【正文】 領(lǐng)導(dǎo)參加小組的工作。因此，應(yīng)建立一個(gè)專門的權(quán)威的解釋機(jī)構(gòu)或指定專門的解釋人員來進(jìn)行策略的解釋。 7）與其他相關(guān)策略的引用關(guān)系 。策略除了常規(guī)的評(píng)審時(shí)機(jī)，在下列情況下也需要重新評(píng)審：①企業(yè)管理體系發(fā)生很大變化。簽署人的管理地位不能太低；否則會(huì)有執(zhí)行的難度，如果遭到某高層主管的抵制常會(huì)導(dǎo)致策略失敗，高層主管的簽署也表明信息安全不單單是信息安全部門的事情，還是和整個(gè)組織所有成員都是密切相關(guān)的。⑧加密技術(shù)控制。④第三方訪問的安全性。 策略的主要內(nèi)容 5 3）策略主題。 2） 目標(biāo) 。 制定策略的原則 4 制定信息安全管理策略 理論上，一個(gè)完整的策略體系應(yīng)該保障組織信息的機(jī)密性、可用性和完整性。 6） 一致性 。 4） 經(jīng)濟(jì)性 。 策略應(yīng)該反映組織的真實(shí)環(huán)境 和 信息安全的發(fā)展水平 。 信息安全管理策略概述 3 制定信息安全管理策略 在制定信息安全管理策略時(shí)，要嚴(yán)格遵守以下主要原則。 它告訴組織成員在日常的工作中什么是必須做的，什么是可以做的，什么是不可以做的；哪里是安全區(qū)，哪里是敏感區(qū)，就像交通規(guī)則之于車輛和行人，信息安全策略是有關(guān)信息安全方面的行為規(guī)范。一個(gè)成功的安全策略應(yīng)當(dāng)遵循： 1） 綜合平衡 (綜合考慮需求 、 風(fēng)險(xiǎn) 、 代價(jià)等諸多因素 )。 1） 目的性 。 3） 可行性 。 策略應(yīng)該經(jīng)濟(jì)合理 ， 過分復(fù)雜和草率都是不可取的 。 策略的一致性包括下面三個(gè)層次： ① 和國家 、 地方的法律法規(guī)保持一致； ② 和組織己有的策略 、 方針保持一致； ③ 整體安全策略保持一致 ， 要反映企業(yè)對(duì)信息安全的一般看法 。信息安全策略應(yīng)包含下列一些內(nèi)容 ： 1）適用范圍。 例如 ， “為確保企業(yè)的經(jīng)營 、 技術(shù)等機(jī)密信息不泄漏 ， 維護(hù)企業(yè)的經(jīng)濟(jì)利益 ， 根據(jù)國家有關(guān)法律 ， 結(jié)合企業(yè)實(shí)際 ， 特制定本條例 。通常一個(gè)組織可能會(huì)考慮開發(fā)下列主題的信息安全管理策略：①設(shè)備和及其環(huán)境的安全。⑤外圍處理系統(tǒng)的安全。⑨備份、災(zāi)難恢復(fù)和可持續(xù)發(fā)展的要求。 5）策略的生效時(shí)間和有效期。②相關(guān)的法律法規(guī)發(fā)生了變化。因?yàn)槎喾N策略可能相互關(guān)聯(lián)，引用關(guān)系可以描述策略的層次結(jié)構(gòu)，而且在策略修改時(shí)候也經(jīng)常涉及其他相關(guān)策略的調(diào)整，清楚的引用關(guān)系可以節(jié)省查找的時(shí)間。 9）例外情況的處理 。國家信息化領(lǐng)導(dǎo)小組為了強(qiáng)化對(duì)信息化工作的領(lǐng)導(dǎo)，對(duì)信息產(chǎn)業(yè)部、公安部、安全部、國家保密局等部門在信息安全管理方面進(jìn)行了職能分工，明確了各自的責(zé)任，對(duì)于保障我國信息化工作的正常發(fā)展，保護(hù)信息安全起到了重要的作用。 負(fù)責(zé)宏觀管理 。 負(fù)責(zé)落實(shí)規(guī)章制度 、 技術(shù)規(guī)范 ， 處理技術(shù)方面的問題 。 2）其他成員由計(jì)算機(jī)、通信、綜合信息、保衛(wèi)、保密、人事、監(jiān)察等有關(guān)方面的負(fù)責(zé)人擔(dān)任。 2） 根據(jù)國家信息安全的法律 、 法規(guī) 、 制度和規(guī)范 ， 結(jié)合本組織的實(shí)際 ，批準(zhǔn)本組織信息安全方面的規(guī)章制度 、 實(shí)施細(xì)則 、 安全目標(biāo)崗位責(zé)任制 。 5） 定期向組織最高領(lǐng)導(dǎo)層匯報(bào)信息安全工作情況 ， 取得最高層領(lǐng)導(dǎo)對(duì)信息安全工作的支持 。 2） 決定信息系統(tǒng)和信息的安全等級(jí) 。 6） 批準(zhǔn)系統(tǒng)安全管理人員草擬或修改的各種安全策略手冊(cè) 。 10） 所形成的決定性意見 ， 以信息安全領(lǐng)導(dǎo)小組名義 ， 用決策決定書的形式公告 。 4）本組織新增加的安全保密防范措施。 8）信息的安全現(xiàn)狀及對(duì)組織效益的影響。 （ 1） 辦公室組成人員 1） 信息安全領(lǐng)導(dǎo)小組辦公室主任負(fù)責(zé)組織 、 處理信息安全方面大量的日常工作 ， 有些工作技術(shù)性比較強(qiáng) ， 因此需要懂技術(shù)的信息中心主要負(fù)責(zé)人 （ CIO） 擔(dān)任 ， 或由安全負(fù)責(zé)人擔(dān)任 ， 但應(yīng)有一名懂技術(shù)的信息中心領(lǐng)導(dǎo)擔(dān)任副主任 ， 負(fù)責(zé)技術(shù)管理工作 。 2） 制定本組織信息安全的工作制度 、 安全目標(biāo)和各級(jí)工作人員的權(quán)限 、崗位職責(zé) 。 6） 負(fù)責(zé)管理各類安全管理人員 ， 定期或不定期組織安全教育或培訓(xùn) 。 10）對(duì)本級(jí)和本級(jí)所屬安全工作人員進(jìn)行工作業(yè)績(jī)考核，并提出工作人員稱職、不稱職或表彰、處罰的意見。 14）制定、管理和定期分發(fā)系統(tǒng)及用戶的身份識(shí)別號(hào)碼、密鑰和口令。 18）采取切實(shí)可行的措施，防止計(jì)算機(jī)設(shè)備的損壞、改換和盜用。 建立信息安全機(jī)構(gòu)和隊(duì)伍 信息安全隊(duì)伍 1．信息安全工作人員的條件 由于各類信息安全工作人員的工作崗位處于信息系統(tǒng)的核心敏感部位，因此要有比較高的政治素質(zhì)和業(yè)務(wù)水平，這些人員應(yīng)具備以下條件。 4）熟悉業(yè)務(wù)，具有一定的實(shí)踐經(jīng)驗(yàn)。 2） 負(fù)責(zé)監(jiān)督檢查信息網(wǎng)對(duì)外發(fā)布的信息 。 5）負(fù)責(zé)協(xié)助有關(guān)部門對(duì)網(wǎng)絡(luò)泄密事件進(jìn)行調(diào)查與技術(shù)分析。 3） 負(fù)責(zé)用戶的口令管理 ， 建立口令管理規(guī)程和檢驗(yàn)創(chuàng)建賬戶機(jī)制 ， 避免口令泄露 。 其主要職責(zé)是： 1） 負(fù)責(zé)信息網(wǎng)絡(luò)系統(tǒng)及其網(wǎng)絡(luò)安全保密系統(tǒng)的運(yùn)行與維護(hù) ， 發(fā)現(xiàn)故障及時(shí)排除 ， 保障系統(tǒng)安全可靠地運(yùn)行 。 5）負(fù)責(zé)實(shí)時(shí)對(duì)系統(tǒng)進(jìn)行非法入侵檢測(cè)，防止和阻止 “黑客 ”入侵。 3） 負(fù)責(zé)設(shè)備的清潔和定期的保養(yǎng)維護(hù) ， 并做好維護(hù)記錄 。 其主要職責(zé)是： 1） 負(fù)責(zé)數(shù)據(jù)庫管理系統(tǒng)的安裝 、 備份和維護(hù) ， 保證系統(tǒng)安全 、 正常運(yùn)行 。 26 建立信息安全機(jī)構(gòu)和隊(duì)伍 信息安全隊(duì)伍 (續(xù) ) 3．信息安全工作人員的崗位職責(zé) （ 6）數(shù)據(jù)安全員的職責(zé) 數(shù)據(jù)安全員負(fù)責(zé)信息網(wǎng)絡(luò)中運(yùn)行數(shù)據(jù)的安全 。 4）負(fù)責(zé)定期對(duì)重要數(shù)據(jù)存儲(chǔ)備份介質(zhì)的檢查，防止數(shù)據(jù)的丟失或被破