信息安全組織建設(shè)規(guī)劃-等保安全管理制度

教育門戶網(wǎng)站平臺-信息安全組織建設(shè)規(guī)劃密級【內(nèi)部文件】XX門戶網(wǎng)站平臺一信息安全組織建設(shè)規(guī)劃一文檔編號使用部門XX信息技術(shù)推廣部編制日期X/11/15發(fā)行日期

教育門戶網(wǎng)站平臺-信息安全組織建設(shè)規(guī)劃密級【內(nèi)部文件】修訂及審核記錄文檔信息文檔名稱信息安全組織建設(shè)規(guī)劃文檔編號服務(wù)對象XX信息技術(shù)推廣部創(chuàng)建日期X/11/15文檔版本V1.0發(fā)行日期文檔審核審核人職務(wù)審核時間審核意見修訂記錄修正章節(jié)修訂日期修訂人變更記錄整篇文檔X/11/15X修訂版式、內(nèi)容教育門戶網(wǎng)站平臺-信息安全組織建設(shè)規(guī)劃密級【內(nèi)部文件】目錄TOC\o"1-5"\h\z\o"CurrentDocument"第一章組織規(guī)劃背景 4\o"CurrentDocument"第二章信息安全組織體系 4\o"CurrentDocument"信息安全管理委員會 5信息安全管理組 5\o"CurrentDocument"信息安全執(zhí)行組 6\o"CurrentDocument"信息安全審核組 7\o"CurrentDocument"信息安全事件應(yīng)急響應(yīng)小組 7\o"CurrentDocument"第三章崗位劃分及崗位職責(zé) 8\o"CurrentDocument"安全管理員崗位職責(zé) 8\o"CurrentDocument"網(wǎng)絡(luò)管理員崗位職責(zé) 9系統(tǒng)管理員崗位職責(zé) 9\o"CurrentDocument"業(yè)務(wù)管理員崗位的安全職責(zé) 10\o"CurrentDocument"開發(fā)管理員安全職責(zé) 11\o"CurrentDocument"第四章 組織安全管理策略 11\o"CurrentDocument"第五章信息安全管理委員會清單 15\o"CurrentDocument"第六章附則 16教育門戶網(wǎng)站平臺-信息安全組織建設(shè)規(guī)劃密級【內(nèi)部文件】第一章組織規(guī)劃背景XX信息技術(shù)推廣部為了執(zhí)行既定的信息安全管理方針和相關(guān)國家法律要求的關(guān)于加強信息系統(tǒng)安全建設(shè)的基本要求，特成立本單位的信息安全管理組織-信息安全委員會。統(tǒng)一管理和執(zhí)行本單位的信息安全戰(zhàn)略和制定后續(xù)管理標(biāo)準(zhǔn)及流程。為了實施有效的信息安全管理，在XX內(nèi)部建立完善的信息安全組織是最基本的措施。在此基礎(chǔ)上，XX能夠?qū)⒏黜椥畔踩ぷ髀涞綄嵦?，包括加強信息安全?guī)范建設(shè)、建立持續(xù)改進(jìn)的信息安全管理體系、實施監(jiān)督檢查、降低本單位面臨的信息安全風(fēng)險、保護(hù)并提升XX核心競爭力、保障XX信息技術(shù)推廣部業(yè)務(wù)正常、安全、可靠地運作。本文件針對XX信息技術(shù)推廣部信息安全組織建設(shè)相關(guān)事務(wù)，規(guī)定了組織框架和角色責(zé)任，適用于XX信息技術(shù)推廣部所有納入到信息安全管理體系范圍的單位和個人。第二章信息安全組織體系XX信息技術(shù)推廣部門戶網(wǎng)站和政務(wù)辦公安全管理組織體系實行統(tǒng)一組織、分散管理的方式，設(shè)置單位級別的獨立于各部門職責(zé)的信息安全管理委員會為本單位組織的信息安全管理機構(gòu)，負(fù)責(zé)全單位范圍的信息安全管理和維護(hù)工作。信息安全是全體員工共同承擔(dān)的責(zé)任，為了更清晰地定義具體的責(zé)任歸屬，我們對XX信息技術(shù)推廣部信息安全組織架構(gòu)和相關(guān)角色做出如下圖所示的定義。教育門戶網(wǎng)站平臺-信息安全組織建設(shè)規(guī)劃密級【內(nèi)部文件】2.1信息安全管理委員會信息安全審核組」任箍‘委托代麥匯報教育門戶網(wǎng)站平臺-信息安全組織建設(shè)規(guī)劃密級【內(nèi)部文件】2.1信息安全管理委員會信息安全審核組」任箍‘委托代麥匯報領(lǐng)導(dǎo) ,事件峋應(yīng)小城(ET)信息安全管理［E1尋信烹、安全省垣委員會)后息安仝執(zhí)行處該信息安全管理委員會由信息安全最高管理者發(fā)起建立并作為代表，是XX信息技術(shù)推廣部在信息安全管理方面的最高決策機構(gòu)，其成員包括XX信息技術(shù)推廣部各業(yè)務(wù)及支撐單位的領(lǐng)導(dǎo)和各個業(yè)務(wù)部門資深且熟悉各自工作領(lǐng)域的職員組成。主要責(zé)任包括:審批發(fā)布信息安全方針和管理體系;任命信息安全角色和崗位;控制會對XX信息技術(shù)推廣部信息資產(chǎn)造成影響的重大變更;審批信息安全規(guī)劃和項目的批準(zhǔn);提供信息安全資源保證;實施信息安全管理評審。信息安全管理組由XX信息技術(shù)推廣部中心主任領(lǐng)導(dǎo)，是XX信息技術(shù)推廣部信息安全管理體系的具體規(guī)劃、管理和維護(hù)者。主要責(zé)任包括:教育門戶網(wǎng)站平臺-信息安全組織建設(shè)規(guī)劃密級【內(nèi)部文件】負(fù)責(zé)信息安全管理體系的建立并確保體系的完整性、符合性和有效性；對信息安全相關(guān)項目進(jìn)行規(guī)劃和監(jiān)督，確保信息安全風(fēng)險評估和管理工作能夠落實；負(fù)責(zé)信息安全管理和技術(shù)控制的選型設(shè)計、方案評審，建立新信息處理設(shè)施的管理程序；負(fù)責(zé)信息安全策略、標(biāo)準(zhǔn)、流程和制度的編寫、審核及推廣；負(fù)責(zé)建立業(yè)務(wù)連續(xù)性計劃；建立與內(nèi)部/外部專家、權(quán)威機構(gòu)、合作伙伴之間的溝通渠道。統(tǒng)一控制對外信息發(fā)布和通告。負(fù)責(zé)信息安全等級保護(hù)定級工作的管理部門。信息安全執(zhí)行組由XX信息技術(shù)推廣部中心主任領(lǐng)導(dǎo)，由XX信息技術(shù)推廣部不同部門/單位的代表共同組成，是XX信息技術(shù)推廣部信息安全策略和相關(guān)事務(wù)的具體推動執(zhí)行和實施者，是信息安全管理組規(guī)劃項目的落實者。每個部門都應(yīng)該設(shè)立信息安全專員，作為信息安全執(zhí)行組成員。主要責(zé)任包括：在信息安全管理組確定的實施范圍內(nèi)，具體推廣并落實各項策略要求和控制措施；各部門信息安全專員負(fù)責(zé)監(jiān)督推動安全策略和控制措施在本部門的落實，負(fù)責(zé)本部門人員的信息安全意識提升，負(fù)責(zé)本部門信息安全事件的應(yīng)急處理；教育門戶網(wǎng)站平臺-信息安全組織建設(shè)規(guī)劃密級【內(nèi)部文件】各部門安全專員負(fù)責(zé)本部門信息安全的日常工作，提供信息安全支持服務(wù)，配合完成信息安全相關(guān)項目，并在本部門引導(dǎo)、推廣和監(jiān)督執(zhí)行安全策略。負(fù)責(zé)系統(tǒng)定級相關(guān)材料的收集、維護(hù)、編制工作，作為系統(tǒng)定級測評工作的執(zhí)行部門。信息安全審核組由XX信息技術(shù)推廣部主任領(lǐng)導(dǎo)，對XX信息技術(shù)推廣部的信息安全管理體系實施獨立審核，其成員應(yīng)接受專門培訓(xùn)并具備審核基本技能，能夠公正、獨立地開展審核工作。主要責(zé)任包括：針對XX信息技術(shù)推廣部已經(jīng)建立的信息安全管理體系，實施獨立審核，確保信息安全管理體系各項控制及組成部分按照策略要求運行良好，確保信息安全管理體系的完整性、符合性和有效性；實施XX信息技術(shù)推廣部內(nèi)部審核；審核組的工作應(yīng)該直接向信息安全管理委員會匯報；內(nèi)部審核員的工作應(yīng)該不受干擾、公正、獨立。信息安全事件應(yīng)急響應(yīng)小組由XX信息技術(shù)推廣部主任領(lǐng)導(dǎo)，由具備信息安全專門技能的人員組成，負(fù)責(zé)按照XX信息技術(shù)推廣部既定程序來響應(yīng)并處理信息安全事件。小組成員包括：技術(shù)代表：來自運維商或者外包商的技術(shù)支持人員；教育門戶網(wǎng)站平臺-信息安全組織建設(shè)規(guī)劃密級【內(nèi)部文件】對外聯(lián)絡(luò)代表：在發(fā)生信息安全事件后，對外發(fā)布公告和澄清及聯(lián)系相關(guān)單位。設(shè)施管理代表：主要負(fù)責(zé)XX信息技術(shù)推廣部供水、供電及通風(fēng)設(shè)備的正常運作。應(yīng)急響應(yīng)小組的主要責(zé)任包括：密切關(guān)注信息安全發(fā)展趨勢，預(yù)測信息安全危機及隱患；接受信息安全事件報告，做出準(zhǔn)確的響應(yīng)處理；調(diào)查信息安全事件，向信息安全管理委員會報告；如有對外發(fā)布信息或和外部機構(gòu)聯(lián)絡(luò)的需要，通過XX信息技術(shù)推廣部領(lǐng)導(dǎo)批準(zhǔn)確定而進(jìn)行；履行信息安全事件管理程序中定義的其他職責(zé)要求。第三章崗位劃分及崗位職責(zé)安全管理員崗位職責(zé)負(fù)責(zé)本單位信息安全工作的具體實施和有關(guān)信息安全問題的處理，根據(jù)信息安全事件的處理情況和對本單位網(wǎng)絡(luò)系統(tǒng)安全檢測的結(jié)果，提交事件處理報告；根據(jù)XX信息技術(shù)推廣部的網(wǎng)絡(luò)系統(tǒng)安全需求，定期提出網(wǎng)絡(luò)系統(tǒng)安全整改意見，上報信息安全工作組領(lǐng)導(dǎo)；組織并參加本單位定期的信息安全巡檢，并在其他管理員的協(xié)助下建立完整的安全巡檢報告，并及時向執(zhí)行組組長提交報告，匯報本單位的信息安全現(xiàn)狀；教育門戶網(wǎng)站平臺-信息安全組織建設(shè)規(guī)劃密級【內(nèi)部文件】指導(dǎo)和監(jiān)督其他管理員和普通用戶與安全相關(guān)的工作；監(jiān)控XX信息技術(shù)推廣部信息系統(tǒng)的安全需求變化，及時獲取來自其他管理員和普通用戶的安全意見，進(jìn)行必要的安全策略體系修訂；信息安全工作組執(zhí)行小組涉及的崗位職責(zé)，處理信息安全工作組核準(zhǔn)的其它事務(wù)。網(wǎng)絡(luò)管理員崗位職責(zé)負(fù)責(zé)網(wǎng)絡(luò)設(shè)備的日常運行、管理和維護(hù)，保持系統(tǒng)處于良好的運行狀態(tài)；負(fù)責(zé)對所管理的網(wǎng)絡(luò)設(shè)備進(jìn)行日常維護(hù)和檢查，并將安全設(shè)置的情況報安全管理員備案；參加本單位定期的信息安全巡檢，并記錄巡檢結(jié)果，在巡檢結(jié)束后提交給安全管理員，配合安全管理員完成信息安全巡檢報告；在本單位每個網(wǎng)絡(luò)系統(tǒng)工程驗收后，對工程所涉及的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)作相應(yīng)的安全設(shè)置，刪除設(shè)備的測試賬號，對需要保留的賬號口令重新進(jìn)行設(shè)置，并且在口令的設(shè)置上要符合保密性要求；編制網(wǎng)絡(luò)設(shè)備的維修、報損、報廢計劃，報XX信息技術(shù)推廣部相關(guān)部門審核；監(jiān)控本單位信息系統(tǒng)的安全需求變化，及時獲取來自其他管理員和普通用戶的安全意見，進(jìn)行必要的安全策略體系修訂；信息安全工作組執(zhí)行小組涉及的崗位職責(zé)，處理信息安全工作組核準(zhǔn)的其它事務(wù)。系統(tǒng)管理員崗位職責(zé)教育門戶網(wǎng)站平臺-信息安全組織建設(shè)規(guī)劃密級【內(nèi)部文件】負(fù)責(zé)主機系統(tǒng)的日常運行、管理和維護(hù)，保持系統(tǒng)處于良好的運行狀態(tài)；負(fù)責(zé)對所管理的主機系統(tǒng)進(jìn)行日常維護(hù)和檢查，并將相關(guān)安全設(shè)置的情況報安全管理員備案；參加本單位定期的信息安全巡檢，并記錄巡檢結(jié)果，在巡檢結(jié)束后提交給安全管理員，配合安全管理員完成信息安全巡檢報告；在XX信息技術(shù)推廣部每個網(wǎng)絡(luò)系統(tǒng)工程驗收后，對工程所涉及的主機系統(tǒng)作相應(yīng)的安全設(shè)置，刪除系統(tǒng)的測試賬號，對需要保留的賬號口令重新進(jìn)行設(shè)置，并且在口令的設(shè)置上要符合保密性要求；編制計算機設(shè)備的維修、報損、報廢計劃，報本單位相關(guān)部門審核；監(jiān)控信息系統(tǒng)的安全需求變化，及時獲取來自其他管理員和普通用戶的安全意見，進(jìn)行必要的安全策略體系修訂；信息安全工作組執(zhí)行小組涉及的崗位職責(zé)，處理信息安全工作組核準(zhǔn)的其它事務(wù)。業(yè)務(wù)管理員崗位的安全職責(zé)負(fù)責(zé)業(yè)務(wù)應(yīng)用系統(tǒng)的日常運行、管理和維護(hù)，保持系統(tǒng)處于良好的運行狀態(tài)；負(fù)責(zé)對所管理的業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行日常維護(hù)和檢查，并將安全設(shè)置的情況報安全管理員備案；參加本單位定期的信息安全巡檢，并記錄巡檢結(jié)果，在巡檢結(jié)束后提交給安全管理員，配合安全管理員完成信息安全巡檢報告;教育門戶網(wǎng)站平臺-信息安全組織建設(shè)規(guī)劃密級【內(nèi)部文件】在本單位每個業(yè)務(wù)應(yīng)用系統(tǒng)工程驗收后，對工程所涉及的業(yè)務(wù)應(yīng)用系統(tǒng)作相應(yīng)的安全設(shè)置，刪除系統(tǒng)的測試賬號，對需要保留的賬號口令重新進(jìn)行設(shè)置，并且在口令的設(shè)置上要符合保密性要求；監(jiān)控本單位信息系統(tǒng)的安全需求變化，及時獲取來自其他管理員和普通用戶的安全意見，進(jìn)行必要的安全策略體系修訂；信息安全工作組執(zhí)行小組涉及的崗位職責(zé)，處理信息安全工作組核準(zhǔn)的其它事務(wù)。開發(fā)管理員安全職責(zé)開發(fā)管理員由系統(tǒng)開發(fā)人員和系統(tǒng)規(guī)劃人員組成；參加本單位定期的信息安全巡檢，并記錄巡檢結(jié)果，在巡檢結(jié)束后提交給安全管理員，配合安全管理員完成信息安全巡檢報告；系統(tǒng)開發(fā)人員負(fù)責(zé)應(yīng)用層系統(tǒng)的安全開發(fā)和安全建設(shè)及推廣工作；系統(tǒng)規(guī)劃人員負(fù)責(zé)系統(tǒng)安全規(guī)劃和安全策略的建設(shè)工作；監(jiān)控本單位信息系統(tǒng)的安全需求變化，及時獲取來自其他管理員和普通用戶的安全意見，進(jìn)行必要的安全策略體系修訂；信息安全工作組執(zhí)行小組涉及的崗位職責(zé)，處理信息安全工作組核準(zhǔn)的其它事務(wù)。第四章組織安全管理策略第一條信息安全工作組將與安全相關(guān)的重要人員（安全管理員/網(wǎng)絡(luò)管理員/系統(tǒng)管理員/業(yè)務(wù)管理員/開發(fā)管理員）名單交單位人事部門，人事部教育門戶網(wǎng)站平臺-信息安全組織建設(shè)規(guī)劃密級【內(nèi)部文件】門在管理員調(diào)動、離職或者其他原因離開原崗位時以書面形式通知信息安全工作組，信息安全工作組應(yīng)在3個工作日之內(nèi)在全單位進(jìn)行通告。第二條信息安全工作組在相關(guān)組員人事變動后，應(yīng)授權(quán)安全管理員及相關(guān)管理員進(jìn)行相應(yīng)的處理。安全管理員分析該人員在離開原崗位所涉及的用戶賬號和權(quán)限的變換后，通知相關(guān)管理員（網(wǎng)絡(luò)管理員/系統(tǒng)管理員/業(yè)務(wù)管理員）進(jìn)行相應(yīng)的設(shè)置，并由安全管理員對相關(guān)管理員設(shè)置的結(jié)果進(jìn)行檢查。第三條一般情況下，除安全管理員之外，禁止其他人員使用口令破解程序、網(wǎng)絡(luò)監(jiān)聽軟件和端口掃描軟件等網(wǎng)絡(luò)安全軟件，執(zhí)行用戶口令破解、網(wǎng)絡(luò)流量監(jiān)聽、網(wǎng)絡(luò)安全漏洞掃描等操作。但在必要時安全管理員可授權(quán)其他管理員（網(wǎng)絡(luò)管理員/系統(tǒng)管理員/業(yè)務(wù)管理員/開發(fā)管理員）進(jìn)行上述操作。第四條信息安全工作組應(yīng)組織定期的信息安全巡檢工作，在全單位范圍內(nèi)對所有員工的信息安全管理制度執(zhí)行情況進(jìn)行檢查，周期至少為每月一次，以及時了解本單位信息安全的狀況，督促本單位員工的信息安全意識。信息安全巡檢工作由信息安全工作組的執(zhí)行小組組員組成，各小組組員對檢查情況進(jìn)行記錄，由安全管理員統(tǒng)一匯總整理，并及時將發(fā)現(xiàn)的問題上報。第五條本單位各級安全管理員或普通用戶發(fā)現(xiàn)安全問題后，應(yīng)及時按照如下流程進(jìn)行處理：教育門戶網(wǎng)站平臺-信息安全組織建設(shè)規(guī)劃密級【內(nèi)部文件】網(wǎng)絡(luò)管理員、系統(tǒng)管理員、業(yè)務(wù)管理員、開發(fā)管理員或者普通用戶發(fā)現(xiàn)安全問題，應(yīng)向安全管理員報告，并保留有關(guān)原始記錄。安全管理員發(fā)現(xiàn)安全問題，應(yīng)通知相關(guān)管理員或普通用戶進(jìn)行原始記錄的保留。安全管理員在網(wǎng)絡(luò)管理員、系統(tǒng)管理員、業(yè)務(wù)管理員、開發(fā)管理員或者普通用戶的協(xié)助下進(jìn)行安全問題的診斷和分析，確定安全問題的類型。如果安全問題是由計算機病毒引起的，應(yīng)使用殺毒軟件對計算機病毒進(jìn)行消除。若計算機病毒已造成文件或數(shù)據(jù)損壞或者丟失，且使用殺毒軟件或者其它手段無法進(jìn)行修復(fù)，則使用備份進(jìn)行恢復(fù)；如果被感染計算機已無法正常啟動或操作系統(tǒng)無法正常運行，應(yīng)重新安裝操作系統(tǒng)和應(yīng)用軟件，并調(diào)用備份進(jìn)行恢復(fù)。如果安全問題屬于拒絕服務(wù)攻擊，應(yīng)判斷拒絕服務(wù)攻擊的類型，若拒絕服務(wù)攻擊針對于非業(yè)務(wù)端口，則關(guān)閉這些端口。若拒絕服務(wù)攻擊針對于業(yè)務(wù)端口，則調(diào)整主機系統(tǒng)本身和防火墻系統(tǒng)的設(shè)置，盡量減小拒絕服務(wù)攻擊的危害。同時對攻擊數(shù)據(jù)源進(jìn)行跟蹤，爭取在攻擊的發(fā)起端進(jìn)行過濾。如果攻擊源在本單位管理網(wǎng)絡(luò)之外，需上報信息安全工作組，由信息安全工作組討論處理。如果安全問題屬于系統(tǒng)入侵，應(yīng)根據(jù)被入侵系統(tǒng)的重要性選擇處理的方法。若被入侵系統(tǒng)上有重要業(yè)務(wù)或者數(shù)據(jù)，應(yīng)采取緊急消除和恢復(fù)的方法，否則可以對入侵者進(jìn)行網(wǎng)絡(luò)跟蹤和監(jiān)視，分析攻擊者的攻擊目標(biāo)和影響的范圍，并根據(jù)分析結(jié)果采取相應(yīng)的防范措施。如果采用緊急消除和恢復(fù)的方法，應(yīng)根據(jù)網(wǎng)絡(luò)入侵事件的影響程度決定斷開網(wǎng)絡(luò)連接或者進(jìn)行在線處理和恢復(fù)。若網(wǎng)絡(luò)入侵事件嚴(yán)重影響本單教育門戶網(wǎng)站平臺-信息安全組織建設(shè)規(guī)劃密級【內(nèi)部文件】位形象，比如Web站點的頁面被修改，應(yīng)該立刻斷開網(wǎng)絡(luò)連接，盡量減小安全事件的影響，然后再進(jìn)行系統(tǒng)恢復(fù)和安全漏洞的修補。若入侵事件影響比較小或者斷開網(wǎng)絡(luò)連接可能導(dǎo)致重大經(jīng)濟損失，可以采用在線恢復(fù)和安全漏洞修補的方法。在進(jìn)行系統(tǒng)恢復(fù)和安全漏洞修補之前必須對入侵事件影響到的所有文件和日志進(jìn)行備份，以免入侵的特征、證據(jù)和日志在入侵事件處理中丟失。在系統(tǒng)恢復(fù)和安全漏洞修補之后，還應(yīng)分析入侵事件對被入侵系統(tǒng)和相關(guān)系統(tǒng)的影響，如果入侵事件可能導(dǎo)致系統(tǒng)