信息安全管理信息安全管理制度

1.信息安全的定义:保护信息的保密性、完整性、可用性;另外也包括其他属性,如真实性、可核查性、不可抵赖性和可靠性。

2.信息安全属性及目标。

(1)保密性(Confidentiality) :是指信息不被泄露给未授权的个人、实体和过程或不被其使用的特性。数据的保密性可以通过下列技术实现:网络安全协议、身份认证服务、数据加密。

(2)完整性(Integrity):是指保护资产的正确和完整的特性。即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成和正确 存储和传输。确保数据完整性的技术包括: CA认证、数字签名、防火墙系统、传输安全(通信安全)、入侵检测系统。

(3)可用性(Availability) :是指需要时,授权实体可以访问和使用的特性。– –些确保可用性的技术包括:磁盘和系统的容错、可接受的登录及进程性能、可靠的功能性的安全进程和机制、数据冗余及备份。

(4)保密性、完整性、可用性是信息安全最为关注的三个属性,因此这三个特性也经常被称为信息安全三元组,这也是信息安全通常所强调的目标。

(5)其他属性及目标。真实性是指对信息的来源进行判断;可核查性是指系统实体的行为可以被独一无二地追溯到该实体的特性;不可抵赖性是指建立有效的责任机制防止用户否认其行为;可靠性是指系统在规定的时间和给定的条件下无故障完成规定功能的概率。

信息系统安全

1.信息系统安全属性:保密性、完整性、可用性、不可抵赖性。

(1)保密性是应用系统的信息不被泄露给非授权的用户、实体或过程,或供其利用的特性。常用保密技术有:最小授权原则、防暴露、信息加密、物理保密。

(2)完整性是信息未经授权不能进行改变的特性。保障方法有:协议、纠错编码方法、密码校验和方法、数字签名、公证。

(3)可用性是应用系统信息可被授权实体访问并按需求使用的特性。

(4)不可抵赖性也称作不可否认性,在应用系统的信息交互过程中,确信参与者的真实同一性。

物理安全管理

1.物理安全管理包括:安全区域的管理、设备设施的安全管理、对环境威胁的防范、电磁辐射的管理。

2.计算机机房与设施安全。

(1)对计算机机房的安全保护包括机房场地选择、机房防火、机房空调、降温、机房防水与防潮、机房防静电、机房接地与防雷击、机房电磁防护等。

(2)机房供、配电分为:分开供电、紧急供电、备用供电、稳压供电、电源保护、不间断供电、电器噪声防护、突然事件防护。

(3)计算机设备的安全保护包括:设备的防盜和防毁、设备的安全可用。

(4)通信线路安全防护分为:确保线路畅通、发现线路截获、及时发现线路截获、防止线路截获。

3.环境与人身安全主要是防火、防漏水和水灾、防静电、防自然灾害以及防物理安全威胁等。

人员安全管理.

1.对信息系统岗位人员的管理包括:对关键岗位人员统– –管理、 兼职和轮岗要求、权限分散要求、多人共管要求、全面控制要求。

(1)对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发人员、系统维 护人员和重要业务应用操作人员等信息系统关键岗位人员进行统一管理; 允许– –人多岗,但业务应用操作人员不能由其他关键岗位人员兼任;关键岗位人员应定期接受安全培训,加强安全意识和风险防范意识。

(2)兼职和轮岗要求:业务开发人员和系统维护人员不能兼任或担负安全管理员、系统管理员、数据库管理员、网络管理员和重要业务应用操作人员等岗位或工作;必要时关键岗位人员应采取定期轮岗制度。

(3)权限分散要求:在上述基础上,应坚持关键岗位“权限分散、不得交叉覆盖”的原则,系统管理员、数据库管理员、网络管理员不能相互兼任岗位或工作。

(4)多人共管要求:在上述基础上,关键岗位人员处理重要事务或操作时,应保持二人同时在场,关键事务应多人共管。

(5)全面控制要求:在上述基础上,应采取对内部人员全面控制的安全保证措施,对所有岗位工作人员实施全面安全管理。

变更管理

变更管理角色职责与工作程序

1.角色职责。

(1)项目的任何干系人都可以提出变更申请。

(2)项目控制委员会或配置控制委员会(CCB) 或相关职能的类似组织是项目的所有者权益代表,负责裁定接受哪些变更。CCB由项目所涉及的多方人员共同组成,通常包括用户和实施方的决策人员。CCB是决策机构,不是作业机构。通常CCB的工作是通过评审手段来决定项目基准是否能变更,但不提出变更方案。

(3) CCB 查通常是文档会签形式。也可以召开正式会议。决策可以是:①批准;②否决;③延期;④要求补充材料。

(4)项目经理在变更中的作用是响应变更提出者的需求,评估变更对项目的影响及应对方案,将需求由技术要求转化为资源需求,供授权人决策,并据评审结果实施,即调整基准,确保项目基准反映项目实施情况。

2.变更管理的工作程序。

(1) 变更管理的工作程序包括以下八个步骤:

1)提出与接受变更申请; ;

2)对变更的初审;

3)变更方案论证;

4)项目管理委员会审查;

5)发出变更通知并组织实施;

6)变更实施的监控;

7)变更效果的评估;

8)判断发生变更后的项目是否已纳入正常轨道。

(2)提出与接受变更申请:变更提出应当及时以正式方式进行,并留下书面记录。变更的提出可以是各种形式,但在评估前应以书面形式的提出。项目的干系人都可以提出变更申请。

3.变更管理的原则

(1)变更管理的原则是项目基准化、变更管理过程规范化。

(2)变更管理包括以下内容: .

1)基准管理,基准是变更的依据。

2)变更控制流程化。

3)明确组织分工。

4)评估变更的可能影响。

5)妥善保存变更产生的相关文档,确保其完整、及时、准确、清晰,适当时可以引入配置管理工具。

Published by

风君子

独自遨游何稽首 揭天掀地慰生平