版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
信息安全管理机构管理办法
编制:日期:
审核:日期:
批准:日期:
版本:V1.02025年05月20日发布
版本更改记录
版本修订
修订时间修订人修订内容批准人批准日期
编号类型
*修订类型分为A-ADDEDM-MODIFIEDD-DELETED
注:对该文件内容增加、删除或修改均需填写此记录,详细记载变更信息,以保证其可追
溯
第一章总则
第一条为有效实施信息安全管理,保障********信息中心的信息系统安全,在
********信息中心内部建立自己的信息安全管理组织机构V
第二条本办法适用于指导********信息中心建立信息安全管理组织机构和其管理办
法。
第二章信息安全管理组织架构
第三条信息安全管理组织架构是实施系统安全,进行安全管理的必要俣证。根据
********信息中心编制体系现状以及人员结构,********信息中心的信息安全管理组织架
构如下:
********信息中心成立信息安全领导小组。领导小组负责********信息中心范围内信
息安全管理决策等工作,下设两个工作组小组:信息安全工作组、应急处理工作组。
第一节信息安全领导小组
第I四条信息安全是********信息中心工作人员必须共同承担的责任,在********信息
中心建立信息安全领导小组负责本单位信息安全工作的宏观管理。信息安全领导小组是
********信息中心信息安全工作的最高领导决策机构,它不隶属于任何部门,直接对
********信息中心最高领导负责,是一个常设机构。
第五条********信息中心信息安全领导小组负责********信息中心信息安全的总体
规划与决策,并领导****梆**信息中心信息系统安全建设、运行、维护和管理等工作;负
责组织落实上层决策;信息安全领导小组的组长由********信息中心的主要领导担任,并
由信息安全相关各职能部门的主要负责人参加。********信息中心信息安全领导小组的职
责是:
1.信息安仝领导小组负责领导落实********信息中心信息系统安仝建设的总体规
戈IJ,制定********信息中心信息系统安全建设规划。
2.在********信息中心信息系统安全方针和总体策略的指导下,负责组织制定
********信息中心信息系统安全策略。
3.负责组织细化信息安全规章制度,制定相应程序指南,并监督落实规章制度。
4.负责********信息中心信息系统安全管理层以上的人员权限授予工作。
5.负责审阅********信息中心信息安全工作报告;负责衿*****31t信息中心重大安全事
故查处与汇报工作。
第六条*******而言息中心信息安全领导小组成员如卜.:
1.组长:主管单位分管领导
2.副组长:信息中心主管领导
3.成员:相关处室、科室负责人
第二节信息安全工作组
第七条在信息安全领导小组的基础上,********信息中心信息安全管理由信息安全领
导小组成员部门共同完成,包括综合管理科、技术科等等。
第八条********信息中心信息安全工作组主要负责********信息中心的信息安全工
作落实和日常信息安全管理工作。信息安全工作组基本职责是:
1.贯彻执行********信息中心信息安全领导小组的决议,协调和规范信息中心信息
安全工作;
2.根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实;
3.负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设
中的安全规划,监督安全措施的执行;
4.组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防
范对策;
5.负责接受各单位的紧急信息安全事件报告,组织进行事件调查分析原因、涉及范
围,并评估安全事件的严重程度,提出信息安全事件防范措施;
6.及时向信息安仝工作领导小组和上级有关部门、单位报告信息安仝事件;
7.跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作;
8.组织信息中心技术人员和普通员工的安全技术交流与培训;
9.负责信息中心信息系统的安全管理和维护工作;
10.参与信息系统相关的新工程建设和新业务开展的方案论证,并提出安全方面的相
应建议;
11.在信息系统相关的工程验收时,对信息安全方面的验收测试方案进行审查并参与
验收;
12.参加本单位召开的信息安全的重大活动;
13.每月至少组织信息安全工作组成员进行一次********信息中心范围的信息安全巡
检;
14.授权信息安全管理员处理H常工作。
第九条为明确安全职责,应在相关管理部门中指定对信息安全负责的主管,这些主管
共同贯彻执行信息系统安全工作的方针政策、规章制度及有关的技术标准、规范和方案,
并监督安全策略的落实。
第三节应急处理工作组
第十条为保障*******利言息中心信息系统的业务可持续性,确保遭遇任何大型灾难或
故障时关键业务活动能够尽快被恢复,*******4言息中心成立应急处理工作组,是在信息
系统安全事故发生时,启动应急机制,对应急预案进行执行和决策的组织。
第十一条应急处理工作组组长由信息中心的主任担任,副组长由信息中心的副主任
担任,组员由信息安全相关各职能部门的主要负责人参加。********信息中心应急处理工
作组的职责是:
1.负责组织技术紧急事件发生时的应急处理;
2.负责组织单位业务运行、网络以及信息系统安全的监控;
3.负责组织关区安仝保障技术应急措施的培训和演练;
4.负责组织检查单位业务运行、网络以及信息系统安全措施的执行情况;
5.负责对外发布故障情况通报。
第三章安全角色与职责
对于信息系统建设和运行维护的具体执行,设立相应的安全管理岗位,下面定义了相
应的安全角色和职责,其具体描述如下:
第十二条安全管理员
1.负责单位信息系统信息安全工作的具体实施和有关信息安全问题的处理,根据信
息安全事件的处理情况和对网络系统安全检测的结果,提交事件处理报告;
2.根据单位信息系统安全需求,定期提出网络系统安全整改意见,上报信息安全工
作组领导;
3.组织单位定期的信息安全巡检,并在其他管理员的协助下建立完整的安全巡检报
告,及时向组长提交报告,汇报网络的信息安全现状;
4.指导和监督单位内其他管理员和普通用户与安全相关的工作,为他们的安全改进
提供建议;
5.监控单位专网信息系统的安全需求变化,及时获取来自其他管理员和普通用户的
安全意见,进行必要的安全策略体系修订;
6.负责信息系统安全项目在单位专网的推广应用,参与单位专网信息安全应用项目
和产品的开发与选型;
7.负责单位专网计算机系统病毒防治;
8.协助解决单位信息系统安全突发事件,负责重大事件的上报;
9.发布单位内部信息安全通报及安全预警。
10.信息安全工作组涉及的岗位职责,处理信息安全工作组核准的其它事务。
第十三条系统管理员
1.负责主机操作系统的安全配置(包括及时修补系统漏洞)和日常审计,系统应用
软件的安装,从系统层面实现对用户与资源的访问控制。
2.协助安仝管理员制定主机操作系统的安仝配置规则,并落实执行。
3.负责主机设备的日常管理与维护,保持系统处于良好的运行状态。
4.为安全审计员提供完整、准确的主机系统运行活动的日志记录。
5.在主机系统异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,
并及时上报。
6.编制主机设备的维修、报损、报废计划,报主管领导审核。
7.主机系统管理员要熟悉单位信息中心内所使用的各个主机系统,并具有完成上述
工作职能的技术能力。
第十四条网络管理员
1.负责网络的部署以及网络产品、网络安全产品的配置、管理与监控,并对关键网
络配置文件进行备份,及时修补网络设备的漏洞。
2.协助安全管理员制定网络设备安全配置规则,并落实执行。
3.为安全审计员提供完整、准确地记录重要网络设备和网站运行活动的运行日志。
4.在网络及设备异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,
并及时上报。
5.编制网络设备的维修、报损、报废等计划,报主管领导审核。
6.网络管理员要熟悉单位信息中心的网络状况,熟悉主流的网络产品、安全产品,
并具有完成上述工作职能的技术能力。
第十五条安全审计员
1.负责定期对主机系统、网络产品、应用系统的日志文件进行分析审计,发现问题
及时上报。
2.负责对信息安全保障管理活动进行独立的监督,提供内部独立的审计和评估工作,
并根据需要可以协同外部审计评估机构进行评估和认证,为决策领导提供信息系
统和信息安全保障执行状况的客观评价。
3.安全审计员要熟悉单位信息中心的网络情况,熟悉主机系统、网络产品、网络安
全产品,并具有完成上述业务职能的技术能力。
第十六条机房管理员
1.负责制定和执行适当的物理安全控制。
2.主要负责非技术性的、常规的安仝工作,如机房安仝,验证出人机房的手续和多
项规章制度的落实。
第四章信息安全管理岗位设置
第十七条信息系统运维管理部门职责分工
负责单位信息系统的信息安全管理工作,内部计算机系统、软硬件及网络设备的日常
维护管理工作。
第十八条安全管理员岗位
设置1个安全管理员岗位,由信息中心信息安全岗位人员担任。
第十九条安全审计员岗位
设置1个安全审计员囱位,由信息中心综合管理岗位人员担任。
第二十条系统管理员岗位
设置1个系统管理员岗位,由信息中心系统维护岗位人员担任。
第二十一条网络管理员岗位
设置1个网络系统管理员岗位,由信息中心网络运行维护岗位人员担任。
第二十二条机房管理员
设置1个机房管理员岗位,由技信息中心房环境管理岗位人员担任。
第五章安全管理机构工作制度
第一节授权与审批制度
第二十三条当系统发生变更,进行重要操作,执行物理访问和系统接入时需经过
信息中心领导的审批。
第二十四条根据各个部门和岗位的职责制定授权审批事项,各项授权与审批事项
应经过指定的部门和人员进行授权和审批。具体审批事项见附件1《授权审批事项列表》。
第二十五条要定期授权与审批事项列表进行审批,及时更新授权和审批的项目、
审批部门和审批人等信息V
第二十六条要对审批过程进行记录并保存审批文档。
第二十七条要对不再适用的权限及时取消授权的记录
第二节沟通和合作制度
第二十八条信息中心各个部门应该定期进行信息安全方面的会议,研究********
信息中心审计发现存在的安全隐患,协作处理信息安全问题。
第二十九条信息中心应加强与各相关单位沟通与合作,完善信息中心网络信息安
全建设。
第三十条聘请信息安全专家团队提供常年的安全顾问服务,指导********信息中心
信息安全的规划与建设。
第六章附则
第三H^一条本规定由********负责解释。
第三十二条本规定自发布之日起实行。
第七章附件
附件1:
《授权审批事项列表》
发布时间:
序号需审批的事项审批部门/人审批程序
>系统安装调试场地应该受控制并由使用部门人员陪同,必
须保证与在线运行的应用系统隔离或远离应用系统,避免重大
问题的发生;
>系统安装调试尢误后,使用部门人员填写《系统上线申请
授权审批表》,经部门负责人批准后,报信息系统运行管理部门
审批;
1.系统投入使用
>审批同意后,系统安装调试人员、使用部门人员协同信息
安全管理员对系统各项安全情况进行检查。不符合信息中心安
全要求的责令使用的门调整,直到符合信息中心安全规定才签
字批准;
>所有审批完成,系统上线执行人员才可以进行系统上线工
作:
>各应用系统部门如需要增加设置或修改网络访问控制策略
必须经过授权,由需求单位填写《网络访问控制策略变更审批
表》(参见附表),经信息管理部门负责人批准后实施;
2.访问控制变更>网络管理员应依据经过批准的访问控制策略进行网络访问
控制的设置和修改;
>只有网络管理员和网络安全审计员才有权登录网络设备,
发生人员变更后,应及时更改网络设备账户和口令设置;
>应用系统管理员、审计员账户的授权由系统运行维护单位
应用系统管理填写《应用系统账户授权审批表》(参见附表);
3.员、审计员账户>经信息系统运行管理部门负责人批准后进行设置;
设置>应用系统管理员与审计员应根据角色给予不同权限;
>信息安全员确保相应账户是职责所需最小权限;
>用于业务应用的账户的授权由使用单位填写《业务应用的
账户授权审批表》(参见附表);
业务应用的账
4.>经业务管理部门及信息系统运行管理部门负责人批准后,
户设置
由应用系统管理员进行设置;
>信息安仝员确保相应账户是职责所需最小权限;
>防火墙配置要求人员与单位填写《防火墙配置变更审批表》
防火墙配置变(参见附表);
5.
革审批>防火墙设备安全规则的设置、更改,应该得到信息系统运
行管理部门负责人的批准,由系统管理员具体负责实施;
>需要远程访问的人员提交策略的制定、修改应提出申请,
远程访问控制
6.填写《访问策略变更审批表》;
审批
>经信息中心领导审批同意后方可按照策略制定、修改有关
设设备备的的配配置置,,并并要求做做好好相相关关的的记记录录;;
附件2:
《系统上线申请授权审批表》
申请部门责任人
联系电话申请日期
信息系统业务描述
信息系统申请权限要求(网络名称/IP范围、访问资源、需要开发端口):
申请部门意见:信息管理部门意见:
签名:日期:签名:日期:
信息安全人员系统安全意见:
签名:日期:
其他设置
执行人执行日期
附件3:
《网络访问控制策略变更审批表》
申请部门责任人
联系电话申请日期
授权□新增策略授权起始日期:
性质□策略变更期限结束日期:
申请权限要求(网络名称/IP范围、访问资源、访问方式、访问目的等):
申请理由:
申请部门意见:信息管理部门意见:
签名:日期:签名:日期:
执行记录
控制名称控制目的
源地址目标地址访问权限设置
其他设置
执行人执行日期
附件:4:
《应用系统账户授权审批表》
姓名工号申请日期
部门班组联系电话
授权□新开账户授权起始日期:
性质□权限变更期限结束日期:
申请权限要求(应用系统名称、使用资源、使用功能、权限等):
申请理由:
申请部门意见:业务管理部门意见:信息系统运行管理部门意见:
签名:日期:签名:日期:签名:日期
执行记录
账户名应用系统名主机型号
资源名称权限设置
其他设置
执行人执行日期
附件5:
《业务应用的账户授权审批表》
姓名工号中请日期
部门班组联系电话
授权□新开账户授权起始日期:
性质□权限变更期限结束日期:
申请权限要求(应用系统名称、使用资源、使用功能、权限等):
申请理由:
申请部门意见:业务管理部门意见:信息系统运行管理部门意见:
签名:日期:签名:日期:签名:日期
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 四川省宜宾市兴文县2024-2025学年九年级上学期语文期中试卷(含答案)
- 2026年春季中科院兰州化物所拟录取入学博士研究生(甘肃)易考易错模拟试题(共500题)试卷后附参考答案
- 2026年承德市承德县事业单位招考及易考易错模拟试题(共500题)试卷后附参考答案
- 2026年德州市齐河县招考聘任制专业性人才易考易错模拟试题(共500题)试卷后附参考答案
- 2026年应急管理部所属事业单位第二次招聘易考易错模拟试题(共500题)试卷后附参考答案
- 2026年广西贵港桂平市人民政府办公室招聘6人易考易错模拟试题(共500题)试卷后附参考答案
- 2026年广西河池市天峨县住房和城乡建设局招聘政府购买人员易考易错模拟试题(共500题)试卷后附参考答案
- 2026年管网施工安全规范试题及答案
- 应急疏散演练2026年培训试卷(附答案)
- 2026年车辆制动系统检查试题及答案
- 2026年地方病副高考试试题及答案解析
- 围手术期血糖管理专家共识
- 梦幻西游账号交易签合同
- 减少我们的碳排放课件2025-2026学年统编版四年级上册道德与法治
- Agent专题报告-MiroFish实测:多智能体宏观与行业趋势推演
- 林业工人考试题库(附答案)
- 卫生院统方管理制度
- 投资项目财务测算课件
- 学校冷冻食品配送投标方案
- 2025义务教育科学新课标课程标准考试真题及答案
- 广东省中山市统编版2024-2025学年四年级下册期末考试语文试卷(含答案)
评论
0/150
提交评论