22. 信息安全管理
- 安全策略
- 定义:一定是定制的,都是针对本单位的“安全风险(威胁)” 进行防护的。
- 内容:”七定“,即定方案 、定岗、定位、 定员、定目标、定制度、定工作流程。首先要解决定方案,其次就是定岗。
- 策略:把信息系统的安全目标定位于 "系统永不停机、数据永不丟失、网络永不瘫痪、信息永不泄密〃 ,是错误的,是不现实的,也是不可能的 。
- 木桶效应:将整个信息系统比作一个木桶,其安全水平是由构成木桶的最短的那块木板决定的。
- 木桶效应的观点:
- 安全水平由最弱的安全要素决定。
- 因此各安全要素同等重要,但需强调其中安全管理极为重要。
- 适度安全的观点:一个好的信息安全保障系统的标志就是有效控制两者的“平衡点”,既能保证安全风险的有效控制,又使安全代价可以接受。
-
信息系统安全等级保护
- 第一级用户自主保护级一一普通内联网用户
- 第二级系统审计保护级一一通过内联网或国际网进行商务活动,需要保密的非重要单位
- 第三级安全标记保护级一一地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输 大型工