【正文】 要求承擔(dān)保密義務(wù)。然而，對(duì)人員的管理比對(duì)機(jī)器設(shè)備和信息資源的管理更重要。 – 3) 處理問(wèn)題公正嚴(yán)明，不拘私情。 信息安全機(jī)構(gòu)和隊(duì)伍 ?凡是對(duì)信息安全有需求的組織，都必須成立相應(yīng)的安全機(jī)構(gòu)、配備必要的管理人員和技術(shù)人員、制定規(guī)章制度、配備安全設(shè)備，從而保障信息安全管理工作的正常開(kāi)展。 信息安全機(jī)構(gòu)和隊(duì)伍 ?信息安全管理一般分 3個(gè)層次，每一層級(jí)都應(yīng)有明確的責(zé)任制。 信息安全機(jī)構(gòu)和隊(duì)伍 ?為了保護(hù)國(guó)家信息的安全，維護(hù)國(guó)家利益，各國(guó)政府均指定了政府有關(guān)機(jī)構(gòu)主管信息安全工作。 – 10) 策略解釋。 – 8) 重新評(píng)審策略的時(shí)機(jī)。 – 6) 策略簽署。另外，還要明確所采用的具體方法，如使用什么樣的算法和產(chǎn)品等。 – 也可以劃分為如賬號(hào)管理策略、口令管理策略、防病毒策略、 Email使用策略，因特網(wǎng)訪問(wèn)控制策略等。安全策略中要包含信息系統(tǒng)中要保護(hù)的所有資產(chǎn) (包括硬件、軟件和數(shù)據(jù) ) 以及每件資產(chǎn)的重要性和其要達(dá)到的安全程度。 信息安全管理策略 ?(2) 策略的主要內(nèi)容 ?理論上，一個(gè)完整的信息安全策略體系應(yīng)該保障組織信息的機(jī)密性、可用性和完整性。 – 6) 一致性。 – 4) 經(jīng)濟(jì)性。 – 2) 適用性。 信息安全管理策略 ?信息安全策略應(yīng)該簡(jiǎn)單明了、通俗易懂，并形成書(shū)面文件，發(fā)給組織內(nèi)的所有成員；對(duì)所有相關(guān)員工進(jìn)行信息安全策略的培訓(xùn)；對(duì)信息安全負(fù)有特殊責(zé)任的人員要進(jìn)行特殊的培訓(xùn)，以使信息安全方針真正落實(shí)到實(shí)際工作中。 第 9章 信息安全管理與災(zāi)難恢復(fù) ? 信息安全管理與工程 ? 信息災(zāi)難恢復(fù)規(guī)劃 信息安全管理與工程 ?信息安全管理策略告訴組織成員在日常的工作中什么是必須做的，什么是可以做的，什么是不可以做的；哪里是安全區(qū)，哪里是敏感區(qū)；等等。 第 9章 信息安全管理與災(zāi)難恢復(fù) ?備份技術(shù)是將整個(gè)系統(tǒng)的數(shù)據(jù)或狀態(tài)保存下來(lái)，但它并不保證系統(tǒng)的實(shí)時(shí)可用性。而集群和容災(zāi)技術(shù)的目的就是為了保證系統(tǒng)的可用性。 信息安全管理策略 ?作為有關(guān)信息安全方面的行為規(guī)范，一個(gè)成功的信息安全策略應(yīng)當(dāng)遵循： – 1) 綜合平衡 (綜合考慮需求、風(fēng)險(xiǎn)、代價(jià)等諸多因素 ) 。當(dāng)然，需要根據(jù)組織內(nèi)各個(gè)部門(mén)的實(shí)際情況，分別制訂不同的信息安全策略，為信息安全提供管理指導(dǎo)和支持。策略應(yīng)該反映組織的真實(shí)環(huán)境和當(dāng)前信息安全的發(fā)展水平。策略應(yīng)該經(jīng)濟(jì)合理，過(guò)分復(fù)雜和草率都不可取。策略應(yīng)該和國(guó)家、地方的法律法規(guī)保持一致；和組織已有的策略、方針保持一致；以及和整體安全策略保持一致。雖然每個(gè)組織的性質(zhì)、規(guī)模和內(nèi)、外部環(huán)境各不相同，但一個(gè)正式的信息安全策略應(yīng)包含下列一些內(nèi)容： – 1) 適用范圍。例如，“為確保企業(yè)的經(jīng)營(yíng)、技術(shù)等機(jī)密信息不被泄漏，維護(hù)企業(yè)的經(jīng)濟(jì)利益，根據(jù)國(guó)家有關(guān)法律，結(jié)合企業(yè)實(shí)際，特制定本條例。每一種主題都可以借鑒相關(guān)的標(biāo)準(zhǔn)和條例。 信息安全管理策略 – 5) 明確責(zé)任。信息安全管理策略是強(qiáng)制性的、帶懲罰性的，策略的執(zhí)行需要來(lái)自管理層的支持，因此，通常是信息安全主管或總經(jīng)理簽署信息安全管理策略。除了常規(guī)的評(píng)審時(shí)機(jī)外，下列情況下也需要組織重新評(píng)審，例如：企業(yè)管理體系發(fā)生很大變化；相關(guān)的法律法規(guī)發(fā)生變化；企業(yè)信息系統(tǒng)或者信息技術(shù)發(fā)生大的變化；企業(yè)發(fā)生了重大的信息安全事故等。由于工作環(huán)境、知識(shí)背景等的不同，可能導(dǎo)致員工在理解策略時(shí)出現(xiàn)誤解、歧義的情況。例如，為了加強(qiáng)對(duì)信息化工作的領(lǐng)導(dǎo)，我國(guó)成立了國(guó)家信息化領(lǐng)導(dǎo)小組，由國(guó)務(wù)院領(lǐng)導(dǎo)任組長(zhǎng)，國(guó)家機(jī)關(guān)有關(guān)部委的領(lǐng)導(dǎo)參加小組的工作。 – 1) 決策機(jī)構(gòu)，負(fù)責(zé)宏觀管理。 信息安全機(jī)構(gòu)和隊(duì)伍 ?(2) 信息安全隊(duì)伍 ?主要包括信息安全員、系統(tǒng)安全員、網(wǎng)絡(luò)安全員、設(shè)備安全員、數(shù)據(jù)庫(kù)安全員、數(shù)據(jù)安全員和防病毒安全員等。 – 4) 熟悉業(yè)務(wù)，具有一定的實(shí)踐經(jīng)驗(yàn)。 信息安全機(jī)構(gòu)和隊(duì)伍 ?因此，對(duì)安全人員的管理應(yīng)該是全方位的，其主要原則包括： – 1) 人員審查。 – 3) 持證上崗。培訓(xùn)的內(nèi)容包括法律法規(guī)、職業(yè)道德、技術(shù)技能等方面。要注意合理分配權(quán)限，將權(quán)限控制在合理范圍內(nèi)，以便于相互制約。信息安全管理制度是保證信息安全的基礎(chǔ)，需要通過(guò)一系列規(guī)章制度的實(shí)施，來(lái)確保各類人員按照規(guī)定的職責(zé)行事，做到各行其職、各負(fù)其責(zé)，避免責(zé)任事故的發(fā)生和防止惡意侵犯。 – 2) 系統(tǒng)化。 信息安全管理制度 – 4) 以人為本。 – 6) 預(yù)防。 信息安全管理制度 – 8) 動(dòng)態(tài)。 – 10) 均衡防護(hù)。 ?BS7799是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì) (BSI) 制定的在國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)不是認(rèn)證標(biāo)準(zhǔn)，但組織在建立和實(shí)施信息安全管理體系時(shí)，可考慮采取該標(biāo)準(zhǔn)建議性的措施。我國(guó)憲法明確規(guī)定了公民具有保守國(guó)家秘密的義務(wù)；基本法律中有 《 保守國(guó)家秘密法 》 、 《 刑法 》 分則中的相關(guān)規(guī)定； 信息安全的法律保障 ?行政法規(guī)有 《 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》 、 《 中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定 》 、 《 計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法 》 等；此外，大量的行政規(guī)章和地方性法規(guī)也對(duì)計(jì)算機(jī)信息系統(tǒng)安全做了規(guī)定。 信息安全工程的設(shè)計(jì)原則 – (1) 木桶原則。 信息安全工程的設(shè)計(jì)原則 – (2) 整體性原則。任何網(wǎng)絡(luò)都難以達(dá)到絕對(duì)的安全，況且也不一定是必要的。 信息安全工程的設(shè)計(jì)原則 – (4) 標(biāo)準(zhǔn)化與一致性原則。因此，必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。隨著規(guī)模的擴(kuò)大及應(yīng)用的增加，應(yīng)用和復(fù)雜程度的變化，調(diào)整或增強(qiáng)安全防護(hù)力度，保證最根本的安全需求。 – (8) 動(dòng)態(tài)發(fā)展原則。 信息安全工程的設(shè)計(jì)步驟 ?信息安全工程的設(shè)計(jì)包括信息安全風(fēng)險(xiǎn)分析與評(píng)估、制定信息安全策略、需求分析和設(shè)計(jì)企業(yè)信息系統(tǒng)的安全體系等幾個(gè)方面。 信息安全工程的設(shè)計(jì)步驟 ?(2) 制定信息安全策略 ?信息安全策略的制定過(guò)程是一個(gè)循序漸進(jìn)、不斷完善的過(guò)程，在制定時(shí)必須兼顧它的可理解性、技術(shù)上的可實(shí)現(xiàn)性、組織上的可執(zhí)行性。安全需求分析工作是在安全風(fēng)險(xiǎn)分析與評(píng)估工作的基礎(chǔ)上進(jìn)行的。一個(gè)嚴(yán)密、完整的管理體制，不但可以最大限度地在確保在信息安全的前提下實(shí)現(xiàn)信息資源共享，而且可以彌補(bǔ)技術(shù)性安全隱患的部分弱點(diǎn)。物理層的安全就是保證實(shí)體財(cái)產(chǎn)的安全。操作系統(tǒng)是信息網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)平臺(tái)，要研究為保證安全，應(yīng)該要求操作平臺(tái)達(dá)到什么樣的安全級(jí)別？為達(dá)到所要求的級(jí)別，應(yīng)該選用什么樣的操作系統(tǒng)？如何使用、管理、配置操作系統(tǒng)？ 信息安全工程的設(shè)計(jì)步驟 – 4) 網(wǎng)絡(luò)層。 信息安全工程的設(shè)計(jì)步驟 – 5) 應(yīng)用層。要想保持分析結(jié)果的有效性，必須保證結(jié)果時(shí)刻最新，安全需求分析的過(guò)程也應(yīng)該與系統(tǒng)同步發(fā)展。 信息安全工程的設(shè)計(jì)步驟 – 2) 行為管理。 信息安全工程的設(shè)計(jì)步驟 – 4) 安全邊界。為了實(shí)現(xiàn)這個(gè)目的，可以來(lái)用不同安全級(jí)別的操作系統(tǒng)，或者在現(xiàn)有的操作系統(tǒng)上添加安全外殼。 – 7) 應(yīng)用安全。為了達(dá)到這個(gè)目的，需要規(guī)定所采用的數(shù)據(jù)庫(kù)系統(tǒng)的類型、管理、使用制度與方式。需要規(guī)定可以采取的安全措施。 信息安全工程的設(shè)計(jì)步驟 – 11) 病毒防治。為了減少由于安全事故造成的損失，必須規(guī)定必要的恢復(fù)措施，能夠使系統(tǒng)盡快地恢復(fù)正常的運(yùn)轉(zhuǎn)，并對(duì)重要的信息進(jìn)行周期性的備份。 信息安全工程的實(shí)施與監(jiān)理 ?信息安全工程的實(shí)施是為信息與網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)安全防護(hù)體系的最后一個(gè)階段，包含了很多領(lǐng)域的內(nèi)容，其中最關(guān)鍵的一點(diǎn)是要保證安全工程的質(zhì)量和避免重復(fù)建設(shè)。 信息災(zāi)難恢復(fù)規(guī)劃 ?在前面的學(xué)習(xí)中，我們了解了“數(shù)據(jù)備份”的有關(guān)知識(shí)，這一部分我們繼續(xù)學(xué)習(xí)與之相關(guān)的“容災(zāi)技術(shù)”和“信息災(zāi)難恢復(fù)規(guī)劃”。對(duì)最終用戶來(lái)說(shuō)，可把這個(gè)集群系統(tǒng)當(dāng)作一個(gè)虛擬的服務(wù)器來(lái)使用。也就是說(shuō)，一旦意外發(fā)生，備份技術(shù)只保證數(shù)據(jù)可以恢復(fù)，但是恢復(fù)過(guò)程需要一定的時(shí)間，在此期間，系統(tǒng)是不可用的。 ?在具有一定規(guī)模的系統(tǒng)中，備份技術(shù)、集群技術(shù)和容災(zāi)技術(shù)互相不可替代，并且穩(wěn)定和諧地配合工作，