论信息安全等级保护中的非技术因素.docVIP

论信息安全等级保护中的非技术因素 　　[摘 要]针对信息安全登录保护中的非技术因素展开讨论，找出因人为和管理造成的安全漏洞问题的解决方案。 　　中图分类号：TP309 文献标识码：A 文章编号：1009-914X（2016）19-0361-01 　　1 引言 　　信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 　　在等级保护工作中我们都能做到“明确重点、突出重点、保护重点”，将有限的财力、物力、人力投入到重要信息系统的安全保护中去。对重要的信息系统我们在技术上都能按照等级保护要求部署相关安全设备，但是，仅仅这样就做好安全等级保护工作了么？实际上安全管理在保障信息系统的安全中发挥着重要的作用，俗话称“三分技术七分管理”，所以无论是信息系统运行使用单位还是信息系统安全测评人员都不应该忽视安全管理在信息系统安全中的作用。 　　在实际工作中，我们往往能看到一些这样的情况，如领导不重视，安全措施、安全制度不落实等非技术问题造成的安全事故。实际上这些问题是可以提前预测和预防的，如果依照国家规定开展信息安全等级保护的测评和整改，那么泄密事件就有可能避免。 　　做好非技术保护工作主要需要做好以下几点： 　　2 安全管理制度 　　安全管理制度内容包括管理制度、制定和发布、评审和修订 3 个部分。管理制度在整个系统中属于大纲，安全管理政策和制度的制定与正确实施对信息系统安全管理起着非常重要的作用，他告诉我们那些行为是属于安全管理禁止的行为，不仅促使全体员工参与到保障信息安全的行动中来，而且能有效地降低由于人为操作失误所造成的对系统安全的损害。通过制定安全管理制度，能够使责权明确，保证工作的规范性和可操作性。管理制度的建立不仅包含了传统管理方式的特点，也融入了信息安全的特性。 　　存在问题：1）多数单位的管理制度不完善，缺乏顶层的安全方针、安全策略等；2）只建立了安全管理制度，对于重要操作的操作规程缺失；3）管理制度的执行情况不理想，执行记录缺失。 　　解决办法： 　　建立完善的管理制度，补充、制订缺少的各项安全管理制度，完善已有安全管理制度文档，逐步形成由安全政策、管理制度、操作规程等构成的、全面的信息安全管理制度体系。加强对员工的培训，注重安全意识的教育和日常操作行为规范性教育，并建立内审和管理评审制度，定期对安全管理制度的执行情况、适用性等进行审查。 　　3 安全管理机构 　　好的制度还必须执行才能起到有效的作用，安全管理机构内容包括岗位设置、人员配备、授权和审批、沟通和合作4个部分。安全管理的重要事实条件就是建立一个统一指挥、协调有序、组织有力的安全管理机构，这是信息安全管理得以实施、推广的基础。对建立完善的安全组织机构、明确人员的安全职责和权限、完善安全沟通机制和安全检查流程等进行规范。通过构建从单位最高管理层到执行管理层再到具体业务运营层的组织体系，明确各个岗位的安全职责，为安全管理提供组织上的保证。 　　存在问题：对技术人员和操作人员的日常行为进行规范管理，造成技术和管理分离，技术不能发挥最大的作用。 　　解决办法：建立安全管理机构制度，规范人员管理，增强安全知识、意识培训安全职责与人员岗位应更好地融合在一起，可在设置安全管理机构的基础上，设定安全管理员岗位，明确安全管理 员职责，规定各运维人员的安全职责和义务。对关键岗位人员、重要部门的员工定期开展信息安全意识教育，加强人员安全意识和安全技能培训，逐步形成群防群治的工作机制，使安全管理融入到日常工作中。 　　4 人员安全管理 　　人员安全管理内容包括人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理5个部分。 　　人是信息安全中最关键的因素，信息系统整个生命周期都需要人来参与，包括设计人员、实施人员、管理人员、维护人员和系统用户等。如果这些参与人员的安全问题没有得到很好的解决，任何一个信息系统都不可能达到真正的安全。因此需要对人员的招聘、入职、转 / 离岗、培训、考核等阶段提出相应的安全要求，并将外部人员访问管理进行了明确的规定。只有对信息系统相关人员实施科学、完善的管理，才有可能降低人为操作失误所带来的风险。 　　存在问题：人员分配、管理不完善，而运维人员则更专注于设备和系统的正常运行，导致安全管理活动难以系统、持续地开展，不能作为常态工作。 　　解决办法：建立人员安全管理制度，加强对外包人员的安全管理，签署必威体育官网网址协议，制定外包人员管理制度。组织外包人员学习内部的相关安全管理规定，进行安全技能和安全意识培训。制定重要活动的审批流程，加强访问