信息安全管理制度建设
1、建立信息安全组织机构
(1)信息安全领导小组
- 信息安全领导小组是信息安全的最高决策机构,主要工作职责是批准信息安全总体策略规划、管理规范和技术标准;
- 信息安全领导小组下设信息安全工作办公室,负责信息安全领导小组的日常事务;
- 确定信息安全工作职责,指导、监督信息安全工作;
- 信息安全领导小组组长由信息安全主管领导担任,信息安全领导小组成员由负责人、相关工作人员及其他部门负责信息安全工作的相关人员组成;
- 信息安全领导小组的成立由组织正式发文,并说明信息安全领导小组工作职责和各成员工作职责;
(2)信息安全工作办公室
工作任务
- 承担组织信息系统的建设、管理、运行维护和安全保密等工作;
- 负责组织局域网和应用系统的运行维护工作;
- 对组织信息系统建设、运行、维护提供技术指导和技术咨询服务;
安全职责
信息安全技术工作
- 贯彻落实国家信息安全政策和技术规范;编制组织发展计划,管理组织信息系统项目;承担组织信息系统建设、管理、运行维护等工作;负责技术资料管理工作。
- 负责组织信息安全测评体系、信息保护和网络信任体系、信息安全监控体系、信息安全应急响应与服务体系建设;
- 负责网络接入、信息产品应用和设备维护服务;参与应用系统、公共服务系统等建设、管理和运行维护工作。
信息安全管理工作
- 负责协调和规范信息安全工作;
- 负责信息安全工作进行具体安排、落实;
- 组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并执行;
- 负责协调、督促福鼎市医院的信息安全工作,负责信息系统工程建设中的安全规划,安全措施的执行;
- 组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;
- 负责重要信息安全事件报告,组织进行事件调查,分析原因、安全处置,并评估安全事件的严重程度,提出信息安全事件防范措施;
- 及时报告信息安全事件。
- 跟踪先进的信息安全技术,为信息安全知识的培训工作提供技术支持。
(3)信息安全应急处置工作
- 制定信息系统网络与信息系统的安全应急策略及应急预案;
- 决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统;
- 每年组织对信息安全应急策略和应急预案进行测试和演练。
2、明确安全岗位职责
��� 信息安全负责人岗位设置按信息系统安全职能划分为信息安全工作办公室主任、安全管理员、内容管理员、网络管理员、系统管理员和安全审计员。各信息安全岗位设置以及职责划分可参照下表:
表2-1 安全岗位职责分配表
| 安全岗位 |
职责范围 |
| 信息安全工作办公室主任 |
1.负责整体信息安全管理工作;
2.负责信息安全工作的总体方针和安全策略规划;
3.负责人员配备规划和安全管理;
4.负责定期组织相关部门和相关人员对安全管理体系的合理性和实用性进行审定,组织开展对存在不足或需要改进的安全管理制度进行修订工作。 |
| 安全管理员 |
1.负责信息安全工作的具体实施和有关信息安全问题的整体协调处理,根据信息安全事件的处理情况和结果,向信息安全主管提交信息安全事件处置报告;
2.负责定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞提出修补要求;
3.负责定期对主机系统进行漏洞扫描,对发现的主机系统安全漏洞提出修补要求;
4.定期进行安全检查,检查物理安全、网络安全、系统安全和数据安全及备份恢复相关安全措施和巡检落实情况;
5.指导和监督其他安全负责人相关安全措施实施工作,为他们的安全改进提供建议;
6.负责涉及信息安全和信息安全主管核准的其它事务。 |
| 网络管理员 |
1.负责网络系统的管理工作,保证网络系统处于良好的运行状态;
2.负责对网络系统的安全策略配置、日志分析和日常操作工作;
3.负责网络建设方案设计、工程实施、测试验收和系统交付管理工作;
4.负责整体网络架构规划、网络策略制定、网络安全审计、网络设备防护等安全管理工作;
5.负责网络入侵防范和网络恶意代码防范措施和管理;
6.负责定期对网络系统、安全设备进行漏洞扫描,形成漏洞扫描报告,对所发现的漏洞进行及时的修补,并形成漏洞修补报告;
7.指导和监督网络运行维护相关安全措施实施工作,为网络运行维护的安全改进提供建议;
8.负责网络安全管理工作的其它事务。 |
| 系统管理员 |
1.负责主机和应用的管理工作,保证主机系统和应用系统处于良好的运行状态;
2.负责对主机系统和应用系统的安全策略配置、日志分析和日常操作工作;
3.负责应用系统建设方案设计、工程实施、测试验收和系统交付管理工作;
4.负责落实主机操作系统、数据库管理系统和应用系统安全措施实施管理工作;
5.负责主机系统和应用系统的恶意代码防范措施和管理;
6.负责定期对主机系统和应用系统进行漏洞扫描,形成漏洞扫描报告,对所发现的漏洞进行及时的修补,并形成漏洞修补报告;
7.指导和监督主机系统和应用系统运行维护相关安全措施实施工作,为主机系统和应用系统运行维护的安全改进提供建议;
8.负责主机系统和应用系统安全管理工作的其它事务。 |
| 安全审计员 |
1.负责对涉及系统安全的事件和各类操作人员的行为进行审计和监督;
2.负责对我单位各类信息系统产生的日志记录进行定期审计与监督;
3.负责对我单位信息系统数据备份的情况进行审计与监督;
4.负责组织协调各相关人员对审计过程中发现的相关问题进行及时修复。 |
| 内容管理员 |
1.负责日常信息内容发布的管理工作
2.负责我单位信息资产的管理工作;
3.负责保管每天运营生产系统的数据备份资料载体及产生的相关书面文档;
4.信息系统方案文档(如:施工规划、网络设计、软件设计、硬件设计、安全设计、网络拓扑、网络布线等文档资料)的整理收藏工作;
5.负责软硬件系统、设备的技术资料(如:产品手册、使用手册、相关单据等)整理汇总保管;
6.其他有关的文档管理(如:各种工作规章制度、申请/审批记录、培训计划、办公文件归档等)。 |
3、管理制度体系建设
以下表的制度作为参考依据,构建完善的管理制度体系:
表2-2 信息安全管理体系制度清单
| 序号 |
文件名称 |
文件等级 |
文件主要内容 |
| 1 |
信息安全工作总体方针 |
一级 |
信息安全工作总体方针,为纲领性文件,概要说明机构安全工作的总体目标、范围、原则和安全框架等。 |
| 2 |
信息安全管理制度体系文件管理办法 |
二级 |
文件规范了体系文件的编制与修订职责、分类、编号、字体字号、编制、审核、批准、发布、保管管理、借阅和复制、修订、作废和评审的要求;规范了记录表单的编号、编制、监督与检查、存储保管、查阅与借阅、作废等要求;规范了信息安全管理体系管理评审活动程序,明确管理评审的目的和作用,确认管理评审的输入材料和输出材料。 |
| 3 |
信息安全管理体系职责 |
一级 |
本文件对信息安全管理机构及人员责任给予定义,通过清晰的责任界定以保证信息安全方针得到有效的贯彻,保障信息安全管理活动的有序进行;包含安全管理机构(信息安全领导小组、安全管理机构职责、机构部门设置)、安全岗位职责(信息安全主管、安全管理负责人、物理安全负责人、网络安全负责人等)、授权与审批、沟通与合作、审核与检查等要求; |
| 4 |
人员安全管理制度 |
二级 |
本文件规范了单位从人员录用、人员离岗、人员岗位调动、人员考核、人员惩戒、人员安全意识教育与技能培训、第三方人员访问的安全管理、第三方人员安全保密管理、第三方人员安全操作管理的要求。 |
| 5 |
安全培训与考核管理制度 |
二级 |
本文件规范了信息安全培训的要求、培训的内容、培训的管理(发起和实施)等要求。 |
| 6 |
信息系统建设管理制度 |
二级 |
本文件规范了信息系统建设的整个生命周期,分别从工程实施建设前、建设过程及建设完毕交付等三方面做出规定,具体包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择等方面的管理要求。 |
| 7 |
软件开发和实施安全管理制度 |
二级 |
本文件规范了自行软件开发安全管理、外包软件开发安全管理、工程实施安全管理等方面要求。 |
| 8 |
机房安全管理制度 |
二级 |
本文件规范了机房安全管理要求,包括机房环境安全管理、设备安全管理、机房出入管理、机房保密管理、施工管理、安全检查等方面的要求。 |
| 9 |
办公计算机安全管理制度 |
二级 |
本文件规范了办公PC信息安全基本要求、使用网络相关规定、监督与检查等方面的要求。 |
| 10 |
资产管理制度 |
二级 |
本文件规定了信息系统资产管理的责任部门,并规范资产的识别、赋值、管理、以及笔记本管理、存储介质管理、数据资产管理、资产(设备)维护与报废等方面要求。 |
| 11 |
介质管理制度 |
二级 |
本文件规范了各类介质的存放、使用、归还、维护、运输(带出)、报废等方面要求。 |
| 12 |
恶意代码防范管理制度 |
二级 |
本文件规范了恶意代码管理的总体要求,包括安全策略、安全管理、安全报告、病毒响应等要求。 |
| 13 |
帐户与密码管理制度 |
二级 |
本文件规范了账号密码管理的职责、账号安全、密码安全、权限安全、登记管理、安全检查、以及账号申请与审批等要求。 |
| 14 |
变更管理制度 |
二级 |
本文件规范变更的定义、流程、过程职责等要求。 |
| 15 |
网络安全管理制度 |
二级 |
本文件规范网络设备维护管理、安全设备维护管理、网络与安全设备运行管理、网络漏洞管理、备份与恢复等方面要求。 |
| 16 |
系统安全管理制度 |
二级 |
本文件规范服务器的操作系统基本配置管理、网络服务配置管理、补丁与漏洞扫描管理、日志管理、增强性安全配置管理、业务连续性管理等方面要求。 |
| 17 |
数据备份与恢复管理制度 |
二级 |
本文件规范数据备份的职责分工、数据备份与恢复管理方面的要求。 |
| 18 |
信息安全事件处置管理制度 |
二级 |
本文件规范事件定义、分级、分类、发现、处理、上报与总结等要求。 |
| 19 |
应急预案管理制度 |
二级 |
本文件规范应急预案组织与职责、应急预案制定、应急预案启动、应急措施、以及网站方面、黑客攻击、病毒安全、软件系统遭破坏、数据库方面、广域网线路中断、局域网线路中断、设备安全、关键人员不在岗、等方面紧急处置措施等要求。 |
| 20 |
安全监控及审计管理制度 |
二级 |
本文件规范安全监控及审计管理、安全监控及审计内容以及相关分析等要求。 |
| 21 |
网络信息保密管理制度 |
二级 |
本文件规范与信息系统相关的网络信息的安全保密管理内容。 |
