信息安全管理組織機構(gòu)和管理策略

信息安全管理組織機構(gòu)和管理策略織機構(gòu)和人員、信息安全策略。信息安全組織機構(gòu)信息安全組織機構(gòu)是信息安全管理工作的基礎，有效的組織、領導、管理與控制機構(gòu)才能有效的貫徹和落實信息安全工作的內(nèi)容。信息安全工作管理機構(gòu)信息安全領導小組安全咨詢機構(gòu)信息安全領導小組安全咨詢機構(gòu)信息安全工作組信息安全中心安系網(wǎng)緊安全統(tǒng)絡急全主分安響審管析全應計員員小組圖5-1信息安全工作管理機構(gòu)的設置信息安全管理機構(gòu)職位和責任規(guī)劃說明如下：信息安全領導小組——由高層領導組成的委員會，對于網(wǎng)絡安全方面的重大問題做出決策，并支持和推動信息安全工作的實施。信息安全工作組——以一個專門的信息安全工作組，負責整個信息系工作組中至少應配置以下崗位：安全主管：第一負責人，對所有的信息安全相關的工作進行管理，并協(xié)調(diào)信息安全事件的調(diào)查與處理；系統(tǒng)分析員：負責系統(tǒng)安全情況的分析和整理；網(wǎng)絡安全員：負責網(wǎng)絡系統(tǒng)的安全管理、協(xié)調(diào)和技術指導；緊急響應小組：負責監(jiān)控入侵檢測設備，并對投訴的、上報的和發(fā)現(xiàn)的等等各種安全事件進行響應；安全審計：負責按照安全績效考核標準進行安全審計管理、工作監(jiān)督和指導。安全咨詢機構(gòu)，聘請信息安全專家作為技術支持資源和管理咨詢，向安全領導小組提供建議，審核信息安全解決方案，向信息安全工作組提供工作指導。產(chǎn)品，指導系統(tǒng)安全管理、網(wǎng)絡安全管理、緊急響應等工作。信息安全責任文件形式確定下來，并以此作為檢查和監(jiān)督的依據(jù)。信息安全培訓與資質(zhì)認證網(wǎng)絡管理員和專職的信息安全工作人員必須通過信息安全培訓和資質(zhì)認證。通過培訓提高網(wǎng)管人員和信息安全工作人員的安全技能，為快速的判斷信息安全問題，采取控制措施，解決問題提供條件。資質(zhì)認證是衡量網(wǎng)絡管理人員和信息安全工作人員專業(yè)素質(zhì)的尺度之一。信息安全監(jiān)督和考核機構(gòu)須進行監(jiān)督和考核。信息安全監(jiān)督和考核機構(gòu)按照一定的監(jiān)督和考核辦法對信息安全工作的執(zhí)和考核的技術能力。電網(wǎng)企業(yè)應當制定明確評價準則，對信息安全工作進行監(jiān)督和考核。信息安全管理策略息安全策略的發(fā)布和保持來證明對信息安全建設的支持與承諾。信息安全策略體系和人員職責、操作流程、用戶協(xié)議等構(gòu)成，這幾部分間的關系圖示如下：圖5-2策略文檔體系結(jié)構(gòu)信息安全總方針信息安全總方針，是信息安全的綱領性策略文件。主要陳述策略文件的目的、適用范圍、信息安全的管理意圖、支持目標以及指導原則，信息安全各個方面所應遵守的原則方法和指導性策略。策略結(jié)構(gòu)中的其它部分都是從信息安全總方針引申出來，并遵照總方針，不發(fā)生抵觸或違背其中的指導思想。技術標準和規(guī)范采購、項目評審、日常安全管理和維護過程中必須遵照的標準，不允許發(fā)生違背和沖突。技術標準和規(guī)范向上符合、落實信息安全總方針，向下延伸到安全操作流程，作為安全操作流程的依據(jù)。管理制度和規(guī)定管理制度和規(guī)定是對安全方針中提出的原則方法和指導性策略的落實，包括具體管理規(guī)定、管理辦法和實施辦法，是必須具有可操作性，而且必須得到有效推行和實施的安全管理策略。信息安全管理制度和規(guī)定向上遵照信息安全總方針，向下延伸到用戶簽署的文檔和協(xié)議。用戶協(xié)議必須遵照管理規(guī)定和管理辦法，不得與之發(fā)生違背。機構(gòu)和人員職責安全操作流程安全操作流程，詳細規(guī)定主要業(yè)務應用和事件處理的流程和步驟，和相而且必須得到有效推行和實施的。用戶協(xié)議用戶協(xié)議指用戶簽署的文檔和協(xié)議，包括安全管理人員、網(wǎng)絡和系統(tǒng)管理員等的安全責任書、保密協(xié)議、安全使用承諾等。作為員工或用戶對日常工作中的遵守安全規(guī)定的承諾，也作為安全違背時處罰的依據(jù)