【正文】 培訓和嚴格考核，取得證書后方能上崗。 信息安全機構(gòu)和隊伍 – 4) 人員培訓。對從事信息安全工作的人員應進行崗前培訓，使其掌握基本的技能；崗中定期培訓，使其不斷更新觀念，掌握新技術(shù)。培訓的內(nèi)容包括法律法規(guī)、職業(yè)道德、技術(shù)技能等方面。 – 5) 人員考核。對從事信息安全工作的各類人員要從思想作風、工作態(tài)度、遵守規(guī)章制度、業(yè)務能力等方面定期進行考核。 信息安全機構(gòu)和隊伍 – 6) 權(quán)力分散。要注意合理分配權(quán)限，將權(quán)限控制在合理范圍內(nèi)，以便于相互制約。 – 7) 人員離崗。因為工作的需要或不適合繼續(xù)做信息安全工作而調(diào)離崗位的，必須要求其履行保密協(xié)議，承諾保密事項，并交出有關(guān)的資料或證件。 信息安全管理制度 ?信息安全已不只是傳統(tǒng)意義上的添加防火墻或路由器等簡單設備就可實現(xiàn)的，而是一種系統(tǒng)和全局意義上的安全。信息安全管理制度是保證信息安全的基礎，需要通過一系列規(guī)章制度的實施，來確保各類人員按照規(guī)定的職責行事，做到各行其職、各負其責，避免責任事故的發(fā)生和防止惡意侵犯。 信息安全管理制度 ?常見的信息安全管理制度主要涉及：人員安全管理、設備安全管理、運行安全管理、安全操作管理、應急維護、安全等級保護、有害數(shù)據(jù)及計算機病毒防范管理、敏感數(shù)據(jù)保護、安全技術(shù)保障、安全計劃管理等。 信息安全管理制度 ?制定信息安全管理制度應遵循如下原則： – 1) 規(guī)范化。各階段都應遵循安全規(guī)范要求，根據(jù)安全需求，制定安全策略。 – 2) 系統(tǒng)化。根據(jù)安全工程的要求，對系統(tǒng)各階段，包括以后的升級、換代和功能擴展等進行全面統(tǒng)一地考慮。 – 3) 綜合保障。從人員、資金、技術(shù)等多方面考慮綜合保障。 信息安全管理制度 – 4) 以人為本。技術(shù)是關(guān)鍵，管理是核心，要不斷提高管理人員的技術(shù)素養(yǎng)和道德水平。 – 5) 首長負責。確保把安全管理落到實處。 – 6) 預防。安全管理以預防為主、并有一定的超前意識。 – 7) 風險評估。對系統(tǒng)定期進行風險評估以改進系統(tǒng)的安全狀況。 信息安全管理制度 – 8) 動態(tài)。根據(jù)環(huán)境的改變和技術(shù)的進步，提高系統(tǒng)的保護能力。 – 9) 成本效益。根據(jù)資源價值和風險評估結(jié)果，采用適度的保護措施。 – 10) 均衡防護。根據(jù)“木桶原則” (“木桶的最大容積取決于最短的一塊木板” ) ，整個系統(tǒng)的安全強度取決于某些薄弱環(huán)節(jié)，片面追求某個方面的安全強度對整個系統(tǒng)沒有實際意義。 信息安全管理制度 ?此外，在信息安全管理的具體實施過程中還應遵循如分權(quán)制衡、最小特權(quán)、職權(quán)分離、普遍參與、獨立審計等一些原則。 信息安全管理標準 ?信息安全管理的原則之一就是規(guī)范化、系統(tǒng)化，如何在信息安全管理實踐中落實這一原則，需要相應的信息安全管理標準。 ?BS7799是英國標準協(xié)會 (BSI) 制定的在國際上具有代表性的信息安全管理體系標準。該標準包括兩個部分： 《 信息安全管理實施細則 》 BS77991和 《 信息安全管理體系規(guī)范 》 BS77992。 信息安全管理標準 ?其中， BS7799l目前已正式轉(zhuǎn)換成 ISO國際標準，即 《 信息安全管理體系實施指南 》 ISO17799，并于 2023年 12月 1日頒布。該標準綜合了信息安全管理方面優(yōu)秀的控制措施，為組織在信息安全方面提供建議性指南。該標準不是認證標準，但組織在建立和實施信息安全管理體系時，可考慮采取該標準建議性的措施。 信息安全管理標準 ?BS77992標準也將轉(zhuǎn)換成 ISO國際標準的過程中。BS77992標準主要用于對組織進行信息安全管理體系的認證，因此，組織在建立信息安全管理體系時，必須考慮滿足 BS77992的要求。 信息安全的法律保障 ?網(wǎng)絡的安全性已經(jīng)上升到關(guān)乎國家安全、公共安全的層面，在我國，已經(jīng)初步形成了一個保護網(wǎng)絡安全的法律體系。我國憲法明確規(guī)定了公民具有保守國家秘密的義務；基本法律中有 《 保守國家秘密法 》 、 《 刑法 》 分則中的相關(guān)規(guī)定； 信息安全的法律保障 ?行政法規(guī)有 《 中華人民共和國計算機信息系統(tǒng)安全保護條例 》 、 《 中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定 》 、 《 計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法 》 等；此外，大量的行政規(guī)章和地方性法規(guī)也對計算機信息系統(tǒng)安全做了規(guī)定。 信息安全工程的設計原則 ?信息安全既不是純粹的技術(shù)，也不是簡單的安全產(chǎn)品的堆砌，而是一項復雜的系統(tǒng)工程。信息安全工程采用工程的概念、原理、技術(shù)和方法，來研究、開發(fā)、實施與維護企業(yè)級信息與網(wǎng)絡系統(tǒng)安全的過程，它是將經(jīng)過時間考驗證明是正確的工程實施流程、管理技術(shù)和當前能夠得到的最好的技術(shù)方法相結(jié)合的過程。 信息安全工程的設計原則 ?根據(jù)防范安全攻擊的安全需求、需要達到的安全目標、對應安全機制所需的安全服務等因素，參照 SSECMM (系統(tǒng)安全工程能力成熟模型 ) 和ISO17799 (信息安全管理標準 ) 等國際標準，綜合考慮可實施性、可管理性、可擴展性、綜合完備性、系統(tǒng)均衡性等多個方面，信息安全工程在整體設計過程中應遵循以下 9項原則。 信息安全工程的設計原則 – (1) 木桶原則。是指對信息進行均衡、全面的保護。充分、全面、完整地對系統(tǒng)的安全漏洞和安全威脅進行分析，評估和檢測 (包括模擬攻擊 ) 是設計信息安全系統(tǒng)的必要前提條件。安全機制和安全服務設計的首要目的是防止最常用的攻擊手段，根本目的是提高整個系統(tǒng)“最低點”的安全性能。 信息安全工程的設計原則 – (2) 整體性原則。要求在發(fā)生被攻擊、破壞事件的情況下，必須盡可能地快速恢復信息系統(tǒng)的服務，減少損失。因此，信息安全系統(tǒng)應該包括安全防護機制、安全檢測機制和安全恢復機制。 信息安全工程的設計原則 – (3) 安全性評價與平衡原則。任何網(wǎng)絡都難以達到絕對的安全，況且也不一定是必要的。所以，需要建立合理的實用安全性與用戶需求評價與平衡體系。安全體系設計要正確處理需求、風險與代價的關(guān)系，做到安全性與可用性相容。評價信息系統(tǒng)是否安全，沒有絕對的評判標準和衡量指標，只能決定于系統(tǒng)的用戶需求和具體的應用環(huán)境，具體取決于系統(tǒng)的規(guī)模和范圍，系統(tǒng)的性質(zhì)和信息的重要程度。 信息安全工程的設計原則 – (4) 標準化與一致性原則。系統(tǒng)是一個龐大的系統(tǒng)工程，其安全體系的設計必須遵循一系列的標準，才能確保各個部分的一致性，使整個系統(tǒng)安全地互聯(lián)互通、信息共享。 – (5) 技術(shù)與管理相結(jié)合原則。安全體系是一個復雜的系統(tǒng)工程，涉及人、技術(shù)、操作等各方面要素，單靠技術(shù)或管理都不可能實現(xiàn)。因此，必須將各種安全技術(shù)與運行管理機制、人員思想教育與技術(shù)培訓、安全規(guī)章制度建設相結(jié)合。 信息安全工程的設計原則 – (6) 統(tǒng)籌規(guī)劃，分步實施原則。由于政策規(guī)定或服務需求的不明朗，環(huán)境、條件與時間的變化，攻擊手段的進步等，安全防護不可能一步到位?？稍谝粋€比較全面的安全規(guī)劃下，根據(jù)實際需要，先建立基本的安全體系，保證基本的、必需的安全性。隨著規(guī)模的擴大及應用的增加，應用和復雜程度的變化，調(diào)整或增強安全防護力度，保證最根本的安全需求。 信息安全工程的設計原則 – (7) 等級性原則。是指安全層次和安全級別。包括對信息保密程度分級，對用戶操作權(quán)限分級，對網(wǎng)絡安全程度分級 (安全子網(wǎng)和安全區(qū)域 ) ，對系統(tǒng)實現(xiàn)結(jié)構(gòu)的分級 (應用層、網(wǎng)絡層、鏈路層等 ) ，針對不同級別的安全對象，提供全面、可選的安全算法和安全體制，以滿足網(wǎng)絡中不同層次的各種實際需求。 – (8) 動態(tài)發(fā)展原則。要根據(jù)網(wǎng)絡安全的變化不斷調(diào)整安全措施，適應新的網(wǎng)絡環(huán)境，滿足新的網(wǎng)絡安全需求。 信息安全工程的設計原則 – (9) 易操作性原則。首先，安全措施需要人為地去完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性；其次，措施的采用不能影響系統(tǒng)的正常運行。 信息安全工程的設計步驟 ?信息安全工程的設計包括信息安全風險分析與評估、制定信息安全策略、需求分析和設計企業(yè)信息系統(tǒng)的安全體系等幾個方面。 信息安全工程的設計步驟 ?(1) 信息安全風險分析與評估 ?一個完整的安全體系和安全解決方案是根