组织与人员安全管理.ppt

1、第6章 组织与人员安全管理,内容提要,国家信息安全组织 企业信息安全组织 信息安全的角色与职务 人员安全及其教育、培训和意识提升,6.1 国家信息安全组织,宏观 中华人民共和国计算机信息系统安全保护条例第四条：“公安部主管全国的计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学角色等重要领域的计算机信息系统的安全”。 微观 中华人民共和国计算机信息系统安全保护条例第十三条：“计算机信息系统的使用单位应当建立健全安全管理制度，负责本单位计算机信息系统的安全保护工作”。,6.1 国家信息安全组织,6.1.1 信息安全组织的基本要求,信息安全组织应当由单位安全负责人领导 具

2、体工作应当由专门的安全负责人负责 安全组织成员类型的多样性 安全组织有着双重的组织联系 信息安全组织的运行应独立于信息系统的运行，同时是一个综合性的组织。,6.1.2 信息安全组织的基本标准,逐级信息安全防范责任制，各级的职责划分明确 明确信息系统使用部门或岗位的安全责任 有专职或兼职的安全员 有健全的安全管理规章制度 在工作人员中普及安全知识 定期进行信息系统风险评估，并对信息安全实行等级保护制度 在安全各方面采取必要的安全措施 对本部门信息系统的安全保护工作有档案记录和应急计划 严格执行信息安全事件上报制度 对信息系统安全保护工作定期总结评比,6.1.3 信息安全组织的基本任务,在政府主管

3、部门的管理指导下定期或适时进行风险评估，根据本单位的实际情况和需要，确定信息系统的安全等级和管理总体目标，提出相应的对策并监督实施。,6.1.4 信息安全组织的职能,负责与信息安全有关方面的决策与实施 根据安全需求建立各自信息系统的安全策略和安全目标 建立和健全有关的实施细则 与各级国家信息安全主管机关、技术和保卫机构建立日常工作关系 参与本单位及下属单位的信息系统的安全管理工作 建立和健全系统安全操作规程和制度 明确信息安全各岗位人员的职责和权限 奖罚并重 执行信息安全报告制度,6.1.5 信息安全组织的规模,大型机构 大型机构有1 000台以上的设备需要安全管理，一般都有专门的职员来支持安

4、全项目。 专职安全人员的配置依赖于大量的因素，包括所保护信息的敏感性、行业规则（如金融业和卫生保健业）以及收益率。公司用于人员预算的资源越多，则越有可能保持较大的信息安全人员配置。 注：这主要取决于机构的文化意识。 如果上层管理者认为信息安全只是在浪费时间和资源，那么信息安全项目将得不到有力的支持，信息安全人员所做的努力会被认为与机构的任务相抵触，不利于机构生产率的提高；相反，如果管理层对信息安全有较高的认识并且态度积极，那么安全项目不管是在经济上还是在其他方面都有可能得到很大的支持。,6.1.5 信息安全组织的规模,一个典型的大型机构平均有 1 个专职安全管理人员，4 个专职的安全系统管理员

5、或技术员和 15 个兼职人员，这些兼职人员除了其他的工作职责外还有信息安全职责。,6.1.5 信息安全组织的规模,中型机构 中型机构拥有 100 1000 台要求安全管理的机器。 这些机构也可能大到足以执行多级安全方法，虽然这种方法是为大型机构提供的，但这些机构也可以使用这种方法，只是专门小组的数量会减少，而每个小组会有更多的功能。 当信息安全部门没有能力为某项功能配置人员，并且机构不支持或要求 IT或其他部门代为执行该项功能时，中型机构趋向于忽略一些特别功能。在这种情况下，CISO 必须增强各小组之间的协作，而且必须有能力执行相关决定 。,6.1.5 信息安全组织的规模,中型机构中的全职和兼

6、职员工要明显地少于大型机构，可能只有 1 个全职安全人员，以及 3 个兼职信息安全人员。,6.1.5 信息安全组织的规模,小型机构 管理少于 100 个系统的小型机构面临特殊的挑战。 小型机构中的信息安全管理常常是一个多面手的责任，他是一个单独的安全管理员，可能会有1 2个助手来协助他管理技术工作。由此，安全管理员常常是处理桌面管理、病毒防护以及本地网络安全问题。 小型机构的资源通常有限，所以安全管理员常常会求助于免费软件和黑客软件以降低评估和执行安全的成本。在小型机构中，安全培训与安全意识提升通常实施在一个一对一的基础上，安全管理员直接向需要帮助的用户提出建议。 注：小型机构的规模让它们避免

7、了一些前面提到的威胁。,6.1.5 信息安全组织的规模,小型机构有 1 个全日制安全人员对信息安全负责，或者，更可能是一个全日制 IT 人员在附带管理或指导信息安全工作。当然他可能会有 12 个助手协助工作。,6.2 企业信息安全组织,建立有效的信息安全组织是企业安全管理的基础。,6.2.1 企业信息安全组织的构成,信息安全决策机构 信息安全管理机构 信息安全执行机构,6.2.1.1 信息安全决策机构,信息安全决策机构应当由组织的的最高管理层、与信息安全管理有关的部门负责人和管理技术人员组成，其职责是为组织信息安全管理提供向导与支持。 任务包括： （1）评审和审批信息安全方针 （2）分配信息安

8、全管理职责 （3）确认风险评估的结果 （4）对与信息安全管理有关的重大更改事项 （5）评审和检测信息安全事故 （6）审批与信息安全管理有关的其他重要事项,6.2.1.2 信息安全管理机构,信息安全管理机构主要通过对人力资源的管理，完成对事件、任务和事务的管理。 任务包括： （1）对安全事件进行评估，确定应采取的安全响应级别 （2）确定对安全事件的响应策略及技术手段 （3）管理信息安全相关的日常工作 （4）管理信息安全相关的人力资源 （5）管理信息安全组织内部和外部的相关信息 （6）管理信息安全组织的资产,6.2.1.3 信息安全执行机构,信息安全执行机构是信息安全事件的响应机构。 主要人员组成

9、： （1）信息安全技术人员 （2）信息系统集成技术人员 （3）计算机网络与通信技术人员 （4）信息安全法律专家 （5）信息系统（硬件、软件）技术人员,6.2.2 企业信息安全组织职能,（1）建立内部信息安全协调机制 （2）明确职责 （3）建立信息处理设施授权程序 （4）建立渠道，获取信息安全建议 （5）加强与政府机构的协作 （6）对组织信息安全进行独立评审 （7）识别与外部组织访问相关的风险 （8）对外部组织访问控制 （9）外包控制,6.2.2 企业信息安全组织职能,识别与外部组织访问相关的风险 访问类型包括： 物理访问：例如进入办公室、计算机机房和档案室等； 逻辑访问：例如访问组织的数据库和

10、信息系统等； 网络连接：例如永久性连接和远程访问等。（6）对组织信息安全进行独立评审 外部组织访问的风险的识别应考虑以下问题： 外部组织需要访问的信息处理设施； 所涉及信息的价值和敏感性，及对业务运行的危险程度 处理组织信息所涉及的外部组织的人员,6.2.2 企业信息安全组织职能,对外部组织访问控制 对外部组织访问应实行访问授权管理 对于经过授权进行物理访问的外部组织，应佩带易于识别的标志 对于长期访问的外部组织，应通过签订信息安全协议,6.2.2 企业信息安全组织职能,外包控制 在双方的合同中明确规定信息系统、网络和（或）桌面系统环境的风险管理、安全控制措施与实施程序，并按照合同的要求进行实

11、施。,6.3 信息安全角色和职务,信息安全职务可分为 3 种类型：制定、建立、管理。 制定者提供策略、方针和标准，还提供咨询和风险评估，以及开发产品、制定技术架构。 建立者是真正的技术人员，负责建立和制定安全解决方案 管理者操作和管理安全工具、实施安全监控以及不断地改进解决方案。 也就是说，由具备一定资历的人员作为制定者，由擅长技术的人员作为建立者，而一部分人员作为操作主管。,6.3 信息安全角色和职务,一个典型的机构有着许多具有信息安全责任心的人，大多数工作可分为以下几种类别： 首席信息安全官（CISO） 安全主管 安全管理员和分析员 安全技术人员 安全工作人员 安全顾问 安全官员和调查员

12、客户服务人员,6.3 信息安全角色和职务,6.3 信息安全角色和职务,首席信息安全官（CISO） CISO 主要负责机构信息安全项目的评估、管理和实施。该职务也被称做安全主管、安全管理者等。CISO 一般直接向 CIO 汇报。 安全主管 安全主管负责信息安全项目的日常运作，完成 CISO 确定的目标，他们还要解决技术人员、管理员、分析员或他们管理的员工所提出的一系列问题。 注：管理技术本身就需要首先对技术理解，但并不一定需要掌握技术的配置、操作以及故障的排除。,6.3 信息安全角色和职务,安全管理员和分析员 安全管理员负有安全技术人员和安全主管的双重责任，同时具备技术知识和管理技能，负责管理安

13、全技术的日常运作，同时还要协助制定和管理培训计划、策略等。 安全分析员是专门的安全管理员。在传统的 IT 部门中，安全管理员协助系统管理员或数据库管理员工作，而安全分析员则协助系统分析员工作。 安全技术人员 安全技术人员是具备一定技术资格的人员，他们负责配置防火墙和 IDS、运行安全软件、诊断问题所在、解决问题以及配合系统和网络管理员以确保安全技术的合理应用。 安全技术人员要专业化，即要擅长某种安全技术（防火墙、IDS、服务器、路由器或软件），甚至对某种特定的软件或硬件也很熟悉，要在这类技术上达到高度专业化是很困难的。,6.3 信息安全角色和职务,安全工作人员 “安全工作人员”是一个广泛的概念

14、，指那些完成日常工作的员工。他们负责观察入侵控制台、监控电子邮件账户以及执行其他日常工作，还包括支持信息安全部门工作的重要人员 。 安全顾问 信息安全顾问是信息安全某些领域的专家（灾难恢复、业务连续性计划、安全架构、策略制定或战略计划）。当机构决定将安全项目的一个或多个部分外包时，就会聘请安全顾问。 安全官员和调查员 客户服务人员 客户服务技术人员在信息安全中的工作要求高度的专业化，他们有必要接受专业化的训练。他们必须随时准备识别和诊断信息安全中存在的传统技术问题和威胁，这样可以节省事故响应的宝贵时间。,6.4 人员安全及其教育、培训和意识提升,信息资产所面临的最大威胁来自人类自身的错误，教育

15、、培训和意识提升有两大好处： 改善员工的行为 使员工对他们的工作更具责任感 教育、培训和意识提升有3种途径： 根据需要纵向拓展知识，以设计和执行本机构的安全项目 让计算机用户学习技能和知识，以便能更安全地使用 IT 系统完成自身的工作 提升系统资源的保护意识,6.4 人员安全及其教育、培训和意识提升,信息安全教育的对象主要包括： 领导和管理人员 信息系统的工程技术人员，包括系统研发和维护人员 一般用户 计算机及设备生产厂商 法律工作者 其他有关人员,6.4.1 安全教育,信息安全领域内存在许多分支学科，每一学科都可能有不同的知识需求。例如： 关注管理的学生想在政策、计划、个人管理和别的方面得到培养； 侧重在技术方面的学生可能需要在诸如 Windows网络安全、防火墙、IDS、远程访问和身份鉴定等特定领域方面的课程。 认证信息系统安全专家（CISSP） 系统安全从业者认证（SSCP） 全球信息保证证书（GIAC）,6.4.2 安全培训,安全培训涉及到给机构成员提供详细信息和管理设备，使他们能够安全地履行职责 。 有两种用户化的培训方法： 基于功能背景的培训 一般用户 管理类用户 技术用户 基于技能水平的培训 初学者 中等水平 高水平,6.4.3 安全意识提升,安全意识提升项目使用户在日常工作中首先想到的就是保护信息的安全，在控制和处理信息的员工之中慢慢