信息系统安全等级保护实务

章节摘录

版权页：   插图：   （4）实施系统软件版本管理，应用软件备份和恢复管理。 5）网络管理员的职责 （1）负责网络的部署和网络产品、网络安全产品的配置、管理与监控，并对关键网络配置文件进行备份，及时修补网络设备的漏洞； （2）协助安全管理员制定网络设备安全配置规则，并落实执行； （3）当网络和设备异常或故障发生时，详细记载发生异常时的现象、时间和处理方式，并及时上报； （4）编制网络设备的维修、报损和报废等计划，报安全主管审核。 6）机房管理员的职责 （1）负责机房硬件设备和机房环境的维护和管理工作； （2）负责编制机房硬件设备使用和维护等的管理制度和规范； （3）当机房设备异常或故障发生时，详细记载发生异常时的现象、时间和处理方式，并及时上报； （4）编制机房设备的维修、报损和报废等计划，报安全主管审核。 7）文档管理员的职责 文档管理员的职责为负责对信息安全相关文档进行分类归档。 同时在上述岗位的设置方面应遵循以下原则： （1）对一些信息安全关键岗位应配备两人或两人以上共同管理，信息安全关键岗位包括主机系统管理员、数据库管理员、应用系统管理员和网络管理员等可查询及更改业务信息与系统配置的人员； （2）为避免信息安全岗位的工作人员权力过于集中，出于对安全的考虑，应设置专职的安全管理员，尤其应注意安全管理员不能兼任网络管理员、主机系统管理员、数据库管理员或应用系统管理员岗位； （3）根据岗位变动情况及时调整相应的授权，做到“在岗有权、离岗失权”； （4）信息安全岗位的工作人员应该不定期循环任职，强制实行轮换制度，避免一人长期担任信息安全管理职务，并对相关人员进行轮流培训。 5.1.2授权和审批 各个部门和岗位的职责都需经过正规的审批流程，应有明确的授权审批事项、审批部门和批准人等，并有相应的审批管理制度文档，其内容包括审批事项、需逐级审批的事项、对应审批部门、批准人和审批程序等。 对审批事项应建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度。其中，审批事项包括系统变更、重要操作、物理访问、系统接人、重要管理制度的制定和发布、人员的配备、人员的培训、产品的采购、外部人员的访问、与合作单位的合作项目等。并且应有相应的审批管理制度文档，以明确对系统变更、重要操作、物理访问和系统接入等事项的审批流程。 审批事项须定期审查，授权和审批的项目、审批部门和审批人等信息也需要及时更新，并有相应的审查周期。同时，在审批管理制度文档中也要做出明确规定。审批事项的审批过程需要有记录，并保存逐级审批的文档，如各级批准人的签字和审批部门的盖章等。

书籍目录

序 前言 第1章概论 1.1等级保护的目的和意义 1.2等级保护法律法规与政策规范 1.3信息安全等级保护标准 第2章信息系统安全等级保护实施 2.1等级保护工作的主要内容 2.2信息系统定级 2.3信息系统备案 2.4信息系统安全建设整改 2.5信息系统等级测评 2.6监督检查 第3章信息系统定级与备案 3.1信息系统安全保护等级 3.2信息系统安全保护等级的确定方法 3.2.1定级原则 3.2.2定级要素 3.2.3定级流程 3.2.4定级方法 3.3信息系统定级实例 3.3.1系统描述 3.3.2系统定级过程 3.4信息系统备案工作 3.4.1信息系统备案与受理 3.4.2公安机关受理备案要求 3.4.3对定级不准和不备案情况的处理 第4章建设整改分析与设计 4.1安全需求分析方法 4.1.1选择、调整基本安全要求 4.1.2明确系统特殊安全需求 4.2新建系统的安全等级保护设计方案 4.2.1总体安全设计方法 4.2.2总体安全设计方案大纲 4.2.3设计实施方案 4.3系统改建实施方案设计 4.3.1确定系统改建的安全需求 4.3.2差距原因分析 4.3.3分类处理的改建措施 4.3.4改建措施详细设计 第5章安全管理体系建设 5.1信息安全组织结构建设 5.1.1岗位设置和人员配备 5.1.2授权和审批 5.1.3沟通和合作 5.1.4审核和检查 5.2信息安全管理制度体系建设 5.2.1信息安全方针和策略 5.2.2安全管理制度制定原则 5.2.3操作规程 5.2.4制订和发布 5.2.5评审和修订 第6章安全管理实施 6.1人员安全管理 6.1.1人员录用 6.1.2人员离岗 6.1.3人员考核 6.1.4安全意识教育和培训 6.1.5外部人员访问管理 6.2系统建设安全管理 6.2.1信息系统生命周期与系统建设 6.2.2系统建设管理的要求 6.2.3初始管理 6.2.4采购和开发管理 6.2.5实施管理 6.2.6系统备案和测评管理 6.3系统运维管理 6.3.1系统生命周期与系统运维管理 6.3.2系统运维管理要求 6.3.3基本管理 6.3.4密码和变更 6.3.5网络和系统 6.3.6安全事件管理 6.3.7备份和恢复管理 6.3.8监控和安全中心 6.3.9运维管理制度实例 第7章物理安全技术实施 7.1安全风险 7.2安全目标 7.3目标措施对应表 7.4安全措施 7.4.1环境物理安全措施 7.4.2基本设备物理安全措施 7.4.3智能设备物理安全措施 7.5物理安全设计方案实例 7.5.1机房环境安全 7.5.2机房运行安全 7.5.3基本设备物理安全 7.5.4智能设备物理安全 第8章 网络安全技术实施 8.1安全风险 8.2安全目标 8.3目标措施对应表 8.4安全措施 8.4.1结构安全 8.4.2访问控制 8.4.3安全审计 8.4.4边界完整性检查 8.4.5入侵防范 8.4.6恶意代码防范 8.4.7网络设备防护 8.5网络安全设计方案实例 第9章主机安全技术实施 9.1安全风险 9.2安全目标 9.3目标措施对应表 9.4安全措施 9.4.1身份鉴别 9.4.2访问控制 9.4.3安全审计 9.4.4剩余信息保护 9.4.5入侵防范 9.4.6恶意代码防范 9.4.7资源控制 9.5主机安全设计方案实例 第10章应用安全技术实施 10.1安全风险 10.2安全目标 10.3目标措施对应表 10.4安全措施 10.4.I身份鉴别 10.4.2访问控制 10.4.3安全审计 10.4.4剩余信息保护 10.4.5通信完整性 10.4.6通信保密性 10.4.7抗抵赖性 10.4.8软件容错 10.4.9资源控制 10.5应用安全设计方案实例 第11章数据安全技术实施 11.1安全风险 11.2安全目标 11.3目标措施对应表 11.4安全措施 …… 第12章信息系统安全等级保护实施难点 第13章信息系统安全等级测评 第14章信息系统安全等级保护检查 第15章信息系统安全建设整改实例 参考文献

编辑推荐

《信息系统安全等级保护实务》适合作为信息系统安全等级保护设计、建设、运营和管理等相关专业人员的培训教材，也可作为信息安全专业安全等级保护类课程的教材。

 信息系统安全等级保护实务下载