【正文】 任，對于保障我國信息化工作的正常發(fā)展，保護信息安全起到了重要的作用。 9）例外情況的處理 。因為多種策略可能相互關(guān)聯(lián)，引用關(guān)系可以描述策略的層次結(jié)構(gòu)，而且在策略修改時候也經(jīng)常涉及其他相關(guān)策略的調(diào)整，清楚的引用關(guān)系可以節(jié)省查找的時間。②相關(guān)的法律法規(guī)發(fā)生了變化。 5）策略的生效時間和有效期。⑨備份、災(zāi)難恢復(fù)和可持續(xù)發(fā)展的要求。⑤外圍處理系統(tǒng)的安全。通常一個組織可能會考慮開發(fā)下列主題的信息安全管理策略：①設(shè)備和及其環(huán)境的安全。 例如 ， “為確保企業(yè)的經(jīng)營 、 技術(shù)等機密信息不泄漏 ， 維護企業(yè)的經(jīng)濟利益 ， 根據(jù)國家有關(guān)法律 ， 結(jié)合企業(yè)實際 ， 特制定本條例 。信息安全策略應(yīng)包含下列一些內(nèi)容 ： 1）適用范圍。 策略的一致性包括下面三個層次： ① 和國家 、 地方的法律法規(guī)保持一致； ② 和組織己有的策略 、 方針保持一致； ③ 整體安全策略保持一致 ， 要反映企業(yè)對信息安全的一般看法 。 策略應(yīng)該經(jīng)濟合理 ， 過分復(fù)雜和草率都是不可取的 。 3） 可行性 。 1） 目的性 。一個成功的安全策略應(yīng)當遵循： 1） 綜合平衡 (綜合考慮需求 、 風(fēng)險 、 代價等諸多因素 )。健全的管理制度、良好的設(shè)備使用制度，結(jié)合專門的機構(gòu)與人員，可以對網(wǎng)絡(luò)與信息進行綜合防護。本章介紹安全管理相關(guān)的知識。 2） 整體優(yōu)化 (利用系統(tǒng)工程思想 ， 使系統(tǒng)總體性能最優(yōu) )。 策略是為組織完成自己的信息安全使命而制定的 ， 策略應(yīng)該反映組織的整體利益和可持續(xù)發(fā)展的要求 。 策略應(yīng)該具有切實可行性 ， 其目標應(yīng)該可以實現(xiàn) ， 并容易測量和審核 。 5） 完整性 。 7）彈性 。 包括人員范圍和時效性，例如 “本規(guī)定適用于所有員工 ”，“適用于工作時間和非工作時間 ”。 ”明確了信息安全保護對公司是有著重要意義的 ， 而且與國家的法律法規(guī)是一致的 。②信息的分級和人員責(zé)任。⑥計算機和網(wǎng)絡(luò)的訪問控制和審核。 4）策略簽署。舊策略的更新和過時策略的廢除也是很重要的，應(yīng)該保持生效的策略中包含新的安全要求。③企業(yè)信息系統(tǒng)或者信息技術(shù)發(fā)生了大的變化。 8）策略解釋 。策略不可能做到面面俱到，在策略中應(yīng)提供特殊情況下的安全通道。 10 建立信息安全機構(gòu)和隊伍 信息安全管理機構(gòu) 一個組織的信息安全對本企業(yè)也是非常重要的 ， 因此 ， 對信息的安全管理是不容忽視的問題 ， 必須要引起組織最高領(lǐng)導(dǎo)層的充分重視 。 2） 管理機構(gòu) 。 凡對信息安全有需求的組織 ， 必須成立相應(yīng)的安全機構(gòu) 、 配備必要的管理人員和技術(shù)人員 、 制定規(guī)章制度 、 配備安全設(shè)備 、 從而保障信息安全管理工作的正常開展 。 信息安全領(lǐng)導(dǎo)小組是組織中信息安全工作最高領(lǐng)導(dǎo)決策機構(gòu)，不隸屬任何部門，直接對組織最高領(lǐng)導(dǎo)層負責(zé)。 3） 領(lǐng)導(dǎo)本組織信息系統(tǒng)的安全工作 ， 并監(jiān)督整個信息系統(tǒng)安全體系的日常工作 。 6） 審核批準安全年報 、 安全教育計劃 。 3） 決定信息系統(tǒng)是否要采取安全措施 。 7） 審定并公布本組織信息安全規(guī)章制度 。 14 建立信息安全機構(gòu)和隊伍 信息安全管理機構(gòu) (續(xù) ) （ 4）領(lǐng)導(dǎo)小組決策的依據(jù) 1）系統(tǒng)信息安全管理員提供的報告。 5）組織信息安全事故初步分析報告。 15 建立信息安全機構(gòu)和隊伍 信息安全管理機構(gòu) (續(xù) ) 2． 信息安全顧問委員會 組織信息安全顧問委員會以信息安全領(lǐng)導(dǎo)小組成員為核心 ， 邀請本組織或社會上信息安全 、 法律政策 、 行政 （ 企業(yè) ） 管理 、 技術(shù)專家 、 組織策劃等有關(guān)方面專家學(xué)者參加 ， 組成智囊團 ， 對組織信息安全領(lǐng)導(dǎo)小組負責(zé) 。 2） 其他人員由系統(tǒng)管理 、 系統(tǒng)分析 、 通信 、 軟件 、 硬件 、 保衛(wèi) 、 保密 、機要 、 監(jiān)察和人事等有關(guān)方面的工作人員組成 。 3） 定期向組織信息安全領(lǐng)導(dǎo)小組匯報工作 ， 報告工作計劃 。 7） 定期檢查各部門的安全工作 ， 及時通報檢查結(jié)果和違章行為 。 11）起草年度信息安全工作報告和有關(guān)信息安全宣傳、教育、培訓(xùn)計劃。 19 15）根據(jù)國家和上級保密工作規(guī)定，審查系統(tǒng)操作人員對系統(tǒng)信息的使用，審查系統(tǒng)對外發(fā)表的信息，防止發(fā)生泄密。 19）定期做信息系統(tǒng)的漏洞檢查，向本組織安全領(lǐng)導(dǎo)小組提供信息安全管理系統(tǒng)的風(fēng)險分析報告，提出相應(yīng)的對策和實施計劃。 1）政治可靠，對組織忠誠。 5）從事網(wǎng)絡(luò)系統(tǒng)操作或管理的工作人員應(yīng)是具備一定實踐經(jīng)驗的網(wǎng)絡(luò)工程師。保證符合安全保密規(guī)定 。 23 建立信息安全機構(gòu)和隊伍 信息安全隊伍 (續(xù) ) 3．信息安全工作人員的崗位職責(zé) （ 2）系統(tǒng)安全員的職責(zé) 系統(tǒng)安全員主要負責(zé)信息網(wǎng)絡(luò)操作系統(tǒng)及服務(wù)器操作系統(tǒng)的安全及管理 。 4） 負責(zé)實時監(jiān)控系統(tǒng) ， 發(fā)現(xiàn)異常及時采取措施 ， 恢復(fù)系統(tǒng)正常狀態(tài) 。 2） 負責(zé)配置和管理訪問控制表 ， 根據(jù)安全需求為各用戶配置相應(yīng)的訪問權(quán)限 。 25 建立信息安全機構(gòu)和隊伍 信息安全隊伍 (續(xù) ) 3．信息安全工作人員的崗位職責(zé) （ 4）設(shè)備安全員的職責(zé) 設(shè)備安全員負責(zé)對專用計算機安全保密設(shè)備 (防火墻 、 加密機 、 干擾儀等 )的管理 、 使用和維護 。 4） 負責(zé)設(shè)備的維修 ， 制定設(shè)備維修計劃 ， 做好設(shè)備維修記錄 。 2） 負責(zé)定期檢查系統(tǒng)運行情況 ， 檢測并優(yōu)化系統(tǒng)性能 。 其主要職責(zé)是： 1）