信息安全等级测评管理部分测评ppt课件.pptx

前言,根据基本要求（GB/T222392008），各个级别信息系统安全管理需要落实的内容包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理共五个方面。本章将分别介绍着五个方面内容的具体评测方法。,目录,1,2,3,4,5,人员安全管理,系统建设管理,系统运维管理,安全管理制度,安全管理机构,章节,1,安全管理制度,安全管理制度,1.1 管理制度,信息安全方针策略,各种安全管理活动的 管理制度,安全操作规程,“金字塔”式的安全管理制度文件体系,最高层的安全文件,以上一层为指导,具体活动步骤和方法，必须体现上二层的策略和原则,1.2 制定和发布,在相关部门管的负责和指导下，严格按照制度制定的有关程序和方法,安全管理制度体系制定并实施后，需要对体系中的相关文件进行评审和修订，以适应实际环境和情况的变化，保证安全管理制度体系文件的适用性,1.3 评审和修订,章节,2,安全管理机构,安全管理机构,安全管理的重要实施条件就是建立一个统一指挥、协调有序、组织有力的安全管理机构。,岗位设置,人员配备,审核检查,授权审批,沟通协调,章节,3,人员安全管理,人是信息系统中最关键的因素，信息系统整个生命周期都需要有人来参与，只有对信息系统相关人员实施科学、完善的管理。才有可能降低认为操作失误所带来的风险，根据基本要求，三级系统对以下几项提出要求：,人员安全管理,01,人员录用,02,03,人员离岗,人员考核,人员安全管理,04,05,安全意识教育和培训,外部人员访问管理,章节,4,系统建设管理,安全方案设计,产品采购,自行软件开发,安全服务商选择,等级测评,系统备案,其中系统备案中：已建信息系统在确定安全保护等级30日内，第二级以上信息系统必须到系统主管部门和相应公安备案。,系统建设管理,外包软件开发,系统定级,系统交付,测试验收,工程实施,章节,5,系统运维管理,环境管理,资产管理,介质管理,设备管理,根据资产的重要性标识；根据资产的价值选择管理措施；,专门人员定期设备维护管理；制定设备管理制度；制定重要设备的操作规程；,规定介质的存放、使用、传输、维护、销毁；根据重要程度分类标识；介质的加密存储、异地存储；,确保机房运行环境良好和安全；办公环境的严格管理和控制；,系统运维管理,网络安全管理,系统安全管理,恶意代码防范管理,划分系统管理员角色，分析日志和审计；建立系统安全管理制度；对重要日常工作建立操作规程；,专人检测恶意代码及时处理，保存记录；建立防病毒制度，规定用户的防病毒行为、软件的授权使用、恶意代码库升级、定期汇报等；,采用工具进行检测和报警；定期对记录进行分析，出分析报告；建立安全管理中心集中管理；,制定专门人员对网络进行管理；建立网络安全管理制度；对重要日常工作建立操作规程；,系统运维管理,监控管理和安全管理中心,建立变更管理制度，规定变更类型、变更申报和审批、变更过程、变更前评估和变更失败后恢复等,在同一的应急预案框架下制定不同安全事件的应急预案；针对应急预案进行培训和演练，及时修订不适用的内容。,划分安全事件等级，规定安全件的现场处理、事件报告和后期回顾；规定不同安全事件报告和响应处理程序,建立密码使用管理制度，规定秘钥的产生、分发、存储、更换、使用和废止,系统运维管理,密码管理,备份与恢复管理,识别需要备份的业务信息、系统数据及软件系统等；规定备份信息的备份方式、备份频度、存储介质、备份和恢复流程、有效性检查等,安全事件处理,应急预案管理,变更管理,感 谢 观 看,