信息安全组织建设规划-等保安全管理制度

1、教育门户网站平台-信息安全组织建设规划 密级【內部文件】XX门户网站平台-信息安全组织建设规划-文档编号使用部门XX信息技术推广部编制日期X/11/15发行日期修订及审核记录文档信息文档名称信息安全组织建设规划文档编号服务对象XX信息技术推广部创建日期X/11/15文档版本V1.0发行日期文档审核审核人职务审核时间审核意见修订记录修正章节修订日期修订人变更记录整篇文档X/11/15X修订版式、内容目录第一章组织规划背景4第二章信息安全组织体系42.1 信息安全管理委员会 52.2 信息安全管理组 52.3 信息安全执行组 62.4信息安全审核组 72.5信息安全事件应急响应小组 7第三章岗位划

2、分及岗位职责 83.1安全管理员岗位职责 83.2网络管理员岗位职责 93.3系统管理员岗位职责 93.4业务管理员岗位的安全职责 103.5幵发管理员安全职责 11第四章组织安全管理策略11第五章信息安全管理委员会清单 15第六章附则16第一章组织规划背景XX信息技术推广部为了执行既定的信息安全管理方针和相关国家法律 要求的关于加强信息系统安全建设的基本要求，特成立本单位的信息安全 管理组织-信息安全委员会。统一管理和执行本单位的信息安全战略和制定 后续管理标准及流程。为了实施有效的信息安全管理，在 XX内部建立完善的信息安全组织是 最基本的措施。在此基础上，XX能够将各项信息安全工作落到实

3、处，包括 加强信息安全规范建设、建立持续改进的信息安全管理体系、实施监督检 查、降低本单位面临的信息安全风险、保护并提升 XX核心竞争力、保障XX 信息技术推广部业务正常、安全、可靠地运作。本文件针对XX信息技术推广部信息安全组织建设相关事务，规定了组 织框架和角色责任，适用于XX信息技术推广部所有纳入到信息安全管理体 系范围的单位和个人。第二章信息安全组织体系XX信息技术推广部门户网站和政务办公安全管理组织体系实行统一组 织、分散管理的方式，设置单位级别的独立于各部门职责的信息安全管理 委员会为本单位组织的信息安全管理机构，负责全单位范围的信息安全管 理和维护工作。信息安全是全体员工共同承担

4、的责任，为了更清晰地定义具体的责任 归属，我们对XX信息技术推广部信息安全组织架构和相关角色做出如下图 所示的定义。2.1 信息安全管理委员会该信息安全管理委员会由信息安全最高管理者发起建立并作为代表，是XX信息技术推广部在信息安全管理方面的最高决策机构，其成员包括XX 信息技术推广部各业务及支撑单位的领导和各个业务部门资深且熟悉各自工作领域的职员组成。主要责任包括：-审批发布信息安全方针和管理体系；-任命信息安全角色和岗位；-控制会对XX信息技术推广部信息资产造成影响的重大变更；-审批信息安全规划和项目的批准；-提供信息安全资源保证；-实施信息安全管理评审。2.2 信息安全管理组由XX信息技

5、术推广部中心主任领导，是 XX信息技术推广部信息安全 管理体系的具体规划、管理和维护者。主要责任包括:-负责信息安全管理体系的建立并确保体系的完整性、符合性和有效性；-对信息安全相关项目进行规划和监督，确保信息安全风险评估和管 理工作能够落实；-负责信息安全管理和技术控制的选型设计、方案评审，建立新信息 处理设施的管理程序；-负责信息安全策略、标准、流程和制度的编写、审核及推广；-负责建立业务连续性计划；-建立与内部/外部专家、权威机构、合作伙伴之间的沟通渠道。统一 控制对外信息发布和通告。-负责信息安全等级保护定级工作的管理部门。2.3信息安全执行组由XX信息技术推广部中心主任领导，由 XX

6、信息技术推广部不同部门 /单位的代表共同组成，是 XX信息技术推广部信息安全策略和相关事务的 具体推动执行和实施者，是信息安全管理组规划项目的落实者。每个部门 都应该设立信息安全专员，作为信息安全执行组成员。-主要责任包括：-在信息安全管理组确定的实施范围内，具体推广并落实各项策略要 求和控制措施；-各部门信息安全专员负责监督推动安全策略和控制措施在本部门的 落实，负责本部门人员的信息安全意识提升，负责本部门信息安全事件的 应急处理；-各部门安全专员负责本部门信息安全的日常工作，提供信息安全支 持服务，配合完成信息安全相关项目，并在本部门引导、推广和监督执行 安全策略。- 负责系统定级相关材料

7、的收集、维护、编制工作，作为系统定级测 评工作的执行部门。2.4信息安全审核组由XX信息技术推广部主任领导，对 XX信息技术推广部的信息安全管 理体系实施独立审核，其成员应接受专门培训并具备审核基本技能，能够 公正、独立地开展审核工作。主要责任包括：-针对XX信息技术推广部已经建立的信息安全管理体系，实施独立审 核，确保信息安全管理体系各项控制及组成部分按照策略要求运行良好， 确保信息安全管理体系的完整性、符合性和有效性；-实施XX信息技术推广部内部审核；-审核组的工作应该直接向信息安全管理委员会汇报；-内部审核员的工作应该不受干扰、公正、独立。2.5 信息安全事件应急响应小组-由XX信息技术

8、推广部主任领导，由具备信息安全专门技能的人员组 成，负责按照XX信息技术推广部既定程序来响应并处理信息安全事件。小 组成员包括：技术代表：来自运维商或者外包商的技术支持人员;对外联络代表：在发生信息安全事件后，对外发布公告和澄清及联系 相关单位。设施管理代表：主要负责XX信息技术推广部供水、供电及通风设备的 正常运作。应急响应小组的主要责任包括：-密切关注信息安全发展趋势，预测信息安全危机及隐患；-接受信息安全事件报告，做出准确的响应处理；-调查信息安全事件，向信息安全管理委员会报告；-如有对外发布信息或和外部机构联络的需要，通过 XX信息技术推广 部领导批准确定而进行；-履行信息安全事件管理

9、程序中定义的其他职责要求。第三章 岗位划分及岗位职责3.1安全管理员岗位职责负责本单位信息安全工作的具体实施和有关信息安全问题的处理，根 据信息安全事件的处理情况和对本单位网络系统安全检测的结果，提交事 件处理报告；根据XX信息技术推广部的网络系统安全需求，定期提出网络系统安全 整改意见，上报信息安全工作组领导；组织并参加本单位定期的信息安全巡检，并在其他管理员的协助下建 立完整的安全巡检报告，并及时向执行组组长提交报告，汇报本单位的信 息安全现状；指导和监督其他管理员和普通用户与安全相关的工作；监控XX信息技术推广部信息系统的安全需求变化，及时获取来自其他 管理员和普通用户的安全意见，进行必

10、要的安全策略体系修订；信息安全工作组执行小组涉及的岗位职责，处理信息安全工作组核准 的其它事务。3.2网络管理员岗位职责负责网络设备的日常运行、管理和维护，保持系统处于良好的运行状态；负责对所管理的网络设备进行日常维护和检查，并将安全设置的情况 报安全管理员备案；参加本单位定期的信息安全巡检，并记录巡检结果，在巡检结束后提 交给安全管理员，配合安全管理员完成信息安全巡检报告；在本单位每个网络系统工程验收后，对工程所涉及的网络设备、网络 服务作相应的安全设置，删除设备的测试账号，对需要保留的账号口令重 新进行设置，并且在口令的设置上要符合保密性要求；编制网络设备的维修、报损、报废计划，报 XX信

11、息技术推广部相关部 门审核；监控本单位信息系统的安全需求变化，及时获取来自其他管理员和普 通用户的安全意见，进行必要的安全策略体系修订；信息安全工作组执行小组涉及的岗位职责，处理信息安全工作组核准 的其它事务。3.3系统管理员岗位职责负责主机系统的日常运行、管理和维护，保持系统处于良好的运行状 态；负责对所管理的主机系统进行日常维护和检查，并将相关安全设置的 情况报安全管理员备案；参加本单位定期的信息安全巡检，并记录巡检结果，在巡检结束后提 交给安全管理员，配合安全管理员完成信息安全巡检报告；在XX信息技术推广部每个网络系统工程验收后，对工程所涉及的主机 系统作相应的安全设置，删除系统的测试账

12、号，对需要保留的账号口令重 新进行设置，并且在口令的设置上要符合保密性要求；编制计算机设备的维修、报损、报废计划，报本单位相关部门审核；监控信息系统的安全需求变化，及时获取来自其他管理员和普通用户 的安全意见，进行必要的安全策略体系修订；信息安全工作组执行小组涉及的岗位职责，处理信息安全工作组核准 的其它事务。3.4业务管理员岗位的安全职责负责业务应用系统的日常运行、管理和维护，保持系统处于良好的运 行状态；负责对所管理的业务应用系统进行日常维护和检查，并将安全设置的 情况报安全管理员备案；参加本单位定期的信息安全巡检，并记录巡检结果，在巡检结束后提 交给安全管理员，配合安全管理员完成信息安全

13、巡检报告;在本单位每个业务应用系统工程验收后，对工程所涉及的业务应用系 统作相应的安全设置，删除系统的测试账号，对需要保留的账号口令重新 进行设置，并且在口令的设置上要符合保密性要求；监控本单位信息系统的安全需求变化，及时获取来自其他管理员和普 通用户的安全意见，进行必要的安全策略体系修订；信息安全工作组执行小组涉及的岗位职责，处理信息安全工作组核准 的其它事务。3.5开发管理员安全职责开发管理员由系统开发人员和系统规划人员组成；参加本单位定期的信息安全巡检，并记录巡检结果，在巡检结束后提交给安全管理员，配合安全管理员完成信息安全巡检报告；系统开发人员负责应用层系统的安全开发和安全建设及推广工

14、作；系统规划人员负责系统安全规划和安全策略的建设工作；监控本单位信息系统的安全需求变化，及时获取来自其他管理员和普 通用户的安全意见，进行必要的安全策略体系修订；信息安全工作组执行小组涉及的岗位职责，处理信息安全工作组核准 的其它事务。第四章组织安全管理策略第一条信息安全工作组将与安全相关的重要人员（安全管理员/网络管 理员/系统管理员/业务管理员/开发管理员）名单交单位人事部门，人事部门在管理员调动、离职或者其他原因离开原岗位时以书面形式通知信息安 全工作组，信息安全工作组应在 3个工作日之内在全单位进行通告。第二条信息安全工作组在相关组员人事变动后，应授权安全管理员及 相关管理员进行相应的

15、处理。安全管理员分析该人员在离开原岗位所涉及 的用户账号和权限的变换后，通知相关管理员（网络管理员/系统管理员/业务管理员）进行相应的设置，并由安全管理员对相关管理员设置的结果进 行检查。第三条 一般情况下，除安全管理员之外，禁止其他人员使用口令破解 程序、网络监听软件和端口扫描软件等网络安全软件， 执行用户口令破解、 网络流量监听、网络安全漏洞扫描等操作。但在必要时安全管理员可授权 其他管理员（网络管理员/系统管理员/业务管理员/开发管理员）进行上述 操作。第四条 信息安全工作组应组织定期的信息安全巡检工作，在全单位范 围内对所有员工的信息安全管理制度执行情况进行检查，周期至少为每月 一次，

16、以及时了解本单位信息安全的状况，督促本单位员工的信息安全意 识。信息安全巡检工作由信息安全工作组的执行小组组员组成，各小组组 员对检查情况进行记录，由安全管理员统一汇总整理，并及时将发现的问 题上报。第五条 本单位各级安全管理员或普通用户发现安全问题后，应及时按 照如下流程进行处理:网络管理员、系统管理员、业务管理员、开发管理员或者普通用户发 现安全问题，应向安全管理员报告，并保留有关原始记录。安全管理员发 现安全问题，应通知相关管理员或普通用户进行原始记录的保留。安全管理员在网络管理员、系统管理员、业务管理员、开发管理员或 者普通用户的协助下进行安全问题的诊断和分析，确定安全问题的类型。如果

17、安全问题是由计算机病毒引起的，应使用杀毒软件对计算机病毒 进行消除。若计算机病毒已造成文件或数据损坏或者丢失，且使用杀毒软 件或者其它手段无法进行修复，则使用备份进行恢复；如果被感染计算机 已无法正常启动或操作系统无法正常运行，应重新安装操作系统和应用软 件，并调用备份进行恢复。如果安全问题属于拒绝服务攻击，应判断拒绝服务攻击的类型，若拒 绝服务攻击针对于非业务端口，则关闭这些端口。若拒绝服务攻击针对于 业务端口，则调整主机系统本身和防火墙系统的设置，尽量减小拒绝服务 攻击的危害。同时对攻击数据源进行跟踪，争取在攻击的发起端进行过滤 如果攻击源在本单位管理网络之外，需上报信息安全工作组，由信息

18、安全 工作组讨论处理。如果安全问题属于系统入侵，应根据被入侵系统的重要性选择处理的 方法。若被入侵系统上有重要业务或者数据，应采取紧急消除和恢复的方 法，否则可以对入侵者进行网络跟踪和监视，分析攻击者的攻击目标和影 响的范围，并根据分析结果采取相应的防范措施。如果采用紧急消除和恢复的方法，应根据网络入侵事件的影响程度决 定断开网络连接或者进行在线处理和恢复。若网络入侵事件严重影响本单 位形象，比如 Web站点的页面被修改，应该立刻断开网络连接，尽量减小 安全事件的影响，然后再进行系统恢复和安全漏洞的修补。若入侵事件影 响比较小或者断开网络连接可能导致重大经济损失，可以采用在线恢复和 安全漏洞修补的方法。在进行系统恢复和安全漏洞修补之前必须对入侵事件影响到的所有文 件和日志进行备份，以免入侵的特征、证据和日志在入侵事件处理中丢失。在系统恢复和安全漏洞修补之后，还应分析入侵事件对被入侵系统和 相关系统的影响，如果入侵事件可能导致系统文件被非法修改，必须在紧 急消除和恢复之后尽快进行全系统的重新安装和配置，以防止系统被安装 木马程序。如果由于客观原因，系统不允许重新安装，那么必须对系统进 行全面的安全扫描以检查系统中潜在的安全漏洞。如果入侵事件可能影响 到网络中其它系统，必须