20.1 概述

1 两个安全管理的标准：ISO13335和ISO17799。

2 完整的安全管理制度包括哪些内容？

答：人员安全管理制度、操作安全管理制度、场地与设施安全管理制度、设备安全使用管理制度、操作系统和数据库安全管理制度、运行日志安全管理、备份安全管理、异常安全管理、系统安全恢复管理、安全软件版本管理制度、技术文档安全管理制度、应急管理制度、审计管理制度、运行维护安全规定、第三方服商的安全管理、对系统安全状况的定期评估策略、技术文档媒体报废管理制度。

20.1.1 安全策略

20.1.2 安全管理措施

3 信息系统的安全保障能力取决于信息系统所采取安全管理措施的强度和有效性，这些措施可分为哪几个层面？

答：（1）安全策略。用于描述一个组织高层的安全目标，确定组织安全策略是是一个组织实现安全管理和技术措施的前提。

（2）安全组织。安全组织作为安全工作的管理、实施和运行维护体系，主要负责安全策略、制度、规划的制定和实施，确定各种安全管理岗位和相应安全职责，并负责选用合适的人员来完成相应岗位的安全管理工作、监督各种安全工作的开展、协调各种不同部门在安全实施中的分工和合作，并保证安全目标的实现。

（3）安全人员。人是信息安全的核心，信息的建立和使用者都是人，不同级别的保障能了的信息系统对人员的可信度要求也不一样，信息系统的安全保障能力越高，对信息处理设施的维护人员、信息建立和使用人员的可信度要求就越高。

（4）安全技术。安全技术是信息系统里面部署的各类安全产品，属于技术类安全控制措施，不同保障能力级别的信息系统应选择具备不同安全保障能力级别的安全技术与产品。

（5）安全运作。包括生命周期中各个安全环节的要求，包括安全服务的响应时间、安全工程的质量保证、安全培训力度。

4 健全的安全保障措施包括哪些内容？

答：（1）定义管理的目的、范围、责任和结果的安全制度。

（2）详细陈述控制IT安全标准，这些控制是实现制度目标所要求的。

（3）制度即为标准和各个平台和工具的具体执行程序。

（4）制度、标准和程序将被分发给每个工作人员。

（5）经常审查制度的合理性和有效性。

（6）更新制度的责任分配。

（7）监督制度的遵守情况。

（8）对工作人员进行一般的安全常识和制度要求方面的培训。

（9）要求用户签订一个声明，声称访问任何系统之前已经理解了制度并要遵守该制度。

（10）制定紧急事故恢复计划。

5 灾难恢复措施有哪些？

答：（1）灾难预防措施，做灾难恢复备份，自动备份系统的重要信息。

（2）灾难演习制度，每过一段时间进行一次灾难演习，以熟练灾难恢复的操作过程。

（3）灾难恢复，使用最近的一次备份进行灾难恢复，可分为两类：全盘恢复和个别文件恢复。

6 备份策略：完全备份、增量备份、差异备份。