干部学习讲稿：信息安全管理与监管

干部学习讲稿：信息安全管理与监管
宗勇
云南大学网络与信息中心主任
信息安全管理与使用技术知识第二章，信息安全管理与监管。本章包含五题内容。技术与管理的关系一直是信息安全工作的热点问题，从BISS公布的数据看，超过70%的信息安全事故如果事先加强管理都是可以得到避免的，也就是三分技术，七分管理，二者并重。
一、信息安全管理组织、人员和制度
第一题，信息安全管理组织、人员和制度。信息安全的组织机构是实施信息安全管理的必要保证。如图所示，信息安全管理组织主要包括安全审查和决策机构、安全主管机构、安全运行维护机构、安全审计机构、安全培训和安全工作人员。通常用信息安全问题是由单位内部的专门机构控制和管理的，必要时，应与外部相关组织进行沟通协调，各单位在进行自身信息安全管理工作时应与与公安机关公共信息网络a全监察部门密切配合。
主要体现如图所示的三个层次。符合性（合规性）管理：是指单位、组织根据自身业务特点和具体情况所制定的信息安全管理办法和规范，必须符合国家信息安全相关法律、法规的规定。符合性从单位自身微观的层次上体现了信息安全管理与国家的宏观的信息安全管理的一致和配合。
信息安全的人员管理，人员的素质是提高信息安全性致关重要的因素。信息安全的人员
……（新文秘网https://www.wm114.cn省略844字，正式会员可完整阅读）……　
所使用过的所有帐号，向离岗人员重申安全b_m责任和义务。二、强制离岗人员，必须严格办理调离手续，必要时应在调离决定通知其本人之前，立即或者提前进行移交手续，不能拖延。第三种情况，因工作问题被解聘人员，应该严格审查其工作问题，严格执行相关处罚，若有触犯法律、法规的行为，应依法追究其法律责任。在信息安全的制度管理方面，应该结合本单位的实际情况，编制完整的、全面的、分层次的信息安全的制度管理制度和规范，并加以认真贯彻落实。
下面列举三个信息安全管理制度：一、物理环境安全管理规范，它包括安全域、门禁控制、监控与报警、电源和电缆管理、环境管理与维护、设备常规管理、变更管理、事故处理等。二、终端计算机安全使用规范，包括安装防病毒软件、操作系统定期自动升级、密码保护、IE安全级别设置、邮件管理、重要文件备份等。三、包括防火墙系统管理规范，包括明确岗位职责、防火墙的规划部署、配置测试；状态监控、日志分析、安全事件的响应处理等。
二、互联网、重点单位信息安全管理
第二个问题，互联网、重点单位信息安全管理。《计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联_全保护管理办法》、《互联_全保护技术措施规定》的国家现行的法律法规，在安全保护职责、安全管理制度、安全保护技术措施、禁止行为等方面对互联网服务提供者、互联网数据中心 、联网使用单位做出明确的规定和要求。
其中，《计算机信息网络国际联网管理暂行规定》第13条规定，从事国际联网业务的单位和个人应当遵守国家有关法律、行政法规，严格执行安全b_m制度，不得利用国际联网从事危hai国jia安全、泄露国家秘密等违法犯罪活动；不得制作、查阅、复制和传播妨碍社会治安的信息和淫秽色情等信息。
《计算机信息网络国际联_全保护管理办法》第5条、第6条，对禁止在互联网上发布的信息内容、禁止互联网活动行为分别做出强劲的规定。《计算机信息网络国际联_全保护管理办法》第10条还规定，互联网单位、接入单位及国际联网的法人和其他组织应当履行，一、建立健全安全保护管理制度；二、落实安全保护技术措施；三、开展安全教育和培训；四、对发布信息的单位和个人登记、对发布内容进行审核；五、建立电子公告系统的用户登记和信息管理制度；六、对违反法律法规的行为保留有关原始记录并及时报案；七、及时删除违反法律法规的内容、地址、目录或者关闭服务器。
互联网管理中的安全管理制度，健全的互联_全管理制度应包含：新闻组、BBS等交互式栏目及个人主页等信息服务栏目的安全管理制度、信息发布审核和登记制度、信息巡查、保存、清除和备份制度等其他与安全保护有关的管理制度。
安全保护技术措施。《互联_全保护技术措施》规定，互联网服务的提供者、联网使用者和单位应当建立和落实基本的安全技术措施，包括防病毒、防网络入侵和攻击破坏等危害网络a全事项或者行为的技术措施，重要数据库和系统主要设备的冗灾备份措施，记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施。
重点单位及其确定原则，《计算机信息系统安全保护条例》第4条明确规定：“计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。”加强网络a全保护工作，首先要抓好重点单位及其确定原则，加强信息网络a全保护工作，首先要抓好重点抓好国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全，这些重要领域的信息网络a全直接关系到国j-a全、_以及经济建设的健康发展，凡是涉及这些要领域的信息网络的单位均属于重点单位。
我国信息网络重点单位列举，我国根据安全需要，从实际出发，全面权衡后，确定了信息网络重点单位一共有12类，我国根据安全需要，从实际出发，全面权衡后，将下列单位列入信息网络重点单位：1、国家各级党政机关单位，2、银行、保险、证券等金融机构，3、电力、热力、燃气、煤炭、油料等能源单位，4、铁路、公路、水路、海运等交通运输单位，5、医疗、消防、紧急救援等社会应急服务单位，6、经济建设的重点工程建设单位，7、其他重要领域和单位，8、互联网管理中心及其重要网站，9、重要物资储备单位，10、水利及水资源供给部门，11、航空、航天等尖端科技企业和研究单位。12、邮政、电信、广播电视部门等。
重点单位信息安全管理。重点单位信息安全管理，要从建立安全管理机构 ……（未完，全文共8684字，当前仅显示2372字，请阅读下面提示信息。收藏《干部学习讲稿：信息安全管理与监管》）