信息安全管理机构管理办法.doc
《信息安全管理机构管理办法.doc》由会员分享,可在线阅读,更多相关《信息安全管理机构管理办法.doc(16页珍藏版)》请在冰点文库上搜索。
信息安全管理机构管理办法
信息安全管理机构管理办法
编制:
日期:
审核:
日期:
批准:
日期:
版本:
V1.0 2025年05月20日发布
版本更改记录
版本编号
修订时间
修订人
修订类型
修订内容
批准人
批准日期
*修订类型分为A-ADDEDM-MODIFIEDD–DELETED
注:
对该文件内容增加、删除或修改均需填写此记录,详细记载变更信息,以保证其可追溯
第一章总则
第一条为有效实施信息安全管理,保障********信息中心的信息系统安全,在********信息中心内部建立自己的信息安全管理组织机构。
第二条本办法适用于指导********信息中心建立信息安全管理组织机构和其管理办法。
第二章信息安全管理组织架构
第三条信息安全管理组织架构是实施系统安全,进行安全管理的必要保证。
根据********信息中心编制体系现状以及人员结构,********信息中心的信息安全管理组织架构如下:
********信息中心成立信息安全领导小组。
领导小组负责********信息中心范围内信息安全管理决策等工作,下设两个工作组小组:
信息安全工作组、应急处理工作组。
第一节信息安全领导小组
第四条信息安全是********信息中心工作人员必须共同承担的责任,在********信息中心建立信息安全领导小组负责本单位信息安全工作的宏观管理。
信息安全领导小组是********信息中心信息安全工作的最高领导决策机构,它不隶属于任何部门,直接对********信息中心最高领导负责,是一个常设机构。
第五条********信息中心信息安全领导小组负责********信息中心信息安全的总体规划与决策,并领导********信息中心信息系统安全建设、运行、维护和管理等工作;负责组织落实上层决策;信息安全领导小组的组长由********信息中心的主要领导担任,并由信息安全相关各职能部门的主要负责人参加。
********信息中心信息安全领导小组的职责是:
1.信息安全领导小组负责领导落实********信息中心信息系统安全建设的总体规划,制定********信息中心信息系统安全建设规划。
2.在********信息中心信息系统安全方针和总体策略的指导下,负责组织制定********信息中心信息系统安全策略。
3.负责组织细化信息安全规章制度,制定相应程序指南,并监督落实规章制度。
4.负责********信息中心信息系统安全管理层以上的人员权限授予工作。
5.负责审阅********信息中心信息安全工作报告;负责********信息中心重大安全事故查处与汇报工作。
第六条********信息中心信息安全领导小组成员如下:
1.组长:
主管单位分管领导
2.副组长:
信息中心主管领导
3.成员:
相关处室、科室负责人
第二节信息安全工作组
第七条在信息安全领导小组的基础上,********信息中心信息安全管理由信息安全领导小组成员部门共同完成,包括综合管理科、技术科等等。
第八条********信息中心信息安全工作组主要负责********信息中心的信息安全工作落实和日常信息安全管理工作。
信息安全工作组基本职责是:
1.贯彻执行********信息中心信息安全领导小组的决议,协调和规范信息中心信息安全工作;
2.根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实;
3.负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;
4.组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;
5.负责接受各单位的紧急信息安全事件报告,组织进行事件调查分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;
6.及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件;
7.跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作;
8.组织信息中心技术人员和普通员工的安全技术交流与培训;
9.负责信息中心信息系统的安全管理和维护工作;
10.参与信息系统相关的新工程建设和新业务开展的方案论证,并提出安全方面的相应建议;
11.在信息系统相关的工程验收时,对信息安全方面的验收测试方案进行审查并参与验收;
12.参加本单位召开的信息安全的重大活动;
13.每月至少组织信息安全工作组成员进行一次********信息中心范围的信息安全巡检;
14.授权信息安全管理员处理日常工作。
第九条为明确安全职责,应在相关管理部门中指定对信息安全负责的主管,这些主管共同贯彻执行信息系统安全工作的方针政策、规章制度及有关的技术标准、规范和方案,并监督安全策略的落实。
第三节应急处理工作组
第十条为保障********信息中心信息系统的业务可持续性,确保遭遇任何大型灾难或故障时关键业务活动能够尽快被恢复,********信息中心成立应急处理工作组,是在信息系统安全事故发生时,启动应急机制,对应急预案进行执行和决策的组织。
第十一条应急处理工作组组长由信息中心的主任担任,副组长由信息中心的副主任担任,组员由信息安全相关各职能部门的主要负责人参加。
********信息中心应急处理工作组的职责是:
1.负责组织技术紧急事件发生时的应急处理;
2.负责组织单位业务运行、网络以及信息系统安全的监控;
3.负责组织关区安全保障技术应急措施的培训和演练;
4.负责组织检查单位业务运行、网络以及信息系统安全措施的执行情况;
5.负责对外发布故障情况通报。
第三章安全角色与职责
对于信息系统建设和运行维护的具体执行,设立相应的安全管理岗位,下面定义了相应的安全角色和职责,其具体描述如下:
第十二条安全管理员
1.负责单位信息系统信息安全工作的具体实施和有关信息安全问题的处理,根据信息安全事件的处理情况和对网络系统安全检测的结果,提交事件处理报告;
2.根据单位信息系统安全需求,定期提出网络系统安全整改意见,上报信息安全工作组领导;
3.组织单位定期的信息安全巡检,并在其他管理员的协助下建立完整的安全巡检报告,及时向组长提交报告,汇报网络的信息安全现状;
4.指导和监督单位内其他管理员和普通用户与安全相关的工作,为他们的安全改进提供建议;
5.监控单位专网信息系统的安全需求变化,及时获取来自其他管理员和普通用户的安全意见,进行必要的安全策略体系修订;
6.负责信息系统安全项目在单位专网的推广应用,参与单位专网信息安全应用项目和产品的开发与选型;
7.负责单位专网计算机系统病毒防治;
8.协助解决单位信息系统安全突发事件,负责重大事件的上报;
9.发布单位内部信息安全通报及安全预警。
10.信息安全工作组涉及的岗位职责,处理信息安全工作组核准的其它事务。
第十三条系统管理员
1.负责主机操作系统的安全配置(包括及时修补系统漏洞)和日常审计,系统应用软件的安装,从系统层面实现对用户与资源的访问控制。
2.协助安全管理员制定主机操作系统的安全配置规则,并落实执行。
3.负责主机设备的日常管理与维护,保持系统处于良好的运行状态。
4.为安全审计员提供完整、准确的主机系统运行活动的日志记录。
5.在主机系统异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并及时上报。
6.编制主机设备的维修、报损、报废计划,报主管领导审核。
7.主机系统管理员要熟悉单位信息中心内所使用的各个主机系统,并具有完成上述工作职能的技术能力。
第十四条网络管理员
1.负责网络的部署以及网络产品、网络安全产品的配置、管理与监控,并对关键网络配置文件进行备份,及时修补网络设备的漏洞。
2.协助安全管理员制定网络设备安全配置规则,并落实执行。
3.为安全审计员提供完整、准确地记录重要网络设备和网站运行活动的运行日志。
4.在网络及设备异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并及时上报。
5.编制网络设备的维修、报损、报废等计划,报主管领导审核。
6.网络管理员要熟悉单位信息中心的网络状况,熟悉主流的网络产品、安全产品,并具有完成上述工作职能的技术能力。
第十五条安全审计员
1.负责定期对主机系统、网络产品、应用系统的日志文件进行分析审计,发现问题及时上报。
2.负责对信息安全保障管理活动进行独立的监督,提供内部独立的审计和评估工作,并根据需要可以协同外部审计评估机构进行评估和认证,为决策领导提供信息系统和信息安全保障执行状况的客观评价。
3.安全审计员要熟悉单位信息中心的网络情况,熟悉主机系统、网络产品、网络安全产品,并具有完成上述业务职能的技术能力。
第十六条机房管理员
1.负责制定和执行适当的物理安全控制。
2.主要负责非技术性的、常规的安全工作,如机房安全,验证出人机房的手续和多项规章制度的落实。
第四章信息安全管理岗位设置
第十七条信息系统运维管理部门职责分工
负责单位信息系统的信息安全管理工作,内部计算机系统、软硬件及网络设备的日常维护管理工作。
第十八条安全管理员岗位
设置1个安全管理员岗位,由信息中心信息安全岗位人员担任。
第十九条安全审计员岗位
设置1个安全审计员岗位,由信息中心综合管理岗位人员担任。
第二十条系统管理员岗位
设置1个系统管理员岗位,由信息中心系统维护岗位人员担任。
第二十一条网络管理员岗位
设置1个网络系统管理员岗位,由信息中心网络运行维护岗位人员担任。
第二十二条机房管理员
设置1个机房管理员岗位,由技信息中心房环境管理岗位人员担任。
第五章安全管理机构工作制度
第一节授权与审批制度
第二十三条当系统发生变更,进行重要操作,执行物理访问和系统接入时需经过信息中心领导的审批。
第二十四条根据各个部门和岗位的职责制定授权审批事项,各项授权与审批事项应经过指定的部门和人员进行授权和审批。
具体审批事项见附件1《授权审批事项列表》。
第二十五条要定期授权与审批事项列表进行审批,及时更新授权和审批的项目、审批部门和审批人等信息。
第二十六条要对审批过程进行记录并保存审批文档。
第二十七条要对不再适用的权限及时取消授权的记录
第二节沟通和合作制度
第二十八条信息中心各个部门应该定期进行信息安全方面的会议,研究********信息中心审计发现存在的安全隐患,协作处理信息安全问题。
第二十九条信息中心应加强与各相关单位沟通与合作,完善信息中心网络信息安全建设。
第三十条聘请信息安全专家团队提供常年的安全顾问服务,指导********信息中心信息安全的规划与建设。
第六章附则
第三十一条本规定由********负责解释。
第三十二条本规定自发布之日起实行。
第七章附件
附件1:
《授权审批事项列表》
发布时间:
序号
需审批的事项
审批部门/人
审批程序
1.
系统投入使用
Ø系统安装调试场地应该受控制并由使用部门人员陪同,必须保证与在线运行的应用系统隔离或远离应用系统,避免重大问题的发生;
Ø系统安装调试无误后,使用部门人员填写《系统上线申请授权审批表》,经部门负责人批准后,报信息系统运行管理部门审批;
Ø审批同意后,系统安装调试人员、使用部门人员协同信息安全管理员对系统各项安全情况进行检查。
不符合信息中心安全要求的责令使用部门调整,直到符合信息中心安全规定才签字批准;
Ø所有审批完成,系统上线执行人员才可以进行系统上线工作;
2.
访问控制变更
Ø各应用系统部门如需要增加设置或修改网络访问控制策略必须经过授权,由需求单位填写《网络访问控制策略变更审批表》(参见附表),经信息管理部门负责人批准后实施;
Ø网络管理员应依据经过批准的访问控制策略进行网络访问控制的设置和修改;
Ø只有网络管理员和网络安全审计员才有权登录网络设备,发生人员变更后,应及时更改网络设备账户和口令设置;
3.
应用系统管理员、审计员账户设置
Ø应用系统管理员、审计员账户的授权由系统运行维护单位填写《应用系统账户授权审批表》(参见附表);
Ø经信息系统运行管理部门负责人批准后进行设置;
Ø应用系统管理员与审计员应根据角色给予不同权限;
Ø信息安全员确保相应账户是职责所需最小权限;
4.
业务应用的账户设置
Ø用于业务应用的账户的授权由使用单位填写《业务应用的账户授权审批表》(参见附表);
Ø经业务管理部门及信息系统运行管理部门负责人批准后,由应用系统管理员进行设置;
Ø信息安全员确保相应账户是职责所需最小权限;
5.
防火墙配置变革审批
Ø防火墙配置要求人员与单位填写《防火墙配置变更审批表》(参见附表);
Ø防火墙设备安全规则的设置、更改,应该得到信息系统运行管理部门负责人的批准,由系统管理员具体负责实施;
6.
远程访问控制审批
Ø需要远程访问的人员提交策略的制定、修改应提出申请,填写《访问策略变更审批表》;
Ø经信息中心领导审批同意后方可按照策略制定、修改有关设备的配置,并要求做好相关的记录;
附件2:
《系统上线申请授权审批表》
申请部门
责任人
联系电话
申请日期
信息系统业务描述
信息系统申请权限要求(网络名称/IP范围、访问资源、需要开发端口):
申请部门意见:
签名:
日期:
信息管理部门意见:
签名:
日期:
信息安全人员系统安全意见:
签名:
日期:
其他设置
执行人
执行日期
附件3:
《网络访问控制策略变更审批表》
申请部门
责任人
联系电话
申请日期
授权
性质
□新增策略
□策略变更
授权
期限
起始日期:
结束日期:
申请权限要求(网络名称/IP范围、访问资源、访问方式、访问目的等):
申请理由:
申请部门意见:
签名:
日期:
信息管理部门意见:
签名:
日期:
执行记录
控制名称
控制目的
源地址
目标地址
访问权限设置
其他设置
执行人
执行日期
附件:
4:
《应用系统账户授权审批表》
姓名
工号
申请日期
部门
班组
联系电话
授权
性质
□新开账户
□权限变更
授权
期限
起始日期:
结束日期:
申请权限要求(应用系统名称、使用资源、使用功能、权限等):
申请理由:
申请部门意见:
签名:
日期:
业务管理部门意见:
签名:
日期:
信息系统运行管理部门意见:
签名:
日期
执行记录
账户名
应用系统名
主机型号
资源名称
权限设置
其他设置
执行人
执行日期
附件5:
《业务应用的账户授权审批表》
姓名
工号
申请日期
部门
班组
联系电话
授权
性质
□新开账户
□权限变更
授权
期限
起始日期:
结束日期:
申请权限要求(应用系统名称、使用资源、使用功能、权限等):
申请理由:
申请部门意见:
签名:
日期:
业务管理部门意见:
签名:
日期:
信息系统运行管理部门意见:
签名:
日期
执行记录
账户名
应用系统名
主机型号
资源名称
权限设置
其他设置
执行人
执行日期
附件6:
《防火墙配置变更审批表》
申请部门
责任人
联系电话
申请日期
授权
性质
□新增策略
□策略变更
授权
期限
起始日期:
结束日期:
申请权限要求(网络名称/IP范围、访问资源、访问方式、访问目的等):
申请理由:
申请部门意见:
签名:
日期:
信息系统运行管理部门意见:
签名:
日期:
执行记录
控制名称
控制目的
源地址
目标地址
访问权限设置
其他设置
执行人
执行日期
附件7:
《访问策略变更审批表》
申请部门:
编号:
申请人
申请日期
访问有效期
月日时至月日时
远程登录
原因及
主要操作
登录主机
被登录主机
地点
主机名称
用户名
地点
主机名称
用户名
信息管理部门意见
备注