14.1制定信息安全管理策略14.1制定信息安全管理策略14.1制定信息安全管理策略3）策略主题。通常一个组织可能会考虑开发下列主题的信息安全管理策略：①设备和及其环境的安全。②信息的分级和人员责任。③安全事故的报告与响应。④第三方访问的安全性。⑤外围处理系统的安全。⑥计算机和网络的访问控制和审核。⑦远程工作的安全。⑧加密技术控制。⑨备份、灾难恢复和可持续发展的要求。4）策略签署。信息安全管理策略是强制性的、惩罚性的，策略的执行需要来自管理层的支持，通常是信息安全主管或总经理签署信息安全管理策略。签署人的管理地位不能太低；否则会有执行的难度，如果遭到某高层主管的抵制常会导致策略失败，高层主管的签署也表明信息安全不单单是信息安全部门的事情，还是和整个组织所有成员都是密切相关的。5）策略的生效时间和有效期。旧策略的更新和过时策略的废除也是很重要的，应该保持生效的策略中包含新的安全要求。安全组织机构对信息系统的安全管理工作是垂直的，网络延伸到哪里，信息安全管理工作就要管到哪里，下一级信息安全组织机构必须无条件地接受上一级安全组织机构的领导。网络已深入到社会的各个角落,黑客和病毒给社会带来的负面影响也随着网络功能的增强而扩大，网络的安全性随之上升到国家安全、公共安全的层面,世界各国亦越来越倾向依靠法律——这个强有力的国家工具来保障网络安全。旧策略的更新和过时策略的废除也是很重要的，应该保持生效的策略中包含新的安全要求。3）配备各类安全管理、技术人员。3）决定信息系统是否要采取安全措施。7）与其他相关策略的引用关系。策略是为组织完成自己的信息安全使命而制定的，策略应该反映组织的整体利益和可持续发展的要求。防病毒安全员负责信息网络系统的计算机病毒的防护工作。2）签订保密协定原则6）负责管理各类安全管理人员，定期或不定期组织安全教育或培训。1信息安全管理机构(续)2）管理机构。1制定信息安全管理策略因此，应建立一个专门的权威的解释机构或指定专门的解释人员来进行策略的解释。2）决定信息系统和信息的安全等级。10）对本级和本级所属安全工作人员进行工作业绩考核，并提出工作人员称职、不称职或表彰、处罚的意见。4）负责定期检查数据库数据的完整性和可用性，发现系统故障及时排除，做好系统恢复。3）负责设备的清洁和定期的保养维护，并做好维护记录。14.1制定信息安全管理策略14.2建立信息安全机构和队伍14.2建立信息安全机构和队伍14.2建立信息安全机构和队伍14.2建立信息安全机构和队伍14.2建立信息安全机构和队伍14.2建立信息安全机构和队伍14.2建立信息安全机构和队伍14.2建立信息安全机构和队伍14.2建立信息安全机构和队伍14.2建立信息安全机构和队伍15）根据国家和上级保密工作规定，审查系统操作人员对系统信息的使用，审查系统对外发表的信息，防止发生泄密。16）采取切实可行的措施，防止系统操作人员对系统信息泄露和破坏、篡改数据、防止未经许可越权使用系统资源。17）建立必要的系统访问批准制度，监督、管理系统外维修人员对系统设备的检修及维护。18）采取切实可行的措施，防止计算机设备的损坏、改换和盗用。19）定期做信息系统的漏洞检查，向本组织安全领导小组提供信息安全管理系统的风险分析报告，提出相应的对策和实施计划。20）负责存取系统和修改系统授权以及系统特权口令。组织信息安全工作队伍主要包括信息安全员、系统安全员、网络安全员、设备安全员、数据库安全员、数据安全员、防病毒安全员。14.2建立信息安全机构和队伍14.2建立信息安全机构和队伍7）定期检查各部门的安全工作，及时通报检查结果和违章行为。1）系统信息安全管理员提供的报告。9）例外情况的处理。3）定期向组织信息安全领导小组汇报工作，报告工作计划。5）从事网络系统操作或管理的工作人员应是具备一定实践经验的网络工程师。负责日常协调、管理工作。1）负责信息网络操作系统和服务器操作系统的安装、运行和维护、管理，保障系统的安全稳定地运行。1）负责信息网络操作系统和服务器操作系统的安装、运行和维护、管理，保障系统的安全稳定地运行。14）制定、管理和定期分发系统及用户的身份识别号码、密钥和口令。一个成功的安全策略应当遵循：10）均衡防护原则信息安全员主要负责信息网络系统的信息安全和保密信息的管理。信息安全管理策略也称信息安全方针，是组织对信息和信息处理设施进行管理、保护和分配的准则和规划，以及使信息系统免遭入侵和破坏而必须采取的措施。1）负责信息网络数据的安全，保障信息的保密性、完整性和可用性。1）负责设备的领用和保管，做好设备的领用、进出库、报废登记。3）安全新风险分析报告。14.2建立信息安全机构和队伍14.2建立信息安全机构