信息安全管理（三）第二章、信息安全管理基础信息安全管理体系ISMS：是组织在整体或特定范围内建立信息安全的方针和目标，以及完成这些目标所用的方法的体系。包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动，并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。ISO27001是建立和维护信息安全管理体系的标准，是信息安全管理领域的权威标准。信息安全管理的基本原则主要领导负责规范定级一人为本适度安全党的十五届五中全会和第九届人大第六次会议决定建立国家信息安全保障体系性质：国家以国家意志和国家行为的方式，在信息技术方面所形成的用于保护其安全利益的资源和能力，这种资源和能力体现为特定形态和过程的技术结构、社会结构和人才结构内容技术资源管理资源人力资源信息安全管理的层次与内容信息安全管理的发展管理基础安全产品分类编码信息技术安全管理指南（ISO/IECTR13335）信息安全管理(ISO/IECTR17799)系统管理安全报警报告功能（GB17143.7-1997idt10164.7-1992）安全审计跟踪功能（GB17143.8-1997idt10164.8-1993）访问控制对象和属性（GB17143.9-1997idt10164.9-1993风险管理测评认证信息技术安全性评估准则（ISO/IEC15408:1999）（CC）计算机信息系统安全保护等级划分准则(GB17859：1999)通用测评方法(SC27N2722|CEM)系统安全工程能力成熟模型(SSE-CMM)英国标准协会（BSI）于1995年制定BS7799《信息安全管理体系标准》，1999年修订改版：7799－1：《信息安全管理操作规则》7799－2：《信息安全管理系统规范》7799－1已经在2000年末被采纳为国际标准，即：ISO/TEC17799《信息安全管理操作规则》，香港、台湾等都采用BS7799标准。ISO/IEC17799（BS7799-1）BS7799-2BS7799-2BS7799-2通用准则（CC）CC的结构以及目标读者安全管理指南：ISO/IECTR13335SSE-CMM项目NISTSP800(SpecialPublication800-series)SP800-12,《计算机安全手册》（ComputerSecurityHandbook)SP800-14,《公认【安全】原则与操作》（GenerallyAccepted[Security]Principles&Practices）SP800-18,《安全计划开发指南》（GuideforDevelopingSecurityPlans）SP800-23,《联邦机构安全保障和采购指南/使用可信或经评估的产品指南》（GuidetoFederalOrganizationsonSecurityAssuranceandAcquisition/UseofTested/EvaluatedProducts)SP800-26,《IT系统自我评估指南》(Self-AssessmentGuideforITSystems)我国信息安全标准工作信息安全标委会工作组设置三、信息安全策略信息安全涉及的主要问题网络攻击与攻击检测、防范问题安全漏洞与安全对策问题信息安全保密问题系统内部安全防范问题防病毒问题数据备份与恢复问题、灾难恢复问题主要的信息安全策略物理安全网络安全数据安全软件安全系统管理灾难恢复1、口令策略所有系统都需要口令，以拥有易于实现的第一级别的访问安全性。为确保网络安全运行，保护所拥有的权益不受侵害，可以制定如下管理策略：☆网络服务器口令的管理：（1）服务器的口令，由部门负责人和系统管理员商议确定，必须两人同时在场设定。（2）服务器的口令需部门负责人在场时，由系统管理员记录封存。（3）口令要定期更换（视网络具体情况），更换后系统管理员要销毁原记录，将新口令记录封存。（4）如发现口令有泄密迹象，系统管理员要立刻报告部门负责人，有关部门负责人报告安全部门，同时，要尽量保护好现场并记录，须接到上一级主管部门批示后再更换口令。☆用户口令的管理：（1）对于要求设定口令的用户，由用户方指定负责人与系统管理员商定口令，由系统管理员登记并请用户负责人确认（签字或电话通知）之后系统管理员设定口令，并保存用户档案。（2）在用户由于责任人更换或忘记口令时要求查询口令或要求更换口令的情况下，需向网络服务管理部门提交申请单，由部门负责人或系统管理员核实后，对用户档案做更新记载。（3）如果网络提供用户自我更新口令的功能，用户应自己定期更换口令，并设专人负