信息安全管理手册.docx
《信息安全管理手册.docx》由会员分享,可在线阅读,更多相关《信息安全管理手册.docx(17页珍藏版)》请在冰点文库上搜索。
信息安全管理手册
信息安全管理手册
管理手册发布令
本手册是XXXX按照《信息安全技术信息系统安全等级保护基本要求》的三级管理要求编写的。
它阐明了我单位的安全方针和目标,规定了我单位的信息安全组织结构及信息安全管理体系的基本构成,明确了各关键管理和技术岗位的职责和权限,并对我单位为所采取的方法和控制做了简要描述。
本手册是我单位信息安全管理的法规性文件,是我单位开展信息安全工作的重要依据。
本手册现予以批准发布。
我单位各部门及全体员工必须遵照执行,并通过在执行过程中对其不断完善,努力促使体系运行步入良性循环。
法人(签名):
年月日
1.
引言
单位简介,对于单位的性质、工作内容等进行简要介绍。
可以略掉。
2.适用范围
本手册适用于资源中心。
3.原则
资源中心依据国家和北京市的有关规定,本着“统一管理、统筹规划、统一配置、统一监管、分级负责”的基本原则建立信息系统,制定信息安全管理制度,整理相关信息安全管理文件。
4.信息安全方针和目标
4.1.安全方针
资源中心本着“服务社会造福百姓企业利益与公众利益高度一致”宗旨,制定信息安全方针为:
安全第一、预防为主、职责明确、综合治理。
4.2.安全目标
确定安全总体目标是:
保护信息系统的硬件、软件、业务信息和数据、通讯网络设备等资源的安全,有效防范各类安全事件,合法、合规发展资源中心各类信息系统。
5.安全框架
从信息系统所面临的风险出发制定组织机构信息系统安全保障策略,通过在信息系统生命周期中对技术、过程、管理和人员进行保证,确保信息的机密性、完整性和可用性,从而实现和贯彻组织机构策略并将风险降低到可接受的程度,达到保护组织机构信息和信息系统资产,从而保障组织机构实现其使命的最终目的。
6.信息安全管理机构
6.1.组织架构
资源中心为适应单位发展,促进和加强信息化建设,确保信息化网络和设备安全、稳定运行,组织成立了信息化领导小组,信息化领导小组是信息安全管理的最高管理层,信息化领导小组下设信息化建设和信息安全管理工作的职能部门——技术部,负责日常管理工作。
资源中心员工需遵守相关的管理制度,配合信息安全检查工作。
6.2.信息安全管理组织结构图
6.3.信息安全机构管理职责
6.3.1.信息化领导小组
信息化领导小组的最高领导由单位主管领导委任或授权。
成员有:
委员会主任:
委员会副主任:
网络管理员:
安全管理员:
系统管理员:
信息化领导小组职责(信息安全领导小组/信息安全工作委员会):
(1)负责指导和管理信息化建设和信息安全工作。
(2)负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。
6.3.2.应急领导小组
信息化领导小组下设应急领导小组。
其成员包括:
组长:
(单位领导)
副组长:
成员:
下设领导小组办公室:
主要负责人:
(应为应急领导小组成员)
联络人:
应急领导小组职责:
(1)拟订或者组织拟订资源中心应对信息安全突发事件的工作规划和应急预案并组织实施。
(2)督促检查各处室应急预案的执行情况,并给予指导。
(3)督促技术部信息安全突发事件监测、预警工作情况,并给予指导。
(4)汇总有关信息安全突发事件的各种重要信息,进行综合分析,并提出建议。
(5)监督检查、协调指导技术部及各处室信息安全突发事件预防、应急准备、应急处置和事后恢复与重建工作。
(6)组织制订信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划,并督促落实。
6.3.3.技术部
技术部是资源中心信息安全管理工作的职能部门,是信息系统的监控管理部门和安全管理中心。
技术部安全职责:
(1)负责机关信息化建设的项目管理工作,负责协调信息安全建设所需的人员、资金、设备、场地等资源。
(2)负责对资源中心中国文艺网、中华文艺资源数据库变更的管理工作。
(3)负责对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存。
(4)负责定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施。
(5)负责对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。
(6)负责制定人员安全技能和安全意识培训的计划。
6.4.信息安全岗位管理职责
6.4.1.技术部负责人
技术部负责人是信息化领导小组成员,是技术部的主管领导。
技术部负责人职责:
(1)负责信息安全管理工作。
(2)负责制定有关信息安全的方针和政策。
(3)负责组织管理制度的制定的维护。
(4)主持对信息安全管理制度的内部审核和评审会议。
(5)协调技术部主要人员、产品技术及资金等资源。
(6)负责任命管理者代表及技术部人员职责。
(7)负责组织信息系统变更工作。
(8)负责对重要安全事项进行审批。
(9)负责人员录用、考核、培训、离岗等方面的管理工作。
(10)负责信息系统建设管理。
6.4.2.安全管理员
安全管理员职责:
负责定期进行安全检查,组织全面安全审核和检查。
技能要求:
具备监督审查的能力。
6.4.3.系统管理员
系统管理员负责对系统进行管理。
分为操作系统管理员、数据库管理员和应用系统管理员,应用系统管理员由多人组成,不同业务系统由不同应用系统管理员负责管理。
系统管理员职责:
(1)负责系统程序的安装和日常维护。
(2)负责根据业务需求和系统安全分析确定系统的访问控制策略;
(3)负责定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补。
(4)负责安装系统的最新补丁程序,以及系统的备份和恢复工作。
(5)负责对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容。
(6)负责定期对运行日志和审计数据进行分析,以便及时发现异常行为。
(7)负责对主机进行恶意代码检测并保存检测记录。
(8)负责对系统安全事件进行处理。
6.4.3.1.操作系统管理员
操作系统管理员职责:
负责服务器管理。
技能要求:
计算机或相关专业本科或以上学历,具备操作系统操作和管理能力。
6.4.3.2.数据库管理员
数据库管理员职责:
负责数据库管理。
技能要求:
计算机或相关专业本科或以上学历,具备数据库操作和管理能力。
6.4.3.3.应用系统管理员
应用系统管理员职责:
负责应用系统管理。
技能要求:
计算机或相关专业本科或以上学历,具备所管辖应用系统的操作和管理能力。
6.4.4.网络管理员
网络管理员职责:
(1)负责对网络进行管理,主要负责网络设备的运行日志、网络监控记录的日常维护和报警信息分析和处理工作。
(2)负责对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面进行管理。
(3)负责定期对网络设备进行漏洞扫描,对发现的网络设备安全漏洞进行及时的修补。
(4)负责对网络设备进行备份、恢复管理。
(5)负责依据安全策略管理便携式和移动式设备的网络接入。
(6)负责定期检查违反规定拨号上网或其他违反网络安全策略的行为。
(7)负责防病毒网关的管理,对网络进行恶意代码检测并保存检测记录。
(8)负责对网络安全事件的处理。
技能要求:
计算机或相关专业本科或以上学历,具备常用网络设备的操作和管理能力。
6.4.5.设备管理员
设备管理员职责:
(1)负责对信息系统相关的各种设备(包括备份和冗余设备)、线路等定期进行维护管理。
(2)负责配套设施、软硬件维护。
(3)各种软硬件设备的采购、发放和领用等管理。
技能要求:
具备设备硬件常识,具备设备故障排查能力。
6.4.6.资产管理员
资产管理员负责对资产进行日常管理。
除设置专门的资产管理外,另外还设置专门管理信息资产的信息资产管理员,信息资产管理员也是资料管理员。
资产管理员职责:
1)信息系统资产管理的责任人,负责资产清单的维护。
2)负责根据资产的重要程度对资产进行登记标识,对资产的内部流动、出租或外调、报废进行管理。
3)负责对资产进行定期清查。
技能要求:
具备资产管理能力,工作认真。
6.4.6.1.信息资产管理员
信息资产管理员职责:
(1)负责对信息资产进行标识,包括对存储信息资产的各类移动介质、服务器等加贴信息资产标识。
(2)负责统一管理的信息资产(不包含存储于信息系统内的信息资产)进行管理。
技能要求:
需要严格遵守保密协议,具备一定的文档处理能力,具备信息资产管理能力。
6.4.7.资料管理员
资料管理员职责:
(1)负责管理系统定级的相关材料,并控制这些材料的使用。
(2)负责系统建设文档的管理工作,并按照管理规定控制这些材料的使用。
(3)负责对软件的原件(盘)(包括新旧版本)进行登记造册,并保管。
(4)负责对通过移动介质进行导入电子资料进行病毒查杀和记录。
(5)负责杀毒记录的保管和整理。
(6)负责介质的保管、发放和登记。
技能要求:
需要严格遵守保密协议,不该看的不看;具备一定的文档处理能力和移动介质知识,具备资料管理能力。
6.4.8.机房管理员
机房管理员职责:
(1)负责定期检查和维护UPS、空调、消防、通风等设备设施。
(2)负责定期对机房供配电、空调、温湿度控制等设施进行检查和维护。
(3)负责机房安全,对机房的出入、服务器的开机或关机等工作进行管理。
技能要求:
具备机房常用设备的操作和管理能力。
6.4.9.密码管理人
密码管理人分为密码管理人员和密码副本管理人员。
密码管理人员为管理系统级密码的管理人员,是各类系统的系统管理员自己;密码副本管理人员为保管系统级密码副本的管理人员,由资料管理员(或者各系统管理员相互备份)担任。
6.4.9.1.密码管理人员
密码管理人员职责:
(1)负责密码的日常维护、定期修改
(2)制作密码副本
(3)负责陪同、监管其他需要该密码登陆系统的维护人员
(4)负责定期检查密码副本的封存情况
(5)填写相关密码管理文档
6.4.9.2.密码副本管理人员
密码副本管理人员:
负责。
(1)保存密码副本
(2)在特殊情况下开启密码副本
(3)密码副本开启后及时通知系统密码管理人员
(4)协助系统级密码管理人员检查密码副本封存情况
(5)协助系统级密码管理人员填写相关密码管理文档
7.总体安全策略
7.1.安全管理机构策略
(1)成立指导和管理信息安全工作的委员会或领导小组——信息化领导小组。
(2)信息化领导小组下设信息化建设和信息安全管理工作的职能部门——技术部,负责日常管理工作,负责协调信息安全建设所需的人员、资金、设备、场地等资源,负责制定人员安全技能和安全意识培训的计划等。
(3)信息安全管理工作的职能部门设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;配备专职安全管理员,设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责;关键事务岗位要配备多人共同管理。
(4)建立《外联单位联系列表》,包括外联资源中心、合作内容、联系人和联系方式等信息。
加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题,并填写《会议记录》。
(5)保持与兄弟单位、公安机关、电信公司的合作与沟通。
(6)加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。
(7)聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等工作。
7.2.资产管理策略
(1)资产要指定责任人,并对责任人赋予相应的职责,确保所有资产都可以核查。
(2)根据资产的重要性,对资产进行分类、分级,编制资产的清单。
对资产清单妥善保管,并及时维护,确保可以对资产进行有效的保护。
(3)根据对信息的价值,对信息进行分类、分级保护,对信息的使用、传输和存储等进行规范化管理,确保信息受到适当级别的保护。
(4)对介质、设备等不同类别的资产制定资产使用的规则,形成文件并加以实施,确保各类资产的使用安全。
7.3.人员安全策略
(1)建立人员录用、考核、离岗安全管理制度,确保关键岗位人员及时签署保密协议,确保人员的管理安全。
(2)建立人员安全意识教育和培训制度,并按照制度加以实施,从而提高人员的素质,增强组织整体安全意识。
(3)建立严格的外部人员访问管理制度,确保外部人员对受控区域的访问得到严格控制。
7.4.环境安全策略
(1)物理场所划分为安全区域、办公区域和公共区域,安全区和办公区的物理位置的选择需考虑防震、防风和防雨等能力,作为安全区的机房应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
(2)重要信息设备应充分考虑防盗窃、防破坏、防静电等因素,机房的防护措施应考虑防火、防雷击、防水、防潮等方面,并进行温湿度控制,加强电力供应和电磁防护。
(3)对安全区建立物理访问控制制度,对物理访问、物品带进、带出和环境安全等方面的管理作出规定。
7.5.系统运维策略
(1)建立网络和系统安全管理制度,对于信息系统运行状况等进行监控,确保信息系统的运行安全。
(2)信息系统的配置从网络安全、主机安全、应用安全和数据安全四个层次考虑,充分考虑访问控制策略、身份鉴别、安全审计等安全功能,并采用边界防护、入侵防范、恶意代码防护等机制。
(3)建立密码和口令使用管理制度,规范用户的口令复杂度和修改周期等。
(4)建立恶意代码防范管理制度,提高所有用户的防病毒意识,规范防病毒软件的使用。
(5)建立备份与恢复管理制度,对备份信息的备份方式、备份频度、存储介质和保存期等进行规范,以保证系统运行的连续性。
7.6.信息系统建设策略
(1)建立信息系统建设管理各个阶段的管理制度。
(2)在设计和实施应用系统或业务系统的过程中,要求有控制措施,以检查系统运行的有效性和完整性,从而将系统运行失败的风险降到最低。
(3)在引进新的系统和对已有系统进行变更时,要按照既定的变更控制过程来进行,使信息系统的损坏减到最小。
(4)当操作系统发生变更后,应对一些关键业务应用系统进行审查和测试,以确保对业务操作或信息安全没有负面影响。
(5)必须管理和监视外包软件的开发,主要考虑以下方面:
落实知识产权、代码质量和安全功能的合同要求以及发生故障时对外单位的要求。
(6)定期评估现有信息系统的技术脆弱性,并采取打补丁等控制措施来处理相关风险。
7.7.安全事件管理策略
(1)制定安全事件报告和处置管理制度,明确安全事件的类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责。
(2)根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分。
(3)制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理方法等。
(4)在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训,制定防止再次发生的补救措施,过程形成的所有文件和记录均应妥善保存。
(5)对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。
7.8.应急预案管理策略
(1)建立统一的应急预案框架,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容。
(2)在统一的应急预案框架下制定不同事件的应急预案。
(3)从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障;
(4)对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次。
(5)应定期对应急预案进行演练,根据不同的应急恢复内容,确定演练的周期。
(6)应急预案需要定期审查和根据实际情况更新的内容,并按照执行。
8.授权和审批管理
(1)技术部负责人根据资源中心部门情况和技术部各岗位的职责明确授权审批事项、审批部门和批准人等。
(2)技术部负责人负责组织制定技术部的管理制度,管理制度中应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,对重要活动建立逐级审批制度。
(3)各岗位工作人员按照审批程序执行审批过程,及时记录审批过程并保存审批文档。
(4)技术部负责人负责定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息,发现问题及时组织相关人员修改相应的管理制度。
9.管理文件架构
根据资源中心安全框架建立由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系,并且形成XXXXX信息安全管理文件,管理文件分成四个层次:
(1)一级文件:
手册
结合单位自身的具体情况编写而成。
在手册中主要阐明组织的信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等,对管理体系做出概括性叙述,是组织对外实施信息安全保证、对内进行信息安全管理的纲领性文件。
(2)二级文件:
管理制度
管理制度是针对安全管理活动中的各类管理内容建立,是对信息安全方针和策略内容的进一步落实,是对各个安全领域内工作的细化。
主要包括资产、网络、系统、机房等各方面的管理制度文件。
(3)三级文件:
操作规程
操作规程文件是针对某项具体工作的指导性文件,包括了完成该项工作的具体的操作步骤和方法。
主要包括网络设备、系统、部分保障设备等重要资产的操作规程。
(4)四级文件:
记录文件
记录文件是实施各项信息安全制度的记录成果,通常表现为记录表格、表单、报告等形式,是管理制度得以持续运行的有力证据。
10.管理文件管理
10.1.管理文件制定
(1)技术部负责人指定或授权编写组负责安全管理制度的制度的制定。
(2)编写组共同商定各层文件的编写格式、内容要求、文件间的衔接关系,确立各层文件的编制目录。
(3)编写组负责编写第一、二、三层文件的初稿,并编写第四层文件的模版,即各种记录表单。
(4)各相关岗位工作人员也可根据实际需要自行制订第二、三层的文件,和第四层文件的模版,并提交给评审组。
(5)对于第一、二层文件需进行版本控制,版本由大版本和小版本组成,格式为“V大版本号.小版本号”,第一版为“V1.0”,其后的每次修订均需要进行版本修改,如果管理文件的内容没有本质的变化仅修改小版本号,否则修改大版本号。
10.2.管理文件审批、发布
(1)由技术部负责人与编写组负责对管理制度文件进行初步审定。
(2)第一、二层文件需报信息化领导小组审定,正式定稿后交由最高管理层批准后进行发布。
(3)第三层文件,经技术部负责人批准后生效使用。
(4)第四层文件的模版经初步审定后即可直接作为日常工作的依据使用。
(5)第一、二层文件须由XXXX以网站发布方式在资源中心范围内进行发布,并填写《收发文登记记录》。
(6)第一、二层文件正式发布后,技术部负责人应及时组织相关责任人对管理制度进行学习,以保证管理制度顺利执行。
(7)第三层文件和第四层文件的模版以存放在XX处的电子文档为最终发布版本,各相关人员如需使用相关文件须到XXX处获取最新版本。
(8)管理体系文件由资料管理员统一保管,管理制度自发布之日起正式生效使用。
10.3.管理文件评审、修订
(1)信息安全领导小组负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定,并记录审定结果。
(2)每年至少进行一次管理文件的审定工作,时机选择在下列情况发生且认为必要时:
1)内部审核和检查工作结束后;
2)遇中心业务重大调整。
(3)对在检查和审定过程发现的不足或需要改进的安全管理制度进行修订,修订过程需经最高管理层批准,并填写《管理制度修订记录》。
(4)第三层文件和第四层文件的模版由相关管理员负责修订,修订过程需得到技术部负责人的批准,并填写《管理制度修订记录》。
(5)修订后的管理制度及修订记录统一交由资料管理员保管。
(6)实际的记录文件由制度执行者按照制度填写,并及时进行归档。
各管理员分别管理其职责范围内的记录文件,其管理记录需在各管理员处保留一年,经过内部检查和审核后,将上一年的记录统一交到资料管理员处归档,没有确定管理员的记录文件由资料管理员统一管理。
填写完成后进行修改需以划改的形式进行,并且需签字确认。
11.相关文件
(1)《外联单位联系列表》
(2)《收发文登记记录》
(3)《管理制度修订记录》
(4)《会议记录》
升级会员 