、服务。例如:软件有系统软件、应用软件、源程序、数据库等。服务有办公服务、网络服务、信息服务等。 3、威胁源有哪些?其常见表现形式分别是什么?
信息安全风险管理办法 北京国都信业科技有限公司 2017年10月
前言 本程序所规定的是北京国都信业科技有限公司企业的信息安全风险管理原则,在具体实施过程中,各部门可结合本部门的实际情况,根据本程序的要求制定相应的文件,以便指导本部门的实施操作。 本制度自实施之日起,立即生效。 本制度由北京国都信业科技有限公司企业信息管理部起草。 本制度由北京国都信业科技有限公司企业信息管理部归口管理。
1目的 为规范北京国都信业科技有限公司企业(以下简称“本公司”)信息安全风险管理体系,建立、健全信息安全管理制度,确定信息安全方针和目标,全面覆盖信息安全风险点,对信息安全风险进行有效管理,并持续改进信息安全体系建设。 2范围 本制度适用于本公司信息管理部信息安全风险管理应用及活动。 3术语和定义 无。 4职责 信息管理部作为本公司信息安全管理的主管部门,负责实施信息安全管理体系必要的程序并维持其有效运行,制定信息安全相关策略、制度、规定,对信息管理活动各环节进行安全监督和检查,信息安全培训、宣传,信息安全事件的响应、处理及报告等工作。 信息安全管理人员负责全行信息安全策略的执行和推动。 5管理规定 5.1信息安全管理内容 信息安全管理内容应覆盖信息管理、信息管理相关的所有风险点,包括用户管理、身份验证、身份管理、用户管理、风险评估、信息资产管理、网络安全、病毒防护、敏感数据交换等内容。 5.2信息管理岗位设置 为保证本公司信息安全管理,设置信息管理部岗位分工及职责时,应全面考虑信息管理工作实际需要及责任划分,制定详细的岗位分工及职责说明,对信息
管理人员权限进行分级管理,信息管理关键岗位有设置AB 角。应配备专职安全管理员,关键区域或部位的安全管理员符合机要人员管理要求,对涉密人员签订了保密协议。 5.3信息安全人员管理 5.3.1人员雇佣安全管理 信息管理人员的雇佣符合如下要求: 信息管理人员的专业知识和业务水平达到本公司要求; 详细审核科技人员工作经历,信息管理人员应无不良记录; 针对正式信息管理人员、临时聘用或合同制信息管理人员及顾问,采取 不同的管理措施。 5.3.2人员入职安全管理 在员工工作职责说明书中除了要说明岗位的一般职责和规范以外,还要加入与此岗位相关的信息安全管理规范,具体内容参看各个安全管理规范中的适用范围部分。人员入职必须签订保密协议,在人员的入职培训内容中应该包括信息安全管理规范的相关内容解释和技术培训。 5.3.3人员安全培训 根据工作岗位对从业者的能力需求、从业者本身的实际能力以及从业者所面临信息安全风险,确定培训内容。考虑不同层次的职责、能力、文化程度以及所面临的风险,信息安全主管部门应该根据培训需求组织培训,制定培训计划,培训计划包括:培训项目、主要内容、主要负责人、培训日程安排、培训方式等,培训前要写好培训方案,并通知相关人员,培训后要进行考核。 5.3.4人员安全考核 人事部门对人员进行的定期考核中应该包括安全管理规范的相关内容。 5.3.5人员离职安全管理 本公司人员离职手续中应该包括如下安全相关的内容: