信息安全管理第七章.pdf

第七章 机构与物理安全 第七章 机构与物理安全 电影：反求工程 一、安全组织 1.信息安全组织机构 －－信息安全三分靠技术，七分靠管理，建立有效 的信息安全管理组织机构是信息安全管理的基础。 不健全的安全管理机制是信息安全最大的薄弱点 （1）建立信息安全管理的议事决策机构――信息 安全管理论坛 －－信息安全管理论坛由组织的最高管理层及 与信息安全管理有关的部门负责人、管理技术人员 组成，定期召开会议，就以下重要信息安全议题进 行讨论并做出决策，为组织信息安全管理提供导向 与支持  评审和审批信息安全方针  分配信息安全管理职责  确认风险评估的结果  对与信息安全管理有关的重大更改事项进行 决策  评审和监测信息安全事故  审批与信息安全管理有关的其他重要事项 －－组织最高管理者在管理层指定一名信息安全管 理经理，分管组织的信息安全管理事宜，负责组织 的信息安全方针的贯彻与落实，就信息安全管理的 效果与有关重大问题及时与最高管理者进行沟通 （2 ）在组织内部，建立一个内部协调机制便于信 息安全控制的具体实施 －－对于规模较大的组织，一项安全控制活动需要 多个部门的共同参与才能得以实现，为能迅速解决 控制过程出现的问题，防止内部互相推诿的现象发 生，提高工作效率，由与信息安全有关的部门代表 组成的一个跨部门管理论坛，解决一些实际的问题 （3 ）明确规定保护信息资产和执行具体安全过程 的责任 －－职责缺乏或界定不清，最终导致控制得不到有 效的实施，形成管理风险 －－组织最高管理者应确保对以下职责进行规定并 形成书面文件  管理层职责  部门职责  信息安全有关的管理、操作、验证等人员的职责 （4 ）建立信息处理设施授权程序 －－信息处理设施包括计算机网络设施、通信设 施、 电子办公设施、网络安全设施、实物安全保护设施 等等 －－以下提供具体控制措施  对新购进的信息处理设施履行审批手续，审批内 容包括设施的使用目的、场所及安全技术要求  设施在正式安装或投入使用前进行安全技术方面 的验证，如检查软硬件兼容性问题。  对信息处理设施的使用者进行授权，明确使用者 保护信息处理设施的责任，防止信息处理设施的 滥用  对于在工作场所使用个人信息处理设施的情况进 行评定并予以授权 （5 ）建立渠道，获取信息安全的建议 －－信息安全性的某些方面对于外行来说是复杂的 和困难的，有时对内行来说同样是复杂的和困难的 －－组织可通过以下方式，获取信息安全方面的建 议以支持信息安全管理  从组织内部挑选懂技术和管理的信息安全方面的 专家，为管理层提供信息安全解决方案，参与安 全事故的调查，解答内部员工工作遇到的实际问 题并及时提供预防性的安全咨询建议  从外部专家那里获得信息安全建议，例如从网络 设备商、网络安全机构那里等。  从公开的信息渠道获取有关的信息安全建议，如 专业出版物、网络安全机构的定期公告等。 （6）加强与其他组织间的协作 －－国家与信息安全有关的执法机构、管理机 关有公安部、安全部、必威体育官网网址局、商用密码管理 办公室、信息产业部等 －－组织有必要保持与当地执法机关、管理机关、 信息服务供应商和电信运营商的适当联系，以确保 在出现安全事故时尽快采取适当的行动和取得建议 （7）对组织信息安全进行独立评审 －－内部审核由组织内部接受信息安全管理体系审 核培训的、且有一定经验和技能的内部审核员进 行。 在正式审核前应成立审核组，任命审核组长，对审 核方案进行策划，按计划进行审核 －－所谓审核的独立性是指审核员与被审核方保持 适当的独立性，即审核员不应审核自己的工作，确 保审核结果的公正和可靠 －－若组织规模小，也可以从外部聘请专业审核机 构或审核人员进行内部审核 －－组织为寻求对外提供信息安全信任，可进行第 三方认证，对于外部的审核人员所带来的风险应予 以识别，并进行充分的控制 2.第三方访问安全 （1）识别出第三方访问的风险 －－第三方访问是指除组织员工以外的其他组织或 人员对组织信息处理设施和信息资产的访问 －－访问类型包括实物访问和逻辑访问 －－第三方可能由于一系列原因被许可访问，包括 临时访问和常驻现场两种形式 －－信息可能由于安全管理不当而面临第三方访问 的风险，第三