【文章內(nèi)容簡(jiǎn)介】 、 思想進(jìn)步 、 作風(fēng)正派 、 技術(shù)合格等基本素質(zhì) 。 信息網(wǎng)絡(luò)安全管理 ◆信息安全管理簡(jiǎn)介 ◆ 信息安全人員管理 ● 安全審查 網(wǎng)絡(luò)和信息系統(tǒng)的關(guān)鍵崗位人選的審查標(biāo)準(zhǔn)如下： 必須是單位 、 組織的正式員工 。 必須經(jīng)過(guò)嚴(yán)格的政審 、 背景和資歷調(diào)查 。 必須經(jīng)過(guò)業(yè)務(wù)能力的綜合考核 。 不得出現(xiàn)在其他關(guān)鍵崗位兼職的情況。 信息網(wǎng)絡(luò)安全管理 ◆信息安全管理簡(jiǎn)介 ◆ 信息安全人員管理 ● 安全保密管理 所有進(jìn)入網(wǎng)絡(luò)和信息系統(tǒng)工作的人員 ， 必須簽訂保密協(xié)議 ，承諾其對(duì)網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)盡的安全保密義務(wù) ， 保證在崗工作期間和離崗后一定時(shí)期內(nèi) ， 均不違反保密協(xié)議 ， 不泄露系統(tǒng)秘密 。 新加入的正式雇員在辦理手續(xù)的時(shí)候，應(yīng)該簽訂保密協(xié)議，作為雇傭合同的必要組成部分和附件；現(xiàn)有正式雇員，如果過(guò)去沒(méi)有簽訂保密協(xié)議，應(yīng)該及時(shí)的補(bǔ)辦相應(yīng)手續(xù)；臨時(shí)人員和第三方人員在接觸網(wǎng)絡(luò)和信息系統(tǒng)之前，也應(yīng)該簽署相關(guān)的保密協(xié)議 。 信息網(wǎng)絡(luò)安全管理 ◆信息安全管理簡(jiǎn)介 ◆ 信息安全人員管理 ● 安全保密管理 保密協(xié)議的內(nèi)容應(yīng)當(dāng)根據(jù)單位 、 組織相關(guān)的商業(yè)秘密保護(hù)辦法制定： 保密的范圍 至少應(yīng)不限于包括網(wǎng)絡(luò)和信息系統(tǒng)的軟硬件配置參數(shù) 、 相關(guān)技術(shù)文檔 、 系統(tǒng)敏感數(shù)據(jù) 、 信息安全管理制度和規(guī)定以及可能損害單位 、 組織形象和信譽(yù)的事件或案件情況 。 應(yīng)該對(duì) 保密期限 進(jìn)行明確規(guī)定 ， 對(duì)于重要的崗位 ， 不僅要求員工在崗期間遵守保密協(xié)議 ， 還應(yīng)該規(guī)定在員工離崗之后一定的時(shí)期內(nèi) ，保密協(xié)議仍然有效 。 應(yīng)該針對(duì) 違反保密協(xié)議 的違規(guī)情況 ， 指定響應(yīng)的懲處條款 。 應(yīng)該在雇傭合同或者雇傭條款發(fā)生變化的時(shí)候 ， 對(duì)員工 保密協(xié)議進(jìn)行審查 。 信息網(wǎng)絡(luò)安全管理 ◆信息安全管理簡(jiǎn)介 ◆ 信息安全人員管理 ● 安全教育與培訓(xùn) 一、安全策略 安全教育與培訓(xùn)是人員安全管理的重要內(nèi)容，通過(guò)持續(xù)有效的安全教育與培訓(xùn)，提高相關(guān)人員的安全能力和專(zhuān)業(yè)技能，此項(xiàng)管理工作應(yīng)當(dāng)在相應(yīng)安全策略的指導(dǎo)下進(jìn)行，信息安全教育與培訓(xùn)策略應(yīng)當(dāng)包含以下內(nèi)容： 應(yīng)定期對(duì)員工進(jìn)行信息安全教育與培訓(xùn) ， 促使員工理解信息安全的重要性以及網(wǎng)絡(luò)和信息系統(tǒng)所面臨的各種可能的安全風(fēng)險(xiǎn) ， 以提高員工的信息安全意識(shí) ， 并遵守各種信息安全管理規(guī)定 。 應(yīng)當(dāng)以人員角色及崗位職能為基礎(chǔ) ， 針對(duì)不同層次的人員 ， 進(jìn)行適當(dāng)?shù)男畔踩逃c培訓(xùn) 。 信息安全教育與培訓(xùn)的內(nèi)容應(yīng)當(dāng)包括信息安全相關(guān)的法律 、 法規(guī) ， 信息安全方針與策略 ， 信息安全的操作流程以及使用和管理信息安全技術(shù)基礎(chǔ)設(shè)施的技能訓(xùn)練 。 信息安全教育與培訓(xùn) ， 除了使用于內(nèi)部員工之外 ， 同樣使用于所有接入和使用網(wǎng)絡(luò)和信息系統(tǒng)的第三方人員 。 信息安全教育與培訓(xùn)的內(nèi)容應(yīng)該具有針對(duì)性，根據(jù)業(yè)務(wù)發(fā)展和信息系統(tǒng)的變化，及時(shí)進(jìn)行調(diào)整、修正和補(bǔ)充，并應(yīng)當(dāng)建立考核制度，檢驗(yàn)信息安全教育與培訓(xùn)的效果。 信息網(wǎng)絡(luò)安全管理 ◆信息安全管理簡(jiǎn)介 ◆ 信息安全人員管理 ● 安全教育與培訓(xùn) 二、培訓(xùn)內(nèi)容 根據(jù)信息安全教育與培訓(xùn)策略，安全教育與培訓(xùn)共包括三類(lèi)不同層次的培訓(xùn)內(nèi)容，分別是對(duì)所有接觸和使用網(wǎng)絡(luò)和信息系統(tǒng)的擁護(hù)進(jìn)行基本安全教育；對(duì)負(fù)責(zé)信息安全基礎(chǔ)設(shè)施運(yùn)行和維護(hù)的專(zhuān)業(yè)技術(shù)人員進(jìn)行專(zhuān)業(yè)安全培訓(xùn)；對(duì)信息安全保障體系的規(guī)劃者、管理者和建設(shè)實(shí)施人員進(jìn)行高級(jí)安全培訓(xùn)。 信息網(wǎng)絡(luò)安全管理 ◆信息安全管理簡(jiǎn)介 ◆ 信息安全人員管理 ● 安全教育與培訓(xùn) 二、培訓(xùn)內(nèi)容 基本安全教育 基本安全教育的培訓(xùn)對(duì)象是所有接觸和使用網(wǎng)絡(luò)和信息系統(tǒng)的人員 ， 包括內(nèi)部人員以及相關(guān)的第三方人員 。 基本安全教育旨在使培訓(xùn)對(duì)象了解信息安全的基本概念，認(rèn)識(shí)到可能存在的各種安全威脅和安全風(fēng)險(xiǎn)，理解信息安全的方針策略和管理制度，從而達(dá)到提高信息安全意識(shí)，掌握基本安全操作技能，遵守信息安全管理制度和規(guī)定的目的。 信息網(wǎng)絡(luò)安全管理 ● 安全教育與培訓(xùn) 二、 培訓(xùn)內(nèi)容 基本安全教育 基本安全教育的內(nèi)容包括： ● 信息安全的含義 ， 信息安全所涵蓋的各項(xiàng)主要方面 ， 信息安全的最基本常識(shí) 。 ● 組織內(nèi)部哪些重要區(qū)域和設(shè)備嚴(yán)格限制普通人員進(jìn)入和使用 ， 違反規(guī)定 ， 會(huì)受到什么樣的處罰 。 ● 特別強(qiáng)調(diào)業(yè)務(wù)數(shù)據(jù)對(duì)于組織的重要性 ， 業(yè)務(wù)數(shù)據(jù)是組織的核心商業(yè)機(jī)密 ， 任何篡改 、 破壞業(yè)務(wù)數(shù)據(jù)的行為必將受到嚴(yán)厲的法律制裁 。 這部分內(nèi)容可以結(jié)合既有案例進(jìn)行講述 。 ● 計(jì)算機(jī)用戶安全操作管理規(guī)范 ， 使用戶了解作為一個(gè)普通用戶 ， 應(yīng)該如何安全地對(duì)本地桌面計(jì)算機(jī)系統(tǒng)進(jìn)行操作 ， 包括用戶名 /口令的規(guī)定 、 防病毒軟件的配置和使用 、 系統(tǒng)補(bǔ)丁和版本升級(jí)的維護(hù) 、 計(jì)算機(jī)配置的管理措施 、 訪問(wèn)互聯(lián)網(wǎng)時(shí)要注意的安全事項(xiàng)等 。 ● 普通用戶在應(yīng)急響應(yīng)計(jì)劃中的角色和作用 。 例如 ， 發(fā)現(xiàn)安全事件時(shí) ， 保護(hù)好現(xiàn)場(chǎng) ， 及時(shí)按照規(guī)程向應(yīng)急 響應(yīng)部門(mén)報(bào)警 ， 并配合取證調(diào)查 。 信息網(wǎng)絡(luò)安全管理 ● 安全教育與培訓(xùn) 二、 培訓(xùn)內(nèi)容 基本安全教育 基本安全教育的內(nèi)容包括： ● 普通用戶在災(zāi)難恢復(fù)計(jì)劃中的角色和作用 。 例如 ， 災(zāi)難發(fā)生時(shí)的人員自救和緊急疏散規(guī)程 ， 災(zāi)難發(fā)生后 ， 盡快到達(dá)備份工作地點(diǎn) ， 配合災(zāi)難恢復(fù)部門(mén)的工作 ， 迅速重新開(kāi)始正常工作 ， 確保業(yè)務(wù)的連續(xù)性 。 ● 典型的安全時(shí)間案例介紹 ， 介紹內(nèi)容包括事件的起因 ， 造成的影響和后果 ， 相關(guān)人員受到的處罰情況 ， 使學(xué)員增加對(duì)安全事件的直觀認(rèn)識(shí) ， 提高安全防護(hù)的意識(shí) ， 同時(shí)起到心里震懾作用 ， 抑制不良想法和心理 。 ● 信息安全管理的監(jiān)督和檢查機(jī)構(gòu) ， 使學(xué)員了解任何的違規(guī)行為都會(huì)被發(fā)現(xiàn) ， 會(huì)視情節(jié)和影響的嚴(yán)重性 ， 受到響應(yīng)的處理 。 信息網(wǎng)絡(luò)安全管理 ● 安全教育與培訓(xùn) 二、 培訓(xùn)內(nèi)容 專(zhuān)業(yè)安全培訓(xùn) 專(zhuān)業(yè)安全培訓(xùn)的對(duì)象為負(fù)責(zé)信息安全基礎(chǔ)設(shè)施運(yùn)行和維護(hù)的專(zhuān)業(yè)技術(shù)人員 ， 包括安全系統(tǒng)管理員 、 操作系統(tǒng)管理員 、 數(shù)據(jù)庫(kù)系統(tǒng)管理員 、 網(wǎng)絡(luò)管理員 、 機(jī)房管理員 、 密匙管理員以及其他相關(guān)維護(hù)人員 。 專(zhuān)業(yè)安全培訓(xùn)為負(fù)責(zé)信息安全基礎(chǔ)設(shè)施的專(zhuān)業(yè)技術(shù)人員提供與其崗位和工作職責(zé)相關(guān)的專(zhuān)業(yè)理論知識(shí)、操作技能以及管理制度的培訓(xùn)，使得培訓(xùn)對(duì)象能夠具備崗位和職責(zé)所要求的必要理論基礎(chǔ)和操作技能，了解并遵守相應(yīng)的安全管理規(guī)范，保證信息安全基礎(chǔ)設(shè)施穩(wěn)定有效的運(yùn)行。 信息網(wǎng)絡(luò)安全管理 ● 安全教育與培訓(xùn) 二、 培訓(xùn)內(nèi)容 專(zhuān)業(yè)安全培訓(xùn) 專(zhuān)業(yè)安全培訓(xùn)的內(nèi)容包括： ● 進(jìn)行職業(yè)道德教育 。 信息安全的職業(yè)道德包括約束從業(yè)人員的言行 ，指導(dǎo)他們思想的一整套道德規(guī)范 ， 涉及到信息安全從業(yè)人員的思想認(rèn)識(shí) 、 工作態(tài)度 、 業(yè)務(wù)鉆研 、 待遇得失及其公共道德等方面 。 ● 與崗位職能相關(guān)的信息安全技術(shù)理論培訓(xùn) 。 例如 :防火墻系統(tǒng)管理員需要接受防火墻技術(shù)理論的培訓(xùn) ， 系統(tǒng)管理員需要接受與系統(tǒng)安全有關(guān)的安全技術(shù)理論的培訓(xùn) 。 ● 崗位職能與操作技能培訓(xùn) ， 使得培訓(xùn)對(duì)象理解和遵守崗位職能范圍內(nèi)的信息安全管理內(nèi)容和流程規(guī)范 ， 包括日常維護(hù)的操作規(guī)范 ， 安全事件應(yīng)急響應(yīng)計(jì)劃中的角色職責(zé)和處理流程 ， 災(zāi)難恢復(fù)計(jì)劃中的角色職責(zé)和處理流程等 。 信息網(wǎng)絡(luò)安全管理 ● 安全教育與培訓(xùn) 二、 培訓(xùn)內(nèi)容 高級(jí)安全培訓(xùn) 高級(jí)安全培訓(xùn)的對(duì)象包括負(fù)責(zé)信息安全保障體系規(guī)劃和建設(shè)的專(zhuān)業(yè)技術(shù)人員 、 信息安全基礎(chǔ)設(shè)施的設(shè)計(jì)和工程實(shí)施人員 。 高級(jí)安全培訓(xùn)旨在為單位、組織培養(yǎng)信息安全高級(jí)管理和技術(shù)人才，勝任各級(jí)信息安全管理部門(mén)中的關(guān)鍵崗位，實(shí)現(xiàn)信息安全保障體系的自主規(guī)劃、管理和項(xiàng)目實(shí)施。 信息網(wǎng)絡(luò)安全管理 ● 安全教育與培訓(xùn) 二、 培訓(xùn)內(nèi)容 高級(jí)安全培訓(xùn) 高級(jí)安全培訓(xùn)的內(nèi)容包括： ● 國(guó)家和行業(yè)與信息安全有關(guān)的法律 、 法規(guī)內(nèi)容 ， 這些法律 、 法規(guī)都是信息安全保障體系的規(guī)劃和設(shè)計(jì)過(guò)程所必須遵循的基本規(guī)定 。 ● 全面的信息安全技術(shù)理論和知識(shí) ， 包括物理安全 、 網(wǎng)絡(luò)安全 、 系統(tǒng)安全 、 應(yīng)用安全等各個(gè)層次的安全標(biāo)準(zhǔn)和安全機(jī)制 。 ● 全面的信息安全管理理論 ， 包括信息安全管理的國(guó)際標(biāo)準(zhǔn) 、 安全風(fēng)險(xiǎn)評(píng)估理論與方法 、 信息安全方針和策略的指定和維護(hù) 、 組織機(jī)構(gòu)和人員安全管理以及諸如應(yīng)急響應(yīng)和災(zāi)難恢復(fù)之類(lèi)各項(xiàng)信息安全規(guī)范和流程的管理 。 ● 信息安全工程理論 ， 包括信息安全基礎(chǔ)設(shè)施從需求分析 、 詳細(xì)設(shè)計(jì)到開(kāi)發(fā)和項(xiàng)目實(shí)施過(guò)程中 ， 與信息安全相關(guān)的管理要素 。 ● 關(guān)鍵崗位職能與責(zé)任 ， 使得培訓(xùn)對(duì)象理解與具體崗位相關(guān)的職能范圍和工作流程 。 關(guān)鍵崗位包括各級(jí)信息安全管理部門(mén)負(fù)責(zé)人 、 信息安全管理專(zhuān)員 、 應(yīng)急響應(yīng)計(jì)劃專(zhuān)員 、 災(zāi)難恢復(fù)計(jì)劃專(zhuān)員 、 安全系統(tǒng)項(xiàng)目實(shí)施經(jīng)理等 。 信息網(wǎng)絡(luò)安全管理 ◆信息安全管理簡(jiǎn)介 ◆ 信息安全人員管理 ● 安全教育與培訓(xùn) 信息安全教育和培訓(xùn)由單位、組織和信息安全管理部門(mén)定期組織進(jìn)行。培訓(xùn)結(jié)束后，必須進(jìn)行考核，以檢驗(yàn)教育和培訓(xùn)的效果。信息安全管理部門(mén)定期組織安全檢查，檢驗(yàn)信息安全教育和培訓(xùn)的實(shí)際效果以及安全規(guī)范的遵守和執(zhí)行情況。 信息網(wǎng)絡(luò)安全管理 ◆信息安全管理簡(jiǎn)介 ◆ 信息安全人員管理 ● 崗位安全考核 人員安全管理部門(mén)要定期對(duì)網(wǎng)絡(luò)和信息系統(tǒng)所有的工作人員從思想政治和業(yè)務(wù)表現(xiàn)兩方面進(jìn)行考核 。 思想政治方面的考核內(nèi)容包括是否能夠遵守法律 、 法規(guī)；是否能夠執(zhí)行單位 、 組織的安全策略 、 紀(jì)律規(guī)范和規(guī)章制度；是否能夠遵守職業(yè)道德 ， 具有良好的勞動(dòng)服務(wù)態(tài)度 。 業(yè)務(wù)表現(xiàn)方面的考核依據(jù)人員的具體職責(zé)進(jìn)行 ， 考核內(nèi)容包括相關(guān)的業(yè)務(wù)理論水平和實(shí)際操作技能 ， 特別是能否嚴(yán)格按照相關(guān)的安全管理規(guī)范進(jìn)行業(yè)務(wù)操作 ， 是否具有較高的信息安全意識(shí) 。 信息網(wǎng)絡(luò)安全管理 ◆信息安全管理簡(jiǎn)介 ◆ 信息安全人員管理 ● 離崗人員安全管理 應(yīng)該建立技術(shù)人員離崗的安全管理制度 ， 在人員離崗的同時(shí)收回鑰匙 、 移交工作 、 更換系統(tǒng)口令 、 撤銷(xiāo)帳號(hào) ， 并向離崗人員重新申明其保密義務(wù) 。 人員正常離崗之前要旅行移交手續(xù) ， 完成密碼 、 設(shè)備 、 技術(shù)資料及相關(guān)敏感信息的移交 。 移交手續(xù)包括收回所有的鑰匙和證件 ， 歸還使用的計(jì)算機(jī)設(shè)備 ， 退還全部技術(shù)手冊(cè)及相關(guān)資料 ， 相關(guān)系統(tǒng)必須更換口令 ， 取消該人員所使用過(guò)的所有帳號(hào) ， 向離崗人員重申其負(fù)有的安全保密責(zé)任和義務(wù) 。 對(duì)不情愿被調(diào)走的離崗人員 ， 或者因?yàn)椴贿m合安全管理要求而被調(diào)離的人員 ， 必須嚴(yán)格辦理調(diào)離手續(xù) ， 必要時(shí)應(yīng)在調(diào)離決定通知其本人之前 ， 立即或者提前進(jìn)行移交手續(xù) ， 不能拖延 。 對(duì)于因工作問(wèn)題而被解聘的人員 ， 應(yīng)該嚴(yán)格審查其工作問(wèn)題 ， 相關(guān)懲處應(yīng)該嚴(yán)格按照保密協(xié)議的規(guī)章執(zhí)行 ， 如有觸犯法律 、 法規(guī)的行為 ，應(yīng)依法追究其法律責(zé)任 。 信息網(wǎng)絡(luò)安全管理 ◆信息安全管理簡(jiǎn)介 ◆ 信息安全制度管理 安全管理制度和安全管理規(guī)范是對(duì)信息安全方針和策略的深化和細(xì)化，是安全策略在某一個(gè)特定問(wèn)題或者特定安全系統(tǒng)中的具體體現(xiàn)，安全管理制度必須符合安全策略，并與之保持一致。只要符合國(guó)家信息安全法律、法規(guī)的規(guī)定，符合單位、組織的信息安全策略，各單位、組織即可以根據(jù)自身的實(shí)際情況和特點(diǎn)，有針對(duì)性地制定相關(guān)的信息安全管理制度。信息安全管理制度應(yīng)當(dāng)覆蓋信息安全管理的方方面面，構(gòu)成一個(gè)全面有機(jī)的管理體系。 信息網(wǎng)絡(luò)安全管理 ◆信息安全管理簡(jiǎn)介 ◆ 信息安全制度管理 ● 信息安全管理制度應(yīng)包含以下方面內(nèi)容： 。確定單位、組織擁有明確的信息安全方針以及配套的策略和制度，以實(shí)現(xiàn)對(duì)信息安全工作的支持和承諾，保證信息安全的資金投入。 。信息安全建設(shè)不是避免風(fēng)險(xiǎn)的過(guò)程，而是管理風(fēng)險(xiǎn)的過(guò)程。沒(méi)有絕對(duì)的安全，風(fēng)險(xiǎn)總是存在的。信息安全體系建設(shè)的目標(biāo)就是要把風(fēng)險(xiǎn)控制在可以接受的范圍之內(nèi)。風(fēng)險(xiǎn)管理同時(shí)也是一個(gè)動(dòng)態(tài)持續(xù)的過(guò)程。 。建立組織機(jī)構(gòu)，明確人員崗位職責(zé)，提供安全教育與培訓(xùn)；對(duì)第三方人員進(jìn)行管理、協(xié)調(diào)信息安全監(jiān)管部門(mén)與其他部門(mén)之間的關(guān)系，保證信息安全工作的人力資源要求，避免由于人員和組織上的錯(cuò)誤產(chǎn)生的信息安全風(fēng)險(xiǎn)。 信息網(wǎng)絡(luò)安全管理