【软考】系统集成项目管理工程师（十九）信息系统安全管理_part2_系统集成项目管理工程师信息安全

一、人员安全管理

1. 安全组织

安全组织的目的在于通过建立管理框架，启动和控制组织范围内的信息安全的实施。管理者应批准整个组织内的信息安全方针、分配安全角色并协调和评审安全的实施，组织可建立信息安全领导小组，负责本组织机构的信息系统安全工作，并至少履行以下职能：

1. 安全管理的领导职能
2. 保密监督的管理职能

组织可建立信息安全职能部门，在信息安全领导小组监管下，负责本组织机构信息系统安全的具体工作，至少履行以下管理职能之一：

1. 基本的安全管理职能
2. 集中的安全管理职能

2. 岗位安全考核与培训

对信息系统岗位人员的管理，应根据其关键程度建立相应的管理要求：

基本要求：对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发人员、系统维护人员和重要业务应用操作人员等信息系统关键岗位人员进行统一管理；允许一人多岗，但业务应用操作人员不能由其他关键岗位人员兼任；关键岗位人员应定期接受安全培训，加强安全意识和风险防范意识。

兼职和轮岗要求：业务开发人员和系统维护人员不能兼任或担负安全管理员、系统管理员、数据库管理员、网络管理员和重要业务应用操作人员等岗位或工作；必要时关键岗位人员应采取定期轮岗制度。

权限分散要求