【正文】 、系統(tǒng) 信息完整性、系統(tǒng) 服務(wù)獲取等。2023年 3月， 79 NIST 發(fā)布的 FIPS 200《聯(lián)邦信息系統(tǒng)最小安全控制》在 17個(gè)安全相關(guān)領(lǐng)域內(nèi)詳細(xì)說(shuō)明了聯(lián)邦信息和信息系統(tǒng)的最小安全要求，聯(lián)邦機(jī)構(gòu)在使用與聯(lián)邦信息系統(tǒng)推薦安全控制(SP 80053)相一致的安全控制時(shí)必須滿足在此定義的最小安全要求。《信息安全事件管理指南》 (GB/Z 20985— 2023) 81 BS 7799的內(nèi)容 實(shí)施 BS 7799的目的是保證組織的信息安全 (即信息資料的保密性、完整性和可用性等 )及業(yè)務(wù)的正常運(yùn)營(yíng)。 表 51給出了各控制方面、控制目標(biāo)及控制措施的簡(jiǎn)要內(nèi)容。 除了要有一個(gè)總體的安全方針，在總體方針的框架內(nèi)，組織要根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，制定更加具體的安全方針與措施，明確規(guī)定具體的控制規(guī)則。 (4) 進(jìn)行信息安全風(fēng)險(xiǎn)管理。發(fā)表適用性聲明，一方面是為了向組織內(nèi)的員工聲明對(duì)信息安全風(fēng)險(xiǎn)的態(tài)度，另一方面是為了向外界 (例如潛在的商業(yè)伙伴或第三方認(rèn)證機(jī)構(gòu) )表明組織的態(tài)度和作為，表明組織已全面、系統(tǒng)地審視了信息安全系統(tǒng)，并將所有應(yīng)該得到控制的風(fēng)險(xiǎn)控制在可被接受的范圍內(nèi)。 BS 7799強(qiáng)調(diào)管理體系的有效性、經(jīng)濟(jì)性、全面性、開(kāi)放性和普遍性，目的是為企業(yè)或組織提供一種高質(zhì)量、高實(shí)用性的參照。 (5) 可以改善企業(yè)的業(yè)績(jī)，消除不信任感，有利于拓展市場(chǎng)與業(yè)務(wù)。它的目標(biāo)是通過(guò)數(shù)據(jù)挖掘和數(shù)據(jù)倉(cāng)庫(kù)等技術(shù)，實(shí)現(xiàn)在不同網(wǎng)絡(luò)環(huán)境中對(duì)網(wǎng)絡(luò)設(shè)備、終端、數(shù)據(jù)資源等進(jìn)行監(jiān)控和管理，在必要時(shí)通過(guò)多種途徑向管理員發(fā)出警告或自動(dòng)采取措施，并且能夠?qū)v史審計(jì)數(shù)據(jù)進(jìn)行分析、處理和追蹤。為系統(tǒng)管理員提供系統(tǒng)的統(tǒng)計(jì)日志，使系統(tǒng)管理員能夠發(fā)現(xiàn)系統(tǒng)性能上的不足或需要改進(jìn)和加強(qiáng)的地方。組織實(shí)施安全措施并協(xié)調(diào)、監(jiān)督、檢查安全措施執(zhí)行情況。 只有這些人員具備了一定的職業(yè)道德和技術(shù)能力，才能把信息安全建立在牢固的基礎(chǔ)上。職責(zé)分離原則：通過(guò)分配不同的任務(wù)給不同職位的人以及在多個(gè)人之間針對(duì)某個(gè)特定的安全操作過(guò)程分配相關(guān)的特權(quán)， 107 不能將各種不同的職責(zé)合并，如秘密資料傳送與接收、操作與存儲(chǔ)保密介質(zhì)、系統(tǒng)管理與安全管理等工作職責(zé)應(yīng)該由不同的人員負(fù)責(zé)。 BS 7799可以有效地保護(hù)信息資源，保護(hù)信息化進(jìn)行健康、有序、可持續(xù)發(fā)展，目前已發(fā)展成最新的 ISO/IEC 27001:2023和ISO/IEC 27002:2023標(biāo)準(zhǔn)。 :17:0823:17:08March 8, 2023 1他鄉(xiāng)生白發(fā)，舊國(guó)見(jiàn)青山。 :17:0823:17Mar238Mar23 1世間成事，不求其絕對(duì)圓滿，留一份不足，可得無(wú)限完美。 , March 8, 2023 閱讀一切好書如同和過(guò)去最杰出的人談話。 2023年 3月 8日星期三 11時(shí) 17分 8秒 23:17:088 March 2023 1一個(gè)人即使已登上頂峰，也仍要自強(qiáng)不息。勝人者有力，自勝者強(qiáng)。 。 2023年 3月 8日星期三 11時(shí) 17分 8秒 23:17:088 March 2023 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。 , March 8, 2023 雨中黃葉樹(shù)，燈下白頭人。 在我國(guó)，信息安全管理是對(duì)一個(gè)組織機(jī)構(gòu)中信息系統(tǒng)的生命周期全過(guò)程實(shí)施符合安全等級(jí)責(zé)任要求的管理，在實(shí)施信息安全管理過(guò)程中，需要遵循一定的原則。多人負(fù)責(zé)制：從事每一項(xiàng)與安全有關(guān)的活動(dòng)，都必須要有兩人或多人在場(chǎng)。因此，在信息安全管理工作，除了“防外”還要“安內(nèi)”，即需要對(duì)內(nèi)部人員，尤其是涉密員工加強(qiáng)人事管理，例如： 制定、審查和確定安全措施。對(duì)于已經(jīng)發(fā)生的系統(tǒng)破壞行為提供有效的追究證據(jù)。因此，需要根據(jù)功能要求和企業(yè)自身的實(shí)際情況進(jìn)行一步開(kāi)發(fā)適合企業(yè)本身需要的控制目標(biāo)與控制措施，就像依據(jù) ISO 9000標(biāo)準(zhǔn)開(kāi)發(fā)質(zhì)量手冊(cè)和程序文件一樣。 企業(yè)或組織按照 BS 779 ISO/IEC 17799等標(biāo)準(zhǔn)建立信息安全管理體系，在前期需要有一定的投入，但若是能通過(guò)相關(guān)認(rèn)證，將會(huì)獲得有極大價(jià)值的回報(bào)，例如： 97 (1) 通過(guò)認(rèn)證能向客戶、競(jìng)爭(zhēng)對(duì)手、投資商、供應(yīng)商等展示在其行業(yè)中的領(lǐng)導(dǎo)地位。引入信息安全管理體系就可以協(xié)調(diào)各個(gè)方面的信息管理，在建立業(yè)務(wù)風(fēng)險(xiǎn)分析的基礎(chǔ)上，開(kāi)發(fā)、實(shí)施、完成、評(píng)審和維護(hù)信息安全，使得管理更有成效。 控制目標(biāo)與控制措施的選擇要以費(fèi)用不超過(guò)風(fēng)險(xiǎn)所造成的損失為原則。 (3) 進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。 87 圖 55 信息安全管理體系的建設(shè)流程 88 (1) 定義信息安全方針。 BS 77992明確提出了安全控制的要求，而 BS 77991對(duì)應(yīng)給出了通用的控制方法 (措施 )，因此可以說(shuō)， 83 BS 77991為 BS 77992的具體實(shí)施提供了指南?！缎畔⑾到y(tǒng)安全工程管理要求》 (GB/T 20282— 2023) 78 之后， NIST出版的 FIPS、 SP 800系列等文檔對(duì)聯(lián)邦政府的信息系統(tǒng)進(jìn)行支撐。 SP 80012論述了各種計(jì)算機(jī)安全控制的好處以及其合理應(yīng)用的條件。SP 80018《 IT系統(tǒng)安全計(jì)劃開(kāi)發(fā)指南》 始于 1990年的 SP 800(SP， Special Publications)是美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST)發(fā)布的一系列關(guān)于信息安全的技術(shù)指南文件，是為了給 NIST的信息技術(shù)安全出版物提供一個(gè)單獨(dú)的標(biāo)識(shí)，只提供一種供參考的方法或經(jīng)驗(yàn)，對(duì)聯(lián)邦政府部門不具有強(qiáng)制性。 70 ISO/IEC 13335它分為 5個(gè)部分，從 1996年到 2023年依次發(fā)布，即： ISO/IEC 27003:2023《信息技術(shù) — 安全技術(shù) — 信息安全管理體系實(shí)施指南》； 這意味著組織必須評(píng)估自己的環(huán)境，并為所實(shí)施的控制負(fù)責(zé)。 62 2023年 10月， BS 77992被 ISO接受為國(guó)際標(biāo)準(zhǔn)，即《信息技術(shù) — 安全技術(shù) — 信息安全管理體系要求》 (ISO/IEC 27001:2023)，這意味著該標(biāo)準(zhǔn)已經(jīng)得到了國(guó)際上的承認(rèn)。 60 1999版特別強(qiáng)調(diào)了信息安全所涉及的商業(yè)問(wèn)題和責(zé)任問(wèn)題。 56 信息安全管理控制規(guī)范是為改善具體信息安全問(wèn)題而設(shè)置的技術(shù)或管理手段，并運(yùn)用信息安全管理相關(guān)方法來(lái)選擇和實(shí)施控制規(guī)范，為信息安全管理體系服務(wù)。保護(hù)措施作用的區(qū)域可以包括物理環(huán)境、技術(shù)環(huán)境 (例如硬件、軟件和通信 )、人事和行政?？赡艿拈g接后果包括危及國(guó)家安全、社會(huì)穩(wěn)定，造成經(jīng)濟(jì)損失，破壞組織或機(jī)構(gòu)的社會(huì)形象等。 主要包括自然威脅和人為威脅。軟件資產(chǎn) (例如應(yīng)用軟件、系統(tǒng)軟件、開(kāi)發(fā)工具、實(shí)用程序等 )。 (1) 資產(chǎn)。按等級(jí)劃分標(biāo)準(zhǔn)確定信息系統(tǒng)的安全保護(hù)等級(jí)，實(shí)行分級(jí)保護(hù)，對(duì)多個(gè)子系統(tǒng)構(gòu)成的大型信息系統(tǒng)，確定系統(tǒng)的基本安全保護(hù)等級(jí)，并根據(jù)實(shí)際安全需求，分別確定各子系統(tǒng)的安全保護(hù)等級(jí)，實(shí)行多級(jí)安全保護(hù)。信息安全管理工作主要體現(xiàn)為管理行為，應(yīng)保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法。主要領(lǐng)導(dǎo)應(yīng)確立其組織統(tǒng)一的信息安全保障的宗旨和政策，負(fù)責(zé)提高員工的安全意識(shí)，組織有效的安全保障隊(duì)伍，調(diào)動(dòng)并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理工作與各部門的關(guān)系，并確保其落實(shí)、有效。 (7) 進(jìn)行安全審計(jì)。 38 信息安全管理是保護(hù)國(guó)家、組織和個(gè)人等各個(gè)層面上信息安全的重要基礎(chǔ)。上海鐵路局有關(guān)作業(yè)人員安全意識(shí)不強(qiáng)，在設(shè)備故障發(fā)生后，未認(rèn)真正確地履行職責(zé)，故障處置工作不得力，未能起到可能避免事故發(fā)生或減輕事故損失的作用。這也充分暴露了一些企業(yè)安全生產(chǎn)意識(shí)不到位、領(lǐng)導(dǎo)不到位、安全生產(chǎn)責(zé)任不到位、安全生產(chǎn)措施不到位、隱患排查治理不到位和監(jiān)督管理不到位等嚴(yán)重問(wèn)題，也反映了基層安全意識(shí)薄弱，現(xiàn)場(chǎng)管理存在嚴(yán)重漏洞，安全生產(chǎn)責(zé)任沒(méi)有得到真正落實(shí)。組織對(duì)信息系統(tǒng)不斷增強(qiáng)的依賴性使得信息技術(shù)在提高組織工作效率的同時(shí)，也增大了組織重要信息受到嚴(yán)重侵?jǐn)_和破壞后，組織面臨資產(chǎn)損失、業(yè)務(wù)中斷的風(fēng)險(xiǎn)。 25 信息安全標(biāo)準(zhǔn)化委員會(huì)設(shè)置了 10個(gè)工作組，其中信息安全管理工作組負(fù)責(zé)對(duì)信息安全的行政、技術(shù)、人員等管理提出規(guī)范要求及指導(dǎo)指南，它包括信息安全管理指南、信息安全管理實(shí)施規(guī)范、人員培訓(xùn)教育及錄用要求、信息安全社會(huì)化服務(wù)管理規(guī)范、信息安全保險(xiǎn)業(yè)務(wù)規(guī)范框架和安全策略要求與指南。 為進(jìn)一步加強(qiáng)對(duì)推進(jìn)我國(guó)信息化建設(shè)和維護(hù)國(guó)家信息安全工作的領(lǐng)導(dǎo)， 21 2023年 8月，中共中央、國(guó)務(wù)院決定重新組建國(guó)家信息化領(lǐng)導(dǎo)小組，同年 12月，成立“國(guó)務(wù)院信息化工作辦公室”辦事機(jī)構(gòu)，具體承擔(dān)領(lǐng)導(dǎo)小組的日常工作。 16 當(dāng)然，這幾年信息安全管理在國(guó)際上有了很大的發(fā)展，我國(guó)信息安全管理雖然起步較晚，但我國(guó)政府主管部門以及各行各業(yè)已經(jīng)認(rèn)識(shí)到了信息與信息安全的重要性，黨的十七大報(bào)告明確提出“發(fā)展現(xiàn)代產(chǎn)業(yè)體系，大力推進(jìn)信息化與工業(yè)化融合，促進(jìn)工業(yè)由大變強(qiáng)，振興裝備制造業(yè)，淘汰落后生產(chǎn)能力”的嶄新命題，反映了黨中央對(duì)于發(fā)展信息化重要性認(rèn)識(shí)的深入，也體現(xiàn)了信息化帶動(dòng)工業(yè)化發(fā)展的重要意義。盡管有部分網(wǎng)站否認(rèn)，但還是即刻引起互聯(lián)網(wǎng)用戶的關(guān)注。由于蘋果合作運(yùn)營(yíng)商 ATT網(wǎng)站的安全漏洞， 2023年 6月蘋果發(fā)生安全泄露事件，影響 iPad用戶，其中包括很多公司 CEO、軍方高官和白宮政治家。 8 信息安全管理現(xiàn)狀 在計(jì)算機(jī)時(shí)代到來(lái)之前，人們會(huì)將重要的文件資料鎖到文件柜或保險(xiǎn)柜中進(jìn)行保存，但是現(xiàn)在，人們將各種重要的信息存放在各種計(jì)算機(jī)或網(wǎng)絡(luò)信息系統(tǒng)中。因此，管理已成為信息安全保障的重要基礎(chǔ)，管理在解決信息安全問(wèn)題中具有十分重要的作用。 信息安全管理相關(guān)概念 3 更何況，對(duì)于組織中人員信息的安全問(wèn)題、信息安全成本投入和回報(bào)的平衡問(wèn)題、信息安全目標(biāo)、業(yè)務(wù)連續(xù)性、信息安全相關(guān)法規(guī)符合性等問(wèn)題，依靠產(chǎn)品和技術(shù)是解決不了的。 信息安全建設(shè)是一個(gè)系統(tǒng)工程，它需要對(duì)信息系統(tǒng)的各個(gè)環(huán)節(jié)進(jìn)行統(tǒng)一的綜合考慮、規(guī)劃和構(gòu)架， 7 并要時(shí)時(shí)兼顧組織內(nèi)外不斷發(fā)生的變化，任何環(huán)節(jié)上的安全缺陷都會(huì)對(duì)系統(tǒng)構(gòu)成威脅。 2023年 8月，一部保存 感資料的無(wú)加密手提計(jì)算機(jī)在舊金山國(guó)際機(jī)場(chǎng)被人偷去，手提計(jì)算機(jī)中保存有申請(qǐng)者姓名、地址和出生日期， 10 部分有駕駛執(zhí)照、護(hù)照或綠卡號(hào)碼等信息。 如果說(shuō)“ iPad 3G用戶信息泄漏”事件和美國(guó)“南岸醫(yī)院 80萬(wàn)份文件泄漏”事件似乎看起來(lái)還有些“遙遠(yuǎn)”的話，國(guó)內(nèi)某知名大型網(wǎng)絡(luò)安全公司在 2023新年伊始引發(fā)的大規(guī)模用戶數(shù)據(jù)泄漏事件就近在眼前了。 15 我國(guó)目前的計(jì)算機(jī)安全防護(hù)能力還只處于發(fā)展的初級(jí)階段，許多計(jì)算機(jī)基本上處于不設(shè)防狀態(tài)，從防范意識(shí)、管理措施、核心技術(shù)到安全產(chǎn)品，還遠(yuǎn)未構(gòu)成一個(gè)較成熟的體系。 1999年 9月成立的國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心 (CNCERT/CC)是工業(yè)和信息化部領(lǐng)導(dǎo)下的國(guó)家級(jí)網(wǎng)絡(luò)安全應(yīng)急機(jī)構(gòu)，致力于建設(shè)國(guó)家級(jí)的網(wǎng)絡(luò)安全監(jiān)測(cè)中心、預(yù)警中心和應(yīng)急中心，專門負(fù)責(zé)收集、匯總、核實(shí)、發(fā)布權(quán)威性的應(yīng)急處理信息，以支撐政府主管部門履行網(wǎng)絡(luò)安全相關(guān)的社會(huì)管理和公共服務(wù)職能，支持基礎(chǔ)信息網(wǎng)絡(luò)的安全防護(hù)和安全運(yùn)行，支援重要信息系統(tǒng)的網(wǎng)絡(luò)安全監(jiān)測(cè)、預(yù)警和處置。 從 20世紀(jì) 90年代初起，為配合信息安全管理的需要，國(guó)家、相關(guān)部門、行業(yè)和地方政府相繼制定了《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》、《商用密碼管理?xiàng)l例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《計(jì)算機(jī)病毒防治管理辦法》、《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》、《軟件產(chǎn)品管理辦法》、《電信網(wǎng)間互聯(lián)管理暫行規(guī)定》、《電子簽名法》等有關(guān)信息安全管理的法律法規(guī)文件。 盡管目前在信息安全管理上取得了一定的成績(jī)，但也要看到其中還存在許多的問(wèn)題，例如，信息安全管理在執(zhí)行過(guò)程中還比較混亂，缺乏一個(gè)國(guó)家層面上的整體策略；缺乏權(quán)威、統(tǒng)一、專門的組織、規(guī)劃、管理和實(shí)施協(xié)調(diào)的立法管理機(jī)構(gòu)； 27 我國(guó)自己制定的信息安全管理標(biāo)準(zhǔn)太少，大多沿用國(guó)際標(biāo)準(zhǔn)；實(shí)際管理力度不夠，政策的執(zhí)行和監(jiān)督力度不夠，部分規(guī)定過(guò)分強(qiáng)調(diào)部門的自身特點(diǎn)，而忽略了在國(guó)際政治經(jīng)濟(jì)的大環(huán)境下體現(xiàn)中國(guó)的特色；部分規(guī)定沒(méi)有準(zhǔn)確地區(qū)分