《信息安全管理制度管理办法.wps》由会员分享,可在线阅读,更多相关《信息安全管理制度管理办法.wps(14页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全信息安全管理制度管理制度管理办法管理办法1.安全组织结构安全组织结构XXXXXXXXXX 安全管理组织应形成由主管领导牵头的信息安全领导小组、具体信息安全职能部门负责日常工作的组织模式,组织结构图如下所示:组织机构图1.1 信息安全领导小组职责信息安全领导小组职责信息安全领导小组是由 XXXXXXXXXX 主管领导牵头各部门的负责人为组成成员的组织机构,主要负责批准XXXXXXXXXX 安全策略、 分配安全责任并协调安全策略能够实施,确保安全管理工作有一个明确的方向,从管理和决策层角度对信息安全管理提供支持。信息安全领导小组的主要责任如下:(一) 确定网络与信息安全工作的总体方向、 目
2、标、 总体原则和安全工作方法; (二) 审查并批准政府的信息安全策略和安全责任; (三) 分配和指导安全管理总体职责与工作; (四) 在网络与信息面临重大安全风险时,监督控制可能发生的重大变化; (五) 对安全管理的重大更改事项(例如:组织机构调整、关键人事变动、信 息系统更改等)进行决策; (六) 指挥、 协调、 督促并审查重大安全事件的处理,并协调改进措施; (七) 审核网络安全建设和管理的重要活动,如重要安全项目建设、重要的安 全管理措施出台等; (八) 定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进 行审定。1.2 信息安全工作组职责信息安全工作组职责信息安全工作组是信
3、息安全工作的日常执行机构,内设专职的安全管理组织和岗位,负责日常具体安全工作的落实、组织和协调。信息安全工作组的主要职责如下:(一) 贯彻执行和解释信息安全领导小组的决议;(二) 贯彻执行和解释国家主管机构下发的信息安全策略;(三) 负责组织和协调各类信息安全规划、方案、实施、测试和验收评审会议;(四) 负责落实和执行各类信息安全具体工作,并对具体落实情况进行总 结和汇报;(五) 负责内外部组织和机构的沟通、协调和合作工作; (六) 负责制定所有信息安全相关的管理制度和规范; (七) 负责针对信息安全相关的管理制度和规范具体落实工作进行监督、 检查、考核、指导及审批,例如现有安全技术措施的有效
4、性、安全配置与安全策略的一致性、安全管理制度的执行情况等。 以上组织结构和职责通过信息安全组织职责体系加以说明。1.3 信息安全岗位信息安全岗位为了有效落实信息安全各项工作,XXXXXXXXXX 应设立以下专职的安全岗位,负责安全工作的落实和执行:1.3.11.3.1 信息安全工作组主管信息安全工作组主管1) 负责网络与信息安全的日常整体协调、管理工作; 2) 负责组织人员制定信息安全管理制度,并对管理制度进行推广、培训和 指导;3) 负责重大安全事件的具体协调和沟通工作。 1.3.21.3.2 安全管理员岗位安全管理员岗位1) 负责执行网络与信息安全工作的日常协调、管理工作;2) 负责日常的
5、安全监控管理,并对上报和发现的各类安全事件进行响应; 3) 负责系统、网络和应用安全管理的协调和技术指导; 4) 负责安全管理平台安全策略制定,访问控制策略审核; 5) 负责组织安全管理制度的推广和培训工作; 6) 负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据 备份等情况。1.3.31.3.3 安全审计员岗位安全审计员岗位1) 负责安全管理制度落实情况的检查、监督和指导; 2) 负责安全策略执行情况的审核。 1.3.41.3.4 系统管理员系统管理员1) 负责系统安全稳定运行的日常管理工作; 2) 负责保持系统的防病毒系统、补丁等保持最新,定期对系统进行安全加 固,保持系统漏
6、洞最小化。 1.3.51.3.5 网络管理员网络管理员1) 负责网络设备安全稳定运行的日常管理工作;2) 负责保持网络设备的漏洞最小化,定期对系统进行安全加固; 3) 负责保持网络路由和交换策略与业务需求保护一致。4)XXXXXXXXXX 应根据日常的运行维护和管理工作,设置物理环境管理 、 数据库管理、 应用管理以及资产管理等岗位,这些岗位也应当包括安全职责,这些安全职责的具体内容通过信息安全管理岗位说明书落实。2.安全管理制度安全管理制度2.1 安全管理制度体系安全管理制度体系XXXXXXXXXX 安全管理制度应建立信息安全方针、 安全策略、安全管理制度、安全技术规范以及流程的一套信息安全
7、管理制度体系。2.2 安全方针和主策略安全方针和主策略最高方针,纲领性的安全策略主文档,陈述本策略的目的、 适用范围、 信息安全的管理意图、 支持目标以及指导原则,信息安全各个方面所应遵守的原则方法和指导性策略。 2.3 安全管理制度和规范安全管理制度和规范各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是必须具有可操作性,而且必须得到有效推行和实施的。 技术标准和规范,包括各个安全等级区域网络设备、 主机操作系统和主要应用程序的应遵守的安全配置和管理的技术标准和规范。技术标准和规范将作为各个网络设备、
8、主机操作系统和应用程序的安装、 配置、 采购、 项目评审、 日常安全管理和维护时必须遵照的标准,不允许发生违背和冲突。本项目将为XXXXXXXXXX 编制如下安全管理制度和规范:安全方针安全策略安全管理组织体系职责内部人员安全管理规定外部人员安全管理规定等级保护安全管理规范风险评估管理规范软件开发管理规定IT 外包管理规定工程安全管理规定产品采购安全管理规定服务商安全管理规定机房管理制度办公环境安全管理规定 资产安全管理制度设备安全管理规定介质安全管理规定运行维护安全管理规范网络安全管理规定系统安全管理规定防病毒安全管理规定密码使用管理制度变更管理制度备份与恢复管理规定安全事件管理制度应急预案安全流程和操作规程,详细规定主要业务应用和事件处理的流程、步骤和相关注意事项。作为具体工作时的具体依照,此部分必须具有可操作性,而且必须得到有效推行和实施的。2.4 安全流程和操作规程安全流程和操作规程安全流程和操作规程,详细规定主要业务应用和事件处理的流程和步骤,和相关注意事项。作为具体工作时的具体依照,此部分必须具有可操作性,而且必须得到有效推行和实施的。2.5 安全记录单安全记录单安全记录单,落实安全流程和操作规程的具体表单,根据不同等级信息系统的要求可以通过不同方式的安全记录单落实并在日常工作中具体执行。主要包括日常操作的记录、工作记录、流转记录以及审批记录等。