第十九讲 信息安全管理【2021年软考-高级信息系统项目管理师】

22. 信息安全管理

1. 安全策略
   1. 定义：一定是定制的，都是针对本单位的“安全风险（威胁）” 进行防护的。
   2. 内容：”七定“，即定方案 、定岗、定位、 定员、定目标、定制度、定工作流程。首先要解决定方案，其次就是定岗。
   3. 策略：把信息系统的安全目标定位于 "系统永不停机、数据永不丟失、网络永不瘫痪、信息永不泄密〃 ，是错误的，是不现实的，也是不可能的 。

• 木桶效应：将整个信息系统比作一个木桶，其安全水平是由构成木桶的最短的那块木板决定的。
• 木桶效应的观点：
  • 安全水平由最弱的安全要素决定。
  • 因此各安全要素同等重要，但需强调其中安全管理极为重要。
• 适度安全的观点：一个好的信息安全保障系统的标志就是有效控制两者的“平衡点”，既能保证安全风险的有效控制，又使安全代价可以接受。

2. 信息系统安全等级保护

   • 第一级用户自主保护级一一普通内联网用户
   • 第二级系统审计保护级一一通过内联网或国际网进行商务活动，需要保密的非重要单位
   • 第三级安全标记保护级一一地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输 大型工