組織與人員安全管理

第6章組織與人員安全管理內(nèi)容提要◎國(guó)家信息安全組織◎企業(yè)信息安全組織

◎信息安全的角色與職務(wù)◎人員安全及其教育、培訓(xùn)和意識(shí)提升6.1國(guó)家信息安全組織宏觀 《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第四條：“公安部主管全國(guó)的計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作，重點(diǎn)維護(hù)國(guó)家事務(wù)、經(jīng)濟(jì)建設(shè)、國(guó)防建設(shè)、尖端科學(xué)角色等重要領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的安全”。微觀

《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第十三條：“計(jì)算機(jī)信息系統(tǒng)的使用單位應(yīng)當(dāng)建立健全安全管理制度，負(fù)責(zé)本單位計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作”。6.1國(guó)家信息安全組織6.1.1信息安全組織的基本要求信息安全組織應(yīng)當(dāng)由單位安全負(fù)責(zé)人領(lǐng)導(dǎo)具體工作應(yīng)當(dāng)由專門的安全負(fù)責(zé)人負(fù)責(zé)

安全組織成員類型的多樣性

安全組織有著雙重的組織聯(lián)系

信息安全組織的運(yùn)行應(yīng)獨(dú)立于信息系統(tǒng)的運(yùn)行，同時(shí)是一個(gè)綜合性的組織。6.1.2信息安全組織的基本標(biāo)準(zhǔn)逐級(jí)信息安全防范責(zé)任制，各級(jí)的職責(zé)劃分明確明確信息系統(tǒng)使用部門或崗位的安全責(zé)任有專職或兼職的安全員有健全的安全管理規(guī)章制度在工作人員中普及安全知識(shí)定期進(jìn)行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估，并對(duì)信息安全實(shí)行等級(jí)保護(hù)制度在安全各方面采取必要的安全措施對(duì)本部門信息系統(tǒng)的安全保護(hù)工作有檔案記錄和應(yīng)急計(jì)劃嚴(yán)格執(zhí)行信息安全事件上報(bào)制度對(duì)信息系統(tǒng)安全保護(hù)工作定期總結(jié)評(píng)比

6.1.3信息安全組織的基本任務(wù) 在政府主管部門的管理指導(dǎo)下定期或適時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估，根據(jù)本單位的實(shí)際情況和需要，確定信息系統(tǒng)的安全等級(jí)和管理總體目標(biāo)，提出相應(yīng)的對(duì)策并監(jiān)督實(shí)施。

6.1.4信息安全組織的職能負(fù)責(zé)與信息安全有關(guān)方面的決策與實(shí)施根據(jù)安全需求建立各自信息系統(tǒng)的安全策略和安全目標(biāo)建立和健全有關(guān)的實(shí)施細(xì)則與各級(jí)國(guó)家信息安全主管機(jī)關(guān)、技術(shù)和保衛(wèi)機(jī)構(gòu)建立日常工作關(guān)系參與本單位及下屬單位的信息系統(tǒng)的安全管理工作建立和健全系統(tǒng)安全操作規(guī)程和制度明確信息安全各崗位人員的職責(zé)和權(quán)限

獎(jiǎng)罰并重

執(zhí)行信息安全報(bào)告制度

6.1.5信息安全組織的規(guī)模大型機(jī)構(gòu) 大型機(jī)構(gòu)有1000臺(tái)以上的設(shè)備需要安全管理，一般都有專門的職員來支持安全項(xiàng)目。 專職安全人員的配置依賴于大量的因素，包括所保護(hù)信息的敏感性、行業(yè)規(guī)則（如金融業(yè)和衛(wèi)生保健業(yè)）以及收益率。公司用于人員預(yù)算的資源越多，則越有可能保持較大的信息安全人員配置。

注：這主要取決于機(jī)構(gòu)的文化意識(shí)。 如果上層管理者認(rèn)為信息安全只是在浪費(fèi)時(shí)間和資源，那么信息安全項(xiàng)目將得不到有力的支持，信息安全人員所做的努力會(huì)被認(rèn)為與機(jī)構(gòu)的任務(wù)相抵觸，不利于機(jī)構(gòu)生產(chǎn)率的提高；相反，如果管理層對(duì)信息安全有較高的認(rèn)識(shí)并且態(tài)度積極，那么安全項(xiàng)目不管是在經(jīng)濟(jì)上還是在其他方面都有可能得到很大的支持。6.1.5信息安全組織的規(guī)模 一個(gè)典型的大型機(jī)構(gòu)平均有1個(gè)專職安全管理人員，4個(gè)專職的安全系統(tǒng)管理員或技術(shù)員和15個(gè)兼職人員，這些兼職人員除了其他的工作職責(zé)外還有信息安全職責(zé)。6.1.5信息安全組織的規(guī)模中型機(jī)構(gòu)

中型機(jī)構(gòu)擁有100—1000臺(tái)要求安全管理的機(jī)器。 這些機(jī)構(gòu)也可能大到足以執(zhí)行多級(jí)安全方法，雖然這種方法是為大型機(jī)構(gòu)提供的，但這些機(jī)構(gòu)也可以使用這種方法，只是專門小組的數(shù)量會(huì)減少，而每個(gè)小組會(huì)有更多的功能。 當(dāng)信息安全部門沒有能力為某項(xiàng)功能配置人員，并且機(jī)構(gòu)不支持或要求IT或其他部門代為執(zhí)行該項(xiàng)功能時(shí)，中型機(jī)構(gòu)趨向于忽略一些特別功能。在這種情況下，CISO必須增強(qiáng)各小組之間的協(xié)作，而且必須有能力執(zhí)行相關(guān)決定

。6.1.5信息安全組織的規(guī)模 中型機(jī)構(gòu)中的全職和兼職員工要明顯地少于大型機(jī)構(gòu)，可能只有1個(gè)全職安全人員，以及3個(gè)兼職信息安全人員。6.1.5信息安全組織的規(guī)模小型機(jī)構(gòu) 管理少于100個(gè)系統(tǒng)的小型機(jī)構(gòu)面臨特殊的挑戰(zhàn)。 小型機(jī)構(gòu)中的信息安全管理常常是一個(gè)多面手的責(zé)任，他是一個(gè)單獨(dú)的安全管理員，可能會(huì)有1—2個(gè)助手來協(xié)助他管理技術(shù)工作。由此，安全管理員常常是處理桌面管理、病毒防護(hù)以及本地網(wǎng)絡(luò)安全問題。 小型機(jī)構(gòu)的資源通常有限，所以安全管理員常常會(huì)求助于免費(fèi)軟件和黑客軟件以降低評(píng)估和執(zhí)行安全的成本。在小型機(jī)構(gòu)中，安全培訓(xùn)與安全意識(shí)提升通常實(shí)施在一個(gè)一對(duì)一的基礎(chǔ)上，安全管理員直接向需要幫助的用戶提出建議。

注：小型機(jī)構(gòu)的規(guī)模讓它們避免了一些前面提到的威脅。6.1.5信息安全組織的規(guī)模 小型機(jī)構(gòu)有1個(gè)全日制安全人員對(duì)信息安全負(fù)責(zé)，或者，更可能是一個(gè)全日制IT人員在附帶管理或指導(dǎo)信息安全工作。當(dāng)然他可能會(huì)有1—2個(gè)助手協(xié)助工作。6.2企業(yè)信息安全組織 建立有效的信息安全組織是企業(yè)安全管理的基礎(chǔ)。6.2.1企業(yè)信息安全組織的構(gòu)成信息安全決策機(jī)構(gòu)信息安全管理機(jī)構(gòu)信息安全執(zhí)行機(jī)構(gòu)6.2.1.1信息安全決策機(jī)構(gòu)

信息安全決策機(jī)構(gòu)應(yīng)當(dāng)由組織的的最高管理層、與信息安全管理有關(guān)的部門負(fù)責(zé)人和管理技術(shù)人員組成，其職責(zé)是為組織信息安全管理提供向?qū)c支持。 任務(wù)包括：（1）評(píng)審和審批信息安全方針（2）分配信息安全管理職責(zé)（3）確認(rèn)風(fēng)險(xiǎn)評(píng)估的結(jié)果（4）對(duì)與信息安全管理有關(guān)的重大更改事項(xiàng)（5）評(píng)審和檢測(cè)信息安全事故（6）審批與信息安全管理有關(guān)的其他重要事項(xiàng)

6.2.1.2信息安全管理機(jī)構(gòu)

信息安全管理機(jī)構(gòu)主要通過對(duì)人力資源的管理，完成對(duì)事件、任務(wù)和事務(wù)的管理。 任務(wù)包括：（1）對(duì)安全事件進(jìn)行評(píng)估，確定應(yīng)采取的安全響應(yīng)級(jí)別（2）確定對(duì)安全事件的響應(yīng)策略及技術(shù)手段（3）管理信息安全相關(guān)的日常工作（4）管理信息安全相關(guān)的人力資源（5）管理信息安全組織內(nèi)部和外部的相關(guān)信息（6）管理信息安全組織的資產(chǎn)

6.2.1.3信息安全執(zhí)行機(jī)構(gòu)

信息安全執(zhí)行機(jī)構(gòu)是信息安全事件的響應(yīng)機(jī)構(gòu)。 主要人員組成：（1）信息安全技術(shù)人員（2）信息系統(tǒng)集成技術(shù)人員（3）計(jì)算機(jī)網(wǎng)絡(luò)與通信技術(shù)人員（4）信息安全法律專家（5）信息系統(tǒng)（硬件、軟件）技術(shù)人員6.2.2企業(yè)信息安全組織職能

（1）建立內(nèi)部信息安全協(xié)調(diào)機(jī)制

（2）明確職責(zé)（3）建立信息處理設(shè)施授權(quán)程序

（4）建立渠道，獲取信息安全建議

（5）加強(qiáng)與政府機(jī)構(gòu)的協(xié)作

（6）對(duì)組織信息安全進(jìn)行獨(dú)立評(píng)審

（7）識(shí)別與外部組織訪問相關(guān)的風(fēng)險(xiǎn)（8）對(duì)外部組織訪問控制

（9）外包控制

6.2.2企業(yè)信息安全組織職能識(shí)別與外部組織訪問相關(guān)的風(fēng)險(xiǎn)

訪問類型包括：物理訪問：例如進(jìn)入辦公室、計(jì)算機(jī)機(jī)房和檔案室等；邏輯訪問：例如訪問組織的數(shù)據(jù)庫(kù)和信息系統(tǒng)等；網(wǎng)絡(luò)連接：例如永久性連接和遠(yuǎn)程訪問等。（6）對(duì)組織信息安全進(jìn)行獨(dú)立評(píng)審?fù)獠拷M織訪問的風(fēng)險(xiǎn)的識(shí)別應(yīng)考慮以下問題：外部組織需要訪問的信息處理設(shè)施；所涉及信息的價(jià)值和敏感性，及對(duì)業(yè)務(wù)運(yùn)行的危險(xiǎn)程度處理組織信息所涉及的外部組織的人員6.2.2企業(yè)信息安全組織職能對(duì)外部組織訪問控制

對(duì)外部組織訪問應(yīng)實(shí)行訪問授權(quán)管理對(duì)于經(jīng)過授權(quán)進(jìn)行物理訪問的外部組織，應(yīng)佩帶易于識(shí)別的標(biāo)志對(duì)于長(zhǎng)期訪問的外部組織，應(yīng)通過簽訂信息安全協(xié)議6.2.2企業(yè)信息安全組織職能外包控制 在雙方的合同中明確規(guī)定信息系統(tǒng)、網(wǎng)絡(luò)和（或）桌面系統(tǒng)環(huán)境的風(fēng)險(xiǎn)管理、安全控制措施與實(shí)施程序，并按照合同的要求進(jìn)行實(shí)施。6.3信息安全角色和職務(wù)

信息安全職務(wù)可分為3種類型：制定、建立、管理。制定者提供策略、方針和標(biāo)準(zhǔn)，還提供咨詢和風(fēng)險(xiǎn)評(píng)估，以及開發(fā)產(chǎn)品、制定技術(shù)架構(gòu)。建立者是真正的技術(shù)人員，負(fù)責(zé)建立和制定安全解決方案管理者操作和管理安全工具、實(shí)施安全監(jiān)控以及不斷地改進(jìn)解決方案。 也就是說，由具備一定資歷的人員作為制定者，由擅長(zhǎng)技術(shù)的人員作為建立者，而一部分人員作為操作主管。

6.3信息安全角色和職務(wù)

一個(gè)典型的機(jī)構(gòu)有著許多具有信息安全責(zé)任心的人，大多數(shù)工作可分為以下幾種類別：首席信息安全官（CISO）安全主管安全管理員和分析員安全技術(shù)人員安全工作人員安全顧問安全官員和調(diào)查員客戶服務(wù)人員

6.3信息安全角色和職務(wù)6.3信息安全角色和職務(wù)首席信息安全官（CISO） CISO主要負(fù)責(zé)機(jī)構(gòu)信息安全項(xiàng)目的評(píng)估、管理和實(shí)施。該職務(wù)也被稱做安全主管、安全管理者等。CISO一般直接向CIO匯報(bào)。安全主管 安全主管負(fù)責(zé)信息安全項(xiàng)目的日常運(yùn)作，完成CISO確定的目標(biāo)，他們還要解決技術(shù)人員、管理員、分析員或他們管理的員工所提出的一系列問題。

注：管理技術(shù)本身就需要首先對(duì)技術(shù)理解，但并不一定需要掌握技術(shù)的配置、操作以及故障的排除。

6.3信息安全角色和職務(wù)安全管理員和分析員

安全管理員負(fù)有安全技術(shù)人員和安全主管的雙重責(zé)任，同時(shí)具備技術(shù)知識(shí)和管理技能，負(fù)責(zé)管理安全技術(shù)的日常運(yùn)作，同時(shí)還要協(xié)助制定和管理培訓(xùn)計(jì)劃、策略等。 安全分析員是專門的安全管理員。在傳統(tǒng)的IT部門中，安全管理員協(xié)助系統(tǒng)管理員或數(shù)據(jù)庫(kù)管理員工作，而安全分析員則協(xié)助系統(tǒng)分析員工作。安全技術(shù)人員 安全技術(shù)人員是具備一定技術(shù)資格的人員，他們負(fù)責(zé)配置防火墻和IDS、運(yùn)行安全軟件、診斷問題所在、解決問題以及配合系統(tǒng)和網(wǎng)絡(luò)管理員以確保安全技術(shù)的合理應(yīng)用。

安全技術(shù)人員要專業(yè)化，即要擅長(zhǎng)某種安全技術(shù)（防火墻、IDS、服務(wù)器、路由器或軟件），甚至對(duì)某種特定的軟件或硬件也很熟悉，要在這類技術(shù)上達(dá)到高度專業(yè)化是很困難的。

6.3信息安全角色和職務(wù)安全工作人員

“安全工作人員”是一個(gè)廣泛的概念，指那些完成日常工作的員工。他們負(fù)責(zé)觀察入侵控制臺(tái)、監(jiān)控電子郵件賬戶以及執(zhí)行其他日常工作，還包括支持信息安全部門工作的重要人員

。安全顧問 信息安全顧問是信息安全某些領(lǐng)域的專家（災(zāi)難恢復(fù)、業(yè)務(wù)連續(xù)性計(jì)劃、安全架構(gòu)、策略制定或戰(zhàn)略計(jì)劃）。當(dāng)機(jī)構(gòu)決定將安全項(xiàng)目的一個(gè)或多個(gè)部分外包時(shí)，就會(huì)聘請(qǐng)安全顧問。安全官員和調(diào)查員客戶服務(wù)人員

客戶服務(wù)技術(shù)人員在信息安全中的工作要求高度的專業(yè)化，他們有必要接受專業(yè)化的訓(xùn)練。他們必須隨時(shí)準(zhǔn)備識(shí)別和診斷信息安全中存在的傳統(tǒng)技術(shù)問題和威脅，這樣可以節(jié)省事故響應(yīng)的寶貴時(shí)間。

6.4人員安全及其教育、培訓(xùn)和意識(shí)提升 信息資產(chǎn)所面臨的最大威脅來自人類自身的錯(cuò)誤，教育、培訓(xùn)和意識(shí)提升有兩大好處：改善員工的行為使員工對(duì)他們的工作更具責(zé)任感 教育、培訓(xùn)和意識(shí)提升有3種途徑：根據(jù)需要縱向拓展知識(shí)，以設(shè)計(jì)和執(zhí)行本機(jī)構(gòu)的安全項(xiàng)目讓計(jì)算機(jī)用戶學(xué)習(xí)技能和知識(shí)，以便能更安全地使用IT系統(tǒng)完成自身的工作提升系統(tǒng)資源的保護(hù)意識(shí)6.4人員安全及其教育、培訓(xùn)和意識(shí)提升 信息安全教育的對(duì)象主要包括：領(lǐng)導(dǎo)和管理人員信息系統(tǒng)的工程技術(shù)人員，包括系統(tǒng)研發(fā)和維護(hù)人員一般用戶計(jì)算機(jī)及設(shè)備生產(chǎn)廠商法律工作者其他有關(guān)人員6.4.1安全教育 信息安全領(lǐng)域內(nèi)存在許多分支學(xué)科，每一學(xué)科都可能有不同的知識(shí)需求。例如： 關(guān)注管理的學(xué)生想在政策、計(jì)劃、個(gè)人管理和別的方面得到培養(yǎng)； 側(cè)重在技術(shù)方面的學(xué)生可能需要在諸如Windows網(wǎng)絡(luò)安全、防火墻、IDS、遠(yuǎn)程訪問和身份鑒定等特定領(lǐng)域方面的課程。認(rèn)證信息系統(tǒng)安全專家（CISSP）系統(tǒng)安全從業(yè)者認(rèn)證（SSCP）全球信息保證證書（GIAC）6.4.2安全培訓(xùn) 安全培訓(xùn)涉及到給機(jī)構(gòu)成員提供詳細(xì)信息和管理設(shè)備，使他們能夠安全地履行職責(zé)。 有兩種用戶化的培訓(xùn)方法：基于功能背景的培訓(xùn)一般用戶管理類用戶技術(shù)用戶基于技能水平的培訓(xùn)初學(xué)者中等水平高水平6.4.3安全意識(shí)提升

安全意識(shí)提升項(xiàng)目使用戶在日常工作中首先想到的就是保護(hù)信息的安全，在控制和處理信息的員工之中慢慢地灌輸責(zé)任感和目標(biāo)意識(shí)，并引導(dǎo)員工