免费智能真题库 > 历年试卷 > 系统集成项目管理工程师 > 2019年上半年 系统集成项目管理工程师 上午试卷 综合知识
  第70题      
  知识点:   岗位安全考核与培训   人员安全管理   安全管理   人员安全
  关键词:   安全管理   信息系统   安全        章/节:   人员安全管理       

 
关于信息系统岗位人员安全管理的描述,不正确的是( )。
 
 
  A.  业务应用操作人员不能由系统管理员兼任
 
  B.  业务开发人员不能兼任系统管理员
 
  C.  系统管理员可以兼任数据库管理员
 
  D.  关键岗位人员处理重要事务或操作时,应保持二人同时在场
 
 
 

 
  第69题    2020年下半年  
   77%
关于信息系统岗位人员管理的要求,不正确的是( )。
  第69题    2018年上半年  
   44%
关于信息系统岗位人员的安全管理的描述,不正确的是:( )。
  第69题    2019年下半年  
   70%
关于信息系统岗位人员管理的要求,不正确的是:( )。
   知识点讲解    
   · 岗位安全考核与培训    · 人员安全管理    · 安全管理    · 人员安全
 
       岗位安全考核与培训
        对信息系统岗位人员的管理,应根据其关键程度建立相应的管理要求,例如:
        .对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发人员、系统维护人员和重要业务应用操作人员等信息系统关键岗位人员进行统一管理;允许一人多岗,但业务应用操作人员不能由其他关键岗位人员兼任;关键岗位人员应定期接受安全培训,加强安全意识和风险防范意识。
        .兼职和轮岗要求:业务开发人员和系统维护人员不能兼任或担负安全管理员、系统管理员、数据库管理员、网络管理员和重要业务应用操作人员等岗位或工作;必要时关键岗位人员应采取定期轮岗制度。
        .权限分散要求:应坚持关键岗位“权限分散、不得交叉覆盖”的原则,系统管理员、数据库管理员、网络管理员不能相互兼任岗位或工作。
        .多人共管要求:关键岗位人员处理重要事务或操作时,应保持二人同时在场,关键事务应多人共管。
        .全面控制要求:应采取对内部人员全面控制的安全保证措施,对所有岗位工作人员实施全面安全管理。
 
       人员安全管理
               安全组织
               安全组织的目的在于通过建立管理框架,以启动和控制组织范围内的信息安全的实施。管理者应通过清晰的方向、说明性承诺、明确的信息安全职责分配和确认,来积极地支持组织内的安全,且应批准整个组织内的信息安全方针、分配安全角色并协调和评审安全的实施。
               组织可建立信息安全领导小组,负责本组织机构的信息系统安全工作,并至少履行安全管理的领导职能和保密监督的管理职能。
               组织可建立信息安全职能部门,在信息安全领导小组监管下,负责本组织机构信息系统安全的具体工作,至少履行基本的安全管理职能或集中的安全管理职能。
               如果需要,要在组织范围内建立信息安全专家建议的资料源,并在整个组织内均可获得该资料。要发展与外部安全专家或组织(包括相关权威人士)的联系,以便跟上行业发展趋势、跟踪标准和评估方法,并且当处理信息安全事故时,提供合适的联络地点。应鼓励构建信息安全的多学科交叉途径。
               岗位安全考核与培训
               对信息系统岗位人员的管理,应根据其关键程度建立相应的管理要求,例如:
               .对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发人员、系统维护人员和重要业务应用操作人员等信息系统关键岗位人员进行统一管理;允许一人多岗,但业务应用操作人员不能由其他关键岗位人员兼任;关键岗位人员应定期接受安全培训,加强安全意识和风险防范意识。
               .兼职和轮岗要求:业务开发人员和系统维护人员不能兼任或担负安全管理员、系统管理员、数据库管理员、网络管理员和重要业务应用操作人员等岗位或工作;必要时关键岗位人员应采取定期轮岗制度。
               .权限分散要求:应坚持关键岗位“权限分散、不得交叉覆盖”的原则,系统管理员、数据库管理员、网络管理员不能相互兼任岗位或工作。
               .多人共管要求:关键岗位人员处理重要事务或操作时,应保持二人同时在场,关键事务应多人共管。
               .全面控制要求:应采取对内部人员全面控制的安全保证措施,对所有岗位工作人员实施全面安全管理。
               离岗人员安全管理
               对人员离岗的管理,可以根据离岗人员的关键程度,采取下列控制措施:
               .基本要求:立即中止被解雇的、退休的、辞职的或其他原因离开的人员的所有访问权限;收回所有相关证件、徽章、密钥和访问控制标记等;收回机构提供的设备等。
               .调离后的保密要求:管理层和信息系统关键岗位人员调离岗位,必须经单位人事部门严格办理调离手续,承诺其调离后的保密要求。
               .离岗的审计要求:涉及组织机构管理层和信息系统关键岗位的人员调离单位,必须进行离岗安全审查,在规定的脱密期限后,方可调离。
               .关键部位人员的离岗要求:关键部位的信息系统安全管理人员离岗,应按照机要人员管理办法办理。
 
       安全管理
        安全管理的目标是将信息资源和信息安全资源管理好。安全管理是信息系统安全能动性的组成部分。大多数事故的发生,与其说是技术原因,还不如说是由管理不善导致的。安全管理要贯穿于信息系统规划、设计、建设、运行和维护各阶段。
               安全管理政策法规
               信息安全管理政策法规包括国家法律和政府政策法规和机构和部门的安全管理原则。信息系统法律的主要内容有:信息网络的规划与建设、信息系统的管理与经营、信息系统的安全、信息系统的知识产权保护、个人数据保护、电子商务、计算机犯罪、计算机证据与诉讼。信息安全管理涉及的方面有:人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理、审计管理。
               信息安全管理的总原则有:规范化、系统化、综合保障、以人为本、主要负责人负责、预防、风险评估、动态发展、注重实效、均衡防护。安全管理的具体原则有:分权制衡、最小特权、标准化、选用成熟的先进技术、失效保护、普遍参与、职责分离、审计独立、控制社会影响、保护资源和效率。
               我国的信息安全管理的基本方针是:兴利除弊,集中监控,分级管理,保障国家安全。
               安全机构和人员管理
               国家信息安全机构是国家最上层安全机构的组成部分。国家信息安全强调的是国家整体上的信息安全性,而不仅是某一个部门或地区的信息安全。而各部门、各地区又确实存在个体差异,对于不同行业领域来说,信息安全具有不同的涵义和特征,国家的信息安全保障体系的战略性必须涵盖部门和地区信息安全保障体系的相关内容。
               为保证信息系统的安全,各信息系统使用单位也应建立信息系统安全管理机构。建立信息系统安全管理机构的第一步是确定系统安全管理员的角色,并组成安全管理小组。安全管理小组制定出符合本单位需要的信息安全管理策略,具体包括:安全管理人员的义务和职责、安全配置管理策略、系统连接安全策略、传输安全策略、审计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物理安全策略、系统安全评估原则等内容。并尽量把各种安全策略要求文档化和规范化,以保证安全管理工作具有明确的依据或参照。
               信息系统的运行是依靠各级机构的工作人员来具体实施的,安全人员既是信息系统安全的主体,也是系统安全管理的对象。要加强人员管理,才能增强人们的安全意识,增强他们对安全管理重视的程度和执行的力度。首先要加强人员的审查、培训和考核工作,并与安全人员签订保密合同,调离不合格的人员,并做好人员调离的后续工作,承诺调离后的保密任务,收回其权限、钥匙、证件、相关资料等。安全人员管理的原则有:从不单独一个人、限制使用期限、责任分散、最小权限。
               技术安全管理
               技术安全管理包括如下内容。
               (1)软件管理:包括对操作系统、应用软件、数据库、安全软件和工具软件的采购、安装、使用、更新、维护和防病毒的管理等。
               (2)设备管理:对设备的全方位管理是保证信息系统建设的重要条件。设备管理包括设备的购置、使用、维修和存储管理。
               (3)介质管理:介质在信息系统安全中对系统的恢复、信息的保密和防止病毒方面起着关键作用。介质管理包括将介质分类、介质库的管理、介质登记和借用、介质的复制和销毁以及涉密介质的管理。
               (4)涉密信息管理:包括涉密信息等级的划分、密钥管理和密码管理。
               (5)技术文档管理:包括技术文档的密级管理和使用管理。
               (6)传输线路管理:包括传输线路管理和网路互连管理。传输线路上传送敏感信息时,必须按敏感信息的密级进行加密处理。重要单位的计算机网络于其他网络的连接与计算机的互连需要经过国家有关单位的批准。
               (7)安全审计跟踪:为了能够实时监测、记录和分析网络上和用户系统中发生的各类与安全有关的事件(如网络入侵、内部资料窃取、泄密行为等),并阻断严重的违规行为,就需要安全审计跟踪机制的来实现在跟踪中记录有关安全的信息。已知安全审计的存在可对某些潜在的侵犯安全的攻击源起到威慑作用。
               (8)公共网络连接管理:是指对单位或部门通过公共网络向公众发布信息和提供有关服务的管理,和对单位或部门从网上获得有用信息的管理。
               (9)灾难恢复:灾难恢复是对偶然事故的预防计划,包括制定灾难恢复策略和计划和灾难恢复计划的测试与维护。
               网络管理
               网络管理是指通过某种规程和技术对网络进行管理,从而实现:①协调和组织网络资源以使网络的资源得到更有效的利用;②维护网络正常运行;③帮助网络管理人员完成网络规划和通信活动的组织。网络管理涉及网络资源和活动的规划、组织、监视、计费和控制。国际标准化组织(ISO)在相关标准和建议中定义了网络管理的五种功能,即:
               (1)故障管理:对计算机网络中的问题或故障进行定位,主要的活动是检测故障、诊断故障和修复故障。
               (2)配置管理:对网络的各种配置参数进行确定、设置、修改、存储和统计,以增强网络管理者对网络配置的控制。
               (3)安全管理:网络安全包括信息数据安全和网络通信安全。安全管理可以控制对计算机网络中的信息的访问。
               (4)性能管理:性能管理可以测量网络中硬件、软件和媒体的性能,包括整体吞吐量、利用率、错误率和响应时间,帮助管理者了解网络的性能现状。
               (5)计费管理:跟踪每个个人和团体用户对网络资源的使用情况,并收取合理的费用。
               场地设施安全管理
               信息系统的场地与设施安全管理要满足机房场地的选择、防火、火灾报警及消防措施、防水、防静电、防雷击、防辐射、防盗窃、防鼠害,以及对内部装修、供配电系统等的技术要求。并完成出入控制、电磁辐射防护和磁辐射防护工作。
 
       人员安全
        人是网络系统中最薄弱的环节,人员安全的管理目标是降低误操作、偷窃、诈骗或滥用等人为造成的网络安全风险。人员安全通过采取合适的人事管理制度、保密协议、教育培训、业务考核、人员审查、奖惩等多种防范措施,来消除人员方面的安全隐患。下面举例说明人员安全措施,如在人员录用方面应该做到:
        . 是否有令人满意的个人介绍信,由某个组织或个人出具;
        . 对申请人简历的完整性和准确性进行检查;
        . 对申请人声明的学术和专业资格进行证实;
        . 进行独立的身份检查(护照或类似文件)。
        在人员安全的工作安排方面,应遵守以下三个原则。
               多人负责原则
               每一项与安全有关的活动,都必须有两人或多人在场。要求相关人员忠诚可靠,能胜任此项工作,并签署工作情况记录以证明安全工作已得到保障。一般以下各项安全工作应由多人负责处理:
               . 访问控制使用证件的发放与回收;
               . 信息处理系统使用的媒介发放与回收;
               . 处理保密信息;
               . 硬件和软件的维护;
               . 系统软件的设计、实现和修改;
               . 重要程序和数据的删除和销毁等。
               任期有限原则
               一般来讲,任何人不能长期担任与安全有关的职务,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限原则切实可行。
               职责分离原则
               工作人员各司其职,不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。出于对安全的考虑,下面各项工作应当职责分开:
               . 计算机操作与计算机编程;
               . 机密资料的接收和传送;
               . 安全管理和系统管理;
               . 应用程序和系统程序的编制;
               . 访问证件的管理与其他工作;
               . 计算机操作与信息处理系统使用媒介的保管等。
   题号导航      2019年上半年 系统集成项目管理工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第70题    在手机中做本题