系统集成项目管理之信息系统安全管理

17.1信息安全管理

17.1.1信息安全含义及目标

    信息安全：保护信息的保密性、完整性、可用性，另外也包括其他属性，如真实性、可核查性、不可抵赖性、可靠性。

    目标：保密性、完整性、可用性、其他属性（真实性、可核查性、不可抵赖性、可靠性）；

17.1.2信息安全管理的内容

    信息安全方针与策略；组织信息安全；资产管理；人力资源安全；物理和环境安全；通信和操作安全；访问控制；信息获取、开发和保持；信息安全事件管理；业务持续性管理；符合性；

17.2信息系统安全

17.2.1信息系统安全概念

    信息系统：指由计算机及其相关和配套的设备、设施构成的、按照一定的应用目标和规则对信息进行存储、传输、处理的系统或网络。

    信息系统安全：指信息系统及其所存储、传输、处理的信息的保密性、完整性、可用性的表征，一般包括保障计算机及其相关和配套的设备、设施的安全，运行环境安全、保障信息的安全。

17.2.2信息系统安全属性

    保密性、完整性、可用性、不可抵赖性

17.2.3信息系统安全管理体系

    信息安全管理是对一个组织机构中信息系统的生命周期全过程实施符合安全等级责任要求的管理。

    l 组织机构体系、管理体系、技术体系

    管理体系：配备安全管理人员；建立安全职能部门；成立安全领导小组；主要负责人出任领导；建立信息安全保密管理部门；

   （GB/T20269-2006《信息系统安全技术 信息系统安全管理要求》）

   技术体系：物理安全；运行安全；数据安全；

  （GB/T20271-2006《信息系统安全技术 信息系统通用安全技术要求》）

17.3物理安全管理

17.3.1计算机机房与设施安全

l 计算机机房

    场地；空调与温度；防水、防潮；接地与防雷；

l 电源

   分开供电、紧急供电、备用电源、稳压供电、电源保护、不间断供电；

l 计算机设备

   设备防盗、防毁；设备安全可用；

l 通信线路

17.3.2技术控制

l 检查监控系统

l 人员入/出机房和操作权限范围控制

17.3.3环境与人身安全

    防火、防漏水和水灾、防静电、防自然灾害等；

17.3.4电磁泄漏

l 计算机设备防电磁泄露

l 计算机设备的电磁辐射标准和电磁兼容标准

17.4人员安全管理

17.4.1安全组织

    安全组织的目的：在于通过建立管理框架，以启动和控制组织范围内的信息安全的实施；

     安全组织的职能：安全管理领导职能；保密监督的管理职能；

17.4.2岗位安全考核与培训

17.4.3离岗人员安全管理

17.4.4软件安全检测与验收

17.5应用系统安全管理

17.5.1应用系统安全概念

l 应用系统的可靠性

l 应用系统的安全问题

l 应用系统安全管理的实施

    建立应用系统安全需求管理；严格应用系统的安全检验与验收；加强应用系统的操作安全控制；规范变更管理；防止信息泄露；严格访问控制；信息备份；应用系统监控；

17.5.2应用软件开发的质量保证

17.5.3应用系统运行中的安全管理

l 系统运行安全审核目标

    保证应用系统运行交接过程均由详尽的安排；精心计划以确保运行资源得到有效利用；对运行日程的变更进行授权；监控系统运行以确保其符合标准；监控环境和设施安全；检查操作员日志；监控系统性能和资源情况；预测设备或应用系统容量；

l 系统运行安全与保密的层次构成

    系统级安全；资源访问安全；功能性安全；数据域安全；

l 系统运行安全检查与记录

    应用系统访问控制检查；应用系统日志检查；可用性检查；安全操作检查；系统维护检查；配置检查；恶意代码检查；

l 系统运行管理制度

    安全管理组织；系统运行的安全管理（安全等级管理；运行监控管理；运行文件管理制度；运行操作规程；用户管理制度；系统维护制度；容灾备份制度；运行审计制度；）；安全监督；安全教育培训；

17.5.4应用软件维护安全管理

l 应用软件维护活动的类别

l 应用软件维护的安全管理目标

l 应用软件维护的工作项

l 应用软件维护执行步骤