212xx信息安全组织管理框架.docx
《212xx信息安全组织管理框架.docx》由会员分享,可在线阅读,更多相关《212xx信息安全组织管理框架.docx(14页珍藏版)》请在冰点文库上搜索。
212xx信息安全组织管理框架
文
xx
信息安全组织管理框架
制定:
审核:
批准:
版本:
xx
二O一四年九月
目录
信息安全组织管理框架3
1.信息安全组织目标3
2.信息安全组织总体的要求3
3.信息安全组织人员岗位设置4
4.信息安全组织人员岗位职责5
4.1安全组织安全管理责任人职责5
4.2安全组织安全管理工程师职责6
4.3安全组织系统运行维护工程师职责7
4.4安全组织第三方网络组织职责7
4.5安全组织第三方信息安全组织职责8
5.信息安全组织――信息安全设施8
5.1信息安全管理论坛8
5.2信息安全协作9
5.3信息安全责任的分配9
5.4新信息和新设备的授权过程10
5.5专家信息安全建议11
5.6组织间的协作12
5.7信息安全的独立审查12
6.信息安全组织――第三方访问的安全性12
6.1来自第三方访问的风险鉴定13
6.2在第三方合同中应提及的安全需求14
6.3来自第三方远程访问17
7.信息安全组织――外部问题17
信息安全组织管理框架
1.信息安全组织目标
xx(以下简称为“xx”)为初始化并控制实现组织内部的信息安全而成立了信息安全领导小组。
xx的安全组织为建立合适的系统安全管理政策,指定安全系统中的各类角色,并协调组织内各项因素,以实现信息安全。
安全组织在系统内培养具备一些专用的信息安全知识的安全角色,供组织内部使用。
同时,xx的安全组织与组织外部的安全专家联络,跟踪最新动向,监测标准和评估方法,并在处理安全事件时,提供适当的解决办法。
在信息安全系统中应鼓励采用多重接入的方法,例如,在涉及领导、用户、管理者、应用设计者、审计人员和安全职员之间的协作关系时,应根据不同的需求来不同对待,或者在风险管理等领域,需要更专门的技术来实现。
2.信息安全组织总体的要求
Ø应当建立适当管理架构,在组织内部启动和控制信息安全的实施;
Ø管理层领导应当建立适当的安全管理问题论坛,以便确认信息安全策略、指派安全角色并在组织中协调安全措施的实施;
Ø应当建立一个信息安全专家建议的资料来源以保障安全信息来源,应当加强与外部的信息安全专家的联系,以跟上安全发展趋势;
Ø监控安全标准和测评方法并在处理意外安全事故时提供适当的联络点。
Ø鼓励发展综合了各学科知识的信息安全解决方案;
Ø实现一个统一的、有组织的、多层次的安全组织机构。
Ø单位安全组织应保持与公安机关联系渠道畅通,保证各项信息网络安全政策、法规在本单位的落实,积极接受公安机关网监部门业务监督检查。
Ø单位安全组织的安全负责人及安全技术人员应切实履行各项安全职责,对不依法履行职责,造成安全事故和重大损害的,由公安机关予以警告,并建议其所在单位给予纪律或经济处理;情节严重的,依法追究刑事责任。
3.信息安全组织人员岗位设置
在xx的运维管理机构中,管理层的代表要求都来自于组织的相关部门。
很多人都会直接或间接的投入到信息安全维护的工作中来。
因此,我们建立了一个完整的组织设置,已达到统一协调管理的目的。
具体应该设置如下组织人员:
✓高层管理人员——以高层管理的身份,负责整个组织的信息安全管理。
✓信息安全管理者——以一个专门的网络安全工作小组的领导者的身份,负责整个组织信息系统的安全;负责信息安全的整体协调工作;负责信息安全的日常管理。
✓系统运行维护工程师
◆系统管理人员——负责具体系统的安全
◆网络管理人员——负责网络的安全
✓支持组织和功能
◆审计
◆物理安全人员
◆灾难恢复和意外处理人员
◆质量保证人员
◆培训人员
◆人事/人力资源部门
✓第三方信息安全专家组——聘请业内专家作为内部的支持资源。
✓用户
◆信息的用户
◆系统的用户
✓第三方安全专家和安全服务提供人员
4.信息安全组织人员岗位职责
4.1安全组织安全管理责任人职责
责任人签名:
责任人职责:
(一)组织宣传计算机信息网络安全管理方面的法律、法规和有关政策;
(二)拟定并组织实施本单位计算机信息网络安全管理的各项规章制度;
(三)定期组织检查计算机信息网络系统安全运行情况,及时排除各种安全隐患;
(四)负责组织本单位信息安全审查;
(五)负责组织本单位计算机从业人员的安全教育和培训;
(六)发生安全事故或计算机违法犯罪案件时,立即向公安机关网监部门报告并采取妥善措施,保护现场,避免危害的扩散,畅通与公安机关网监部门联系渠道。
4.2安全组织安全管理工程师职责
安全管理工程师签名:
安全管理工程师职责:
(一)组织制定能够反应最新网络安全技术的安全管理维护策略以及实施细则,在全网包括系统部贯彻落实,对实施效果进行有效检查;
(二)归纳整理全网出现的安全有关的攻击、入侵、故障、先进技术管理等,向全网通报;
(三)对于重大网络安全事件要及时了解,及时处理,并向主管部门副主任、部门主任直至主管领导汇报、请示处理意见。
在事件处理结束后,整理有关文档、经验报告,提出防范措施;
(四)定期组织对全网包括系统部进行信息安全检查,包括远程检查和实地检查。
并针对检查结果总结出相应的弱点和改进办法;
(五)组织设备和技术力量对先进安全技术进行研究测试,对全网重大信息安全事件组织技术支持,并对日常网络维护提供技术支持;
(六)组织全网规模的安全管理技术培训和研讨会,加强各级间的技术管理合作和经验交流。
不断提高维护和管理人员的业务技术水平;
(七)管理维护网络安全网段各主机,包括安全网站、安全监控系统、远程扫描系统等,包括正常功能性改动、系统和数据备份。
(八)执行本单位计算机信息系统安全管理的各项规章制度;
(九)根据法律法规要求,对经本网络或网站发布的信息实行审核巡查,发现传输有害信息,应当立即停止传输,防止信息扩散,保存有关记录,并向公安机关网监部门报告;
(一十)发生安全事故或计算机违法犯罪案件时,应当立即向本单位安全管理责任人报告或直接向公安机关网监部门报告,并采取妥善措施,保护现场,避免危害的扩大;
(一十一)在发生网络重大突发性事件时,计算机安全员应随时响应,接受公安机关网监部门调遣,承担处置任务;
4.3安全组织系统运行维护工程师职责
系统运行维护工程师签名:
系统运行维护工程师职责:
(一)负责管理所有骨干网设备,包括各种路由器、交换机、端机设备、主机等;
(二)按照自己网络即定的网络安全策略对工作对象及时进行合理配置;
(三)按照本办法第三章和自己网络即定的口令管理策略有效保持、使用、管理工作对象的各级口令;
(四)按照本办法第四章和自己网络即定的备份计划对工作对象进行及时有效的系统数据备份;
(五)发现工作对象出现网络安全事件,要及时处理并在机历本中记录。
技术上不能处理的,联系信息安全管理工程师取得技术支持。
4.4安全组织第三方网络组织职责
第三方网络组织签名:
第三方网络组织职责:
(一)负责对了解最新的网络技术发展情况和行业动态。
(二)当出现xx内部的系统管理员无法排除的故障时提供高级别的应急响应。
(三)对xx的所有系统工程师进行培训。
4.5安全组织第三方信息安全组织职责
第三方网络组织签名:
第三方安全专家和安全服务提供商职责:
(一)紧跟电脑黑客与安全团体的最新发展,为xx提供行业动态。
(二)为xx信息系统定期扫描评估和安全加固提供指导。
(三)一旦xx的计算机系统遭受入侵,安全专家将在第一时间内实时地阻断、反击入侵行为,恢复系统的完整性和可用性,彻底清除入侵行为对信息系统造成的影响,同时修补存在的安全漏洞。
并可根据客户需求对入侵活动的全过程进行调查取证,获取入侵相关证据。
(四)对xx的所有系统工程师进行定期的安全培训。
5.信息安全组织――信息安全设施
5.1信息安全管理论坛
信息安全是由管理队伍中所有成员分担的一种责任。
xx在内部建立管理论坛可以确保其明确的方向,同时对信息系统安全提供有效的支持。
论坛通过适当的责任和充分的资源可以提高系统的安全性。
论坛是现存的管理系统的一部分,通常来说,论坛通常实现下述责任:
(一)审查并支持信息安全政策的责任;
(二)监视使信息系统遭受威胁的重大变化;
(三)审查及检测安全事件;
(四)支持加强系统安全性的主动措施。
(五)一个管理人员应当对所有与信息安全相关的活动负责。
5.2信息安全协作
在一个大的组织中,由各相关组织的管理代表组成的具备交叉功能的论坛对于实现信息安全的控制的协调是十分必要的。
xx认为,安全不仅是xx信息中心的工作,而是所有人员的工作,只有所有人员都来关注安全才能保障信息系统的安全。
所以xx应该建立由各相关组织的管理代表组成的具备交叉功能的论坛,通常,这种论坛是这样的:
(一)支持组织内部的特殊角色和信息安全的责任;
(二)支持信息安全的特殊的方法和过程,比如,风险评估,安全等级系统等;
(三)同意并支持组织内部信息安全的主动措施,如,安全防范程序;
(四)确保安全是信息计划过程的一部分;
(五)对于新系统或者业务,协调其信息安全控制的细节的实施的充分性;
(六)复查信息安全事件;
(七)在组织内部,提高对信息安全支持的透明度。
5.3信息安全责任的分配
信息安全政策应对安全角色的分配和组织中的责任提供一般性的指导。
并在任何需要的时候,可为特定的地点、系统或者服务提供更详细的指导。
应当明确定义对个人的物质、信息财产和安全过程的局部责任,例如连续性的计划。
在xx,信息安全管理者对安全的实施及发展负全部责任,并支持鉴别权限的控制。
然而,资源和控制权限通常被看作是个人管理者的责任;一种通常的做法是,为每一份信息财产指定一个所有者,他对其日常安全负责。
信息财产的所有者可以将他们的安全责任委派给其他的单独的管理者或者是业务的提供者。
然而,所有者保留对信息财产安全的最终权利,能够判定委派者是否正确履行了责任。
重要的是,每个管理者所负责的范围应明确界定,尤其在以下方面:
(一) 应明确定义和区分不同的财产和与每个单独系统相关的安全;
(二) 管理者对每项财产及安全过程的责任应当被一致通过,并详细记录这些责任的细节。
(三) 权限级别应被明确定义和记录。
5.4新信息和新设备的授权过程
xx对新信息处理设备的授权管理过程。
(一)考察新设施的软件和硬件以确保与其它系统部件的兼容。
(二)记录新设施的购买日期和相关服务手续。
(三)记录新设施的资产价值。
(四)记录新设施使用目的和使用进行授权。
许可应从。
(五)记录新设施的软件和硬件以确保在使用过程中没有被更改。
(六)记录新设施的适合的用户管理许可和责任人。
(七)记录新设施的使用是否适应所有相关的安全政策和需求保持一致。
(八) 应在授权下使用个人信息处理设备进行信息系统的处理和必要的控制。
(九) 在工作场所使用个人信息处理设备会成为一个薄弱环节,因而应对其进行评估和授权。
5.5专家信息安全建议
xx需要建立专家安全建议。
理想的情况下,内部有经验的信息安全导师应提供这些建议。
在这种情况下,推荐指定一特定的个人协调内部的知识和经验以确保其一致性,同时对信息安全决策提供帮助。
他们应与合适的外部的专家保持接触,以提供他们经验之外的专家建议。
信息安全导师或同等意义的指导应以对信息安全的所有方面提供建议为方向,利用他们自己的和外部的建议。
他们对安全威胁和控制建议的评估的质量将决定组织信息安全的效率。
为了最优的效力和影响力,他们应被允许直接参与组织内各方面的管理工作。
随着信息安全的专业化发展和复杂程度提高,信息安全的技术门槛也提高了,更由于信息安全是个动态的过程,不可能一步到位。
同时部门中专业的网络信息安全人员匮乏,安全产品级别过低;部门自身的安全意识薄弱。
而安全要求必须坚持做到紧跟电脑黑客与安全团体的最新发展,用合理的系统管理方式保持与监视来建立一个优良的安全策略来获取相当的安全性,同时不断对我们的网络进行安全性的评估分析,根据具体的情况进行适当的投入来完善我们的网络安全。
因此,xx在内部的信息安全导师无法解决所有问题时,将由信赖的第三方安全专家和组织协助解决问题。
信息安全导师和或同等意义的指导,对可疑的安全事故和破坏提供第一时间的咨询,尽管多数内部安全调查会在管理控制下实施,信息安全导师仍可召集、领导或者引导这些调查。
5.6组织间的协作
与法律权威,实体,或信息服务商、电信运营者等组织保持适当的接触,有助于在系统发生安全时间时,能够及时地采取快速行动,得到适当的建议。
应考虑参加一些安全组织或者论坛。
应严格管理信息交换,确保组织内的保密信息不会泄露给XX的人。
5.7信息安全的独立审查
信息安全政策的文献规定了信息安全政策和信息安全责任。
应对其进行独立审查,确保组织在实施过程中确实体现了安全政策,并保证了政策是合理而有效的。
这样的审查应由内部的职能部门负责,由独立管理者或是专门从事此类审查的第三方组织来实施,这种组织的人员具备审查的相关经验与技巧。
6.信息安全组织――第三方访问的安全性
目标:
维护组织信息处理设备的安全性和第三方访问的信息财产的安全。
xx应对第三方对组织信息处理设备的访问进行严格控制。
当存在第三方访问的系统需求时,xx实施风险评估以决定其产生的安全影响和控制需求。
这些控制在第三方同意的情况下,于双方的合同中明确定义。
第三方的访问也许会涉及其他的参与者。
同第三方的合同中,应包含指定其他参与者的资格,以及他们访问系统的条件。
本标准应作为考虑外部信息处理时,订立合同的基本依据。
6.1来自第三方访问的风险鉴定
(1)访问类型
xx来自第三方的访问类型:
a)物理访问,如,办公室,计算机房,文件柜等;
b)逻辑访问,如,组织的数据库,信息系统等。
(2)访问理由
a)硬件和软件支持人员,需要访问到系统级或较低的应用功能;
b)第三方开发商,可能需要交换信息,访问信息系统或共享数据库。
在信息安全管理不够充分时,允许第三方的访问可能使信息遭受风险。
因而,当需要第三方进行访问时,应进行风险评估,以确定所需的特殊控制。
应考虑到需要的访问类型,信息的价值,第三方操作的控制情况和这种访问对组织信息安全所造成的影响。
(3)现场负责人
根据合同规定允许第三方在现场停留一段时间,也会造成系统安全的弱点。
例如,第三方的情况包括:
a)硬件及软件的维护和支持人员;
b)清洁,后勤和保安和其他外部支持人员;
c)学生实习及其他一些临时人员;
d)咨询人员。
考虑对第三方的访问实施怎样的管理和控制是十分必要的。
通常,第三方访问和内部控制的安全问题应在第三方的合同中有所体现。
例如,如果存在访问保密信息的特殊需要,则第三方应同意不将其泄露。
第三方对信息及信息处理系统的访问应在完成了适当的控制和签定了相应条款的合同以后予以提供。
6.2在第三方合同中应提及的安全需求
涉及第三方对组织信息访问的安排应在正式合同中包含,或者说,所有的安全需求应符合组织安全政策和标准的要求。
合同应确保在组织和第三方之间没有误解。
组织应考虑同时保证自身与业务提供者的需要。
在合同中,应考虑包括如下条款:
a)关于信息安全的一般政策
b)财产保护,包括:
1)保护组织财产的程序,包括信息及软件;
2)鉴别是否财产遭受侵害的程序,如是否发生了数据的丢失或修改等;
3)在合同的最后,或者在双方同意的合同中的某个时间,确保信息及财产的恢复或者毁坏的控制;
4)综合性及可用性;
5)对复制及散播信息的限制。
c)每一种具有可能性的业务的描述;
d)服务的目标水平和不可接受水平;
e)适当的人员调配;
f)各方对于债务的独立负担;
g)涉及法律事务的责任,例如,数据保护立法,特别考虑到涉外合作中的不同国家的法律差异;
h)合作完成的工作的知识产权和版权的分配和保护(见12.1.2)。
i)访问控制包括:
1)允许访问的方式,控制和单独用户标识的使用,如,用户ID和口令;
2)用户访问的授权过程;
3)建立被授权的用户名单,并确保这些用户的权限可以保证他们的访问。
j)定义可证实的活动准则,及其监控报告;
k)监控,废除用户活动的权利;
l)审查合同责任的权利,或在建立扩大的解决问题规模的过程中让第三方进行审查的权利,并在适当的时候安排随时的审查;
n)关于软硬件安装及维护的责任;
o)清晰的报告结构,和一致的报告格式;
p)清晰的特定的变更管理的过程;
q)任何所需的物理保护控制和确保实施控制的机制;
r)用户和管理员在方法、过程和安全方面的培训;
s)对恶意软件的防范;
t)在系统发生安全问题或安全泄露时,对报告、通知和调查过程的安排;
u)涉及第三方的转包商的问题。
6.3来自第三方远程访问
1)原则上xx禁止来自第三方的远程访问;
2)如果可能需要交换信息,访问信息系统或共享数据库。
需要提交申请;
3)由xx信息小组审核访问的过程(访问方式、访问时间、权限、用户、口令、数据等);
4)需要第三方进行访问时,应进行风险评估,以确定所需的特殊控制。
应考虑到需要的访问类型,信息的价值,第三方操作的控制情况和这种访问对组织信息安全所造成的影响;
5)与第三方签订保密协议;
6)同意访问;
7)审计跟踪数据的使用过程。
7.信息安全组织――外部问题
目标:
当信息处理过程的责任由另一家组织承担的时候,保持系统信息的安全性。
来自外部的信息管理应当在各方共同签署的合同中指明信息系统、网络、桌面环境的风险,安全控制。
1、外部合同中的安全需求
2、来自外部的信息管理应当在各方共同签署的合同中指明其全部或部分信息系统、网络、桌面环境的风险,安全控制。
例如,在合同中应指明:
3、怎样确保符合法律需求,如,数据保护立法;
4、进行什么样的安排来确保安全,涉及到的所有外部各方,包括转包商,应明确其安全责任;
5、如何检测和维护组织财产的完整性及保密性;
6、采用什么样的物理和逻辑控制来限制授权用户对组织的一些敏感信息的访问;
7、在灾难性事件中,如何维护业务的可访问性;
8、为外部设备提供何种水平的物理安全性;
9、审查权利。
同时,在双方同意的情况下,合同应允许在安全管理中扩大安全需求和过程。
尽管外部合同可能会引起某些复杂的安全问题,本准则中所包含的控制应被看作是支持安全管理计划的结构和内容的起点。
升级会员 