第二章 制定和发布
安全策略系列文档制定后,必须有效发布和执行。发布和执行过程中除了要得到管理层的大力支持和推动外,还必须要有合适的、可行的发布和推动手段,同时在发布和执行前对每个人员都要做与其相关部分的充分培训,保证每个人员都知道和了解与其相关部分的内容。
安全策略在制定和发布过程中,应当实施以下安全管理: (一) 安全管理制度应具有统一的格式,并进行版本控制; (二) 由信息安全工作小组负责安全管理制度的制定
(三) 安全管理职能部门应组织相关人员对制定的安全管理制度进行论证和审定;
(四) 安全管理制度应通过文件形式下发通知;
(五) 安全管理制度应注明发布范围,并对收发文进行登记。必须要注意到这是一个长期、艰苦的工作,需要付出艰苦的努力,而且由于牵扯到许多部门和绝大多数员工,可能需要改变工作方式和流程,所以推行起来的阻力会相当大;同时安全策略本身存在的缺陷,包括不切实可行,太过复杂和繁琐,部分规定有缺欠等,都会导致整体策略难以落实。
第三章 评审和修订
信息安全领导小组应组织相关人员对于信息安全策略体系文件进行评审,并确定其有效执行期限。同时应指定信息安全职能部门每年审视安全策略系列文档,具体检查内容包括: (一) 信息安全策略中的主要更新;
(二) 信息安全标准中的主要更新。信息安全标准不需要全部更新,可以仅对 因变更而受影响的部分进行更新;如果必要,可以使用年度审视/更新流程对信息安全标准做一次全面更新。 (三) 安全管理组织机构和人员的安全职责的主要更新; (四) 操作流程的主要更新;
(五) 各类管理规定、管理办法和暂行规定的主要更新;
(六) 用户协议的主要更新;等等。 通过《信息安全策略管理规定》落实以上相关内容。
三、安全管理机构
第一章 岗位设置
健全的岗位设置、职责分配及技能要求等是安全组织建设的重点内容,对于以后安全管理工作的顺利开展具有巨大的意义。
缺乏健全的岗位设置、职责分配及技能要求将导致无人负责、难以落实责权利,难以胜任安全管理工作等严重问题。
1.组织机构
1) XXXXXXXXXX成立信息安全领导小组,是信息安全的最高决策机
构,下设办公室,负责信息安全领导小组的日常事务。
2) 信息安全工作领导小组,其最高领导由单位主管领导委任或授权。 3) 信息安全领导小组负责研究重大事件,落实方针政策和制定总体
策略等。职责主要包括:
a) 根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;
b) 确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。
c) 信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。组长均由公司负责人担任。 4) 信息安全工作组的主要职责包括:
a) 贯彻执行公司信息安全领导小组的决议,协调和规范公司信息
安全工作;
b) 根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实;
c) 组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;
d) 负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; e) 组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;
f) 负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;
g) 及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。
h) 跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。
5) 应急处理工作组的主要职责包括:
a) 审定公司网络与信息系统的安全应急策略及应急预案; b) 决定相应应急预案的启动,负责现场指挥,并组织相关人员排
除故障,恢复系统;
c) 每年组织对信息安全应急策略和应急预案进行测试和演练。 6) 公司应指定分管信息的领导负责本单位信息安全管理,并配备信
18
息安全技术人员,有条件的 应设置信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。
2.关键岗位
设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员,要求五人各自独立。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
1) 系统管理员主要职责有:
a) 负责系统的运行管理,实施系统安全运行细则; b) 严格用户权限管理,维护系统安全正常运行;
c) 认真记录系统安全事项,及时向信息安全人员报告安全事件; d) 对进行系统操作的其他人员予以安全监督。 2) 网络管理员主要职责有:
a) 负责网络的运行管理,实施网络安全策略和安全运行细则; b) 安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
c) 监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件;
d) 对操作网络管理功能的其他人员进行安全监督。 3) 应用开发管理员主要职责有:
19