XX公司信息安全保障體系-信息安全組織體系
發(fā)布時(shí)間:2020-10-16 來(lái)源: 不忘初心 點(diǎn)擊:
信息安全保障體系
組織體系
- 1 -
- 2 -
組織體系 1 范圍 本標(biāo)準(zhǔn)規(guī)定了公司內(nèi)部安全保障體系組織架構(gòu)的要求,包括人員組成,責(zé)任和要求。
本標(biāo)準(zhǔn)適用于公司,各廠應(yīng)依據(jù)本標(biāo)準(zhǔn)制訂適用的標(biāo)準(zhǔn)。
2 規(guī)范性引用文件 下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注版本(日期)的引用文件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn),然而,鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注版本(日期)的引用文件,其最新版本適用于本標(biāo)準(zhǔn)。
3 術(shù)語(yǔ)和定義 無(wú)。
4 職責(zé) 4.1 信息中心負(fù)責(zé)公司整體信息安全保障體系組織建設(shè)。
4.2 各廠負(fù)責(zé)在授權(quán)范圍內(nèi)開(kāi)展安全組織建設(shè),負(fù)責(zé)本單位信息安全日常管理、監(jiān)督。
5 信息安全管理組織架構(gòu) 在組織架構(gòu)方面,應(yīng)依托企業(yè)現(xiàn)有的組織體系,賦予各層面的組織和個(gè)人以安全職責(zé),使原有的組織架構(gòu)具有信息安全的管理職能,同時(shí)應(yīng)對(duì)企業(yè)安全管理的三層組織結(jié)構(gòu):決策層、管理層和執(zhí)行層的機(jī)構(gòu)建立、安全目標(biāo)、崗位設(shè)置、安全職責(zé)進(jìn)行確定,組織架構(gòu)的建立和充分發(fā)揮職能是整個(gè)系統(tǒng)安全的前提和基礎(chǔ)。
決策層管理層業(yè)務(wù)安全決策安全戰(zhàn)略規(guī)劃安全績(jī)效考核信息安全領(lǐng)導(dǎo)小組信息安全管理部門(mén)安全管理系統(tǒng)安全工程安全績(jī)效管理信息安全執(zhí)行部門(mén)實(shí)施與運(yùn)作運(yùn)行管理安全審計(jì)實(shí)施執(zhí)行層
圖 1 信息安全管理組織架構(gòu)層次圖 組織架構(gòu)
企業(yè)本部
企業(yè)下屬各廠
- 3 -
決策層
公司信息化建設(shè)主管領(lǐng)導(dǎo) 各廠信息化建設(shè)主管領(lǐng)導(dǎo) 管理層
公司信息、辦公室、財(cái)務(wù)、營(yíng)銷(xiāo)、人事、技術(shù)等各部門(mén)負(fù)責(zé)人 各廠信息、財(cái)務(wù)、生產(chǎn)、人事等業(yè)務(wù)部門(mén)負(fù)責(zé)人 執(zhí)行層
公司具體負(fù)責(zé)信息系統(tǒng)管理和信息安全管理工作的技術(shù)人員及相關(guān)部門(mén)的專(zhuān)職(或兼職)信息安全員 各廠具體負(fù)責(zé)信息系統(tǒng)管理和信息安全管理工作的技術(shù)人員及相關(guān)部門(mén)的專(zhuān)職(或兼職)信息安全員
圖 2 信息安全管理組織架構(gòu)細(xì)化表
6 信息安全組織架構(gòu)各層職責(zé)說(shuō)明 6.1 決策機(jī)構(gòu) 信息安全決策機(jī)構(gòu)處于安全組織機(jī)構(gòu)的第一個(gè)層次,是企業(yè)公司信息安全工作的最高管理機(jī)構(gòu),按照國(guó)家和國(guó)家局的方針、政策和要求,對(duì)企業(yè)公司信息安全進(jìn)行統(tǒng)一領(lǐng)導(dǎo)和管理。
其主要職責(zé)包括:
1) 領(lǐng)導(dǎo)和督促全企業(yè)公司范圍的信息安全工作; 2) 制定企業(yè)公司信息安全戰(zhàn)略、方針和政策,確定企業(yè)公司信息安全發(fā)展方向和目標(biāo); 3) 為信息安全提供所需的資源; 4) 批準(zhǔn)整個(gè)組織內(nèi)信息安全特定角色和職責(zé)的分配; 5) 建立企業(yè)公司的總體安全規(guī)劃方案; 6) 制定企業(yè)公司統(tǒng)一的安全策略體系; 7) 審批企業(yè)公司重大的信息安全活動(dòng); 8) 重大技術(shù)事項(xiàng)或突發(fā)緊急問(wèn)題的協(xié)調(diào)處理和事后調(diào)查仲裁等; 9) 審批信息安全項(xiàng)目及安全產(chǎn)品的采購(gòu)申請(qǐng); 10) 審閱下級(jí)的重要工作匯報(bào)和意見(jiàn),并及時(shí)反饋批復(fù)意見(jiàn); 11) 監(jiān)督管理層信息安全工作的管理和執(zhí)行情況,協(xié)調(diào)管理隊(duì)伍之間的關(guān)系; 12) 負(fù)責(zé)組織企業(yè)公司范圍的信息安全事件的調(diào)查,并聽(tīng)取相關(guān)匯報(bào); 13) 定期組織會(huì)議,了解企業(yè)公司信息系統(tǒng)的整體安全現(xiàn)狀,討論提高安全水平的整改措施。
14) 啟動(dòng)計(jì)劃和程序來(lái)保持信息安全意識(shí); 15) 信息安全領(lǐng)導(dǎo)小組應(yīng)定期組織信息安全巡檢和評(píng)審工作。
6.2 管理機(jī)構(gòu) 信息安全管理機(jī)構(gòu)處于安全組織機(jī)構(gòu)的第二個(gè)層次,在決策機(jī)構(gòu)的領(lǐng)導(dǎo)下,負(fù)責(zé)組織制訂信息安全保障體系建設(shè)規(guī)劃,以及信息安全的管理、監(jiān)督、檢查、考核等工作。日常的信息安全管理工作主要由信息化工作部門(mén)負(fù)責(zé)。
其主要職責(zé)包括:
1) 根據(jù)決策層總體安全規(guī)劃制定系統(tǒng)安全建設(shè)的詳細(xì)安全計(jì)劃并組織實(shí)施; 2) 根據(jù)決策層統(tǒng)一的安全策略制定并落實(shí)信息安全管理制度; 3) 監(jiān)督和指導(dǎo)執(zhí)行層信息安全工作的貫徹和實(shí)施; 4) 組織技術(shù)人員和普通員工的安全技術(shù)交流與培訓(xùn); 5) 參與信息系統(tǒng)相關(guān)的新工程建設(shè)和新業(yè)務(wù)開(kāi)展的方案論證,并提出安全方面的相應(yīng)
- 4 -
建議; 6) 在信息系統(tǒng)相關(guān)的工程驗(yàn)收時(shí),對(duì)信息安全方面的驗(yàn)收測(cè)試方案進(jìn)行審查并參與驗(yàn)收; 7) 組織相關(guān)安全員定期進(jìn)行信息安全巡檢; 8) 負(fù)責(zé)組織范圍內(nèi)的信息安全事件調(diào)查,并聽(tīng)取相關(guān)匯報(bào); 9) 審閱執(zhí)行層的重要工作匯報(bào)和意見(jiàn),并及時(shí)反饋批復(fù)意見(jiàn); 10) 定期組織會(huì)議,了解管轄系統(tǒng)的整體安全現(xiàn)狀,討論提高安全水平的整改措施; 6.3 執(zhí)行機(jī)構(gòu) 信息安全執(zhí)行機(jī)構(gòu)處于信息安全組織機(jī)構(gòu)的第三個(gè)層次,在管理層的領(lǐng)導(dǎo)下,負(fù)責(zé)保證信息安全技術(shù)體系的有效運(yùn)行及日常維護(hù),通過(guò)具體技術(shù)手段落實(shí)安全策略,消除安全風(fēng)險(xiǎn),以及發(fā)生安全事件后的具體響應(yīng)和處理。
主要職責(zé)包括:
1) 學(xué)習(xí)和執(zhí)行企業(yè)公司制定的各項(xiàng)信息安全管理策略、制度、規(guī)范和指南; 2) 企業(yè)公司信息安全規(guī)劃、管理制度的落實(shí)和執(zhí)行工作; 3) 直接負(fù)責(zé)管理范圍內(nèi)各業(yè)務(wù)系統(tǒng)的安全管理和維護(hù)工作; 4) 參與檢查與國(guó)家信息安全相關(guān)的法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)等的符合性,參與企業(yè)公司安全方案的規(guī)劃、設(shè)計(jì); 5) 具體安全項(xiàng)目的實(shí)施與支持; 6) 根據(jù)管理層安全規(guī)劃制定系統(tǒng)安全建設(shè)的詳細(xì)安全計(jì)劃并組織實(shí)施; 7) 監(jiān)督和指導(dǎo)管理范圍內(nèi)信息安全工作的貫徹和實(shí)施; 8) 組織內(nèi)部的安全技術(shù)交流與培訓(xùn); 9) 參與管理范圍內(nèi)工程建設(shè)和業(yè)務(wù)開(kāi)展的方案論證,并提出相應(yīng)的安全方面的建議; 10) 提出的網(wǎng)絡(luò)安全整改意見(jiàn),提交管理層審批; 11) 向管理層定期匯報(bào)系統(tǒng)當(dāng)前安全現(xiàn)狀以及安全事件的處理情況;
7 安全職責(zé)的分配 為明確安全責(zé)任,劃分(界定)安全管理與具體執(zhí)行之間的工作職責(zé),公司必須建立安全責(zé)任制度。
安全責(zé)任分配的基本原則是“誰(shuí)主管,誰(shuí)負(fù)責(zé)”。公司擁有的每項(xiàng)網(wǎng)絡(luò)與信息資產(chǎn),必須根據(jù)資產(chǎn)歸屬確定“責(zé)任人”。“責(zé)任人”對(duì)資產(chǎn)安全保護(hù)負(fù)有完全責(zé)任。“責(zé)任人”可以是個(gè)人或部門(mén),但“責(zé)任人”是部門(mén)時(shí),應(yīng)由該部門(mén)領(lǐng)導(dǎo)實(shí)際負(fù)責(zé)。
“責(zé)任人”可以將具體的執(zhí)行工作委派給“維護(hù)人”,但“責(zé)任人”仍然必須承擔(dān)資產(chǎn)安全的最終責(zé)任。因此“責(zé)任人”應(yīng)明確規(guī)定“維護(hù)人”的工作職責(zé),并定期檢查“維護(hù)人”是否正確履行了安全職責(zé)。“維護(hù)人”可以是個(gè)人或部門(mén),也可以是外包服務(wù)提供商。當(dāng)“維護(hù)人”是部門(mén)時(shí),應(yīng)由該部門(mén)領(lǐng)導(dǎo)實(shí)際負(fù)責(zé)。
安全工作人員的職責(zé)是指導(dǎo)、監(jiān)督、管理、考核“責(zé)任人”的安全工作,不能替代“責(zé)任人”對(duì)具體網(wǎng)絡(luò)與信息資產(chǎn)進(jìn)行安全保護(hù)。
在資產(chǎn)的安全保護(hù)工作中,應(yīng)重點(diǎn)關(guān)注以下內(nèi)容:
a) 應(yīng)清楚地說(shuō)明每個(gè)獨(dú)立的網(wǎng)絡(luò)與信息系統(tǒng)所包含的各種資產(chǎn)和相應(yīng)的安全保護(hù)流程。
b) “責(zé)任人”與“維護(hù)人”都應(yīng)明確接受其負(fù)責(zé)的安全職責(zé)和安全保護(hù)流程,并對(duì)該職責(zé)的詳細(xì)內(nèi)容記錄在案。
- 5 -
c) 所有授權(quán)的內(nèi)容和權(quán)限應(yīng)當(dāng)被明確規(guī)定,并記錄在案。
8 職責(zé)分散與隔離 職責(zé)分隔(Segregation of Duties)是一種減少偶然或故意行為造成安全風(fēng)險(xiǎn)的方法。公司應(yīng)分散某些任務(wù)的管理、執(zhí)行及職責(zé)范圍,以減少誤用或?yàn)E用職責(zé)帶來(lái)風(fēng)險(xiǎn)的概率。例如關(guān)鍵數(shù)據(jù)修改的審批與制作必須分開(kāi)。
在無(wú)法實(shí)現(xiàn)職責(zé)充分分散的情況下,應(yīng)采取其他補(bǔ)償控制措施并記錄在案。例如:活動(dòng)監(jiān)控、檢查審計(jì)跟蹤記錄以及管理監(jiān)督等。
為避免串通勾結(jié)等欺詐活動(dòng),公司應(yīng)盡量隔離相應(yīng)職責(zé),并增加執(zhí)行和監(jiān)督人員,以降低串通的可能性。
9 安全信息的獲取和發(fā)布 信息技術(shù)的發(fā)展日新月異,安全工作愈發(fā)復(fù)雜和困難。公司必須建立有效可靠的渠道,獲取安全信息,不斷推進(jìn)安全工作。例如:
a) 從內(nèi)部挑選經(jīng)驗(yàn)豐富的安全管理和技術(shù)人員,組成內(nèi)部專(zhuān)家組,制定安全解決方案,參與安全事件處理,解決實(shí)際安全問(wèn)題,提供預(yù)防性建議等。為使內(nèi)部專(zhuān)家組的工作更具成效,應(yīng)允許他們直接接觸公司的管理層。
b) 與設(shè)備提供商、安全服務(wù)商等外部安全專(zhuān)家保持緊密聯(lián)系,聽(tīng)取他們的安全建議。
c) 從一些公開(kāi)的信息渠道獲取安全信息,例如專(zhuān)業(yè)出版物、定期公告等。
企業(yè)權(quán)威的安全信息發(fā)布機(jī)構(gòu)為公司信息中心。公司負(fù)責(zé)收集和整理并向各廠信息部門(mén)發(fā)布安全信息;各廠負(fù)責(zé)廠內(nèi)發(fā)布和信息上報(bào)。
10 加強(qiáng)與外部組織之間的協(xié)作 公司應(yīng)加強(qiáng)與國(guó)家安全機(jī)關(guān)、行業(yè)監(jiān)管部門(mén)、其他運(yùn)營(yíng)商和信息服務(wù)提供商等外部組織的聯(lián)系,并建立協(xié)作流程,以便在出現(xiàn)安全事件時(shí),盡快獲取信息、采取措施。
公司在加入安全組織或與其他組織進(jìn)行交流時(shí),應(yīng)對(duì)信息交換予以嚴(yán)格限制,以確保公司信息的保密性。
11 安全審計(jì)的獨(dú)立性 安全審計(jì)是從管理和技術(shù)兩個(gè)方面檢查公司的安全策略和控制措施的執(zhí)行情況,發(fā)現(xiàn)安全隱患的過(guò)程。
安全審計(jì)的獨(dú)立性是指審計(jì)方與被審計(jì)方應(yīng)保持相對(duì)獨(dú)立,即不能自己審計(jì)自己的工作,以確保審計(jì)結(jié)果的公正可靠。
安全審計(jì)可由公司內(nèi)部審計(jì)組織,或外聘的專(zhuān)業(yè)審計(jì)機(jī)構(gòu)完成。審計(jì)人員應(yīng)接受審計(jì)培訓(xùn),掌握一定的技能和經(jīng)驗(yàn)。當(dāng)采用外聘審計(jì)機(jī)構(gòu)時(shí),應(yīng)充分考慮其風(fēng)險(xiǎn),并采取相應(yīng)的控制措施。
熱點(diǎn)文章閱讀