安全管理机构+安全管理制度.docx

1、安全管理机构+安全管理制度关于安全管理机构的管理标准1.引言 本规范作为XX信息通信分公司（以下简称“公司”）信息安全规范的重要组成部分，阐述了公司在安全机构管理方面的基本方法和原则，确定了在信息安全机构管理方面的职责和义务，明确了公司建立安全组织机构、设立要害岗位、授权与审批方面的关系和作用。2.范围本规定适用于指导公司建立信息安全机构，本规定适用于指导公司编制信息安全机构管理办法3.规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用文件，其随后所有的修改单或修订版均不适用于本标准（不包括勘误、通知单），然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件

2、的最新版本。凡未注日期的引用文件，其最新版本适用于本标准信息安全技术信息系统安全保障评估框架（GB/T20274.1-2006）信息安全技术信息系统安全管理要求（GB/T20269-2006）信息安全技术 信息系统安全等级保护基本要求（GBT 22239-2008）本标准未涉及的管理内容，参照国家、电力行业、南方电网公司的有关标准和规定执行。4.总则为规范公司信息安全管理工作，建立健全管理体系和管理机制，需建立健全相应的组织管理体系。建立组织管理体系是为了建立自上而下的信息安全工作管理体系，确定安全管理组织机构的职责，统筹规划、专家决策，以推动信息安全工作的开展。5.信息安全组织体系构架5.1

3、信息安全组织结构公司应设置独立于各部门、各下级机构职责的信息安全工作组，负责全企业范围的信息安全管理、维护和执行工作。信息安全工作组共分为两个小组，形成两层结构：领导小组和工作小组。图表1信息安全工作组结构设立的信息安全领导小组，该小组是信息安全的最高决策机构。信息安全领导小组组长可由分管信息的副总担任，信息安全领导小组的成立应该由相应机构正式发文，并说明领导小组及办事机构的职能和人员组成。工作小组由负责本地的信息安全管理和维护，并向供电局信息安全工作小组反映信息安全执行情况。信息安全工作组基本职责5.1.1根据国家和行业有关信息安全的政策、法律和法规，批准公司计算机信息系统的安全政策；5.1

4、.2根据公司总体安全规划制定企业信息系统建设的详细安全计划并组织实施；5.1.3负责对安全策略体系进行管理和维护，并据此制定信息安全管理制度；5.1.4对各执行工作组提出的工作计划、建议、办法和措施进行决策；5.1.5监督和指导企业范围的信息安全工作的贯彻和实施；5.1.6组织企业全体技术人员和普通员工的安全技术交流与培训；5.1.7直接负责企业信息系统的安全管理和维护工作；5.1.8参与企业信息系统相关的新工程建设和新业务开展的方案论证，并提出安全方面的相应建议；5.1.9在企业信息系统相关的工程验收时，对信息安全方面的验收测试方案进行审查并参与验收；5.1.10参加国家电力行业及省公司召开

5、的信息安全的重大活动；5.1.11每月至少组织信息安全工作组成员进行一次企业范围的信息安全巡检；5.1.12授权信息安全管理员处理日常工作。5.2安全职责的分配信息系统中包括以下信息系统安全责任人和维护人。5.3安全责任人5.3.1公司信息部门负责管理网络设备、服务器，以及安全设备，作为底层系统的安全责任人。信息部门可指派网络管理员、服务器管理员、安全设备管理员负责相应的资产；5.3.2公司业务部门负责管理具体业务系统的运行和数据资源的安全性，作为业务系统数据资产的安全负责人；5.3.3公司业务部门负责基于业务使用需要，分配必要的访问权；5.3.4公司和业务部门每年需要审查资产的访问权限。5.

6、4安全维护人a)公司是支持和维护网络与信息资产的人员；b)公司根据所保管的信息的保密类别来确定相应的实物资产的安全管理流程，包括物理保护及程序性保护，以确保网络与信息资产责任人所要求的机密性、完整性和可用性；c)公司应确保适当的安全措施到位，并可以适度向下委派。如若需要，可以确定备用联络人；d)公司应保留责任人的名单；e)公司应通知责任人其所应承担的安全职责。6.岗位的安全职责公司中设立以下岗位角色，分别负责不同的工作内容，确保信息系统的安全运行，岗位人员安排如下：6.1安全管理员主要是指公司安全管理员岗位。其安全职责包括：1)负责信息安全工作的具体实施和有关信息安全问题的处理，根据信息安全事

7、件的处理情况和对网络系统安全检测的结果，提交事件处理报告；2)根据网络系统安全需求，定期提出网络系统安全整改意见，上报信息安全工作组领导；3)组织企业定期的信息安全巡检，并在其他管理员的协助下建立完整的安全巡检报告，及时向组长提交报告，汇报网络的信息安全现状；4)指导和监督其他管理员和普通用户与安全相关的工作，为他们的安全改进提供建议；5)监控信息系统的安全需求变化，及时获取来自其他管理员和普通用户的安全意见，进行必要的安全策略体系修订；6)信息安全工作组涉及的岗位职责，处理信息安全工作组核准的其它事务。6.2网络管理员主要是指公司网络管理员岗位。其安全职责包括：负责对所管理网络设备的日常运行

8、、管理和维护，保持系统处于良好的运行状态；接受安全管理员的安全整改建议，对网络设备进行必要的安全性增强；参加定期的信息安全巡检，并记录巡检结果，在巡检结束后提交给安全管理员，配合安全管理员完成信息安全巡检报告；在每个网络系统工程验收后，应对工程所涉及的网络设备、网络服务作相应的安全设置，删除设备的测试账号，对需要保留的账号口令重新进行设置，并且在口令的设置上要符合保密性要求；编制网络设备的维修、报损、报废计划，报XX公司相关部门审核；监控信息系统的安全需求变化，及时获取来自其他管理员和普通用户的安全意见，进行必要的安全策略体系修订；信息安全工作组涉及的岗位职责，处理信息安全工作组核准的其它事务

9、。6.3系统管理员主要是指公司的系统管理员岗位。其安全职责包括：负责对所管理的主机系统的日常运行、管理和维护，保持系统处于良好的运行状态；接受安全管理员的安全整改建议，对主机系统进行必要的安全性增强；参加定期的信息安全巡检，并记录巡检结果，在巡检结束后提交给安全管理员，配合安全管理员完成信息安全巡检报告；在每个网络系统工程验收后，对工程所涉及的主机系统作相应的安全设置，删除系统的测试账号，对需要保留的账号口令重新进行设置，并且在口令的设置上要符合保密性要求；编制计算机设备的维修、报损、报废计划，报企业相关部门审核；监控信息系统的安全需求变化，及时获取来自其他管理员和普通用户的安全意见，进行必要

10、的安全策略体系修订；信息安全工作组涉及的岗位职责，处理信息安全工作组核准的其它事务。6.4应用管理员主要是指公司的业务应用系统管理员岗位。其安全职责包括：a)负责对所管理的业务应用系统的日常运行、管理和维护，保持系统处于良好的运行状态；b)接受安全管理员的安全整改建议，对应用系统进行必要的安全性增强；c)参加企业定期的信息安全巡检，并记录巡检结果，在巡检结束后提交给安全管理员，配合安全管理员完成信息安全巡检报告；d)在每个业务应用系统工程验收后，对工程所涉及的业务应用系统作相应的安全设置，删除系统的测试账号，对需要保留的账号口令重新进行设置，并且在口令的设置上要符合保密性要求；e)监控信息系统

11、的安全需求变化，及时获取来自其他管理员和普通用户的安全意见，进行必要的安全策略体系修订；f)信息安全工作组涉及的岗位职责，处理信息安全工作组核准的其它事务。6.5项目管理员主要是指公司的项目管理员岗位。其安全职责包括：负责各公司信息相关项目的项目生命周期管理；审核所管理项目的设计对公司信息安全的影响；审核所管理项目的实施中贯彻设计中信息安全相关的内容；参加信息系统技术事故、安全事件、信息泄密事件等安全事故的事故分析和调查处理。6.6安全联络员安全由企业的各个职能部门各抽取一名员工兼任。其安全职责包括：1)负责企业信息安全策略的宣传，协调部门内部的信息安全执行工作；2)严格遵循企业的安全管理实施

12、指南的相关安全要求；3)配合企业的信息安全巡检，完成信息安全检查工作。6.7资料管理员主要是指公司的资料管理员岗位。其安全职责包括：存放收藏每天运营生产系统的数据备份资料载体及产生的相关书面文档；信息系统方案文档(施工规划、网络设计、软件设计、硬件设计、安全设计、网络拓扑、网络布线、电力布置、卫星天线工程图及技术参数等)的整理收藏工作；每月进行计算机软件载体(光盘、软盘等)以及软件(自行开发的软件源代码、软件设计书、使用说明书等)资料清点工作；中心机房的软硬件系统、设备的技术资料(产品手册、使用手册、相关单据)整理汇总保管；其他有关的文档管理(各种工作规章制度、个人工作日志、培训计划、办公文件

13、归档等)；信息安全工作组涉及的岗位职责，处理信息安全工作组核准的其它事务。6.8终端人员是指企业的办公终端用户。其安全职责包括：1)配合安全管理员进行终端的安全检查和安全加固工作；2)严格遵循企业的安全管理实施指南的相关安全要求；3)配合企业的信息安全巡检，完成信息安全检查工作。7.授权与审批为加强公司信息系统的安全管理工作，规范明确各部门授权与审批方面的工作，贯彻执行授权与审批事项是各项工作顺利开展的基础；审批表单也应有专门人员保存理管。7.1系统投入使用的审批7.1.1系统安装调试场地应该受控制并用使用部门人员陪同，必须保证与在线运行的应用系统隔离或远离应用系统，避免重大问题的发生；7.1

14、.2系统安装调试无误后，使用部门人员填写系统上线申请授权审批表，经部门负责人批准后，报信息系统运行管理部门审批；7.1.3审批同意后，系统安装调试人员、使用部门人员协同信息安全管理员对系统各项安全情况进行检查。不符合公司安全要求的责令使用部门调整，直到符合公司安全规定才签字批准；7.1.4所有审批完成，系统上线执行人员才可以进行系统上线工作；7.2访问控制变更的审批7.2.1各应用系统部门如需要增加设置或修改网络访问控制策略必须经过授权，由需求单位填写网络访问控制策略变更审批表（参见附表），经信息管理部门负责人批准后实施；7.2.2网络管理员应依据经过批准的访问控制策略进行网络访问控制的设置和

15、修改；7.2.3只有网络管理员和网络安全审计员才有权登录网络设备，发生人员变更后，应及时更改网络设备帐户和口令设置；7.3应用系统管理员、审计员账户的审批7.3.1应用系统管理员、审计员账户的授权由系统运行维护单位填写应用系统账户授权审批表（参见附表）；7.3.2经信息系统运行管理部门负责人批准后进行设置；7.3.3应用系统管理员与审计员应根据角色给予不同权限；7.3.4信息安全员确保相应账户是职责所需最小权限；7.4业务应用的账户审批7.4.1用于业务应用的账户的授权由使用单位填写业务应用的账户授权审批表（参见附表）；7.4.2经业务管理部门及信息系统运行管理部门负责人批准后，由应用系统管理

16、员进行设置；7.4.3信息安全员确保相应账户是职责所需最小权限；7.5防火墙配置变革审批防火墙配置要求人员与单位填写防火墙配置变更审批表（参见附表）；防火墙设备安全规则的设置、更改，应该得到信息系统运行管理部门负责人的批准，由系统管理员具体负责实施；7.6远程访问控制审批需要远程访问的人员提交策略的制定、修改应提出申请，填写访问策略变更审批表；经信息部门负责人审批同意后方可按照策略制定、修改有关设备的配置，并要求做好相关的记录；8.沟通与合作沟通让公司了解到国家与行业最新安全发展趋势与动态，为公司信息安全全面、健康发展提供了宝贵意义。公司应该定期进行信息安全方面的会议，研究审计发现存在的安全隐

17、患，协作处理信息安全问题。公司加强与南方电网、兄弟单位、公安机关、电网公司沟通与合作，完善信息安全建设。建立外联单位联系列表，包括外联单位名称、联系人和联系方式、合作内容等信息。聘请信息安全专家团队提供常年的安全顾问服务，指导公司信息安全的规划与建设。9.安全检查公司安全管理员应组织对供电局范围内网络设备、主机、终端等进行定期的信息安全技术巡检，从技术上对不同业务系统或不同部门的设备进行抽样检查，发现普遍存在的安全问题。为了实现安全审计的独立性和公平性，公司可以请第三方的安全服务厂商协助进行定期的信息安全技术巡检，或者组织不同区域的信息部门进行交叉技术巡检。公司安全管理员应组织对企业范围的安全

18、管理状况进行定期的信息安全管理巡检，发现企业安全管理方面存在的问题。为了实现安全审计的独立性和公平性，企业可以请第三方的安全服务厂商协助进行定期的信息安全管理巡检，或者组织不同区域的信息部门进行交叉安全管理巡检。公司安全管理员应至少每月一次通过安全漏洞扫描系统查看整个企业范围的安全漏洞状况，应至少每工作日一次通过入侵检测系统查看企业的安全威胁状况。公司各系统和网络管理员应至少每周一次通过安全漏洞扫描系统自查自己管辖范围内设备和主机的安全漏洞状况。10.附 则1)本办法由XX公司信息通信分公司负责解释。2)本办法自2010年12月01日起施行。3)附 录 相关表格关于安全管理制度的管理标准1引言

19、本标准阐述了XX信息通信分公司（以下简称“公司”）在信息安全管理制度方面的基本任务和管理原则，确定了公司在信息安全管理制度方面的职责和义务，明确了公司信息安全管理制度在编写、制定和发布、评审和修订等过程中应遵守的原则与工作方式及流程。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用文件，其随后所有的修改单或修订版均不适用于本标准（不包括勘误、通知单），然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未注日期的引用文件，其最新版本适用于本标准信息安全技术 信息系统安全保障评估框架（GB/T 20274.1-2006）信息安全技术 信息系统

20、安全管理要求（GB/T 20269-2006 ）信息安全技术 信息系统安全等级保护基本要求（GBT 22239-2008）本标准未涉及的管理内容，参照国家、电力行业、南方电网公司的有关标准和规定执行。3目标总体目标：为贯彻执行国家、地方和本行业有关信息化建设的方针政策，有效保障公司信息系统正常运行。公司信息系统管理的规范化、程序化、制度化，进一步提高管理制度的体系化和制定发布流程的标准化，特制定本制度。为更好的适应公司的企业文化，本标准参照南方电网信息安全管理制度的相关要求，并借鉴了国内外流行标准。具体建设目标：1）建立完整的信息安全管理体系和组织机构，提高信息安全管理的能力，完善各项业务和管

21、理过程中的信息安全措施，确保信息安全管理正规有序。2）建立完整的信息安全运行体系，实现网络系统安全系统的集中管理和透明化监控，提高对突发事件的应急响应处理能力，保证关键业务应用运行的可用性、可依赖性以及故障恢复能力。4术语和定义本标准采用以下术语和定义。制度：对流程具体实施办法的解释，规定必须的关键因素，指明各类表单的填写要求等。流程：一个输入到输出的过程，一般以流程图表示，标识关键环节和关键步骤，明确职责分工；表单：对每个关键环节进行控制的过程文档，表单文件闭环后作为档案文件进行管理。 总体方针第一章 组织与体制构筑确保信息安全所必需的组织与体制，明确其责任与权限。第二章 遵守法令法规遵守与

22、信息安全有关的法令法规，制定并遵守按基本方针所制定的信息安全相关的规定。第三章 信息资产的分类与管理按照重要级别信息资产进行分类，并妥善管理。第四章 培训与教育为使相关人员全面了解信息安全的重要性，适当开展针对性培训与教育教育活动。使他们充分认识信息安全的重要性以及掌握正确的管理方法。第五章 物理性保护为避免非法入侵、干扰及破坏信息资产等事故的发生，对其保管场所与保管办法加以明确。第六章 技术性保护为切实保护信息资产不受来自外部的非法入侵，对信息系统的登录方法、使用限制、网络管理等采取适当的措施。第七章 运用为确保基本方针的实际成效，在对遵守情况进行监督的同时，对违反基本方针时的处置办法及针对

23、来自外部的非法入侵等紧急事态采取的应对措施等加以规定。第八章 评价及复审随着社会环境的变化、技术的进步等，应定期对基本方针与运用方式进行评价与复审。 安全策略第一章 安全管理机构建立组织管理体系是为了建立自上而下的信息安全工作管理体系，确定安全管理组织机构的职责，统筹规划、专家决策，以推动信息安全工作的开展。公司成立信息安全领导小组，是信息安全的最高决策机构，负责研究重大事件，落实方针政策，制定实施策略和原则，开展安全普及教育等。下设办公室挂靠在公司信息中心，负责信息安全领导小组的日常事务。信息安全领导小组下设两个工作组：信息安全工作组、应急处理工作组。第二章 人员安全管理通过建立安全岗位责任

24、制，最大限度降低人为失误所造成的风险。人是决定性因素，人员安全管理的原则是：职责分离、有限授权、相互制约、任期审计。人员安全管理的要素包括：安全管理人员配备、信息系统关键岗位、人员录用、人员离岗、人员考核与审查、第三方人员管理等。信息安全人员的配备和变更情况，应向上一级单位报告、备案。信息安全人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。涉及XX业务核心技术的信息安全人员调离单位，必须进行离岗审计，并在规定的脱密期后，方可调离。第三章 标准化管理应通过公司信息系统内部业务处理、操作流程、信息系统管理和技术等一系列标准化和规范化的过程，应根据系统的安全等级，依照国家相关法律法规及政

25、策标准，建立信息安全的各项管理规范和技术标准，规范基础设施建设、系统和网络平台建设、应用系统开发、运行管理等重要环节，奠定信息安全的基础。第四章 系统建设管理信息系统的安全管理贯穿系统的整个生命周期，系统建设管理主要关注的是生命周期中的前三个阶段（初始、采购、实施）中各项安全管理活动。系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑，具体包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择十一个控制点。第五章 系统运维管理目的是保障信息系统日常运行的安全稳定，对运行环境、技术支持、操作使用

26、、病毒防范、备份措施、文档建立等全方位管理。包括用户管理、运行操作管理、运行维护管理、外包服务管理、有关安全机制保障、安全管理控制平台等方面的管理要素。对运行过程的任何变化，数据、软件、物理设置等，都应实施技术监控和管理手段以确保其完整性，防止信息非法复制、篡改，任何查询和变更操作需经过授权和合法性验证。应急管理也是运维的重要内容，目的是分析信息系统可能出现的紧急事件或灾难，建立一整套应急措施，以保障核心业务的快速恢复和持续稳定运行。应急计划包括应急处理和灾难恢复策略、应急计划、应急计划的实施保障等管理要素。在公司统一的应急规划下，针对信息系统面临的各种应急场景编制相应的应急预案，并经过测试演

27、练修订，同时宣传普及。第六章 物理安全目的是保护计算机设备、设施（含网络）以及信息系统免遭自然灾害和其他形式的破坏，保证信息系统的实体安全。有关物理环境的选址和设计应遵照相关标准，配备防火、防水、防雷击、防静电、防鼠害等机房措施，维持系统不间断运行能力，确保信息系统运行的安全可靠。对重要安全设备的选择，需符合国家相关标准规范，相关证书齐全。严格确定设备的合法使用人，建立详细运行日志和维护记录。第七章 网络安全目的是有效防范网络体系的安全风险，为业务应用系统提供安全、可靠、稳定的网络管理和技术平台。对于依赖网络架构安全的业务应用系统，需根据其安全级别，实施相应的访问控制、身份认证、审计等安全服务

28、机制；在网络边界处，需根据资源的保护等级，实施相应安全级别的防火墙、认证、审计、动态检测等技术，防范信息资源的非法访问、篡改和破坏。第八章 主机安全主机安全包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机，服务器则包括应用程序、网络、web、文件与通信等服务器。主机承载着各种应用，是保护信息安全的中坚力量。主机安全需着重关注和加强身份鉴别、访问控制、恶意代码防范、安全审计、入侵防范几个方面，同时定期或不定期的进行安全评估（含渗透性测试）和加固，实时确保主机的健壮性。第九章 应用安全应用安全成是信息系统整体防御的最后一道防线，

29、目的是保障业务应用系统开发过程及最终产品的安全性。在应用层面运行着信息系统的基于网络的应用以及特定业务应用。基于网络的应用是形成其他应用的基础，是基本的应用；业务应用采纳基本应用的功能以满足特定业务的要求；故最终是保护系统的各种业务应用程序的安全运行。应用系统的总体需求计划阶段，应全面评估系统的安全风险，确定系统的访问控制、身份认证、审计跟踪等安全需求；总体架构设计阶段，应实施安全需求设计，确立安全服务机制、开发人员技术要求和操作规程；应用系统的实现阶段，应全程实施质量控制，防止程序后门，减少代码漏洞；在上线运行之前，应充分进行局部功能、整体功能、压力测试，以及系统安全性能、操作流程、应急方案

30、的测试。第十章 数据安全及备份恢复信息系统处理的各种数据（用户数据、系统数据、业务数据等）在维持系统正常运行上起着至关重要的作用。由于信息系统的各个层面（网络、主机、应用等）都对各类数据进行传输、存储和处理等，因此，对数据的保护需要物理环境、网络、数据库和操作系统、应用程序等提供支持。数据备份也是防止数据被破坏后无法恢复的重要手段，而硬件备份等更是保证系统可用的重要内容。第十一章 应急计划目的是分析信息系统可能出现的紧急事件或灾难，建立一整套应急措施，以保障核心业务的快速恢复和持续稳定运行。应急计划包括应急处理和灾难恢复策略、应急计划、应急计划的实施保障等管理要素。在公司统一的应急规划下，针对

31、信息系统面临的各种应急场景编制相应的应急预案，并经过测试演练修订，同时宣传普及。 职责分工a) 信息安全领导小组领导小组是信息安全的最高决策机构，批准公司信息安全总体策略规划、管理规范和技术标准; 确定公司信息安全各有关部门工作职责，指导、监督信息安全工作。b) 信息安全工作组贯彻执行公司信息安全领导小组的决议，协调和规范公司信息安全工作；组织有关人员进行信息安全制度类文件的编制（包括成立编制小组）、评审、修订、发布、控制，并监督执行。c) 信息安全管理人员信息安全管理人员负责信息安全管理的日常工作；开展信息安全知识的培训和宣传工作，开展信息安全检查工作，对要害岗位人员安全工作进行指导和监督；维护和审查有关安全审计记录，及时发现存在问题，提出安全风险防范对策；及时向信息安全工作领导小组和有关部门、单位报告信息安全事件；并负责信息安全制度类文件的归档、保管