信息安全管理完全手册
一、信息安全管理的范围   网络信息的安全管理包括以下四类活动： 1． 系统安全管理，涉及安全管理的各个方面，典型活动为：  （1） 总体安全策略的管理，包括一致性的修改与维护;  （2） 与其他管理功能的相互作用;  （3） 与安全服务管理和安全机制管理的交互作用;  （4） 事件处理管理;  （5） 安全审计管理;  （6） 安全恢复管理。  2．安全服务管理，涉及特定安全服务管理的各个方面，典型活动为：  （1）为某种安全服务决定与指派安全保护目标;  （2）在可选情况下，指定并维护选择规则，选取安全服务使用的特定的安全机制;  （3） 对那些需要事先取得管理同意的可用安全机制进行协商（本地的与远程的）;  （4） 通过适当的安全机制管理功能调用特定的安全机制（例如提供行政管理强加的
安全服务）;  （5） 与其他安全服务管理功能和安全机制管理功能的交互作用。  3．安全机制管理，涉及特定安全机制的管理，典型活动为：  （1）密钥管理;  （2）加密管理;  （3）数字签名管理;  （4）访问控制管理;  （5）数据完整性管理;  （6）路由选择控制管理。  4．安全管理本身涉及信息的安全。这也是网络信息安全管理的重要部分。这一类安全管理将借助选择适当的安全服务和安全机制来确保安全管理协议和信息获得足够的保护。   二、信息安全管理规范   信息管理部门应根据管理原则和各部门具体情况，制订相应的管理制度或采用相应的规范。具体工作是：   1． 根据工作的重要程度，确定该系统的安全需求。 2． 根据确定的安全需求，确定安全管理的范围。 3． 制订相应的机房出入管理制度。对于安全要求较高的系统，实行分区控制，限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统，采用磁卡、身份卡等手段，对人员进行识别、登记管理。 4． 制订严格的操作规程。操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围。 5． 制订完备的系统维护制度。对系统进行维护时，应采取数据保护措施，如数据备份等。维护时要首先经主管部门批准，并有安全管理人员在场，故障的原因、维护内容和维护前后的情况要详细记录。 6． 制订应急措施。要制订系统在紧急情况下尽快恢复的应急措施，使损失减至最小。建立人员雇用和解聘制度，对工作调动和离职人员要及时调整相应的授权。   三、人员管理机制   在以下活动中，需要规范的人员管理机制来保障网络应用系统的信息安全：  1． 访问控制证件的发放与回收;  2． 信息处理系统使用的媒介发放与回收;  3． 处理保密信息;  4． 硬件和软件的维护;  5．系统软件的设计、实现和修改;  6． 重要程序和数据的删除和销毁等。   人员管理方面可以采用以下原则：  1．多人负责原则。每一项与安全有关的活动，都必须有两人或多人在场。这些人应是系统主管领导指派的，忠诚可靠，能胜任此项工作；他们应该签署工作情况记录以证明安全工作已得到保障。  2．任期有限原则。为遵循任期有限原则，工作人员应不定期地循环任职，强制实行作假制度，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。  3．职责分离原则。在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管领导批准。出于对安全的考虑，下面每组内的两项信息处理工作应当分开：  （1） 计算机操作与计算机编程;  （2） 机密