信息安全组织建设规划等保安全管理制度.docx
《信息安全组织建设规划等保安全管理制度.docx》由会员分享,可在线阅读,更多相关《信息安全组织建设规划等保安全管理制度.docx(12页珍藏版)》请在冰豆网上搜索。
信息安全组织建设规划等保安全管理制度
XX门户网站平台
--信息安全组织建设规划--
文档编号
使用部门
XX信息技术推广部
编制日期
X/11/15
发行日期
修订及审核记录
文档信息
文档名称
信息安全组织建设规划
文档编号
服务对象
XX信息技术推广部
创建日期
X/11/15
文档版本
V1.0
发行日期
文档审核
审核人
职务
审核时间
审核意见
修订记录
修正章节
修订日期
修订人
变更记录
整篇文档
X/11/15
X
修订版式、内容
第一章组织规划背景
XX信息技术推广部为了执行既定的信息安全管理方针和相关国家法律要求的关于加强信息系统安全建设的基本要求,特成立本单位的信息安全管理组织-信息安全委员会。
统一管理和执行本单位的信息安全战略和制定后续管理标准及流程。
为了实施有效的信息安全管理,在XX内部建立完善的信息安全组织是最基本的措施。
在此基础上,XX能够将各项信息安全工作落到实处,包括加强信息安全规范建设、建立持续改进的信息安全管理体系、实施监督检查、降低本单位面临的信息安全风险、保护并提升XX核心竞争力、保障XX信息技术推广部业务正常、安全、可靠地运作。
本文件针对XX信息技术推广部信息安全组织建设相关事务,规定了组织框架和角色责任,适用于XX信息技术推广部所有纳入到信息安全管理体系范围的单位和个人。
第二章信息安全组织体系
XX信息技术推广部门户网站和政务办公安全管理组织体系实行统一组织、分散管理的方式,设置单位级别的独立于各部门职责的信息安全管理委员会为本单位组织的信息安全管理机构,负责全单位范围的信息安全管理和维护工作。
信息安全是全体员工共同承担的责任,为了更清晰地定义具体的责任归属,我们对XX信息技术推广部信息安全组织架构和相关角色做出如下图所示的定义。
2.1信息安全管理委员会
该信息安全管理委员会由信息安全最高管理者发起建立并作为代表,是XX信息技术推广部在信息安全管理方面的最高决策机构,其成员包括XX信息技术推广部各业务及支撑单位的领导和各个业务部门资深且熟悉各自工作领域的职员组成。
主要责任包括:
-审批发布信息安全方针和管理体系;
-任命信息安全角色和岗位;
-控制会对XX信息技术推广部信息资产造成影响的重大变更;
-审批信息安全规划和项目的批准;
-提供信息安全资源保证;
-实施信息安全管理评审。
2.2信息安全管理组
由XX信息技术推广部中心主任领导,是XX信息技术推广部信息安全管理体系的具体规划、管理和维护者。
主要责任包括:
-负责信息安全管理体系的建立并确保体系的完整性、符合性和有效性;
-对信息安全相关项目进行规划和监督,确保信息安全风险评估和管理工作能够落实;
-负责信息安全管理和技术控制的选型设计、方案评审,建立新信息处理设施的管理程序;
-负责信息安全策略、标准、流程和制度的编写、审核及推广;
-负责建立业务连续性计划;
-建立与内部/外部专家、权威机构、合作伙伴之间的沟通渠道。
统一控制对外信息发布和通告。
-负责信息安全等级保护定级工作的管理部门。
2.3信息安全执行组
由XX信息技术推广部中心主任领导,由XX信息技术推广部不同部门/单位的代表共同组成,是XX信息技术推广部信息安全策略和相关事务的具体推动执行和实施者,是信息安全管理组规划项目的落实者。
每个部门都应该设立信息安全专员,作为信息安全执行组成员。
-主要责任包括:
-在信息安全管理组确定的实施范围内,具体推广并落实各项策略要求和控制措施;
-各部门信息安全专员负责监督推动安全策略和控制措施在本部门的落实,负责本部门人员的信息安全意识提升,负责本部门信息安全事件的应急处理;
-各部门安全专员负责本部门信息安全的日常工作,提供信息安全支持服务,配合完成信息安全相关项目,并在本部门引导、推广和监督执行安全策略。
-负责系统定级相关材料的收集、维护、编制工作,作为系统定级测评工作的执行部门。
2.4信息安全审核组
由XX信息技术推广部主任领导,对XX信息技术推广部的信息安全管理体系实施独立审核,其成员应接受专门培训并具备审核基本技能,能够公正、独立地开展审核工作。
主要责任包括:
-针对XX信息技术推广部已经建立的信息安全管理体系,实施独立审核,确保信息安全管理体系各项控制及组成部分按照策略要求运行良好,确保信息安全管理体系的完整性、符合性和有效性;
-实施XX信息技术推广部内部审核;
-审核组的工作应该直接向信息安全管理委员会汇报;
-内部审核员的工作应该不受干扰、公正、独立。
2.5信息安全事件应急响应小组
-由XX信息技术推广部主任领导,由具备信息安全专门技能的人员组成,负责按照XX信息技术推广部既定程序来响应并处理信息安全事件。
小组成员包括:
技术代表:
来自运维商或者外包商的技术支持人员;
对外联络代表:
在发生信息安全事件后,对外发布公告和澄清及联系相关单位。
设施管理代表:
主要负责XX信息技术推广部供水、供电及通风设备的正常运作。
应急响应小组的主要责任包括:
-密切关注信息安全发展趋势,预测信息安全危机及隐患;
-接受信息安全事件报告,做出准确的响应处理;
-调查信息安全事件,向信息安全管理委员会报告;
-如有对外发布信息或和外部机构联络的需要,通过XX信息技术推广部领导批准确定而进行;
-履行信息安全事件管理程序中定义的其他职责要求。
第三章岗位划分及岗位职责
3.1安全管理员岗位职责
负责本单位信息安全工作的具体实施和有关信息安全问题的处理,根据信息安全事件的处理情况和对本单位网络系统安全检测的结果,提交事件处理报告;
根据XX信息技术推广部的网络系统安全需求,定期提出网络系统安全整改意见,上报信息安全工作组领导;
组织并参加本单位定期的信息安全巡检,并在其他管理员的协助下建立完整的安全巡检报告,并及时向执行组组长提交报告,汇报本单位的信息安全现状;
指导和监督其他管理员和普通用户与安全相关的工作;
监控XX信息技术推广部信息系统的安全需求变化,及时获取来自其他管理员和普通用户的安全意见,进行必要的安全策略体系修订;
信息安全工作组执行小组涉及的岗位职责,处理信息安全工作组核准的其它事务。
3.2网络管理员岗位职责
负责网络设备的日常运行、管理和维护,保持系统处于良好的运行状态;
负责对所管理的网络设备进行日常维护和检查,并将安全设置的情况报安全管理员备案;
参加本单位定期的信息安全巡检,并记录巡检结果,在巡检结束后提交给安全管理员,配合安全管理员完成信息安全巡检报告;
在本单位每个网络系统工程验收后,对工程所涉及的网络设备、网络服务作相应的安全设置,删除设备的测试账号,对需要保留的账号口令重新进行设置,并且在口令的设置上要符合保密性要求;
编制网络设备的维修、报损、报废计划,报XX信息技术推广部相关部门审核;
监控本单位信息系统的安全需求变化,及时获取来自其他管理员和普通用户的安全意见,进行必要的安全策略体系修订;
信息安全工作组执行小组涉及的岗位职责,处理信息安全工作组核准的其它事务。
3.3系统管理员岗位职责
负责主机系统的日常运行、管理和维护,保持系统处于良好的运行状态;
负责对所管理的主机系统进行日常维护和检查,并将相关安全设置的情况报安全管理员备案;
参加本单位定期的信息安全巡检,并记录巡检结果,在巡检结束后提交给安全管理员,配合安全管理员完成信息安全巡检报告;
在XX信息技术推广部每个网络系统工程验收后,对工程所涉及的主机系统作相应的安全设置,删除系统的测试账号,对需要保留的账号口令重新进行设置,并且在口令的设置上要符合保密性要求;
编制计算机设备的维修、报损、报废计划,报本单位相关部门审核;
监控信息系统的安全需求变化,及时获取来自其他管理员和普通用户的安全意见,进行必要的安全策略体系修订;
信息安全工作组执行小组涉及的岗位职责,处理信息安全工作组核准的其它事务。
3.4业务管理员岗位的安全职责
负责业务应用系统的日常运行、管理和维护,保持系统处于良好的运行状态;
负责对所管理的业务应用系统进行日常维护和检查,并将安全设置的情况报安全管理员备案;
参加本单位定期的信息安全巡检,并记录巡检结果,在巡检结束后提交给安全管理员,配合安全管理员完成信息安全巡检报告;
在本单位每个业务应用系统工程验收后,对工程所涉及的业务应用系统作相应的安全设置,删除系统的测试账号,对需要保留的账号口令重新进行设置,并且在口令的设置上要符合保密性要求;
监控本单位信息系统的安全需求变化,及时获取来自其他管理员和普通用户的安全意见,进行必要的安全策略体系修订;
信息安全工作组执行小组涉及的岗位职责,处理信息安全工作组核准的其它事务。
3.5开发管理员安全职责
开发管理员由系统开发人员和系统规划人员组成;
参加本单位定期的信息安全巡检,并记录巡检结果,在巡检结束后提交给安全管理员,配合安全管理员完成信息安全巡检报告;
系统开发人员负责应用层系统的安全开发和安全建设及推广工作;
系统规划人员负责系统安全规划和安全策略的建设工作;
监控本单位信息系统的安全需求变化,及时获取来自其他管理员和普通用户的安全意见,进行必要的安全策略体系修订;
信息安全工作组执行小组涉及的岗位职责,处理信息安全工作组核准的其它事务。
第四章组织安全管理策略
第一条信息安全工作组将与安全相关的重要人员(安全管理员/网络管理员/系统管理员/业务管理员/开发管理员)名单交单位人事部门,人事部门在管理员调动、离职或者其他原因离开原岗位时以书面形式通知信息安全工作组,信息安全工作组应在3个工作日之内在全单位进行通告。
第二条信息安全工作组在相关组员人事变动后,应授权安全管理员及相关管理员进行相应的处理。
安全管理员分析该人员在离开原岗位所涉及的用户账号和权限的变换后,通知相关管理员(网络管理员/系统管理员/业务管理员)进行相应的设置,并由安全管理员对相关管理员设置的结果进行检查。
第三条一般情况下,除安全管理员之外,禁止其他人员使用口令破解程序、网络监听软件和端口扫描软件等网络安全软件,执行用户口令破解、网络流量监听、网络安全漏洞扫描等操作。
但在必要时安全管理员可授权其他管理员(网络管理员/系统管理员/业务管理员/开发管理员)进行上述操作。
第四条信息安全工作组应组织定期的信息安全巡检工作,在全单位范围内对所有员工的信息安全管理制度执行情况进行检查,周期至少为每月一次,以及时了解本单位信息安全的状况,督促本单位员工的信息安全意识。
信息安全巡检工作由信息安全工作组的执行小组组员组成,各小组组员对检查情况进行记录,由安全管理员统一汇总整理,并及时将发现的问题上报。
第五条本单位各级安全管理员或普通用户发现安全问题后,应及时按照如下流程进行处理:
网络管理员、系统管理员、业务管理员、开发管理员或者普通用户发现安全问题,应向安全管理员报告,并保留有关原始记录。
安全管理员发现安全问题,应通知相关管理员或普通用户进行原始记录的保留。
安全管理员在网络管理员、系统管理员、业务管理员、开发管理员或者普通用户的协助下进行安全问题的诊断和分析,确定安全问题的类型。
如果安全问题是由计算机病毒引起的,应使用杀毒软件对计算机病毒进行消除。
若计算机病毒已造成文件或数据损坏或者丢失,且使用杀毒软件或者其它手段无法进行修复,则使用备份进行恢复;如果被感染计算机已无法正常启动或操作系统无法正常运行,应重新安装操作系统和应用软件,并调用备份进行恢复。
如果安全问题属于拒绝服务攻击,应判断拒绝服务攻击的类型,若拒绝服务攻击针对于非业务端口,则关闭这些端口。
若拒绝服务攻击针对于业务端口,则调整主机系统本身和防火墙系统的设置,尽量减小拒绝服务攻击的危害。
同时对攻击数据源进行跟踪,争取在攻击的发起端进行过滤。
如果攻击源在本单位管理网络之外,需上报信息安全工作组,由信息安全工作组讨论处理。
如果安全问题属于系统入侵,应根据被入侵系统的重要性选择处理的方法。
若被入侵系统上有重要业务或者数据,应采取紧急消除和恢复的方法,否则可以对入侵者进行网络跟踪和监视,分析攻击者的攻击目标和影响的范围,并根据分析结果采取相应的防范措施。
如果采用紧急消除和恢复的方法,应根据网络入侵事件的影响程度决定断开网络连接或者进行在线处理和恢复。
若网络入侵事件严重影响本单位形象,比如Web站点的页面被修改,应该立刻断开网络连接,尽量减小安全事件的影响,然后再进行系统恢复和安全漏洞的修补。
若入侵事件影响比较小或者断开网络连接可能导致重大经济损失,可以采用在线恢复和安全漏洞修补的方法。
在进行系统恢复和安全漏洞修补之前必须对入侵事件影响到的所有文件和日志进行备份,以免入侵的特征、证据和日志在入侵事件处理中丢失。
在系统恢复和安全漏洞修补之后,还应分析入侵事件对被入侵系统和相关系统的影响,如果入侵事件可能导致系统文件被非法修改,必须在紧急消除和恢复之后尽快进行全系统的重新安装和配置,以防止系统被安装木马程序。
如果由于客观原因,系统不允许重新安装,那么必须对系统进行全面的安全扫描以检查系统中潜在的安全漏洞。
如果入侵事件可能影响到网络中其它系统,必须对相应系统作安全检查。
在安全问题处理完毕后,必须进一步分析安全问题产生的原因和条件,并考察网络中其它系统是否也存在导致类似安全问题的漏洞,若存在,应尽快进行修补。
对于安全管理员无法处理的安全问题,安全管理员应及时通知本单位的安全服务商,并进行汇报。
对于造成严重影响的安全事件发生时,安全管理员应保留有关原始记录,并在24小时内由本单位保安部门向当地公安机关报告。
安全管理员负责对安全问题的处理过程和结果进行备案。
对于重大的安全事件(指由安全问题引起的系统崩溃、宕机、页面被非法替换或者修改等),应立即上报信息安全工作组执行小组,并在处理后3个工作日之内写出书面的处理报告,将安全事件的现象、原因、处理过程、处理结果以及经验教训上报部门负责人,由他们逐级上报给领导小组。
第五章信息安全管理委员会清单
表5.1:
信息安全管理组成员清单
姓名
职位
安全角色
联系方式
邮件
表5.2:
信息安全执行组成员清单
姓名
职位
安全角色
联系方式
邮件
表5.3:
信息安全审计组成员清单
姓名
职位
安全角色
联系方式
邮件
表5.4:
信息安全事件应急响应小组成员清单
姓名
职位
安全角色
联系方式
邮件
表5.5:
外部权威机构联络方式
单 位
联系方式
第六章附则
第一条本管理规定自发布之日起开始实施;
第二条本管理规定的解释和修改权属于XXX信息技术推广部;
第三条XX信息技术推广部每年统一检查和评估本管理规定,并做出适当更新。
在业务环境和安全需求发生重大变化时,也将对本规定进行检查和更新。
升级会员 