人,是信息安全中最关键的因素,同时也是信息安全中最薄弱的环节,报多重要的信息系统安全问题都涉及到用户、设计人员、实施人员以及管理人员。如果这些与人员有关的安全问题没有得到很好的解决,任何一个信息系统都不能 达到真正的安全。只有对人员进行了正确完善的管理,才有可能降低人为错误、盗窃、诈骗和误用设备的风险,从而减小了信息系统遭受人员错误造成损失的概率。 。

对人员安全的管理,主要涉及两方而:对内部人员的安全管理和对外部人员的安全管理。具体包括:人员录用、人员离岗、人员考核、安全意识教育和培训和外部人员访问管理等五个控制点。

不同等级的基本要求在人员安全管理方面所体现的不同,在三个方面都有所体现。

一级人员安全管理要求管理对人员在机构的工作周期(即,录用、日常培训、 离岗)的活动提出基本的管理要求。同时,对外部人员访问要求得到授权和审批。
二级人员安全管理要求:在控制点上增加了人员考核,对人员的录用和离岗要求进一步增强,过程性要求增加,安全教育培训更正规化,对外部人员的访问活动约束其访问行为。
三级人员安全管理要求:在二级要求的基础上,增强了对关键岗位人的录用、离岗和考核要求,对人员的培训教育更具有针对性,外部人员访问要求更具体。
四级人员安全管理要求:在三级要求的基础上,提出了保密要求和关键|x:域 禁止外部人员访问的要求。
下表表明了人员安全管理在控制点上逐级变化的特点:
表58人员安全管理控制点的逐级变化


 

控制点

一级

二级

三级

人员录用

N/A

a)

a)-d)


 


上一篇: 浅谈网站信息系统的等级保护工作(八) — 人员录用 下一篇:2017年10月30日east nod32许可证密钥+最新用户名和密码