欢迎您!

网站首页>信息中心>正文

岗位建设管理制度

罗淮 2020/10/19 点击4135次


文档信息

文档名称

岗位建设管理制度

文档编号

文档类别

策略方针 □管理制度 ■ 工作流程 □操作指南 □运维记录 □其他 □

当前版本

1.0

创建日期

2020-10-18

文档编辑部门

信息中心

文档作者

联系方式

修订记录

文档版本

日期

修改人员

审阅人员

修订摘要

V1.0

2020-10-18

建立文档

审批发布

序号

审核记录

日期

审阅人员

审阅

2020-10-18

正式核准发布

2020-10-18

总则

目的。为加强安全管理机构管理,规范人员岗位职责,依据《信息安全管理办法》制定本管理制度。

对象。本制度的对象主要是指系统各个方面管理员。

范围。制度适用网站系统相关工作人员。

要求。网站系统岗位建设安全管理要求统一遵循《GB/T 22239-2019信息安全技术 信息系统安全等级保护基本要求》。

信息安全岗位职责

1 安全领导小组职责

安全领导小组是由组长牵头,各部门的负责人为组成成员的组织机构,主要负责批准安全策略、分配安全责任并协调安全策略能够实施,确保安全管理工作有一个明确的方向,从管理和决策层角度对信息安全管理提供支持。安全领导小组的主要责任如下:

(1) 确定网络与信息安全工作的总体方向、目标、总体原则和安全工作方法;

(2) 审查并批准政府的信息安全策略和安全责任;

(3) 分配和指导安全管理总体职责与工作;

(4) 在网络与信息面临重大安全风险时,监督控制可能发生的重大变化;

(5) 对安全管理的重大更改事项(例如:组织机构调整、关键人事变动、信息系统更改等)进行决策;

(6) 指挥、协调、督促并审查重大安全事件的处理,并协调改进措施;

(7) 审核网络安全建设和管理的重要活动,如重要安全项目建设、重要的安全管理措施出台等;

(8) 定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。

2 信息安全工作小组职责

信息安全工作小组是信息安全工作的日常执行机构,内设专职的安全管理组织和岗位,负责日常具体安全工作的落实、组织和协调。信息安全工作小组的主要职责如下:

1) 贯彻执行和解释信息安全领导小组的决议;

2) 贯彻执行和解释国家主管机构下发的信息安全策略;

3) 负责组织和协调各类信息安全规划、方案、实施、测试和验收评审会议;

4) 负责落实和执行各类信息安全具体工作,并对具体落实情况进行总 结和汇报;

5) 负责内外部组织和机构的沟通、协调和合作工作;

6) 负责制定所有信息安全相关的管理制度和规范;

7) 负责针对信息安全相关的管理制度和规范具体落实工作进行监督、 检查、考核、指导及审批,例如现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。

3 信息安全岗位

为了有效落实信息安全各项工作,应设立以下专职的安全岗位,负责安全工作的落实和执行:

3.1 信息安全工作小组主管

1)负责网络与信息安全的日常整体协调、管理工作;

2)负责组织人员制定信息安全管理制度,并对管理制度进行推广、培训和指导;

3)负责重大安全事件的具体协调和沟通工作。

3.2 安全管理员岗位

1)负责执行网络与信息安全工作的日常协调、管理工作;

2)负责日常的安全监控管理,并对上报和发现的各类安全事件进行响应;

3)负责系统、网络和应用安全管理的协调和技术指导;

4)负责安全管理平台安全策略制定,访问控制策略审核;

5)负责组织安全管理制度的推广和培训工作;

6)负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。

3.3 安全审计员岗位

1)负责安全管理制度落实情况的检查、监督和指导;

2)负责安全策略执行情况的审核。

3.4 系统管理员

1)负责系统安全稳定运行的日常管理工作;

2)负责保持系统的防病毒系统、补丁等保持最新,定期对系统进行安全加固,保持系统漏洞最小化。

3.5 网络管理员

1)负责网络设备安全稳定运行的日常管理工作;

2)负责保持网络设备的漏洞最小化,定期对系统进行安全加固;

3)负责保持网络路由和交换策略与业务需求保护一致。

4)应根据日常的运行维护和管理工作,设置物理环境管理、数据库管理、应用管理以及资产管理等岗位。

三、信息安全岗位设置

1 岗位设置

健全的岗位设置、职责分配及技能要求等是安全组织建设的重点内容,对于以后安全管理工作的顺利开展具有巨大的意义。

缺乏健全的岗位设置、职责分配及技能要求将导致无人负责、难以落实责权利,难以胜任安全管理工作等严重问题。

1.1 组织机构

1.成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。

2.信息安全领导小组,其最高领导由单位主管领导委任或授权。

3信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括:

1)根据国家和行业有关信息安全的政策、法律和法规,批准单位信息安全总体策略规划、管理规范和技术标准;

2)确定单位信息安全各有关部门工作职责,指导、监督信息安全工作。

3)信息安全领导小组下设两个工作组:信息安全工作小组、应急响应小组。组长均由单位负责人担任。

4.信息安全工作小组的主要职责包括:

1)贯彻执行单位信息安全领导小组的决议,协调和规范单位信息安全工作;

2)根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实;

3)组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;

4)负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;

5)组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;

6)负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;

7)及时向信息安全领导小组和上级有关部门、单位报告信息安全事件。

8)跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。

5.应急响应小组的主要职责包括:

1)审定单位网络与信息系统的安全应急策略及应急预案;

2)决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统;

3)每年组织对信息安全应急策略和应急预案进行测试和演练。

5)单位应指定分管信息的领导负责本单位信息安全管理,并配备信息安全技术人员,有条件的应设置信息安全工作小组或办公室,对单位信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。

1.2关键岗位

设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员、机房管理员,要求人各自独立。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。

1.系统管理员主要职责有:

1)负责系统的运行管理,实施系统安全运行细则;

2)严格用户权限管理,维护系统安全正常运行;

3)认真记录系统安全事项,及时向信息安全人员报告安全事件;

4)对进行系统操作的其他人员予以安全监督。

2.网络管理员主要职责有:

1)负责网络的运行管理,实施网络安全策略和安全运行细则;

2)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;

3)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件;

4)对操作网络管理功能的其他人员进行安全监督。

3.应用开发管理员主要职责有:

1)负责在系统开发建设中,严格执行系统安全策略,保证系统安全功能的准确实现;

2)系统投产运行前,完整移交系统相关的安全策略等资料;

3)不得对系统设置“后门”;

4)对系统核心技术保密等。

4.安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计和监督,主要职能包括:

1)按操作员证书号进行审计;

2)按操作时间审计;

3)按操作类型审计;

4)事件类型进行审计;

2)日志管理等。

5.安全保密管理员负责日常安全保密管理活动,主要职责有:

1)监视全网运行和安全告警信息;

2)网络审计信息的常规分析;

3)安全设备的常规设置和维护;

4)执行应急中心制定的具体安全策略;

5)向应急管理机构和领导机构报告重大的网络安全事件等。

6.机房管理员

1)执行规定的操作任务,包括日常手工操作,系统手工监控等;

2)对机房环境状况进行监控,对机房进出人员、设备进行登记等;

3)根据设置好的备份/归档任务,进行备份介质的管理及对备份介质的验证;

4)监控系统产生的事件,执行相应的操作,如重新启动操作系统,对应用系统进行检查和基本的故障处理等;

5)负责将每一个任务(包括软件、硬件系统)的操作步骤进行汇编、整理;

6)负责对计算机机房及所属各部门计算机机房安全性的检查,发现问题或隐患及时提出整改意见和书面报告。

2 人员配备

配备足够数量的系统管理员、网络管理员、安全管理员对顺利完成安全管理工作是非常重要的,可以有效避免人力不足带来的问题。配备专职的安全管理员可以让管理工作落实到专人上,可以更高效的开展安全管理工作。关键事务岗位配备多人进行共同管理可以防止出现疏忽,并且有利于互相约束和监督机制的建立。

如果没有配备足够数量的系统管理员、网络管理员、安全管理员,则可能由于工作过度繁忙而出现安全事件。如果安全管理人员都是兼职,则很可能出现只顾其他业务而忽视安全的情况。关键事务岗位人员不足会导致疏忽大意。

1)按照实际工作需要配备足够数量的系统管理员、网络管理员、安全管理员;

2)在安全管理部配备专职的安全管理员;

3)识别出关键事务岗位,对这些关键岗位配备多人进行共同管理,以防止疏忽,并且建立起约束和监督机制。

附则

对违反本制度的人员,将按照有关规定进行处罚。

本制度由信息安全工作小组负责制定、解释和修改。

本制度自发布之日起执行。

信息安全工作小组

2020年10月18日

打印本页 关闭本页

Copyright 2020 版权所有:
苏ICP备05002448号-3
image.png苏公网安备 32130202080886号
技术支持: 江苏高泰软件技术有限公司


今日访问量:[656] 总访问量:[5418029]
Baidu
map