全部科目 > 信息系统监理师 >
2019年上半年 上午试卷 综合知识
第 61 题
知识点 安全管理制度   安全管理   信息系统实施  
关键词 安全管理   系统实施   信息系统   安全  
章/节 安全管理  
 
 
信息系统实施安全管理制度不包括( )。
 
  A.  计算机信息网络系统质量保证制度
 
  B.  计算机信息网络系统工作人员人事管理制度
 
  C.  计算机信息网络系统工作人员循环任职制度
 
  D.  计算机信息网络系统各工作岗位的工作职责
 
 




 
 
相关试题     信息系统安全的概念和特性 

  第65题    2011年上半年  
监理在协助建设单位制定安全管理制度过程中,应遵循的原则是(65)。

  第49题    2020年下半年  
监理工程师提醒建设单位建立计算机病毒的防范和检测制度,制定系统备份与恢复方案,实时记录与系统可用性相关的问题。这属于信息安全规划中( )的内容。

  第62题    2018年下半年  
系统部件因为自然老化等造成的自然失效,破坏了信息网络系统的( )。

 
知识点讲解
· 安全管理制度
· 安全管理
· 信息系统实施
 
        安全管理制度
        信息系统的安全管理制度是信息系统安全的根本保证。没有健全的安全管理制度,系统的安全性是很难保证的,任何信息系统仅在技术上是无法实现完整的安全性要求的。为了加强计算机的安全管理,确保信息系统安全可靠,保障各项业务工作的顺利进行,不仅需要采取适当的技术手段、设计方法,还需要根据国家有关规定,通过制定、实施一系列规章制度来确保各类用户都按照规定的职责进行操作,做到各行其职、各负其责,避免安全事故的发生和防止恶意侵犯。
        安全管理制度主要包括计算机信息网络系统出入管理制度,计算机信息网络系统各工作岗位的工作职责、操作规程,计算机信息网络系统的升级、维护制度,计算机信息网络系统工作人员人事管理制度,计算机信息网络系统安全检查制度,计算机信息网络系统应急制度,计算机信息网络系统信息资料处理制度,计算机信息网络系统工作人员安全教育、培训制度,计算机信息网络系统工作人员循环任职、强制休假制度等方面。
        计算机机房、各个工作站和单机都必须确定专人负责、专人管理;机房管理人员应经常对计算机的软件、硬件进行检查和维护,以保证计算机系统的正常运行;任何人员进出机房都应当填写机房使用和设备使用记录的相关内容,无关人员不得进入机房。同时,要加强对计算机信息网络系统工作人员的安全教育,建立完善和健全的培训制度。
        一般来说,只要资源许可,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。
        为了保护重要的数据,可以要求重要部门的计算机系统、有重要文件的计算机系统严格遵守保密制度,严禁外来人员使用,管理人员定期备份系统内的重要文件;未经同意,不得将信息系统中服务器、工作站上的系统软件、应用软件转录、传递到外界;信息保密可以划分为不同的等级并加以保护(例如可以分成可向Internet公开的、可向本系统公开的、可向有关单位或个人公开的、仅限于本单位内使用的或者仅限于个人使用的)。
 
        安全管理
        安全管理的目标是将信息资源和信息安全资源管理好。安全管理是信息系统安全能动性的组成部分。大多数事故的发生,与其说是技术原因,还不如说是由管理不善导致的。安全管理要贯穿于信息系统规划、设计、建设、运行和维护各阶段。
               安全管理政策法规
               信息安全管理政策法规包括国家法律和政府政策法规和机构和部门的安全管理原则。信息系统法律的主要内容有:信息网络的规划与建设、信息系统的管理与经营、信息系统的安全、信息系统的知识产权保护、个人数据保护、电子商务、计算机犯罪、计算机证据与诉讼。信息安全管理涉及的方面有:人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理、审计管理。
               信息安全管理的总原则有:规范化、系统化、综合保障、以人为本、主要负责人负责、预防、风险评估、动态发展、注重实效、均衡防护。安全管理的具体原则有:分权制衡、最小特权、标准化、选用成熟的先进技术、失效保护、普遍参与、职责分离、审计独立、控制社会影响、保护资源和效率。
               我国的信息安全管理的基本方针是:兴利除弊,集中监控,分级管理,保障国家安全。
               安全机构和人员管理
               国家信息安全机构是国家最上层安全机构的组成部分。国家信息安全强调的是国家整体上的信息安全性,而不仅是某一个部门或地区的信息安全。而各部门、各地区又确实存在个体差异,对于不同行业领域来说,信息安全具有不同的涵义和特征,国家的信息安全保障体系的战略性必须涵盖部门和地区信息安全保障体系的相关内容。
               为保证信息系统的安全,各信息系统使用单位也应建立信息系统安全管理机构。建立信息系统安全管理机构的第一步是确定系统安全管理员的角色,并组成安全管理小组。安全管理小组制定出符合本单位需要的信息安全管理策略,具体包括:安全管理人员的义务和职责、安全配置管理策略、系统连接安全策略、传输安全策略、审计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物理安全策略、系统安全评估原则等内容。并尽量把各种安全策略要求文档化和规范化,以保证安全管理工作具有明确的依据或参照。
               信息系统的运行是依靠各级机构的工作人员来具体实施的,安全人员既是信息系统安全的主体,也是系统安全管理的对象。要加强人员管理,才能增强人们的安全意识,增强他们对安全管理重视的程度和执行的力度。首先要加强人员的审查、培训和考核工作,并与安全人员签订保密合同,调离不合格的人员,并做好人员调离的后续工作,承诺调离后的保密任务,收回其权限、钥匙、证件、相关资料等。安全人员管理的原则有:从不单独一个人、限制使用期限、责任分散、最小权限。
               技术安全管理
               技术安全管理包括如下内容。
               (1)软件管理:包括对操作系统、应用软件、数据库、安全软件和工具软件的采购、安装、使用、更新、维护和防病毒的管理等。
               (2)设备管理:对设备的全方位管理是保证信息系统建设的重要条件。设备管理包括设备的购置、使用、维修和存储管理。
               (3)介质管理:介质在信息系统安全中对系统的恢复、信息的保密和防止病毒方面起着关键作用。介质管理包括将介质分类、介质库的管理、介质登记和借用、介质的复制和销毁以及涉密介质的管理。
               (4)涉密信息管理:包括涉密信息等级的划分、密钥管理和密码管理。
               (5)技术文档管理:包括技术文档的密级管理和使用管理。
               (6)传输线路管理:包括传输线路管理和网路互连管理。传输线路上传送敏感信息时,必须按敏感信息的密级进行加密处理。重要单位的计算机网络于其他网络的连接与计算机的互连需要经过国家有关单位的批准。
               (7)安全审计跟踪:为了能够实时监测、记录和分析网络上和用户系统中发生的各类与安全有关的事件(如网络入侵、内部资料窃取、泄密行为等),并阻断严重的违规行为,就需要安全审计跟踪机制的来实现在跟踪中记录有关安全的信息。已知安全审计的存在可对某些潜在的侵犯安全的攻击源起到威慑作用。
               (8)公共网络连接管理:是指对单位或部门通过公共网络向公众发布信息和提供有关服务的管理,和对单位或部门从网上获得有用信息的管理。
               (9)灾难恢复:灾难恢复是对偶然事故的预防计划,包括制定灾难恢复策略和计划和灾难恢复计划的测试与维护。
               网络管理
               网络管理是指通过某种规程和技术对网络进行管理,从而实现:①协调和组织网络资源以使网络的资源得到更有效的利用;②维护网络正常运行;③帮助网络管理人员完成网络规划和通信活动的组织。网络管理涉及网络资源和活动的规划、组织、监视、计费和控制。国际标准化组织(ISO)在相关标准和建议中定义了网络管理的五种功能,即:
               (1)故障管理:对计算机网络中的问题或故障进行定位,主要的活动是检测故障、诊断故障和修复故障。
               (2)配置管理:对网络的各种配置参数进行确定、设置、修改、存储和统计,以增强网络管理者对网络配置的控制。
               (3)安全管理:网络安全包括信息数据安全和网络通信安全。安全管理可以控制对计算机网络中的信息的访问。
               (4)性能管理:性能管理可以测量网络中硬件、软件和媒体的性能,包括整体吞吐量、利用率、错误率和响应时间,帮助管理者了解网络的性能现状。
               (5)计费管理:跟踪每个个人和团体用户对网络资源的使用情况,并收取合理的费用。
               场地设施安全管理
               信息系统的场地与设施安全管理要满足机房场地的选择、防火、火灾报警及消防措施、防水、防静电、防雷击、防辐射、防盗窃、防鼠害,以及对内部装修、供配电系统等的技术要求。并完成出入控制、电磁辐射防护和磁辐射防护工作。
 
        信息系统实施
        信息系统实施阶段根据实施信息系统战略规划确定的信息系统框架和实施方法、计划将信息系统搭建或者开发完毕,并且根据需要完成企业信息系统管理系统的开发。
        系统实施相应可以分为三个方面:对已有系统的重新包装;对系统提供商提供的系统组件进行裁剪组合;对新系统/组件进行编码开发。



更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5
京公网安备 11010502032051号 | 营业执照
 Copyright ©2000-2023 All Rights Reserved
软考在线版权所有