课程09信息安全管理与灾难恢复.pptVIP

第9章 信息安全管理与灾难恢复 信息安全管理策略是为发布、管理和保护敏感的信息资源 (信息和信息处理设施) 而制定的一组法律、法规和措施的总和，是对信息资源使用、管理规则的正式描述，是企业内所有成员都必须遵守的规则。 第9章 信息安全管理与灾难恢复 备份技术是将整个系统的数据或状态保存下来，但它并不保证系统的实时可用性。而集群和容灾技术的目的就是为了保证系统的可用性。也就是说，当意外发生时，系统所提供的服务和功能不会因此而间断。在有一定规模的系统中，备份技术、集群技术和容灾技术互相不可替代，并且稳定和谐地配合工作，共同保证着系统的正常运转。 第9章 信息安全管理与灾难恢复 9.1 信息安全管理与工程 9.2 信息灾难恢复规划 9.1 信息安全管理与工程 信息安全管理策略告诉组织成员在日常的工作中什么是必须做的，什么是可以做的，什么是不可以做的；哪里是安全区，哪里是敏感区；等等。 9.1.1 信息安全管理策略 作为有关信息安全方面的行为规范，一个成功的信息安全策略应当遵循： 1) 综合平衡 (综合考虑需求、风险、代价等诸多因素) 。 2) 整体优化 (利用系统工程思想，使系统总体性能最优) 。 3) 易于操作和确保可靠。 9.1.1 信息安全管理策略 信息安全策略应该简单明了、通俗易懂，并形成书面文件，发给组织内的所有成员；对所有相关员工进行信息安全策略的培训；对信息安全负有特殊责任的人员要进行特殊的培训，以使信息安全方针真正落实到实际工作中。当然，需要根据组织内各个部门的实际情况，分别制订不同的信息安全策略，为信息安全提供管理指导和支持。 9.1.1 信息安全管理策略 (1) 制订策略的原则 在制定信息安全管理策略时，应严格遵守以下原则： 1) 目的性。策略是为组织完成自己的信息安全使命而制定的，应该反映组织整体利益和可持续发展的要求。 2) 适用性。策略应该反映组织的真实环境和当前信息安全的发展水平。 9.1.1 信息安全管理策略 3) 可行性。策略的目标应该可以实现，并容易测量和审核。 4) 经济性。策略应该经济合理，过分复杂和草率都不可取。 5) 完整性。策略能够反映组织的所有业务流程的安全需要。 6) 一致性。策略应该和国家、地方的法律法规保持一致；和组织已有的策略、方针保持一致；以及和整体安全策略保持一致。 9.1.1 信息安全管理策略 7) 弹性。策略不仅要满足当前的要求，还要满足组织和环境在未来一段时间内发展的要求。 9.1.1 信息安全管理策略 (2) 策略的主要内容 理论上，一个完整的信息安全策略体系应该保障组织信息的机密性、可用性和完整性。虽然每个组织的性质、规模和内、外部环境各不相同，但一个正式的信息安全策略应包含下列一些内容： 1) 适用范围。包括人员范围和时效性，例如“本规定适用于所有员工”，“适用于工作时间和非工作时间”。 9.1.1 信息安全管理策略 2) 保护目标。安全策略中要包含信息系统中要保护的所有资产 (包括硬件、软件和数据) 以及每件资产的重要性和其要达到的安全程度。例如，“为确保企业的经营、技术等机密信息不被泄漏，维护企业的经济利益，根据国家有关法律，结合企业实际，特制定本条例。” 9.1.1 信息安全管理策略 3) 策略主题。例如：设备及其环境的安全；信息的分级和人员责任；安全事故的报告与响应；第三方访问的安全性；外围处理系统的安全；计算机和网络的访问控制和审核；远程工作的安全；加密技术控制；备份、灾难恢复和可持续发展的要求等。 也可以划分为如账号管理策略、口令管理策略、防病毒策略、E-mail使用策略，因特网访问控制策略等。每一种主题都可以借鉴相关的标准和条例。 9.1.1 信息安全管理策略 4) 实施方法。明确对网络信息系统中各类资产进行保护所采用的具体方法，如对于实体安全可以用隔离、防辐射、防自然灾害的措施实现；对于数据信息可以采用授权访问技术来实现；对于网络传输可以采用安全隧道技术来实现，等等。另外，还要明确所采用的具体方法，如使用什么样的算法和产品等。 9.1.1 信息安全管理策略 5) 明确责任。维护信息与网络系统的安全不仅仅是安全管理员的事，要调动大家的积极性，明确每个人在安全保护工程中的责任和义务。为了确保事故处理任务的落实，必须建立监督和管理机制，保证各项条款的严格执行。 6) 策略签署。信息安全管理策略是强制性的、带惩罚性的，策略的执行需要来自管理层的支持，因此，通常是信息安全主管或总经理签署信息安全管理策略。 9.1.1 信息安全管理策略 7) 策略生效时间和有效期。旧策略的更新和过时策略的废除也是很重要的。 8) 重新评审策略的时机。除了常规的评审时机外，下列情况下也需要组织重新评审，例如：企业管理体系发生很大变化；相关的法律