9.8 安全管理

9.8.1 安全管理政策法规

1信息系统法律的主要内容：信息网络的规划与建设、信息系统的管理与经营、信息系统的安全、信息系统的知识产权保护、个人数据保护、电子商务、计算机犯罪、计算机证据与诉讼。

2信息安全涉及的方面：人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理、审计管理。

3信息安全管理的总原则：规范化、系统化、综合保障、以人为本、主要负责人负责、预防、风险评估、动态发展、注重实效、均衡保护。

4安全管理的具体原则：分权制衡、最小特权、标准化、选用成熟的先进技术、失效保护、普遍参与、职责分离、审计独立、控制社会影响、保护资源和效率。

5我国信息安全管理的基本方针：兴利除弊、集中监控、分级管理、保障国家安全。

9.8.2 安全机构和人员管理

1建立信息系统安全管理机构的第一步是确定系统安全管理员的角色，并组成安全管理小组。

2信息安全管理策略包括：安全管理人员的义务和职责、安全配置管理策略、系统连接安全策略、传输安全策略、审计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物理安全策略、系统安全评估原则。

3安全人员管理的原则：从不单独一个人、限制使用期限、责任分散、最小权限。

9.8.3 技术安全管理

1技术安全管理的内容：①软件管理、②设备管理、③介质管理、④涉密信息管理、⑤技术文档管理、⑥传输线路管理、⑦安全审计跟踪、⑧公共网络连接管理、⑨灾难恢复

2软件管理包括：操作系统、应用软件、数据库、安全软件、工具软件的采购、安装、使用、更新、维护和防病毒管理。

3设备管理包括：设备的购置、使用、维修和存储管理。

4介质管理包括：介质分类、介质库的管理、介质登记和借用、介质的复制和销毁以及涉密介质的管理。

5涉密信息管理包括：涉密信息等级的划分、密钥管理、密码管理。

6技术文档管理包括：技术文档的密级管理和使用管理。

7传输线路管理包括：传输线路管理和网络互联管理。

8灾难恢复包括：制定灾难恢复策略计划和灾难恢复计划的测试与维护。

9.8.4 网络管理