信息系統(tǒng)安全管理，計(jì)算機(jī)信息系統(tǒng)安全管理包括組織建設(shè) 事前檢查制度建設(shè) 人

來(lái)源：整理時(shí)間：2023-05-30 20:15:53 編輯：智能門戶手機(jī)版

1，計(jì)算機(jī)信息系統(tǒng)安全管理包括組織建設(shè) 事前檢查制度建設(shè) 人

選c ：134 不包括事前檢查

計(jì)算機(jī)信息系統(tǒng)安全管理包括組織建設(shè) 事前檢查制度建設(shè) 人

2，信息系統(tǒng)安全管理

一、內(nèi)容概述在信息化建設(shè)中進(jìn)行信息系統(tǒng)安全管理，是一個(gè)新的課題，已經(jīng)引起各國(guó)地調(diào)組織的高度重視。信息系統(tǒng)安全管理不單單是管理體制或技術(shù)問(wèn)題，而是策略、管理和技術(shù)的有機(jī)結(jié)合。從安全管理體系的高度來(lái)全面構(gòu)建和規(guī)范信息安全，將有效地保障信息系統(tǒng)安全。要利用網(wǎng)絡(luò)和信息技術(shù)及時(shí)有效地為用戶提供綜合、客觀的地質(zhì)信息服務(wù)，就需要重視包括網(wǎng)絡(luò)服務(wù)在內(nèi)的自動(dòng)信息系統(tǒng)安全管理。自動(dòng)信息系統(tǒng)安全管理是指用來(lái)保護(hù)自動(dòng)信息系統(tǒng)資源免于丟失、破壞或?yàn)E用所做的管理控制和保衛(wèi)工作。美國(guó)地質(zhì)調(diào)查局在自動(dòng)信息系統(tǒng)安全管理方面積累了大量經(jīng)驗(yàn)，這對(duì)我國(guó)相關(guān)部門制定有針對(duì)性的安全管理方法具有重要的借鑒和指導(dǎo)作用。二、應(yīng)用范圍及應(yīng)用實(shí)例美國(guó)地質(zhì)調(diào)查局將提供地質(zhì)信息列入其戰(zhàn)略計(jì)劃或工作計(jì)劃，強(qiáng)調(diào)要利用網(wǎng)絡(luò)和信息技術(shù)及時(shí)有效地為用戶提供綜合、客觀的地質(zhì)信息服務(wù)，同時(shí)非常重視其包括網(wǎng)絡(luò)服務(wù)在內(nèi)的自動(dòng)信息系統(tǒng)安全管理。自動(dòng)信息系統(tǒng)安全管理是指用來(lái)保護(hù)自動(dòng)信息系統(tǒng)資源免于丟失、破壞或?yàn)E用所做的管理控制和保衛(wèi)工作（張翠光等，2009）。1.美國(guó)地質(zhì)調(diào)查局自動(dòng)信息系統(tǒng)安全管理方針保護(hù)美國(guó)地質(zhì)調(diào)查局所有信息技術(shù)設(shè)施，避免被損失、破壞、偷竊和濫用；保護(hù)所有美國(guó)地質(zhì)調(diào)查局自動(dòng)信息系統(tǒng)所處理的數(shù)據(jù)，避免發(fā)生未被授權(quán)的信息被泄露、修改或破壞；自動(dòng)信息系統(tǒng)所產(chǎn)生、處理、存儲(chǔ)或傳輸信息受保護(hù)的等級(jí)與其敏感等級(jí)相一致；對(duì)違反聯(lián)邦、部門或局關(guān)于自動(dòng)信息系統(tǒng)安全法規(guī)者將受到相應(yīng)的行政、法律制裁。2.美國(guó)地質(zhì)調(diào)查局自動(dòng)信息系統(tǒng)敏感等級(jí)分類敏感自動(dòng)信息系統(tǒng)是指運(yùn)行處理敏感數(shù)據(jù)的計(jì)算機(jī)應(yīng)用程序的自動(dòng)信息系統(tǒng)（設(shè)施、硬件、操作系統(tǒng)軟件、通信系統(tǒng)等），其中敏感數(shù)據(jù)是指由于數(shù)據(jù)的故意或意外泄露、更改或破壞會(huì)導(dǎo)致?lián)p失或危害的風(fēng)險(xiǎn)及數(shù)量較大而要求保護(hù)的數(shù)據(jù)。美國(guó)地質(zhì)調(diào)查局為了給每一個(gè)信息系統(tǒng)采取相應(yīng)的保護(hù)措施，對(duì)其給定了相應(yīng)的敏感等級(jí)，并要求一、二級(jí)敏感信息系統(tǒng)應(yīng)到美國(guó)地質(zhì)調(diào)查局信息系統(tǒng)管理中備案，而0級(jí)敏感信息系統(tǒng)不需備案。0級(jí)敏感信息相當(dāng)于公開(kāi)信息；一、二級(jí)信息系統(tǒng)的信息不屬于美國(guó)國(guó)家規(guī)定的保密信息，是根據(jù)其工作任務(wù)、商業(yè)目的及其價(jià)值大小等而設(shè)定；三級(jí)敏感信息系統(tǒng)的信息才是真正的保密信息。0級(jí)（非敏感性）自動(dòng)信息系統(tǒng)：自動(dòng)信息系統(tǒng)上的信息不準(zhǔn)確、更改、泄露或不能利用對(duì)美國(guó)地質(zhì)調(diào)查局的任務(wù)、功能、形象或榮譽(yù)的影響可以忽略不計(jì)。即使有影響，影響也是微不足道，或者導(dǎo)致僅僅很小的有形資產(chǎn)或資源的損失。一級(jí)敏感自動(dòng)信息系統(tǒng)：自動(dòng)信息系統(tǒng)上的信息不準(zhǔn)確、更改、泄露或不能利用對(duì)美國(guó)地質(zhì)調(diào)查局的任務(wù)、功能、形象或榮譽(yù)影響較小。系統(tǒng)安全方面出現(xiàn)問(wèn)題可能對(duì)有形資產(chǎn)或資源的損失造成潛在的不利影響。二級(jí)敏感自動(dòng)信息系統(tǒng)：自動(dòng)信息系統(tǒng)上的信息不準(zhǔn)確、更改、泄露或不能利用對(duì)美國(guó)地質(zhì)調(diào)查局的任務(wù)、功能、形象或榮譽(yù)可能產(chǎn)生重要的不利影響。系統(tǒng)安全出現(xiàn)問(wèn)題可能導(dǎo)致美國(guó)地質(zhì)調(diào)查局不能完成其1個(gè)或多個(gè)計(jì)劃任務(wù)或商業(yè)功能，或者導(dǎo)致重大的有形資產(chǎn)和資源損失。系統(tǒng)生命周期的開(kāi)支一般超過(guò)1000萬(wàn)美元。三級(jí)敏感自動(dòng)信息系統(tǒng)：自動(dòng)信息系統(tǒng)處理機(jī)密信息。一般由提供美國(guó)地質(zhì)調(diào)查局機(jī)密信息的聯(lián)邦機(jī)構(gòu)制定自動(dòng)信息處理要求。根據(jù)機(jī)密信息提供者建立的要求，系統(tǒng)的鑒定及認(rèn)可應(yīng)備案。根據(jù)其敏感性再分為類似于秘密、機(jī)密、絕密3個(gè)等級(jí)。自動(dòng)信息系統(tǒng)安全規(guī)劃構(gòu)成確定潛在的威脅和薄弱點(diǎn)，并建立全面的安全保護(hù)制度減少威脅和薄弱點(diǎn)，才能使自動(dòng)信息系統(tǒng)安全計(jì)劃有效，為此美國(guó)地質(zhì)調(diào)查局建立了自動(dòng)信息系統(tǒng)安全規(guī)劃。A.安全規(guī)劃美國(guó)地質(zhì)調(diào)查局認(rèn)為全面的安全規(guī)劃是任何一個(gè)自動(dòng)信息系統(tǒng)安全管理的重要部分。美國(guó)地質(zhì)調(diào)查局支持美國(guó)地質(zhì)調(diào)查局所有自動(dòng)信息系統(tǒng)活動(dòng)，認(rèn)為安全規(guī)劃是安全管理實(shí)施過(guò)程不可分割的部分：①安全規(guī)劃為年度預(yù)算的一部分，保證所有自動(dòng)信息資源有經(jīng)費(fèi)支持，使自動(dòng)信息系統(tǒng)資源得到充分的保護(hù)；②處理敏感信息的所有自動(dòng)信息系統(tǒng)（設(shè)施和應(yīng)用程序）應(yīng)有正式安全規(guī)劃。在新的敏感自動(dòng)信息系統(tǒng)開(kāi)發(fā)階段必須準(zhǔn)備初始計(jì)劃和原系統(tǒng)升級(jí)年度計(jì)劃，以反映系統(tǒng)安全執(zhí)行情況和/或主要變化。在計(jì)劃中提供的內(nèi)容要反映系統(tǒng)的大小和復(fù)雜性，規(guī)定系統(tǒng)的基本內(nèi)容和格式應(yīng)遵守當(dāng)前最流行的美國(guó)國(guó)家管理和預(yù)算局所提供的指導(dǎo)方針。B.風(fēng)險(xiǎn)管理所有擁有或管理自動(dòng)信息系統(tǒng)的美國(guó)地質(zhì)調(diào)查局機(jī)構(gòu)必須執(zhí)行和維護(hù)風(fēng)險(xiǎn)管理計(jì)劃，以幫助相應(yīng)的安全保護(hù)措施到位以保護(hù)好所有的信息資源。規(guī)定管理人員應(yīng)知道他們信息資源的潛在威脅和薄弱點(diǎn)。一旦知道潛在威脅、薄弱點(diǎn)和潛在的安全保護(hù)選項(xiàng)，管理上就應(yīng)確定各種安全保護(hù)選項(xiàng)的必要措施和經(jīng)費(fèi)/利益。風(fēng)險(xiǎn)管理一般包括風(fēng)險(xiǎn)分析、安全措施的實(shí)施和風(fēng)險(xiǎn)分析頻率3個(gè)方面的內(nèi)容：一是風(fēng)險(xiǎn)分析。風(fēng)險(xiǎn)分析是設(shè)施或敏感應(yīng)用程序定期檢查或應(yīng)急計(jì)劃處理的組成部分。美國(guó)地質(zhì)調(diào)查局要求在現(xiàn)存的計(jì)算機(jī)設(shè)施或敏感應(yīng)用程序發(fā)生主要變化時(shí)或在批準(zhǔn)敏感自動(dòng)信息系統(tǒng)設(shè)計(jì)之前作風(fēng)險(xiǎn)分析。風(fēng)險(xiǎn)分析的范圍、復(fù)雜性和頻率與自動(dòng)信息系統(tǒng)處理數(shù)據(jù)的敏感性和被保護(hù)資源的價(jià)值相稱。風(fēng)險(xiǎn)分析過(guò)程步驟如下：①估計(jì)自動(dòng)信息系統(tǒng)（硬件、軟件、數(shù)據(jù)、設(shè)備、人員）資產(chǎn)（現(xiàn)存的或計(jì)劃的）和系統(tǒng)資源相關(guān)的費(fèi)用（價(jià)值），包括數(shù)據(jù)敏感性的確定；②識(shí)別和評(píng)定自動(dòng)信息系統(tǒng)的潛在威脅，包括破壞正常操作、導(dǎo)致系統(tǒng)資產(chǎn)破壞或損失，或其他自然災(zāi)害或危險(xiǎn)因素和人為因素。并根據(jù)每一個(gè)潛在威脅產(chǎn)生的可能性分出威脅等級(jí)；③找出脆弱點(diǎn)，包括確定或找出在敏感應(yīng)用程序、自動(dòng)信息系統(tǒng)或信息技術(shù)設(shè)備中可能導(dǎo)致安全威脅的弱點(diǎn)或缺點(diǎn)；④評(píng)估潛在損失，在確定威脅和脆弱點(diǎn)之后，還應(yīng)將包括恢復(fù)損失和破壞數(shù)據(jù)的潛在損失定量化；⑤根據(jù)遇到的威脅和脆弱點(diǎn)，確定可能的安全保護(hù)措施及其相關(guān)費(fèi)用。確定的安全保護(hù)費(fèi)用應(yīng)與未實(shí)施安全保護(hù)措施所造成的預(yù)期損失的費(fèi)用相比較。如果安全保護(hù)措施花費(fèi)超過(guò)了預(yù)期保護(hù)利益，那么不應(yīng)采取安全保護(hù)措施。二是安全措施的實(shí)施。在風(fēng)險(xiǎn)分析完成之后，管理部門必須決定是否執(zhí)行成本核算的安全保護(hù)或接受這種風(fēng)險(xiǎn)。如果風(fēng)險(xiǎn)分析表明接受這種風(fēng)險(xiǎn)不符合聯(lián)邦、部門或美國(guó)地質(zhì)調(diào)查局的有關(guān)規(guī)定，那么必須采取必要的保護(hù)措施以最低限度符合這些規(guī)定：①利用風(fēng)險(xiǎn)分析結(jié)果，設(shè)備擁有者和敏感應(yīng)用程序擁有者應(yīng)選擇具體的最大限度保護(hù)設(shè)施和數(shù)據(jù)的安全措施；②除違反法規(guī)問(wèn)題外，管理部門可以選擇接受與找出威脅或脆弱點(diǎn)相關(guān)的風(fēng)險(xiǎn)。如果這樣，自動(dòng)信息系統(tǒng)所有者必須簽訂一個(gè)聲明，承認(rèn)他們了解不執(zhí)行正確的推薦行動(dòng)相關(guān)的風(fēng)險(xiǎn)。三是風(fēng)險(xiǎn)分析頻率。美國(guó)地質(zhì)調(diào)查局對(duì)風(fēng)險(xiǎn)分析的次數(shù)做了相應(yīng)的規(guī)定：對(duì)美國(guó)地質(zhì)調(diào)查局所有計(jì)算機(jī)設(shè)施至少5年1次；對(duì)敏感應(yīng)用程序和敏感計(jì)算機(jī)設(shè)施至少3年1次；在敏感應(yīng)用程序或任何計(jì)算機(jī)設(shè)施進(jìn)行實(shí)質(zhì)性改變時(shí)應(yīng)進(jìn)行風(fēng)險(xiǎn)分析；在計(jì)劃一個(gè)新的系統(tǒng)或設(shè)施開(kāi)發(fā)時(shí)，應(yīng)進(jìn)行風(fēng)險(xiǎn)分析。C.信息資源的保護(hù)為了使美國(guó)地質(zhì)調(diào)查局信息資源從風(fēng)險(xiǎn)分析中確定的風(fēng)險(xiǎn)和脆弱點(diǎn)得到合理的保護(hù)，自動(dòng)信息系統(tǒng)所有者必須采取具體的保護(hù)措施。一般考慮如下類型的安全保護(hù)措施保護(hù)信息資源：①物理安全：采取適當(dāng)?shù)牟僮骱鸵?guī)程減少自動(dòng)信息系統(tǒng)受到的諸如偷盜、意外或故意破壞、非授權(quán)或非法訪問(wèn)或非授權(quán)信息泄露等威脅；②技術(shù)安全：使用適當(dāng)?shù)谋Ｗo(hù)措施（如：密碼、個(gè)人ID識(shí)別裝置、殺毒軟件、訪問(wèn)利用控制表、用戶活動(dòng)監(jiān)測(cè)軟件、加密術(shù)或回?fù)苷{(diào)制解調(diào)器）防止非授權(quán)的訪問(wèn)或非法的自動(dòng)信息系統(tǒng)軟件或數(shù)據(jù)的使用；③管理安全：制定或分發(fā)詳細(xì)的指導(dǎo)規(guī)程使所有自動(dòng)信息系統(tǒng)得到正確的保護(hù)。3.應(yīng)急計(jì)劃為了使服務(wù)中斷等故障最小，應(yīng)對(duì)每個(gè)計(jì)算機(jī)設(shè)備和敏感應(yīng)用程序開(kāi)發(fā)一個(gè)應(yīng)急計(jì)劃。定期評(píng)估每一個(gè)應(yīng)急計(jì)劃，確定是否需要對(duì)其修改以反映系統(tǒng)或人員情況變化。任何應(yīng)急計(jì)劃的復(fù)雜性和范圍要與自動(dòng)信息系統(tǒng)所處理數(shù)據(jù)的敏感等級(jí)相稱。應(yīng)急計(jì)劃至少包括下列項(xiàng)目：①數(shù)據(jù)和軟件的備份存儲(chǔ)器和恢復(fù)規(guī)程；②與緊急事件相對(duì)應(yīng)的處理規(guī)程、可選處理能力的說(shuō)明，在必要情況下轉(zhuǎn)移操作到另外一個(gè)可選擇操作的程序等恢復(fù)操作的過(guò)程；③計(jì)算機(jī)設(shè)施應(yīng)急計(jì)劃與任何敏感應(yīng)用程序應(yīng)急計(jì)劃應(yīng)具一致性；④定期檢查應(yīng)急計(jì)劃。4.敏感應(yīng)用程序安全美國(guó)國(guó)家管理和預(yù)算局A 130通告要求，負(fù)責(zé)開(kāi)發(fā)和維護(hù)處理敏感數(shù)據(jù)的美國(guó)地質(zhì)調(diào)查局計(jì)算機(jī)應(yīng)用程序的管理者應(yīng)建立管理控制方法，對(duì)所有新的應(yīng)用程序和現(xiàn)存應(yīng)用程序的重大變化應(yīng)采取相應(yīng)的物理、技術(shù)和管理安全保護(hù)措施。敏感應(yīng)用程序管理控制至少包括：①安全技術(shù)條件：根據(jù)預(yù)先的風(fēng)險(xiǎn)分析結(jié)果，在應(yīng)用程序獲取或正式開(kāi)發(fā)之前，應(yīng)規(guī)定或批準(zhǔn)安全要求和安全技術(shù)條件。為一個(gè)應(yīng)用程序規(guī)定和批準(zhǔn)安全規(guī)程時(shí)，應(yīng)把對(duì)處理敏感應(yīng)用程序的計(jì)算機(jī)設(shè)施進(jìn)行的風(fēng)險(xiǎn)分析和管理控制檢查的結(jié)果考慮進(jìn)去；②設(shè)計(jì)審查和系統(tǒng)測(cè)試。在執(zhí)行敏感應(yīng)用程序之前應(yīng)進(jìn)行設(shè)計(jì)評(píng)審和系統(tǒng)測(cè)試，使安全保護(hù)符合批準(zhǔn)的安全技術(shù)條件。③認(rèn)證：在執(zhí)行應(yīng)用程序之前，新的或?qū)嵸|(zhì)性改進(jìn)的敏感應(yīng)用程序的所有者或管理者應(yīng)向美國(guó)地質(zhì)調(diào)查局自動(dòng)信息系統(tǒng)安全行政主管書(shū)面證明，證明其符合所有現(xiàn)行的自動(dòng)信息系統(tǒng)方針、法規(guī)、標(biāo)準(zhǔn)，同時(shí)系統(tǒng)測(cè)試的結(jié)果證實(shí)配備的安全保護(hù)措施充分。認(rèn)證過(guò)程包括對(duì)應(yīng)用程序管理和安全控制的評(píng)價(jià)。④定期重新認(rèn)證：所有敏感應(yīng)用程序必須每3年認(rèn)證1次。5.計(jì)算機(jī)安全知識(shí)培訓(xùn)活動(dòng)對(duì)所有涉及在美國(guó)地質(zhì)調(diào)查局之內(nèi)或監(jiān)督之下的每一個(gè)敏感聯(lián)邦信息系統(tǒng)管理、使用或操作的職員，美國(guó)地質(zhì)調(diào)查局為他們提供定期計(jì)算機(jī)安全知識(shí)強(qiáng)制性的培訓(xùn)和公認(rèn)的計(jì)算機(jī)安全鍛煉。所有使用、管理和操作敏感自動(dòng)信息系統(tǒng)的新職員在他們上崗60天之內(nèi)必須接受計(jì)算機(jī)安全知識(shí)培訓(xùn)。培訓(xùn)用來(lái)增強(qiáng)職員了解計(jì)算機(jī)系統(tǒng)的威脅和薄弱點(diǎn)，強(qiáng)調(diào)保護(hù)美國(guó)地質(zhì)調(diào)查局自動(dòng)信息資源和正確使用他們的資源的責(zé)任。計(jì)算機(jī)安全培訓(xùn)應(yīng)有證明文件，并保留在每一個(gè)職工的正式個(gè)人檔案中。計(jì)算機(jī)安全知識(shí)培訓(xùn)包括：①基本知識(shí)培訓(xùn)：使職工對(duì)威脅和薄弱點(diǎn)產(chǎn)生敏感性，認(rèn)識(shí)保護(hù)數(shù)據(jù)、信息的必要性和處理他們的方法；②高級(jí)培訓(xùn)：為敏感自動(dòng)信息系統(tǒng)所有者/管理者、管理員、信息技術(shù)人員和計(jì)算機(jī)安全管理員提供相關(guān)能力，使他們能履行風(fēng)險(xiǎn)分析、制定自動(dòng)信息系統(tǒng)保護(hù)計(jì)劃、執(zhí)行安全措施或評(píng)價(jià)現(xiàn)存安全系統(tǒng)的有效性。6.報(bào)告安全事故對(duì)造成自動(dòng)信息系統(tǒng)技術(shù)、數(shù)據(jù)和服務(wù)設(shè)施網(wǎng)的破壞，或?qū)е旅舾凶詣?dòng)信息系統(tǒng)欺騙、或非授權(quán)的泄露等安全事故，所有職員和協(xié)議人員有責(zé)任向上級(jí)報(bào)告相關(guān)事故：①包括自動(dòng)信息系統(tǒng)設(shè)備的偷竊或惡意破壞、欺騙、擾亂國(guó)家安全或其他濫用自動(dòng)信息資源的事故必須立即依據(jù)所處環(huán)境和位置向美國(guó)地質(zhì)調(diào)查局安全官員和/或其他地方執(zhí)法人員報(bào)告；②包括試圖非法訪問(wèn)利用任何美國(guó)地質(zhì)調(diào)查局自動(dòng)信息資源、惡意密碼事故或敏感信息的非法泄露等事故必須立即向自動(dòng)信息系統(tǒng)安全管理人員和向美國(guó)地質(zhì)調(diào)查局自動(dòng)信息系統(tǒng)安全行政主管官員報(bào)告。7.人事安全美國(guó)地質(zhì)調(diào)查局規(guī)定各部門建立方針或規(guī)程，屏蔽所有參與敏感計(jì)算機(jī)系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)、操作或維護(hù)人員及可以使用敏感數(shù)據(jù)的人員。屏蔽等級(jí)根據(jù)數(shù)據(jù)敏感等級(jí)以及由個(gè)人造成的風(fēng)險(xiǎn)等級(jí)、損失或危害大小而定。所有負(fù)有管理、設(shè)計(jì)、開(kāi)發(fā)、操作、維護(hù)或使用美國(guó)地質(zhì)調(diào)查局任何計(jì)算機(jī)系統(tǒng)的任何職位的人員必須賦予與數(shù)據(jù)敏感等級(jí)、風(fēng)險(xiǎn)大小及由個(gè)人導(dǎo)致的損失或危害程度大小相匹配的風(fēng)險(xiǎn)責(zé)任。美國(guó)地質(zhì)調(diào)查局所有計(jì)算機(jī)系統(tǒng)使用者必須有適當(dāng)?shù)谋尘罢{(diào)查，所要求的調(diào)查必須與所設(shè)定崗位的敏感等級(jí)相匹配。8.年度報(bào)告制度美國(guó)地質(zhì)調(diào)查局規(guī)定了自動(dòng)信息安全管理規(guī)定的年度報(bào)告制度。每一個(gè)分機(jī)構(gòu)自動(dòng)信息系統(tǒng)安全官員每年應(yīng)向美國(guó)地質(zhì)調(diào)查局自動(dòng)信息系統(tǒng)安全管理行政官員報(bào)告現(xiàn)行設(shè)備及敏感應(yīng)用程序安全職員名單。對(duì)每一個(gè)設(shè)施或敏感應(yīng)用程序至少必須提供以下信息：安全職員及候選人姓名和電話號(hào)碼、設(shè)施和敏感應(yīng)用程序的名稱及地址、每一職員所要求安全培訓(xùn)的水平。這些最新列表每年9月交給美國(guó)地質(zhì)調(diào)查局自動(dòng)信息系統(tǒng)安全行政管理官員。人事人員要向美國(guó)地質(zhì)調(diào)查局自動(dòng)信息系統(tǒng)安全行政管理者提供以經(jīng)濟(jì)年度為基礎(chǔ)的美國(guó)地質(zhì)調(diào)查局安全知識(shí)培訓(xùn)情況。報(bào)告將包括如下信息：在財(cái)政年度期間，接受基本知識(shí)和/或全面計(jì)算機(jī)安全培訓(xùn)的職員和協(xié)議人員（非管理）的數(shù)量，在財(cái)政年度期間接收計(jì)算機(jī)安全知識(shí)培訓(xùn)的管理人員數(shù)量。另外，每分機(jī)構(gòu)自動(dòng)信息安全官員應(yīng)向美國(guó)地質(zhì)調(diào)查局自動(dòng)信息系統(tǒng)安全管理者提供下一個(gè)財(cái)政年度里在上述類目中需要接受培訓(xùn)職員和協(xié)議人員的數(shù)量。每年九月一日將報(bào)告交到美國(guó)地質(zhì)調(diào)查局自動(dòng)信息系統(tǒng)安全行政管理部門。敏感自動(dòng)信息系統(tǒng)所有者有責(zé)任維護(hù)他們的敏感信息系統(tǒng)安全規(guī)劃。敏感自動(dòng)信息系統(tǒng)所有者每年對(duì)他們分機(jī)構(gòu)自動(dòng)信息系統(tǒng)安全管理人員的更新材料及信息系統(tǒng)更新情況上報(bào)美國(guó)地質(zhì)調(diào)查局自動(dòng)信息系統(tǒng)安全管理部門。更新計(jì)劃應(yīng)反映自動(dòng)信息系統(tǒng)硬件、軟件或功能的主要變化、安全執(zhí)行情況，系統(tǒng)認(rèn)證或重新認(rèn)證計(jì)劃、應(yīng)急計(jì)劃的檢查計(jì)劃。三、資料來(lái)源張翠光，小平等.2009.美國(guó)地質(zhì)調(diào)查局自動(dòng)信息系統(tǒng)安全管理及其對(duì)國(guó)家地質(zhì)資料數(shù)據(jù)中心建設(shè)的啟示.現(xiàn)代情報(bào)，29（3）：212～215

信息系統(tǒng)安全管理

3，信息系統(tǒng)的安全管理是什么

信息系統(tǒng)的安全管理，可以從廣義和狹義兩個(gè)方面進(jìn)行理解。廣義的來(lái)說(shuō)就是所謂整個(gè)信息系統(tǒng)的內(nèi)涵的廣義理解角度，需要從整個(gè)信息系統(tǒng)的全面著眼，從機(jī)房設(shè)置、供電的安全、主機(jī)操作系統(tǒng)的安全、數(shù)據(jù)庫(kù)的安全、網(wǎng)絡(luò)接入的安全、網(wǎng)絡(luò)設(shè)備的安全、應(yīng)用系統(tǒng)的安全、人員的管理等等方面。狹義的來(lái)說(shuō)就是一個(gè)小系統(tǒng)的安全主要就是操作系統(tǒng)的安全性、數(shù)據(jù)庫(kù)的安全性、應(yīng)用軟件的安全性、賬戶的管理等。

信息系統(tǒng)的安全管理是什么

4，如何進(jìn)行信息系統(tǒng)的安全管理

一、信息系統(tǒng)安全的基本概念（一）信息系統(tǒng)及其特點(diǎn)概述信息系統(tǒng)是基于計(jì)算機(jī)系統(tǒng)和通信系統(tǒng)的十分復(fù)雜的現(xiàn)代信息資源網(wǎng)絡(luò)系統(tǒng)，其中，計(jì)算機(jī)系統(tǒng)是信息系統(tǒng)的核心，由軟件和硬件組成，用以完成對(duì)信息的自動(dòng)處理過(guò)程；通信系統(tǒng)由工作站、計(jì)算機(jī)網(wǎng)絡(luò)和通信網(wǎng)絡(luò)構(gòu)成，可以通過(guò)線路與計(jì)算機(jī)之間或通過(guò)線路與終端設(shè)備之間進(jìn)行數(shù)據(jù)傳輸。計(jì)算機(jī)系統(tǒng)和通信系統(tǒng)的結(jié)合，使具有動(dòng)態(tài)、隨機(jī)和瞬時(shí)發(fā)生等特性的信息傳輸和處理跨越了地理位置的障礙實(shí)現(xiàn)了全球互通互聯(lián)。信息系統(tǒng)的9大特性是系統(tǒng)開(kāi)放性、資源共享性、介質(zhì)存儲(chǔ)高密性、數(shù)據(jù)互訪性、信息聚生性、保密困難性、介質(zhì)剩磁效應(yīng)性、電磁泄露性、通信網(wǎng)絡(luò)的脆弱性等。顯然，這些特性都與信息系統(tǒng)的安全性密切相關(guān)，決定了信息系統(tǒng)的不安全特質(zhì)，信息系統(tǒng)的上述特性對(duì)其安全構(gòu)成了潛在的危險(xiǎn)。這些特性如果被利用，系統(tǒng)的資源就將會(huì)受到很大損失，甚至關(guān)系到企業(yè)組織的生死存亡。因此，加強(qiáng)對(duì)信息系統(tǒng)的安全管理十分必要。（二）信息系統(tǒng)的安全性原理與技術(shù)概述 1、信息系統(tǒng)安全性的基本概念隨著信息技術(shù)的發(fā)展，信息系統(tǒng)在運(yùn)行操作、管理控制、經(jīng)營(yíng)管理計(jì)劃、戰(zhàn)略決策等社會(huì)經(jīng)濟(jì)活動(dòng)各個(gè)層面的應(yīng)用范圍不斷擴(kuò)大，發(fā)揮著越來(lái)越大的作用。信息系統(tǒng)中處理和存儲(chǔ)的，既有日常業(yè)務(wù)處理信息、技術(shù)經(jīng)濟(jì)信息，也有涉及企業(yè)或政府高層計(jì)劃、決策信息，其中相當(dāng)部分是屬于極為重要并有保密要求的。社會(huì)信息化的趨勢(shì)，導(dǎo)致了社會(huì)的各個(gè)方面對(duì)信息系統(tǒng)的依賴性越來(lái)越強(qiáng)。信息系統(tǒng)的任何破壞或故障，都將對(duì)用戶以至整個(gè)社會(huì)產(chǎn)生巨大的影響。信息系統(tǒng)安全上的脆弱性表現(xiàn)得越來(lái)越明顯。信息系統(tǒng)的安全日顯重要。信息系統(tǒng)的安全性是指為了防范意外或人為地破壞信息系統(tǒng)的運(yùn)行，或非法使用信息資源，而對(duì)信息系統(tǒng)采取的安全保護(hù)措施。與信息系統(tǒng)安全性相關(guān)的因素主要有以下7種： 1）自然及不可抗拒因素：指地震、火災(zāi)、水災(zāi)、風(fēng)暴以及社會(huì)暴力或戰(zhàn)爭(zhēng)等，這些因素將直接地危害信息系統(tǒng)實(shí)體的安全。 2）硬件及物理因素：指系統(tǒng)硬件及環(huán)境的安全可靠，包括機(jī)房設(shè)施、計(jì)算機(jī)主體、存儲(chǔ)系統(tǒng)、輔助設(shè)備、數(shù)據(jù)通訊設(shè)施以及信息存儲(chǔ)介質(zhì)的安全性。 3）電磁波因素：計(jì)算機(jī)系統(tǒng)及其控制的信息和數(shù)據(jù)傳輸通道，在工作過(guò)程中都會(huì)產(chǎn)生電磁波輻射，在一定地理范圍內(nèi)用無(wú)線電接收機(jī)很容易檢測(cè)并接收到，這就有可能造成信息通過(guò)電磁輻射而泄漏。另外，空間電磁波也可能對(duì)系統(tǒng)產(chǎn)生電磁干擾，影響系統(tǒng)正常運(yùn)行。 4）軟件因素：軟件的非法刪改、復(fù)制與竊取將使系統(tǒng)的軟件受到損失，并可能造成泄密。計(jì)算機(jī)網(wǎng)絡(luò)病毒也是以軟件為手段侵入系統(tǒng)進(jìn)行破壞的。 5）數(shù)據(jù)因素：指數(shù)據(jù)信息在存儲(chǔ)和傳遞過(guò)程中的安全性，這是計(jì)算機(jī)犯罪的主攻核心，是必須加以安全和保密的重點(diǎn)。 6）人為及管理因素：涉及到工作人員的素質(zhì)、責(zé)任心、以及嚴(yán)密的行政管理制度和法律法規(guī)，以防范人為的主動(dòng)因素直接對(duì)系統(tǒng)安全所造成的威脅。 7）其他因素：指系統(tǒng)安全一旦出現(xiàn)問(wèn)題，能將損失降到最小，把產(chǎn)生的影響限制在許可的范圍內(nèi)，保證迅速有效地恢復(fù)系統(tǒng)運(yùn)行的一切因素。 2、信息系統(tǒng)安全保護(hù)措施分類及其相互關(guān)系信息系統(tǒng)的安全保護(hù)措施可分為技術(shù)性和非技術(shù)性兩大類： 1）技術(shù)性安全措施——是指通過(guò)采取與系統(tǒng)直接相關(guān)的技術(shù)手段防止安全事故的發(fā)生； 2）非技術(shù)性安全措施——指利用行政管理、法制保證和其他物理措施等防止安全事故的發(fā)生，它不受信息系統(tǒng)的控制，是施加于信息系統(tǒng)之上的。與人們想象的剛好相反，其實(shí)，在系統(tǒng)的安全保護(hù)措施中，技術(shù)性安全措施所占的比例很小，而更多則是非技術(shù)性安全措施，兩者之間是互相補(bǔ)充、彼此促進(jìn)、相輔相成的關(guān)系。廣大信息化工作者應(yīng)該明白：信息系統(tǒng)的安全性并不僅僅是簡(jiǎn)單的技術(shù)問(wèn)題，而嚴(yán)格管理和法律制度才是保證系統(tǒng)安全和可靠的根本保障。 3、信息系統(tǒng)存在的主要安全隱患概述已在社會(huì)經(jīng)濟(jì)生活中廣為應(yīng)用的信息系統(tǒng)極其脆弱，頻繁發(fā)生的系統(tǒng)安全隱患有： 1）數(shù)據(jù)輸入隱患：數(shù)據(jù)通過(guò)輸入設(shè)備進(jìn)入系統(tǒng)過(guò)程中，輸入數(shù)據(jù)容易被篡改或摻假； 2）數(shù)據(jù)處理隱患：數(shù)據(jù)處理部分的硬件容易被破壞或盜竊，并且容易受電磁干擾或因電磁輻射而造成信息泄漏； 3）通信線路隱患：通信線路上的信息容易被截獲，線路容易被破壞或盜竊； 4）軟件系統(tǒng)隱患：操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和程序容易被修改或破壞； 5）輸出系統(tǒng)隱患：輸出信息的設(shè)備容易造成信息泄漏或被竊取。 4、信息系統(tǒng)的實(shí)體安全和技術(shù)安全概述信息系統(tǒng)的實(shí)體安全指為保證信息系統(tǒng)的各種設(shè)備及環(huán)境設(shè)施的安全而采取的措施，主要包括場(chǎng)地環(huán)境、設(shè)備設(shè)施、供電、空氣調(diào)節(jié)與凈化、電磁屏蔽、信息存儲(chǔ)介質(zhì)等的安全。信息系統(tǒng)的技術(shù)安全即在信息系統(tǒng)內(nèi)部采用技術(shù)手段，防止對(duì)系統(tǒng)資源非法使用和對(duì)信息資源的非法存取操作。信息資源的安全性分為動(dòng)態(tài)和靜態(tài)兩類。動(dòng)態(tài)安全性是指對(duì)數(shù)據(jù)信息進(jìn)行存取操作過(guò)程中的控制措施；靜態(tài)安全性是指對(duì)信息的傳輸、存儲(chǔ)過(guò)程中的加密措施。

所謂的網(wǎng)絡(luò)安全警察應(yīng)該就是網(wǎng)監(jiān)吧（現(xiàn)在叫網(wǎng)安），本身就是公安局里的。材料需要的是定級(jí)報(bào)告（每個(gè)系統(tǒng)一個(gè)）和備案表，這些可以找網(wǎng)安支隊(duì)要。流程就是根據(jù)自己?jiǎn)挝坏男畔⑾到y(tǒng)被損壞后造成的后果如何來(lái)確定等級(jí)，然后填寫(xiě)上面說(shuō)的定級(jí)報(bào)告（網(wǎng)安有模板的）和備案表，之后就是備案表上蓋章，交網(wǎng)安支隊(duì)備案，評(píng)審?fù)ㄟ^(guò)后你單位會(huì)得到一份備案證明。友情提示，備案后要進(jìn)行測(cè)評(píng)，檢測(cè)你的信息系統(tǒng)是否達(dá)到該等級(jí)的保護(hù)基本要求，這要委托第三方機(jī)構(gòu)（要有公安部等保認(rèn)證資質(zhì)的機(jī)構(gòu)）來(lái)進(jìn)行測(cè)評(píng)（比如我們機(jī)構(gòu)啦），通過(guò)測(cè)評(píng)找出不安全因素，解決它，然后機(jī)構(gòu)給你測(cè)評(píng)報(bào)告，交公安，符合的話，恭喜你，你們的信息系統(tǒng)符合國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)基本要求了。題外話，找我們做吧，定級(jí)備案我們都可以協(xié)助你做。