目录第一章岗位设置31. 组织机构32. 关键岗位3第二章人员配备7第三章授权和审批8第四章沟通和合作10第五章审核和检查11信息安全管理机构第一章岗位设置健全的岗位设置、职责分配及技能要求等是安全组织建设的重点内容,对于以后安全管理工作的顺利开展具有巨大的意义缺乏健全的岗位设置、职责分配及技能要求将导致无人负责、难以落实责权利,难以胜任安全管理工作等严重问题1. 组织机构1)XXXXXXXXXX成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务2)信息安全工作领导小组,其最高领导由单位主管领导委任或授权3)信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等职责主要包括:a)根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;b)确定公司信息安全各有关部门工作职责,指导、监督信息安全工作c)信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组组长均由公司负责人担任4)信息安全工作组的主要职责包括:a)贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作;b)根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实;c)组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;d)负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;e)组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;f)负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;g)及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。
h)跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作5)应急处理工作组的主要职责包括:a)审定公司网络与信息系统的安全应急策略及应急预案;b)决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统;c)每年组织对信息安全应急策略和应急预案进行测试和演练6)公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全技术人员,有条件的应设置信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作2. 关键岗位设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员,要求五人各自独立要害岗位人员必须严格遵守保密法规和有关信息安全管理规定1)系统管理员主要职责有:a)负责系统的运行管理,实施系统安全运行细则;b)严格用户权限管理,维护系统安全正常运行;c)认真记录系统安全事项,及时向信息安全人员报告安全事件;d)对进行系统操作的其他人员予以安全监督2)网络管理员主要职责有:a)负责网络的运行管理,实施网络安全策略和安全运行细则;b)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;c)监控网络关键设备、网络端、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件;d)对操作网络管理功能的其他人员进行安全监督。
3)应用开发管理员主要职责有:a)负责在系统开发建设中,严格执行系统安全策略,保证系统安全功能的准确实现;b)系统投产运行前,完整移交系统相关的安全策略等资料;c)不得对系统设置“后门”;d)对系统核心技术保密等4)安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计和监督,主要职能包括:a)按操作员证书号进行审计;b)按操作时间审计;c)按操作类型审计;d)事件类型进行审计;e)日志管理等5)安全保密管理员负责日常安全保密管理活动,主要职责有:a)监视全网运行和安全告警信息b)网络审计信息的常规分析c)安全设备的常规设置和维护d)执行应急中心制定的具体安全策略e)向应急管理机构和领导机构报告重大的网络安全事件等第二章人员配备配备足够数量的系统管理员、网络管理员、安全管理员对顺利完成安全管理工作是非常重要的,可以有效避免人力不足带来的问题配备专职的安全管理员可以让管理工作落实到专人上,可以更高效的开展安全管理工作关键事务岗位配备多人进行共同管理可以防止出现疏忽,并且有利于互相约束和监督机制的建立如果没有配备足够数量的系统管理员、网络管理员、安全管理员,则可能由于工作过度繁忙而出现安全事件。
如果安全管理人员都是兼职,则很可能出现只顾其他业务而忽视安全的情况关键事务岗位人员不足会导致疏忽大意1. 按照实际工作需要配备足够数量的系统管理员、网络管理员、安全管理员;2. 在安全管理部配备专职的安全管理员;3. 识别出关键事务岗位,对这些关键岗位配备多人进行共同管理,以防止疏忽,并且建立起约束和监督机制岗位名称人员数量人员名称系统管理员网络管理员应用开发管理员安全审计员安全保密管理员第三章授权和审批授权和审批可以保证安全有关工作得到认可和控制,排除盲目性和不一致性,使安全工作更加权威和科学,有利于增强责任感如果授权和审批工作做得不够完善,可能会带来执行难等问题,安全工作得不到控制,因安全带来的问题长期得不到解决,安全问题日积月累,最终导致严重安全事件的发生应按照以下规范进行授权和审批流程建设:1. 明确审批授权事项、审批授权部门;2. 建立系统变更、重要操作、物理访问和系统接入等事项的审批程序,对重要活动实施逐级审批;3. 按照审批程序执行审批过程,记入文档并进行审计;4. 定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息;受控状态制度名称信息系统管理授权审批制度文件编号执行部门监督部门考证部门第1条 为了提高企业信息系统的可靠性、稳定性、安全性,特制定本制度。
第2条 本制度适用于信息部与各用户部门使用企业信息系统的相关人员第3条企业中涉及到信息系统方面的工作统一由信息部负责第4条信息系统管理授权的方式企业信息系统的授权以职位说明书和授权书为基准,逐级授权,其他授权方式或越级授权视为无效第5条 企业信息系统管理授权程序1. 总裁授权运营总监全面负责企业信息系统的开发、管理、修改等工作2. 运营总裁授权信息部经理负责信息系统的开发、管理、修改等具体工作3. 信息部经理授权给下属员工,完成相应工作第6条 企业信息系统管理中的文件审批程序,如下图所示信息部员工信息部经理运营总监最高领导信息系统管理的文件审批程序示意图第7条 企业中的各用户部门对信息系统只有根据其职级的使用权与建议权,而无修改权,否则造成的全部后果由当事人承担第8条 本制度由信息部制定,解释权、修改权归属信息部第9条 本制度自总裁审批之日起实施,修订时亦同编制日期审核日期批准日期修改标记修改处数修改日期第四章沟通和合作安全管理问题涉及到各个层次的人员及技术,需要大家密切配合才能做好,任何一方出现问题都会影响整个安全管理工作的顺利开展,因此对各种安全问题进行定期沟通和合作是非常必要的如果与安全管理有关的沟通和合作推进不顺利,出现的安全问题得不到反馈和支持,则安全问题会变得越来越严重,直到出现严重安全事件。
应按照以下规范进行沟通与合作:1. 由安全管理部提出,每半年召开一次安全协调专题会议,为期一天,各有关部门包括外部顾问机构及人员都要参加,及时提出问题和解决问题;会议记录时间地点主持人记录员时间调度参加人员:会议议题发言人会议内容执行人监督人完成时间2. 每年与与兄弟单位、公安机关、电信公司等召开一次安全总结会,平时则通过邮件等及时合作与沟通;3. 通过邮件、等与供应商、业界专家、专业的安全公司、安全组织进行及时合作与沟通;4. 建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息;5. 聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等第五章审核和检查对安全工作的开展情况进行定级审核和检查可以及时、有效的督促安全制度和安全技术的执行、运作情况,减少安全疏忽,及时发现并解决问题,使安全工作日常化、制度化安全工作如果不能保证及时的审核和检查,则容易导致各项工作大打折扣,并且由此带来的问题会积累起来最终导致严重安全事件发生,如补丁长期得不到更新使系统长期暴露于黑客攻击威胁之下1. 由安全管理员每周进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;2. 由内部人员或上级单位每季度进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;3. 每次检查都要制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报;4. 将上述工作要求写入《安全审核和检查管理制度》,用以规范安全审核和安全检查工作的频率等重要内容。
安全检查记录表检查类型:定期安全检查单位名称XXXXXXXXXX工程名称检查时间检查单位检查项目或部位参见检察人员检查记录检查结论及意见填表人:。