信息系统安全管理，计算机信息系统安全管理包括组织建设事前检查制度建设人

来源：整理时间：2023-05-30 20:15:53 编辑：智能门户手机版

1，计算机信息系统安全管理包括组织建设事前检查制度建设人

选c ：134 不包括事前检查

计算机信息系统安全管理包括组织建设事前检查制度建设人

2，信息系统安全管理

一、内容概述在信息化建设中进行信息系统安全管理，是一个新的课题，已经引起各国地调组织的高度重视。信息系统安全管理不单单是管理体制或技术问题，而是策略、管理和技术的有机结合。从安全管理体系的高度来全面构建和规范信息安全，将有效地保障信息系统安全。要利用网络和信息技术及时有效地为用户提供综合、客观的地质信息服务，就需要重视包括网络服务在内的自动信息系统安全管理。自动信息系统安全管理是指用来保护自动信息系统资源免于丢失、破坏或滥用所做的管理控制和保卫工作。美国地质调查局在自动信息系统安全管理方面积累了大量经验，这对我国相关部门制定有针对性的安全管理方法具有重要的借鉴和指导作用。二、应用范围及应用实例美国地质调查局将提供地质信息列入其战略计划或工作计划，强调要利用网络和信息技术及时有效地为用户提供综合、客观的地质信息服务，同时非常重视其包括网络服务在内的自动信息系统安全管理。自动信息系统安全管理是指用来保护自动信息系统资源免于丢失、破坏或滥用所做的管理控制和保卫工作（张翠光等，2009）。1.美国地质调查局自动信息系统安全管理方针保护美国地质调查局所有信息技术设施，避免被损失、破坏、偷窃和滥用；保护所有美国地质调查局自动信息系统所处理的数据，避免发生未被授权的信息被泄露、修改或破坏；自动信息系统所产生、处理、存储或传输信息受保护的等级与其敏感等级相一致；对违反联邦、部门或局关于自动信息系统安全法规者将受到相应的行政、法律制裁。2.美国地质调查局自动信息系统敏感等级分类敏感自动信息系统是指运行处理敏感数据的计算机应用程序的自动信息系统（设施、硬件、操作系统软件、通信系统等），其中敏感数据是指由于数据的故意或意外泄露、更改或破坏会导致损失或危害的风险及数量较大而要求保护的数据。美国地质调查局为了给每一个信息系统采取相应的保护措施，对其给定了相应的敏感等级，并要求一、二级敏感信息系统应到美国地质调查局信息系统管理中备案，而0级敏感信息系统不需备案。0级敏感信息相当于公开信息；一、二级信息系统的信息不属于美国国家规定的保密信息，是根据其工作任务、商业目的及其价值大小等而设定；三级敏感信息系统的信息才是真正的保密信息。0级（非敏感性）自动信息系统：自动信息系统上的信息不准确、更改、泄露或不能利用对美国地质调查局的任务、功能、形象或荣誉的影响可以忽略不计。即使有影响，影响也是微不足道，或者导致仅仅很小的有形资产或资源的损失。一级敏感自动信息系统：自动信息系统上的信息不准确、更改、泄露或不能利用对美国地质调查局的任务、功能、形象或荣誉影响较小。系统安全方面出现问题可能对有形资产或资源的损失造成潜在的不利影响。二级敏感自动信息系统：自动信息系统上的信息不准确、更改、泄露或不能利用对美国地质调查局的任务、功能、形象或荣誉可能产生重要的不利影响。系统安全出现问题可能导致美国地质调查局不能完成其1个或多个计划任务或商业功能，或者导致重大的有形资产和资源损失。系统生命周期的开支一般超过1000万美元。三级敏感自动信息系统：自动信息系统处理机密信息。一般由提供美国地质调查局机密信息的联邦机构制定自动信息处理要求。根据机密信息提供者建立的要求，系统的鉴定及认可应备案。根据其敏感性再分为类似于秘密、机密、绝密3个等级。自动信息系统安全规划构成确定潜在的威胁和薄弱点，并建立全面的安全保护制度减少威胁和薄弱点，才能使自动信息系统安全计划有效，为此美国地质调查局建立了自动信息系统安全规划。A.安全规划美国地质调查局认为全面的安全规划是任何一个自动信息系统安全管理的重要部分。美国地质调查局支持美国地质调查局所有自动信息系统活动，认为安全规划是安全管理实施过程不可分割的部分：①安全规划为年度预算的一部分，保证所有自动信息资源有经费支持，使自动信息系统资源得到充分的保护；②处理敏感信息的所有自动信息系统（设施和应用程序）应有正式安全规划。在新的敏感自动信息系统开发阶段必须准备初始计划和原系统升级年度计划，以反映系统安全执行情况和/或主要变化。在计划中提供的内容要反映系统的大小和复杂性，规定系统的基本内容和格式应遵守当前最流行的美国国家管理和预算局所提供的指导方针。B.风险管理所有拥有或管理自动信息系统的美国地质调查局机构必须执行和维护风险管理计划，以帮助相应的安全保护措施到位以保护好所有的信息资源。规定管理人员应知道他们信息资源的潜在威胁和薄弱点。一旦知道潜在威胁、薄弱点和潜在的安全保护选项，管理上就应确定各种安全保护选项的必要措施和经费/利益。风险管理一般包括风险分析、安全措施的实施和风险分析频率3个方面的内容：一是风险分析。风险分析是设施或敏感应用程序定期检查或应急计划处理的组成部分。美国地质调查局要求在现存的计算机设施或敏感应用程序发生主要变化时或在批准敏感自动信息系统设计之前作风险分析。风险分析的范围、复杂性和频率与自动信息系统处理数据的敏感性和被保护资源的价值相称。风险分析过程步骤如下：①估计自动信息系统（硬件、软件、数据、设备、人员）资产（现存的或计划的）和系统资源相关的费用（价值），包括数据敏感性的确定；②识别和评定自动信息系统的潜在威胁，包括破坏正常操作、导致系统资产破坏或损失，或其他自然灾害或危险因素和人为因素。并根据每一个潜在威胁产生的可能性分出威胁等级；③找出脆弱点，包括确定或找出在敏感应用程序、自动信息系统或信息技术设备中可能导致安全威胁的弱点或缺点；④评估潜在损失，在确定威胁和脆弱点之后，还应将包括恢复损失和破坏数据的潜在损失定量化；⑤根据遇到的威胁和脆弱点，确定可能的安全保护措施及其相关费用。确定的安全保护费用应与未实施安全保护措施所造成的预期损失的费用相比较。如果安全保护措施花费超过了预期保护利益，那么不应采取安全保护措施。二是安全措施的实施。在风险分析完成之后，管理部门必须决定是否执行成本核算的安全保护或接受这种风险。如果风险分析表明接受这种风险不符合联邦、部门或美国地质调查局的有关规定，那么必须采取必要的保护措施以最低限度符合这些规定：①利用风险分析结果，设备拥有者和敏感应用程序拥有者应选择具体的最大限度保护设施和数据的安全措施；②除违反法规问题外，管理部门可以选择接受与找出威胁或脆弱点相关的风险。如果这样，自动信息系统所有者必须签订一个声明，承认他们了解不执行正确的推荐行动相关的风险。三是风险分析频率。美国地质调查局对风险分析的次数做了相应的规定：对美国地质调查局所有计算机设施至少5年1次；对敏感应用程序和敏感计算机设施至少3年1次；在敏感应用程序或任何计算机设施进行实质性改变时应进行风险分析；在计划一个新的系统或设施开发时，应进行风险分析。C.信息资源的保护为了使美国地质调查局信息资源从风险分析中确定的风险和脆弱点得到合理的保护，自动信息系统所有者必须采取具体的保护措施。一般考虑如下类型的安全保护措施保护信息资源：①物理安全：采取适当的操作和规程减少自动信息系统受到的诸如偷盗、意外或故意破坏、非授权或非法访问或非授权信息泄露等威胁；②技术安全：使用适当的保护措施（如：密码、个人ID识别装置、杀毒软件、访问利用控制表、用户活动监测软件、加密术或回拨调制解调器）防止非授权的访问或非法的自动信息系统软件或数据的使用；③管理安全：制定或分发详细的指导规程使所有自动信息系统得到正确的保护。3.应急计划为了使服务中断等故障最小，应对每个计算机设备和敏感应用程序开发一个应急计划。定期评估每一个应急计划，确定是否需要对其修改以反映系统或人员情况变化。任何应急计划的复杂性和范围要与自动信息系统所处理数据的敏感等级相称。应急计划至少包括下列项目：①数据和软件的备份存储器和恢复规程；②与紧急事件相对应的处理规程、可选处理能力的说明，在必要情况下转移操作到另外一个可选择操作的程序等恢复操作的过程；③计算机设施应急计划与任何敏感应用程序应急计划应具一致性；④定期检查应急计划。4.敏感应用程序安全美国国家管理和预算局A 130通告要求，负责开发和维护处理敏感数据的美国地质调查局计算机应用程序的管理者应建立管理控制方法，对所有新的应用程序和现存应用程序的重大变化应采取相应的物理、技术和管理安全保护措施。敏感应用程序管理控制至少包括：①安全技术条件：根据预先的风险分析结果，在应用程序获取或正式开发之前，应规定或批准安全要求和安全技术条件。为一个应用程序规定和批准安全规程时，应把对处理敏感应用程序的计算机设施进行的风险分析和管理控制检查的结果考虑进去；②设计审查和系统测试。在执行敏感应用程序之前应进行设计评审和系统测试，使安全保护符合批准的安全技术条件。③认证：在执行应用程序之前，新的或实质性改进的敏感应用程序的所有者或管理者应向美国地质调查局自动信息系统安全行政主管书面证明，证明其符合所有现行的自动信息系统方针、法规、标准，同时系统测试的结果证实配备的安全保护措施充分。认证过程包括对应用程序管理和安全控制的评价。④定期重新认证：所有敏感应用程序必须每3年认证1次。5.计算机安全知识培训活动对所有涉及在美国地质调查局之内或监督之下的每一个敏感联邦信息系统管理、使用或操作的职员，美国地质调查局为他们提供定期计算机安全知识强制性的培训和公认的计算机安全锻炼。所有使用、管理和操作敏感自动信息系统的新职员在他们上岗60天之内必须接受计算机安全知识培训。培训用来增强职员了解计算机系统的威胁和薄弱点，强调保护美国地质调查局自动信息资源和正确使用他们的资源的责任。计算机安全培训应有证明文件，并保留在每一个职工的正式个人档案中。计算机安全知识培训包括：①基本知识培训：使职工对威胁和薄弱点产生敏感性，认识保护数据、信息的必要性和处理他们的方法；②高级培训：为敏感自动信息系统所有者/管理者、管理员、信息技术人员和计算机安全管理员提供相关能力，使他们能履行风险分析、制定自动信息系统保护计划、执行安全措施或评价现存安全系统的有效性。6.报告安全事故对造成自动信息系统技术、数据和服务设施网的破坏，或导致敏感自动信息系统欺骗、或非授权的泄露等安全事故，所有职员和协议人员有责任向上级报告相关事故：①包括自动信息系统设备的偷窃或恶意破坏、欺骗、扰乱国家安全或其他滥用自动信息资源的事故必须立即依据所处环境和位置向美国地质调查局安全官员和/或其他地方执法人员报告；②包括试图非法访问利用任何美国地质调查局自动信息资源、恶意密码事故或敏感信息的非法泄露等事故必须立即向自动信息系统安全管理人员和向美国地质调查局自动信息系统安全行政主管官员报告。7.人事安全美国地质调查局规定各部门建立方针或规程，屏蔽所有参与敏感计算机系统设计、开发、操作或维护人员及可以使用敏感数据的人员。屏蔽等级根据数据敏感等级以及由个人造成的风险等级、损失或危害大小而定。所有负有管理、设计、开发、操作、维护或使用美国地质调查局任何计算机系统的任何职位的人员必须赋予与数据敏感等级、风险大小及由个人导致的损失或危害程度大小相匹配的风险责任。美国地质调查局所有计算机系统使用者必须有适当的背景调查，所要求的调查必须与所设定岗位的敏感等级相匹配。8.年度报告制度美国地质调查局规定了自动信息安全管理规定的年度报告制度。每一个分机构自动信息系统安全官员每年应向美国地质调查局自动信息系统安全管理行政官员报告现行设备及敏感应用程序安全职员名单。对每一个设施或敏感应用程序至少必须提供以下信息：安全职员及候选人姓名和电话号码、设施和敏感应用程序的名称及地址、每一职员所要求安全培训的水平。这些最新列表每年9月交给美国地质调查局自动信息系统安全行政管理官员。人事人员要向美国地质调查局自动信息系统安全行政管理者提供以经济年度为基础的美国地质调查局安全知识培训情况。报告将包括如下信息：在财政年度期间，接受基本知识和/或全面计算机安全培训的职员和协议人员（非管理）的数量，在财政年度期间接收计算机安全知识培训的管理人员数量。另外，每分机构自动信息安全官员应向美国地质调查局自动信息系统安全管理者提供下一个财政年度里在上述类目中需要接受培训职员和协议人员的数量。每年九月一日将报告交到美国地质调查局自动信息系统安全行政管理部门。敏感自动信息系统所有者有责任维护他们的敏感信息系统安全规划。敏感自动信息系统所有者每年对他们分机构自动信息系统安全管理人员的更新材料及信息系统更新情况上报美国地质调查局自动信息系统安全管理部门。更新计划应反映自动信息系统硬件、软件或功能的主要变化、安全执行情况，系统认证或重新认证计划、应急计划的检查计划。三、资料来源张翠光，小平等.2009.美国地质调查局自动信息系统安全管理及其对国家地质资料数据中心建设的启示.现代情报，29（3）：212～215

信息系统安全管理

3，信息系统的安全管理是什么

信息系统的安全管理，可以从广义和狭义两个方面进行理解。广义的来说就是所谓整个信息系统的内涵的广义理解角度，需要从整个信息系统的全面着眼，从机房设置、供电的安全、主机操作系统的安全、数据库的安全、网络接入的安全、网络设备的安全、应用系统的安全、人员的管理等等方面。狭义的来说就是一个小系统的安全主要就是操作系统的安全性、数据库的安全性、应用软件的安全性、账户的管理等。

信息系统的安全管理是什么

4，如何进行信息系统的安全管理

一、信息系统安全的基本概念（一）信息系统及其特点概述信息系统是基于计算机系统和通信系统的十分复杂的现代信息资源网络系统，其中，计算机系统是信息系统的核心，由软件和硬件组成，用以完成对信息的自动处理过程；通信系统由工作站、计算机网络和通信网络构成，可以通过线路与计算机之间或通过线路与终端设备之间进行数据传输。计算机系统和通信系统的结合，使具有动态、随机和瞬时发生等特性的信息传输和处理跨越了地理位置的障碍实现了全球互通互联。信息系统的9大特性是系统开放性、资源共享性、介质存储高密性、数据互访性、信息聚生性、保密困难性、介质剩磁效应性、电磁泄露性、通信网络的脆弱性等。显然，这些特性都与信息系统的安全性密切相关，决定了信息系统的不安全特质，信息系统的上述特性对其安全构成了潜在的危险。这些特性如果被利用，系统的资源就将会受到很大损失，甚至关系到企业组织的生死存亡。因此，加强对信息系统的安全管理十分必要。（二）信息系统的安全性原理与技术概述 1、信息系统安全性的基本概念随着信息技术的发展，信息系统在运行操作、管理控制、经营管理计划、战略决策等社会经济活动各个层面的应用范围不断扩大，发挥着越来越大的作用。信息系统中处理和存储的，既有日常业务处理信息、技术经济信息，也有涉及企业或政府高层计划、决策信息，其中相当部分是属于极为重要并有保密要求的。社会信息化的趋势，导致了社会的各个方面对信息系统的依赖性越来越强。信息系统的任何破坏或故障，都将对用户以至整个社会产生巨大的影响。信息系统安全上的脆弱性表现得越来越明显。信息系统的安全日显重要。信息系统的安全性是指为了防范意外或人为地破坏信息系统的运行，或非法使用信息资源，而对信息系统采取的安全保护措施。与信息系统安全性相关的因素主要有以下7种： 1）自然及不可抗拒因素：指地震、火灾、水灾、风暴以及社会暴力或战争等，这些因素将直接地危害信息系统实体的安全。 2）硬件及物理因素：指系统硬件及环境的安全可靠，包括机房设施、计算机主体、存储系统、辅助设备、数据通讯设施以及信息存储介质的安全性。 3）电磁波因素：计算机系统及其控制的信息和数据传输通道，在工作过程中都会产生电磁波辐射，在一定地理范围内用无线电接收机很容易检测并接收到，这就有可能造成信息通过电磁辐射而泄漏。另外，空间电磁波也可能对系统产生电磁干扰，影响系统正常运行。 4）软件因素：软件的非法删改、复制与窃取将使系统的软件受到损失，并可能造成泄密。计算机网络病毒也是以软件为手段侵入系统进行破坏的。 5）数据因素：指数据信息在存储和传递过程中的安全性，这是计算机犯罪的主攻核心，是必须加以安全和保密的重点。 6）人为及管理因素：涉及到工作人员的素质、责任心、以及严密的行政管理制度和法律法规，以防范人为的主动因素直接对系统安全所造成的威胁。 7）其他因素：指系统安全一旦出现问题，能将损失降到最小，把产生的影响限制在许可的范围内，保证迅速有效地恢复系统运行的一切因素。 2、信息系统安全保护措施分类及其相互关系信息系统的安全保护措施可分为技术性和非技术性两大类： 1）技术性安全措施——是指通过采取与系统直接相关的技术手段防止安全事故的发生； 2）非技术性安全措施——指利用行政管理、法制保证和其他物理措施等防止安全事故的发生，它不受信息系统的控制，是施加于信息系统之上的。与人们想象的刚好相反，其实，在系统的安全保护措施中，技术性安全措施所占的比例很小，而更多则是非技术性安全措施，两者之间是互相补充、彼此促进、相辅相成的关系。广大信息化工作者应该明白：信息系统的安全性并不仅仅是简单的技术问题，而严格管理和法律制度才是保证系统安全和可靠的根本保障。 3、信息系统存在的主要安全隐患概述已在社会经济生活中广为应用的信息系统极其脆弱，频繁发生的系统安全隐患有： 1）数据输入隐患：数据通过输入设备进入系统过程中，输入数据容易被篡改或掺假； 2）数据处理隐患：数据处理部分的硬件容易被破坏或盗窃，并且容易受电磁干扰或因电磁辐射而造成信息泄漏； 3）通信线路隐患：通信线路上的信息容易被截获，线路容易被破坏或盗窃； 4）软件系统隐患：操作系统、数据库系统和程序容易被修改或破坏； 5）输出系统隐患：输出信息的设备容易造成信息泄漏或被窃取。 4、信息系统的实体安全和技术安全概述信息系统的实体安全指为保证信息系统的各种设备及环境设施的安全而采取的措施，主要包括场地环境、设备设施、供电、空气调节与净化、电磁屏蔽、信息存储介质等的安全。信息系统的技术安全即在信息系统内部采用技术手段，防止对系统资源非法使用和对信息资源的非法存取操作。信息资源的安全性分为动态和静态两类。动态安全性是指对数据信息进行存取操作过程中的控制措施；静态安全性是指对信息的传输、存储过程中的加密措施。

所谓的网络安全警察应该就是网监吧（现在叫网安），本身就是公安局里的。材料需要的是定级报告（每个系统一个）和备案表，这些可以找网安支队要。流程就是根据自己单位的信息系统被损坏后造成的后果如何来确定等级，然后填写上面说的定级报告（网安有模板的）和备案表，之后就是备案表上盖章，交网安支队备案，评审通过后你单位会得到一份备案证明。友情提示，备案后要进行测评，检测你的信息系统是否达到该等级的保护基本要求，这要委托第三方机构（要有公安部等保认证资质的机构）来进行测评（比如我们机构啦），通过测评找出不安全因素，解决它，然后机构给你测评报告，交公安，符合的话，恭喜你，你们的信息系统符合国家信息系统安全等级保护基本要求了。题外话，找我们做吧，定级备案我们都可以协助你做。