|
1. 安全管理实践
安全管理包括对机构中的信息资产进行辨认;制定、整理和实施用于保护信息机密性、完整性和可用性的策略(policies)、标准(standars)、规程(procedures)和指南(guidelines)。使用诸如数据分级(data
classification)、风险评估(risk assessment)和风险分析(risk analysis)等管理手段对威胁进行辨别、对信息资产进行分级以及对系统缺陷进行评估,以便采取有效的安全控制手段。
掌握这部分知识需要了解在甄别和保护机构信息资源工作中如何进行计划、组织和分工;如何从管理者的角度制定和实施安全策略及其相应的指南、标准和流程;如何对员工进行信息安全知识的教育和培训,使员工了解与其工作有关的安全要求以及保护企业和个人信息机密的重要性;与员工合同、员工雇佣和员工离职相关的安全要求;在风险管理中如何对信息资源的风险进行甄别、评估和减少风险的发生机率。
|
