《安全管理岗位人员分工》
XXX安全管理岗位人员分工
XXX
2019年04月
前言
随着信息技术的高速发展和网络应用的普及,国民经济和社会信息化进程的加快,以及国家“互联网+”概念的提出,网络与信息的基础性、全局性作用已经成为国家安全、经济建设和社会发
展的重要战略资源之一。因此,保障网络与信息安全是当前信息化发展中迫切需要解决的首要任务,也是维护公共利益、社会稳定和国家安全的重要任务。
总体来看,网络与信息安全保障工作尚处于起步阶段,网络与信息安全意识和安全防范能力薄弱,信息系统安全建设和管理目标不明确,网络与信息安全管理未形成合力,滞后于信息化发展,监督缺乏依据和标准。同时,由于网络漏洞百出,针对重要信息资源和网络基础设施的网络攻击和非法入侵,已给国家安全、经济和社会生活造成了极大的威胁,严重制约着信息化的发展,网络与信息安全保障形势严峻,面临巨大挑战。
本规范将网络安全与信息安全进行了系统性的融合,形成XXX网络与信息安全管理的基本大法和顶层设计,监督、规范网络与信息安全管理工作的体系化、集约化和标准化建设,旨在主动、有效、系统地防范和规避XXX运营中的安全风险,将网络与信息安全保障工作前置,确保网络与信息安全,促进国家信息化建设,维护公共利益、国家安全和社会稳定,促进江苏公司健康、长久发展。
目录
第一章总则 (4)
1.1网络与信息安全的基本概念 (4)
1.2网络与信息安全管理的指导思想 (5)
1.3网络与信息安全管理的基本原则 (5)
1.4网络与信息安全管理的总体目标 (5)
1.5网络与信息安全管理规范体系架构 (6)
1.6引用标准、规范、法规 (7)
第二章安全管理工作体系制度 (8)
2.1信息安全领导小组 (8)
2.2信息安全工作组 (9)
2.3应急处理工作组 (10)
2.4关键岗位设置 (10)
第一章总则
1.1网络与信息安全的基本概念
网络与信息是企业的资产,具有极其重要的价值,必须保证其安全。网络安全是指网络的硬件、软件及其系统不因网络攻击、非法入侵等原因而遭到破坏,网络连续可靠正常运行,服务不中断。信息安全是指网络承载的业务、数据、内容、用户信息及其交互的安全,在各个运营过程中不被非法篡改、泄露,具有完整性、保密性、可用性和合法合规性。网络安全侧重于网络环境的安全,是对异常、滥用行为的监测和防控,是信息安全的基础,是保护信息安全的重要手段。信息安全侧重于信息产生、存储、传输、处理等过程的安全,是网络安全的价值体现和工作目标,两者互相作用,相辅相成。
综上所述,网络与信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。具有以下特征: 保密性:确保网络与信息不给非授权用户访问,且有不同的密级和时效性。
完整性:确保网络与信息不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改。
可用性:确保被授权用户能够可靠而及时地访问网络与信息。
不可抵赖性:确信参与者的真实同一性,所有参与者都不可抵赖曾经完成的操作和承诺。出现安全问题时提供依据与手段,具有可审查性。
可靠性:确保网络在规定条件下和规定时间内、完成规定功能。可靠性是网络安全最基本的要求之一,与硬件可靠性、软件可靠性、人员可靠性和环境可靠性有关。
1.2网络与信息安全管理的指导思想
以习近平总书记等中央领导同志有关网络与信息安全重要指示精神为指导,坚持积极防御、综合防范相结合的方针,安全管理与技术防范并重的原则,正确处理安全与发展的关系,立足以安全保发展,以发展促安全,在发展中求安全,按照上级主管部门和集团公司的部署,以信息化手段为支撑,构筑江苏公司网络与信息安全保障体系,全面提高江苏公司网络与信息安全的防范、监测、处置、溯源能力,切实承接好国家战略部署,履行好社会责任,促进企业健康发展。
1.3网络与信息安全管理的基本原则
遵循“一把手”责任制,分级管理、属地管理的原则。
遵循“谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则。
1.4网络与信息安全管理的总体目标
立足于“装好刹车再上路,设好闸门再放水”的管理理念,逐步将网络与信息安全管理融入公司经营战略发展体系,
嵌入公司运营的各个环节,建立网络端到端、业务全过程的安全攻防体系,以“网盾”系统为支撑,提升网络与信息安全可管、可控、可溯源的能力,打造以网络与信息安全为主要元素的公司发展新引擎,助力公司从优秀迈向卓越。
1.5网络与信息安全管理规范体系架构
体系架构采用结构化、层次化和可扩展的模式,针对不同用途及对象,以总纲为指导,从管理和技术两个维度,形成自上至下的四层安全管理模型。
第一层总纲是网络与信息安全管理规范体系的纲领。涉及网络与信息安全工作的范围、原则、目标和策略,具有总体指导意义。
第二层是对纲领的分解,侧重于管理制度和技术规范,对安全工作具有实际的指导作用。
第三层是公司在安全域划分的基础上,根据不同类型的网络和应用环境,统一制定的具体细则、流程和规范。是对
第二层通用规范的进一步细化。
第四层是操作层面,是公司各部门和各市分公司根据第二层和第三层的要求,结合具体的网络和应用系统,分别制订的详细的操作步骤与配置方法。
1.6引用标准、规范、法规
《中华人民共和国电信条例》(国务院令第291号);
《通信网络安全防护管理办法》(工业与信息化部令第11号);
《电信和互联网用户个人信息保护规定》(工业与信息化部令第24号);
《通信短信息服务管理规定》(工业与信息化部令第31号);
《关于加强电信和互联网行业网络安全工作的指导意见》(工信部保〔2014〕368号);
《中国电信运维构建中国电信互联网及相关网络安全策略体系》(中国电信运维〔2011〕84号);
《中国电信通信网络安全防护管理办法》(中国电信〔2010〕531号);
《关于印发中国电信信息安全管理办法的通知》(中国电信〔2015〕398号);
《ISO/IEC 27001 信息安全管理体系要求》;
《ISO/IEC 27002 信息安全控制实用规则》。
第二章安全管理工作体系制度
本制度旨在建立全面信息安全工作管理体系,建立健全相应的组织管理体系和规范,以推动信息安全工作的开展。规范公司的信息安全、网络安全的管理工作,确保公司的系统运行安全、网络运行安全、交易信息的保护。
2.1信息安全领导小组
1、公司成立信息安全领导小组,是信息安全的最高决
策机构。
2、信息安全领导小组负责研究重大事件,落实方针政
策和制定总体策略等。职责主要包括:
(一)、根据国家和行业有关信息安全的策略、法律
和法规,批准公司信息安全总体策略规划、管理规
范和技术标准;
(二)、监督、督导公司整体信息安全工作的落实和
执行情况;
(三)、制订相关信息安全、网络安全、以及信息、
网络的应急管理的制度;
3、信息安全领导小组下设两个工作组:信息安全工作
组、应急处理工作组,作为日常工作执行机构。
4、信息安全领导小组组长由公司负责人担任,副组长
由公司科技部门领导担任,各部门负责人自动成为
信息安全领导小组成员。
2.2信息安全工作组
1、信息安全工作组由信息技术部门负责人担任组长,
成员由信息安全工作组负责人提名报信息安全领导
小组审批。
2、信息安全工作组的主要职责包括:(一)、贯彻执行公
司信息安全领导小组的决议,协调和规范公司信息安
全工作;(二)、根据信息安全领导小组的工作部署,对
信息安全工作进行具体安排、落实;(三)、组织对重大
的信息安全工作制度和技术操作策略进行审查,拟定
信息安全总体策略规划,并监督执行;(四)、负责协调、
督促各职能部门和有关单位的信息安全工作,参与信
息系统工程建设中的安全规划,监督安全措施的执行;
(五)、组织信息安全工作检查,分析信息安全总体状况,
提出分析报告和安全风险的防范对策;(六)、负责接收
各单位的紧急信息安全事件报告,组织进行时间调查,
分析原因、涉及范围,并评估安全事件的严重程度,提
出信息安全时间防范措施;(七)、及时向信息安全工作
领导小组和上级有关部门、单位报告信息安全时间。
(八)、跟踪先进的信息安全技术,组织信息安全知识的
培训和宣传工作。(九)、信息安全领导小组授权开展
的其他信息安全工作。
2.3应急处理工作组
1、应急处理工作组组长由信息技术部门负责人担任,
成员由信息安全工作组负责人提名报信息安全领导
小组审批。
2、应急处理工作组的主要职责包括:(一)、制定、修订
公司网络与信息系统的安全应急策略及应急预案;
(二)、决定相应应急预案的启动,负责现场指挥,并组
织相关人员排除故障,恢复系统;(三)、每年组织对信
息安全应急策略和应急预案进行测试和演练;(四)、落
实、执行信息安全领导小组安排的有关应急处理的工
作;
2.4关键岗位设置
1、为网络与信息安全的有关制度和技术的实施,信息
技术部门必须设置系统管理员、网络管理员、应用开
发管理员、安全审计员、安全保密管理员五个岗位,
上述岗位必须专人专岗,不得兼岗。岗位人员必须严
格遵守保密法规和有关信息安全的管理规定。
2、系统管理员岗职责必须包含并不限于:(一)、负责系
统的运行管理,实施系统安全运行细则;(二)、严格执
行用户权限管理,维护系统安全正常运行;(三)、认真
记录系统安全事项,及时向信息安全人员报告安全事
件;(四)、对进行系统操作的其他人员予以安全监督。
3、网络管理员的职责必须包含并不限于:(一)、负责网
络的运行管理,实施网络安全策略和安全运行细则;
(二)、安全配置网络参数,严格控制网络用户访问权限,
维护网络安全正常运行;(三)、监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件;(四)、对操作网络管理功能的其他人员进行安全监督。(五)、按月形成网络运行安全报告报信息安全工作组。
4、应用开发管理员职责包含并不限于:(一)、负责在系
统开发建设中,严格执行系统安全策略,保证系统安全功能的准确实现;(二)、系统投产运行前,完整移交系统相关的安全策略等资料;(三)、不得对系统设置“后门”;(四)、对系统核心技术保密等。
5、安全审计员职责包含并不限于:(一)、负责对设计系
统安全的事件和各类操作人员的行为进行审计和监督:1、按操作员证书号进行审计;2、按操作时间审计;
3、按操作类型审计;
4、事件类型进行审计;
5、按月
形成审计报告报信息安全工作组;(二)系统的各类日志管理功能。
6、安全保密管理员职责包含并不限于:(一)、负责日常
安全保密管理活动;(二)、监视全网运行和安全告警信息;(三)、网络审计信息的常规分析;(四)、安全设备
的常规设置和维护;(五)、执行应急中心指定的具体安全策略;(六)、向应急管理机构和领导机构报告重大的网络安全事件等。