a) 负责在系统开发建设中,严格执行系统安全策略,保证系统安全功能的准确实现;
b) 系统投产运行前,完整移交系统相关的安全策略等资料; c) 不得对系统设置“后门”; d) 对系统核心技术保密等。
4) 安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计和监督,主要职能包括: a) 按操作员证书号进行审计; b) 按操作时间审计; c) 按操作类型审计; d) 事件类型进行审计; e) 日志管理等。
5) 安全保密管理员负责日常安全保密管理活动,主要职责有: a) 监视全网运行和安全告警信息 b) 网络审计信息的常规分析 c) 安全设备的常规设置和维护 d) 执行应急中心制定的具体安全策略
e) 向应急管理机构和领导机构报告重大的网络安全事件等。
第二章 人员配备
配备足够数量的系统管理员、网络管理员、安全管理员对顺利完成安全管理工作是非常重要的,可以有效避免人力不足带来的问题。配备专职的安全管理员可以让管理工作落实到专人上,可以更高效的开展安全管理工作。关键事务岗位配备多人进行共同管理可以防止出现疏忽,并且有利于互相约束和监督机制的建立。
如果没有配备足够数量的系统管理员、网络管理员、安全管理员,则可能由于工作过度繁忙而出现安全事件。如果安全管理人员都是兼职,则很可能出现只顾其他业务而忽视安全的情况。关键事务岗位人员不足会导致疏忽大意。
1.按照实际工作需要配备足够数量的系统管理员、网络管理员、安全管理员;
2.在安全管理部配备专职的安全管理员;
3.识别出关键事务岗位,对这些关键岗位配备多人进行共同管理,以防止疏忽,并且建立起约束和监督机制。
岗位名称 人员数量 系统管理员 网络管理员 应用开发管理员 安全审计员 安全保密管理员 人员名称 第三章 授权和审批
授权和审批可以保证安全有关工作得到认可和控制,排除盲目性和不一致性,使安全工作更加权威和科学,有利于增强责任感。
如果授权和审批工作做得不够完善,可能会带来执行难等问题,安全工作得不到控制,因安全带来的问题长期得不到解决,安全问题日积月累,最终导致严重安全事件的发生。 应按照以下规范进行授权和审批流程建设: 1.明确审批授权事项、审批授权部门;
2.建立系统变更、重要操作、物理访问和系统接入等事项的审批程序, 对重要活动实施逐级审批;
3.按照审批程序执行审批过程,记入文档并进行审计;
4.定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息;
受控状态 制度名称 信息系统管理授权审批制度 文件编号 执行部门 监督部门 考证部门 第1条 为了提高企业信息系统的可靠性、稳定性、安全性,特制定本制度。 第2条 本制度适用于信息部与各用户部门使用企业信息系统的相关人员。 第3条 企业中涉及到信息系统方面的工作统一由信息部负责。 第4条 信息系统管理授权的方式。 企业信息系统的授权以职位说明书和授权书为基准,逐级授权,其他授权方式或越级授权视为无效。 第5条 企业信息系统管理授权程序。 1.总裁授权运营总监全面负责企业信息系统的开发、管理、修改等工作。 2.运营总裁授权信息部经理负责信息系统的开发、管理、修改等具体工作。 3.信息部经理授权给下属员工,完成相应工作。 第6条 企业信息系统管理中的文件审批程序,如下图所示。 信息部员工 信息部经理 运营总监 最高领导 信息系统管理的文件审批程序示意图 第7条 企业中的各用户部门对信息系统只有根据其职级的使用权与建议权,而无修改权,否则造成的全部后果由当事人承担。 第8条 本制度由信息部制定,解释权、修改权归属信息部。 第9条 本制度自总裁审批之日起实施,修订时亦同。 编制日期 修改标记 审核日期 修改处数 批准日期 修改日期 第四章 沟通和合作
安全管理问题涉及到各个层次的人员及技术,需要大家密切配合才能做好,任何一方出现问题都会影响整个安全管理工作的顺利开展,因此对各种安全问题进行定期沟通和合作是非常必要的。
如果与安全管理有关的沟通和合作推进不顺利,出现的安全问题得不到反馈和支持,则安全问题会变得越来越严重,直到出现严重安全事件。
应按照以下规范进行沟通与合作:
1.由安全管理部提出,每半年召开一次安全协调专题会议,为期一天,各有关部门包括外部顾问机构及人员都要参加,及时提出问题和解决问题;
信息安全管理制度汇编49615
