当前位置:   article > 正文

安全组织管理规范_数据信息安全人员部署

数据信息安全人员部署

1、总则

1.1、目的

为更好的实现对XXXXX单位信息系统的安全管理,促进各项制度、措施的落实,XXXXX单位决定成立以信息安全领导小组为管理机构、信息安全工作小组为执行机构的组织架构,负责XXXXX单位信息安全建设及防护。

1.2范围

本标准针对XXXXX单位信息安全组织建设相关事务,规定了组织框架和角色责任,适用于XXXXX单位所有纳入到信息安全管理体系范围的组织和个人。

1.3职责

信息安全工作小组负责起草、制定《安全管理组织规范》,安全领导小组负责批准、发布本标准。

信息安全组织内相关人员承担本标准定义的相关角色,履行相应的信息安全管理职责。

1.4、信息安全组织架构

信息安全领导小组负责组织信息安全总体规划和统筹安排,协调各部门与信息化之间的关系。信息安全领导小组成员如附件1所示。

信息安全工作小组负责XXXXX单位各部门网络和信息安全日常工作。信息安全工作小组成员如附件3所示。

2、组织机构职责

2.1信息安全领导小组职责

信息安全领导小组下设办公室,常设网络安全与信息化管理部门,负责主持日常的信息安全管理工作。领导小组的主要职责如下:

1)贯彻XXXXX单位关于信息安全方面工作的方针政策,审定XXXXX单位系统安全建设规划。

2)对信息系统安全工作的重大事项做出决策。

3)研究、审定XXXXX单位信息系统安全建设和管理工作中的制度、标准及相关政策,并协调相关部门监督制度、政策的实施情况。

4)组织、协调和指导信息安全的宣传、普及教育工作。

2.2信息安全工作小组职责

工作小组下设办公室,XXX任办公室主任,XXX任办公室副主任,XX兼任日常工作牵头人。办公室设在网络安全与信息化管理部门,负责统筹及指导XXXXX单位网络和信息安全工作的具体事宜。

XXXXX单位内设XX个部门并建立网络安全三级联络员机制,各部门分管主任、部门负责人、部门联络员作为XXXXX单位三级联络员人选(名单见附件2)都有各自的职责。部门分管主任总体把握、指导分管部门网络安全事宜,发生网络安全事件,按应急预案事件等级要求向XXXXX单位主任报告;部门负责人总体管理部内网络安全联络事宜,发生网络安全事件,按应急预案事件等级要求向分管主任报告;部门联络员负责处理部内网络安全联络事宜,发生网络安全事件,按应急预案事件等级要求向部门负责人报告。工作小组有以下主要职责:

1)负责XXXXX单位信息系统安全制度、技术保障和操作规范的建立维护及其它相关信息安全管理工作。

2)负责XXXXX单位信息系统安全保障工作的组织、实施、监督和改善等一系列安全管理工作。

3)组织实施对信息系统各类事故(故障)进行应急处理,对信息系统安全工作进行指导、检查并进行情况通报

4)负责落实信息安全领导小组部署的各项工作。(如,灾难备份系统及相关设施完善,恶意代码防治,网络安全管理,信息系统安全规划,安全事件生命周期管理,定期安全检查等日常管理工作)

5)负责组织协调信息安全的教育、培训,提高内部人员的信息安全意识,提高技术人员的安全技能,提高管理人员的安全管理能力。

6)应设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。

2.3第三方服务团队职责

第三方服务团队是指向XXXXX单位提供设备、产品、服务的外部服务团队,第三方提供的服务包含机房、主机、设备、网络、业务系统、安全等方面的运维运营管理。

1)第三方服务团队是安全保障工作的直接执行者,其主要职责包含:

2)实施机房日常巡检,机房值班,机房硬件设备使用,机房服务器上架,机房进出登记等。

3)实施主机安全加固、安全防护、配置变更、配置备份、账号管理和故障处理等。

4)实施网络的配置变更、配置备份、监控和故障处理等。

5)实施应用系统的配置变更、安全加固、监控、日志管理、账号管理、权限管理和故障处理等。

6)实施数据库系统的安装、配置变更、备份、监控、安全加固和故障处理等。

7)实施网络安全设备的巡检、配置变更、配置备份、病毒库/特征库升级、监控和故障处理等。

8)实施漏洞扫描,渗透测试,病毒防护,安全加固,终端准入,安全事件监控预警,安全事件分析报告处置等日常安全工作。

3、岗位职责说明

3.1信息安全领导小组组长和副组长职责

组长:负责信息化建设总体规划、设计决策、项目决策、流程决策、人员调配决策以及信息安全事故的应急协调和指挥;组长为第一责任人,应旗帜鲜明地站在网络和信息安全第一线,带头抓网络和信息安全工作,重要网络和信息安全工作亲自部署、重要事项亲自过问、重大事件亲自处置。

副组长:负责具体项目规划设计、人员召集、组织实施等工作,对工程质量负责,并负责人员培训,流程制定,需求确认,协助实施、安全事故应急响应等具体日程和事务。常务副组长为网络和信息安全工作的重要责任人,负责督促网络和信息安全日常工作的具体落实,组织相关人员制定安全系统的技术标准、规范与规程及信息安全策略,监督管理安全系统的建设;监督网络安全与信息化管理部门内信息安全状况,完善信息安全防护工作等。其他各副组长要根据工作分工,抓好分管部门的网络和信息安全日常工作,对职责范围内的网络和信息安全工作负领导责任。

3.2信息安全工作小组人员的职责
  • 安全管理员职责:安全管理员是信息安全策略和相关事务的具体推动、执行和管理监督者,是信息安全各项任务的具体落实者。安全管理员主要职责包括:

1)在信息安全工作小组确定的实施范围内,具体推广并落实各项策略要求和控制措施;监督推动安全策略和控制措施的落实,负责信息安全意识提升和协助信息安全事件的应急处理。

2)监督管理信息安全的日常工作,提供信息安全支持服务,配合完成信息安全相关项目,根据国家、市信息化部门要求落实各项安全检查工作。

3)协助领导小组组织人员制定安全系统的技术标准、规范与规程及信息安全策略,监督管理安全系统的建设、网络安全与信息化管理部门内信息安全状况,完善信息安全防护工作等。

4)协助领导小组统筹信息安全日常工作管理,推动工作小组成员安全工作开展。

  • 安全审计员职责:安全审计员主要负责信息安全管理体系制度文件的评审记录、授权修订、过程文档的归类整理,过程记录。具体职责如下:

1)贯彻执行信息安全管理体系方针、政策,接受网络安全与信息化管理部门监督及检查,推动管理体系逐步标准化、系统化、规范化。

2)负责管理体系过程文档的收集、整理、归档和保管工作。

3)做好管理体系文件保密工作,不得将体系文件与配套的过程文档未经批准私自泄露给第三方。

  • 机房管理员职责:机房管理员主要负责机房的日常安全管理工作,如机房的出入安全、机房基础设施安全等,防止机房设施的可用性、完整性和机密性遭到破坏,主要职责包括:

1)负责机房的出入安全管理。如:机房出入申请、出入登记、出入携带物品及人员限制等。

2)负责机房基础设备的管理。如:机房用电安全,机房消防安全,机房施工安全等。

3)负责机房的日常安全管理。如:机房日常巡检,机房值班,机房硬件设备使用,机房服务器上架等。

  • 网络管理员职责:网络管理员主要负责网络相关的管理工作,如网络安全管理、网络运维、审批、变更事务,保存网络相关的文档、数据等管理工作,主要职责包括:

1)确保网络通信传输畅通,掌握主干设备的配置情况及配置参数变更情况,备份各个设备的配置文件。

2)掌握用户端设备接入网络的情况,以便发现问题时可迅速定位。

3)掌握与外部网络的连接配置,监督网络通信状况,发现问题后与有关机构及时联系。

4)制定、发布网络基础设施使用管理办法并监督执行情况,对单位计算机网络运行情况进行监管和控制。

  • 主机管理员职责:主机管理员主要负责主机相关的安全管理、运维、审批、变更事务,保存主机相关的文档、数据等管理工作,主要职责包括:

1)做好服务器配置、安装和改动记录,定期查看系统运行日志,并将系统故障、可疑日志及时上报安全管理员。

2)严格按照《用户权限、口令管理制度》管理主机用户账号,划分账号角色和权限,及时删除废弃用户,监督用户设置账号强口令。

3)采用多种形式,进行主机系统重要数据的定期自动备份或手工备份,保证主机系统数据安全。

4)负责主机系统变更需求的响应和处理,做好主机系统的安全防护。

  • 应用系统管理员职责:各业务部门应用系统管理管理员负责本部门相关应用系统管理工作,如运维、审批、变更、存储等管理工作,主要职责包括:

1)负责应用的设置、代码维护、日志管理、用户帐号管理和权限管理。

2)负责检测应用的可用性,按时做好应用数据的备份工作,做好域名及主机之间的管理。

3)逐步完善应用的架构,定期对应用的框架、主页面貌及应用统一进行必要的修改或更新。

4)每次应用的框架、主页面貌、及应用发生的修改或更新后应做好相应的培训工作。

  • 资产管理员职责:资产管理员主要负责XXXXX单位所拥有信息资产的归口管理,主要职责包括:

1)负责对XXXXX单位信息资产进行分类分级和标识管理,记录并登记设备信息。

2)负责监督信息资产和设备管理制度的执行情况并持续改进资产管理。

3)负责资产的报废管理工作,避免资产报废过程中的数据。

4)负责规范资产的使用,做好资产的转移管理。

  • 数据库管理员职责:各业务系统数据库管理员主要负责本部门信息系统配套的数据库管理工作,主要职责包括:

1)全面负责数据库系统的管理工作,保证其安全、可靠、正常运行。

2)负责数据库服务器的管理工作,做好服务器的运行记录,当服务器出现故障时,迅速会同相关人员一同解决。

3)负责数据库系统的建设,指导监督服务器的维护、数据库软件的安装、数据库的建立和定期对数据进行备份。

4)负责数据库服务器的安全防范管理工作。定期对数据库进行检查、分析、记录,做好数据库安全工作。

4、附则

本管理制度由XXXXX单位负责解释,自发布之日起实施。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/运维做开发/article/detail/902678
推荐阅读
相关标签
  

闽ICP备14008679号