本节实训与思考的目的是:(1) 熟悉信息安全管理的基本概念和内容。(2) 通过学习某金融单位的“计算机安全管理规定”,加深理解信息安全管理工作的方法,提高对企业信息安全管理工作的认识。1 工具/ 准备工作在开始本实训之前,请认真阅读本课程的相关内容。需要准备一台带有浏览器,能够访问因特网的计算机。2 实训内容与步骤(1) 概念理解查阅有关资料,根据你的理解和看法,请回答下列问题。1) 制定信息安全管理策略时,要遵循哪些主要原则?主要领导负责原则. 规范定级原则 . 以人为本原则 . 适度安全原则 . 全面防范、突出重点原则 . 系统、动态原则. 控制社会影响原则2) 根据实际情况,请尝试制定一个关于密码使用的信息安全管理策略。分权制衡 : 减小未授权的修改或滥用系统资源的机会,对特定职能或责任领域的管理功能实施分离、独立审计,避免操作权力过分集中。最小特权:任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必需的特权,不应实训 9.1熟悉信息安全管理2 信息安全技术享有任何多余的特权。选用成熟技术:成熟的技术提供了可靠性、稳定性保证,采用新技术时要重视其成熟的程度。如果新技术势在必行,应该首先局部试点,然后逐步推广,减少或避免可能出现的损失。普遍参与:不论信息系统的安全等级如何,要求信息系统所涉及人员普遍参与并与社会相关方面协同、协调,共同保障信息系统的安全。3) 信息安全管理机构的构成及其主要职责是什么?1、在国家认证认可监督管理委员会(以下简称国家认监委)批准的业务范围内,开展认证工作;2、开展信息安全认证相关标准和检测技术、评价方法研发工作,为建立和完善信息安全认证制度提供技术支持;3、在批准的业务范围内,开展认证人员培训工作。开展信息安全技术培训工作;4、依据法律、法规及授权开展涉及信息技术安全领域的相关工作;5、承担对本中心委托检测和检查机构的监督与管理工作;6、依据国家法律、法规及授权开展信息安全相关领域的国际合作与交流活动;7、承办总局和国家认监委交办的其他事项。4) 为什么说信息安全工程是一个系统工程?它不只包含的一个子目,是有多个单位、单项工程组成的5) 如何理解需求分析与风险评估的重要性?一旦需求确定下来,就意味着目标的确定和资源的投入,如果随意地做出决定将来可能会受到惩罚。(2) 案例学习:某金融管理部门的计算机安全管理规定本案例是某金融管理部门(以下简称 “本...
