信息安全管理組織機(jī)構(gòu)和管理策略

信息安全管理組織機(jī)構(gòu)和管理策略信息安全管理是深度防護(hù)體系的核心內(nèi)容，根據(jù)深度防護(hù)對(duì)象和電網(wǎng)企業(yè)的組織結(jié)構(gòu)分析，企業(yè)公司信息安全深度防護(hù)體系中信息安全管理包括的內(nèi)容有組織機(jī)構(gòu)和人員、信息安全策略。信息安全組織機(jī)構(gòu)信息安全組織機(jī)構(gòu)是信息安全管理工作的基礎(chǔ)，有效的組織、領(lǐng)導(dǎo)、管理與控制機(jī)構(gòu)才能有效的貫徹和落實(shí)信息安全工作的內(nèi)容。信息安全工作管理機(jī)構(gòu)信息安全領(lǐng)導(dǎo)機(jī)構(gòu)是信息安全工作的最高管理機(jī)構(gòu)，負(fù)責(zé)信息安全工作的組織、協(xié)調(diào)和管理。企業(yè)公司信息安全深度防護(hù)體系中，對(duì)信息安全工作管理機(jī)構(gòu)的設(shè)置圖示如下：信息安全領(lǐng)導(dǎo)小組信息安全領(lǐng)導(dǎo)小組信息安全工作組系統(tǒng)分析員安全咨詢(xún)機(jī)構(gòu)網(wǎng)絡(luò)安全員緊急響應(yīng)小組安全審計(jì)信息安全中心安全主管圖5-1信息安全工作管理機(jī)構(gòu)的設(shè)置信息安全管理機(jī)構(gòu)職位和責(zé)任規(guī)劃說(shuō)明如下：信息安全領(lǐng)導(dǎo)小組——由高層領(lǐng)導(dǎo)組成的委員會(huì)，對(duì)于網(wǎng)絡(luò)安全方面的重大問(wèn)題做出決策，并支持和推動(dòng)信息安全工作的實(shí)施。信息安全工作組——以一個(gè)專(zhuān)門(mén)的信息安全工作組，負(fù)責(zé)整個(gè)信息系統(tǒng)的安全工作，信息系統(tǒng)運(yùn)行管理部門(mén)是信息安全工作組的骨干力量，工作組中至少應(yīng)配置以下崗位：安全主管：第一負(fù)責(zé)人，對(duì)所有的信息安全相關(guān)的工作進(jìn)行管理，并協(xié)調(diào)信息安全事件的調(diào)查與處理；系統(tǒng)分析員：負(fù)責(zé)系統(tǒng)安全情況的分析和整理；網(wǎng)絡(luò)安全員：負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)的安全管理、協(xié)調(diào)和技術(shù)指導(dǎo)；緊急響應(yīng)小組：負(fù)責(zé)監(jiān)控入侵檢測(cè)設(shè)備，并對(duì)投訴的、上報(bào)的和發(fā)現(xiàn)的等等各種安全事件進(jìn)行響應(yīng)；安全審計(jì)：負(fù)責(zé)按照安全績(jī)效考核標(biāo)準(zhǔn)進(jìn)行安全審計(jì)管理、工作監(jiān)督和指導(dǎo)。安全咨詢(xún)機(jī)構(gòu)，聘請(qǐng)信息安全專(zhuān)家作為技術(shù)支持資源和管理咨詢(xún)，向安全領(lǐng)導(dǎo)小組提供建議，審核信息安全解決方案，向信息安全工作組提供工作指導(dǎo)。條件許可的話(huà)，建立信息安全管理中心，負(fù)責(zé)監(jiān)控信息安全狀況，管理安全產(chǎn)品，指導(dǎo)系統(tǒng)安全管理、網(wǎng)絡(luò)安全管理、緊急響應(yīng)等工作。信息安全責(zé)任文件在高層領(lǐng)導(dǎo)和信息安全領(lǐng)導(dǎo)小組的支持下，由信息安全工作組編制所有相關(guān)部門(mén)和人員的信息安全責(zé)任書(shū)，將與涉及信息安全的各方面人員的責(zé)任以書(shū)面的形式確定下來(lái)，并以此作為檢查和監(jiān)督的依據(jù)。信息安全培訓(xùn)與資質(zhì)認(rèn)證網(wǎng)絡(luò)管理員和專(zhuān)職的信息安全工作人員必須通過(guò)信息安全培訓(xùn)和資質(zhì)認(rèn)證。通過(guò)培訓(xùn)提高網(wǎng)管人員和信息安全工作人員的安全技能，為快速的判斷信息安全問(wèn)題，采取控制措施，解決問(wèn)題提供條件。資質(zhì)認(rèn)證是衡量網(wǎng)絡(luò)管理人員和信息安全工作人員專(zhuān)業(yè)素質(zhì)的尺度之一。信息安全監(jiān)督和考核機(jī)構(gòu)信息安全工作是電網(wǎng)企業(yè)生產(chǎn)活動(dòng)的內(nèi)容之一，信息安全工作的執(zhí)行情況必須進(jìn)行監(jiān)督和考核。信息安全監(jiān)督和考核機(jī)構(gòu)按照一定的監(jiān)督和考核辦法對(duì)信息安全工作的執(zhí)行情況進(jìn)行審核，確保安全工作確實(shí)得到了執(zhí)行和落實(shí)。信息安全監(jiān)督和考核機(jī)構(gòu)應(yīng)當(dāng)由高層管理人員負(fù)責(zé)，包括技術(shù)專(zhuān)家或技術(shù)骨干，具備進(jìn)行信息安全監(jiān)督和考核的技術(shù)能力。電網(wǎng)企業(yè)應(yīng)當(dāng)制定明確評(píng)價(jià)準(zhǔn)則，對(duì)信息安全工作進(jìn)行監(jiān)督和考核。信息安全管理策略企業(yè)公司信息安全深度防護(hù)體系中，信息安全管理策略為信息安全工作提供指導(dǎo)和支持。電網(wǎng)企業(yè)應(yīng)根據(jù)自身企業(yè)特點(diǎn)制定信息安全管理策略，并通過(guò)對(duì)信息安全策略的發(fā)布和保持來(lái)證明對(duì)信息安全建設(shè)的支持與承諾。信息安全策略體系信息安全策略體系由總方針、技術(shù)標(biāo)準(zhǔn)和規(guī)范、管理制度和規(guī)定、組織機(jī)構(gòu)和人員職責(zé)、操作流程、用戶(hù)協(xié)議等構(gòu)成，這幾部分間的關(guān)系圖示如下：圖5-2策略文檔體系結(jié)構(gòu)信息安全總方針信息安全總方針，是信息安全的綱領(lǐng)性策略文件。主要陳述策略文件的目的、適用范圍、信息安全的管理意圖、支持目標(biāo)以及指導(dǎo)原則，信息安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。策略結(jié)構(gòu)中的其它部分都是從信息安全總方針引申出來(lái)，并遵照總方針，不發(fā)生抵觸或違背其中的指導(dǎo)思想。技術(shù)標(biāo)準(zhǔn)和規(guī)范技術(shù)標(biāo)準(zhǔn)和規(guī)范指基礎(chǔ)網(wǎng)絡(luò)設(shè)施與通信、安全域邊界和內(nèi)部計(jì)算環(huán)境保護(hù)中必須遵守的標(biāo)準(zhǔn)和規(guī)范。技術(shù)標(biāo)準(zhǔn)和規(guī)范是深度防護(hù)對(duì)象的安裝、配置、采購(gòu)、項(xiàng)目評(píng)審、日常安全管理和維護(hù)過(guò)程中必須遵照的標(biāo)準(zhǔn)，不允許發(fā)生違背和沖突。技術(shù)標(biāo)準(zhǔn)和規(guī)范向上符合、落實(shí)信息安全總方針，向下延伸到安全操作流程，作為安全操作流程的依據(jù)。管理制度和規(guī)定管理制度和規(guī)定是對(duì)安全方針中提出的原則方法和指導(dǎo)性策略的落實(shí)，包括具體管理規(guī)定、管理辦法和實(shí)施辦法，是必須具有可操作性，而且必須得到有效推行和實(shí)施的安全管理策略。信息安全管理制度和規(guī)定向上遵照信息安全總方針，向下延伸到用戶(hù)簽署的文檔和協(xié)議。用戶(hù)協(xié)議必須遵照管理規(guī)定和管理辦法，不得與之發(fā)生違背。機(jī)構(gòu)和人員職責(zé)機(jī)構(gòu)和人員職責(zé)策略指安全管理機(jī)構(gòu)組織形式和運(yùn)行方式、機(jī)構(gòu)和人員的具體責(zé)任的定義策略。組織機(jī)構(gòu)和人員職責(zé)從信息安全總方針中延伸出來(lái)，其具體執(zhí)行和實(shí)施由管理規(guī)定、技術(shù)標(biāo)準(zhǔn)規(guī)范、操作流程和用戶(hù)手冊(cè)來(lái)落實(shí)。安全操作流程安全操作流程，詳細(xì)規(guī)定主要業(yè)務(wù)應(yīng)用和事件處理的流程和步驟，和相關(guān)注意事項(xiàng)。作為具體工作中的具體依照，安全操作流程必須具有可操作性，而且必須得到有效推行和實(shí)施的。用戶(hù)協(xié)議用戶(hù)協(xié)議指用戶(hù)簽署的文檔和協(xié)議，包括安全管理人員、網(wǎng)絡(luò)和系統(tǒng)管理員等的安全責(zé)任書(shū)、保密協(xié)議、安全使用承諾等。作為員工或用戶(hù)對(duì)日常工作中的遵守安全規(guī)定的承諾，也作為安全違背時(shí)處罰的依據(jù)。有效發(fā)布和執(zhí)行安全策略信息安全策略文件制定后，必須有效發(fā)