XX公司信息安全保障體系-信息安全組織體系
發(fā)布時間:2020-10-16 來源: 不忘初心 點擊:
信息安全保障體系
組織體系
- 1 -
- 2 -
組織體系 1 范圍 本標準規(guī)定了公司內部安全保障體系組織架構的要求,包括人員組成,責任和要求。
本標準適用于公司,各廠應依據本標準制訂適用的標準。
2 規(guī)范性引用文件 下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注版本(日期)的引用文件,其隨后所有的修改單(不包括勘誤的內容)或修訂版均不適用于本標準,然而,鼓勵根據本標準達成協議的各方研究是否可使用這些文件的最新版本。凡是不注版本(日期)的引用文件,其最新版本適用于本標準。
3 術語和定義 無。
4 職責 4.1 信息中心負責公司整體信息安全保障體系組織建設。
4.2 各廠負責在授權范圍內開展安全組織建設,負責本單位信息安全日常管理、監(jiān)督。
5 信息安全管理組織架構 在組織架構方面,應依托企業(yè)現有的組織體系,賦予各層面的組織和個人以安全職責,使原有的組織架構具有信息安全的管理職能,同時應對企業(yè)安全管理的三層組織結構:決策層、管理層和執(zhí)行層的機構建立、安全目標、崗位設置、安全職責進行確定,組織架構的建立和充分發(fā)揮職能是整個系統(tǒng)安全的前提和基礎。
決策層管理層業(yè)務安全決策安全戰(zhàn)略規(guī)劃安全績效考核信息安全領導小組信息安全管理部門安全管理系統(tǒng)安全工程安全績效管理信息安全執(zhí)行部門實施與運作運行管理安全審計實施執(zhí)行層
圖 1 信息安全管理組織架構層次圖 組織架構
企業(yè)本部
企業(yè)下屬各廠
- 3 -
決策層
公司信息化建設主管領導 各廠信息化建設主管領導 管理層
公司信息、辦公室、財務、營銷、人事、技術等各部門負責人 各廠信息、財務、生產、人事等業(yè)務部門負責人 執(zhí)行層
公司具體負責信息系統(tǒng)管理和信息安全管理工作的技術人員及相關部門的專職(或兼職)信息安全員 各廠具體負責信息系統(tǒng)管理和信息安全管理工作的技術人員及相關部門的專職(或兼職)信息安全員
圖 2 信息安全管理組織架構細化表
6 信息安全組織架構各層職責說明 6.1 決策機構 信息安全決策機構處于安全組織機構的第一個層次,是企業(yè)公司信息安全工作的最高管理機構,按照國家和國家局的方針、政策和要求,對企業(yè)公司信息安全進行統(tǒng)一領導和管理。
其主要職責包括:
1) 領導和督促全企業(yè)公司范圍的信息安全工作; 2) 制定企業(yè)公司信息安全戰(zhàn)略、方針和政策,確定企業(yè)公司信息安全發(fā)展方向和目標; 3) 為信息安全提供所需的資源; 4) 批準整個組織內信息安全特定角色和職責的分配; 5) 建立企業(yè)公司的總體安全規(guī)劃方案; 6) 制定企業(yè)公司統(tǒng)一的安全策略體系; 7) 審批企業(yè)公司重大的信息安全活動; 8) 重大技術事項或突發(fā)緊急問題的協調處理和事后調查仲裁等; 9) 審批信息安全項目及安全產品的采購申請; 10) 審閱下級的重要工作匯報和意見,并及時反饋批復意見; 11) 監(jiān)督管理層信息安全工作的管理和執(zhí)行情況,協調管理隊伍之間的關系; 12) 負責組織企業(yè)公司范圍的信息安全事件的調查,并聽取相關匯報; 13) 定期組織會議,了解企業(yè)公司信息系統(tǒng)的整體安全現狀,討論提高安全水平的整改措施。
14) 啟動計劃和程序來保持信息安全意識; 15) 信息安全領導小組應定期組織信息安全巡檢和評審工作。
6.2 管理機構 信息安全管理機構處于安全組織機構的第二個層次,在決策機構的領導下,負責組織制訂信息安全保障體系建設規(guī)劃,以及信息安全的管理、監(jiān)督、檢查、考核等工作。日常的信息安全管理工作主要由信息化工作部門負責。
其主要職責包括:
1) 根據決策層總體安全規(guī)劃制定系統(tǒng)安全建設的詳細安全計劃并組織實施; 2) 根據決策層統(tǒng)一的安全策略制定并落實信息安全管理制度; 3) 監(jiān)督和指導執(zhí)行層信息安全工作的貫徹和實施; 4) 組織技術人員和普通員工的安全技術交流與培訓; 5) 參與信息系統(tǒng)相關的新工程建設和新業(yè)務開展的方案論證,并提出安全方面的相應
- 4 -
建議; 6) 在信息系統(tǒng)相關的工程驗收時,對信息安全方面的驗收測試方案進行審查并參與驗收; 7) 組織相關安全員定期進行信息安全巡檢; 8) 負責組織范圍內的信息安全事件調查,并聽取相關匯報; 9) 審閱執(zhí)行層的重要工作匯報和意見,并及時反饋批復意見; 10) 定期組織會議,了解管轄系統(tǒng)的整體安全現狀,討論提高安全水平的整改措施; 6.3 執(zhí)行機構 信息安全執(zhí)行機構處于信息安全組織機構的第三個層次,在管理層的領導下,負責保證信息安全技術體系的有效運行及日常維護,通過具體技術手段落實安全策略,消除安全風險,以及發(fā)生安全事件后的具體響應和處理。
主要職責包括:
1) 學習和執(zhí)行企業(yè)公司制定的各項信息安全管理策略、制度、規(guī)范和指南; 2) 企業(yè)公司信息安全規(guī)劃、管理制度的落實和執(zhí)行工作; 3) 直接負責管理范圍內各業(yè)務系統(tǒng)的安全管理和維護工作; 4) 參與檢查與國家信息安全相關的法律、法規(guī)、規(guī)章、標準等的符合性,參與企業(yè)公司安全方案的規(guī)劃、設計; 5) 具體安全項目的實施與支持; 6) 根據管理層安全規(guī)劃制定系統(tǒng)安全建設的詳細安全計劃并組織實施; 7) 監(jiān)督和指導管理范圍內信息安全工作的貫徹和實施; 8) 組織內部的安全技術交流與培訓; 9) 參與管理范圍內工程建設和業(yè)務開展的方案論證,并提出相應的安全方面的建議; 10) 提出的網絡安全整改意見,提交管理層審批; 11) 向管理層定期匯報系統(tǒng)當前安全現狀以及安全事件的處理情況;
7 安全職責的分配 為明確安全責任,劃分(界定)安全管理與具體執(zhí)行之間的工作職責,公司必須建立安全責任制度。
安全責任分配的基本原則是“誰主管,誰負責”。公司擁有的每項網絡與信息資產,必須根據資產歸屬確定“責任人”。“責任人”對資產安全保護負有完全責任。“責任人”可以是個人或部門,但“責任人”是部門時,應由該部門領導實際負責。
“責任人”可以將具體的執(zhí)行工作委派給“維護人”,但“責任人”仍然必須承擔資產安全的最終責任。因此“責任人”應明確規(guī)定“維護人”的工作職責,并定期檢查“維護人”是否正確履行了安全職責。“維護人”可以是個人或部門,也可以是外包服務提供商。當“維護人”是部門時,應由該部門領導實際負責。
安全工作人員的職責是指導、監(jiān)督、管理、考核“責任人”的安全工作,不能替代“責任人”對具體網絡與信息資產進行安全保護。
在資產的安全保護工作中,應重點關注以下內容:
a) 應清楚地說明每個獨立的網絡與信息系統(tǒng)所包含的各種資產和相應的安全保護流程。
b) “責任人”與“維護人”都應明確接受其負責的安全職責和安全保護流程,并對該職責的詳細內容記錄在案。
- 5 -
c) 所有授權的內容和權限應當被明確規(guī)定,并記錄在案。
8 職責分散與隔離 職責分隔(Segregation of Duties)是一種減少偶然或故意行為造成安全風險的方法。公司應分散某些任務的管理、執(zhí)行及職責范圍,以減少誤用或濫用職責帶來風險的概率。例如關鍵數據修改的審批與制作必須分開。
在無法實現職責充分分散的情況下,應采取其他補償控制措施并記錄在案。例如:活動監(jiān)控、檢查審計跟蹤記錄以及管理監(jiān)督等。
為避免串通勾結等欺詐活動,公司應盡量隔離相應職責,并增加執(zhí)行和監(jiān)督人員,以降低串通的可能性。
9 安全信息的獲取和發(fā)布 信息技術的發(fā)展日新月異,安全工作愈發(fā)復雜和困難。公司必須建立有效可靠的渠道,獲取安全信息,不斷推進安全工作。例如:
a) 從內部挑選經驗豐富的安全管理和技術人員,組成內部專家組,制定安全解決方案,參與安全事件處理,解決實際安全問題,提供預防性建議等。為使內部專家組的工作更具成效,應允許他們直接接觸公司的管理層。
b) 與設備提供商、安全服務商等外部安全專家保持緊密聯系,聽取他們的安全建議。
c) 從一些公開的信息渠道獲取安全信息,例如專業(yè)出版物、定期公告等。
企業(yè)權威的安全信息發(fā)布機構為公司信息中心。公司負責收集和整理并向各廠信息部門發(fā)布安全信息;各廠負責廠內發(fā)布和信息上報。
10 加強與外部組織之間的協作 公司應加強與國家安全機關、行業(yè)監(jiān)管部門、其他運營商和信息服務提供商等外部組織的聯系,并建立協作流程,以便在出現安全事件時,盡快獲取信息、采取措施。
公司在加入安全組織或與其他組織進行交流時,應對信息交換予以嚴格限制,以確保公司信息的保密性。
11 安全審計的獨立性 安全審計是從管理和技術兩個方面檢查公司的安全策略和控制措施的執(zhí)行情況,發(fā)現安全隱患的過程。
安全審計的獨立性是指審計方與被審計方應保持相對獨立,即不能自己審計自己的工作,以確保審計結果的公正可靠。
安全審計可由公司內部審計組織,或外聘的專業(yè)審計機構完成。審計人員應接受審計培訓,掌握一定的技能和經驗。當采用外聘審計機構時,應充分考慮其風險,并采取相應的控制措施。
熱點文章閱讀