等級(jí)保護(hù)安全管理機(jī)構(gòu)三級(jí)通用測(cè)評(píng)項(xiàng)要求解讀_第1頁(yè)
等級(jí)保護(hù)安全管理機(jī)構(gòu)三級(jí)通用測(cè)評(píng)項(xiàng)要求解讀_第2頁(yè)
等級(jí)保護(hù)安全管理機(jī)構(gòu)三級(jí)通用測(cè)評(píng)項(xiàng)要求解讀_第3頁(yè)
等級(jí)保護(hù)安全管理機(jī)構(gòu)三級(jí)通用測(cè)評(píng)項(xiàng)要求解讀_第4頁(yè)
等級(jí)保護(hù)安全管理機(jī)構(gòu)三級(jí)通用測(cè)評(píng)項(xiàng)要求解讀_第5頁(yè)
已閱讀5頁(yè),還剩2頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

安全管理機(jī)構(gòu)安全管理的重要實(shí)施條件就是有一個(gè)統(tǒng)一指揮、協(xié)調(diào)有序、組織有力的安全管理機(jī)構(gòu),這是網(wǎng)絡(luò)安全管理得以實(shí)施、推廣的基礎(chǔ)。通過(guò)構(gòu)建從單位最高管理層到執(zhí)行層及具體業(yè)務(wù)運(yùn)營(yíng)層的組織體系,可以明確各個(gè)崗位的安全職責(zé),為安全管理提供組織上的保證。安全管理機(jī)構(gòu)針對(duì)整個(gè)管理組織架構(gòu)提出了安全控制要求,涉及的安全控制點(diǎn)包括崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查。崗位設(shè)置為保證安全管理工作的有效實(shí)施,應(yīng)設(shè)立指導(dǎo)和管理網(wǎng)絡(luò)安全工作的委員會(huì)或領(lǐng)導(dǎo)小組及負(fù)責(zé)網(wǎng)絡(luò)安全管理工作的職能部門,并以文件的形式明確安全管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和技能要求。其中,設(shè)置的崗位應(yīng)包括安全主管、安全管理各方面的負(fù)責(zé)人、與系統(tǒng)安全管理有關(guān)的角色等,例如安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員等。應(yīng)成立指導(dǎo)和管理網(wǎng)絡(luò)安全工作的委員會(huì)或領(lǐng)導(dǎo)小組,其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)擔(dān)任或授權(quán)為保證安全管理工作的有效實(shí)施,應(yīng)成立指導(dǎo)和管理網(wǎng)絡(luò)安全工作的委員會(huì)或領(lǐng)導(dǎo)小組。指導(dǎo)和管理網(wǎng)絡(luò)安全工作的委員會(huì)或領(lǐng)導(dǎo)小組負(fù)責(zé)單位網(wǎng)絡(luò)安全管理的全局工作,是單位網(wǎng)絡(luò)安全組織的最高管理層。在一般情況下,一個(gè)機(jī)構(gòu)成立了指導(dǎo)和管理網(wǎng)絡(luò)安全工作的委員會(huì)或領(lǐng)導(dǎo)小組,均需正式發(fā)文通告。通常應(yīng)在單位內(nèi)部結(jié)構(gòu)的基礎(chǔ)上建立一整套從單位最高管理層(網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組并由單位最高領(lǐng)導(dǎo)委任或授權(quán))到執(zhí)行管理層(網(wǎng)絡(luò)安全管理職能部門及安全主管)及系統(tǒng)日常運(yùn)營(yíng)層(系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等)的三層及金字塔式管理結(jié)構(gòu)來(lái)約束和保證各項(xiàng)安全管理措施的執(zhí)行。網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組的主要職責(zé)包括對(duì)安全管理制度體系合理性和適用性的審定、對(duì)單位內(nèi)關(guān)鍵網(wǎng)絡(luò)安全工作進(jìn)行授權(quán)和審批等,最重要的是負(fù)責(zé)單位網(wǎng)絡(luò)安全管理的全局工作。網(wǎng)絡(luò)安全管理職能部門的主要職責(zé)包括單位內(nèi)重要網(wǎng)絡(luò)安全管理工作的授權(quán)和審批、相關(guān)業(yè)務(wù)部門和安全管理部門之間的溝通協(xié)調(diào)、與外部單位的合作、定期對(duì)系統(tǒng)的安全措施落實(shí)情況進(jìn)行檢查,以便發(fā)現(xiàn)問(wèn)題并進(jìn)行改進(jìn)。網(wǎng)絡(luò)安全管理組織架構(gòu),如圖所示。妄仝管理員系:綴管理員網(wǎng)絡(luò)N全紆定,主且卅絡(luò)旨半苣埠抿眾部3賀妄仝管理員系:綴管理員網(wǎng)絡(luò)N全紆定,主且卅絡(luò)旨半苣埠抿眾部3賀H二豈辰鬲管浬匡日背運(yùn)唯層撫訂営:甲匸應(yīng)設(shè)立網(wǎng)絡(luò)安全管理工作的職能部門,設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位,并定義各負(fù)責(zé)人的職責(zé)網(wǎng)絡(luò)安全管理工作的職能部門是單位的執(zhí)行管理層,一般負(fù)責(zé)單位內(nèi)重要網(wǎng)絡(luò)安全管理工作的授權(quán)和審批、相關(guān)業(yè)務(wù)部門和安全管理部門之間的溝通協(xié)調(diào)、與外部單位的合作、定期對(duì)系統(tǒng)的安全措施落實(shí)情況進(jìn)行檢查、系統(tǒng)安全運(yùn)行維護(hù)管理等工作。安全主管通常是一個(gè)單位安全管理工作的主要責(zé)任人,全面負(fù)責(zé)等級(jí)保護(hù)對(duì)象安全規(guī)劃建設(shè)、運(yùn)行維護(hù)等安全管理工作,一般由單位的高層或某個(gè)部門的主管擔(dān)任。安全管理各方面的負(fù)責(zé)人通常包括物理安全負(fù)責(zé)人(等級(jí)保護(hù)對(duì)象物理運(yùn)行環(huán)境和辦公環(huán)境安全的責(zé)任人)、系統(tǒng)建設(shè)方面的負(fù)責(zé)人(等級(jí)保護(hù)對(duì)象安全規(guī)劃、建設(shè)、工程實(shí)施的責(zé)任人)、系統(tǒng)運(yùn)行維護(hù)方面的責(zé)任人(等級(jí)保護(hù)對(duì)象日常運(yùn)行安全的責(zé)任人)等應(yīng)設(shè)立系統(tǒng)管理員、審計(jì)管理員和安全管理員等崗位,并定義部門及各個(gè)工作崗位的職責(zé)系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等在機(jī)構(gòu)的日常運(yùn)營(yíng)層工作,主要負(fù)責(zé)落實(shí)各項(xiàng)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作要求及進(jìn)行日常安全維護(hù)。人員配備為保證各項(xiàng)管理工作順利實(shí)施,應(yīng)配備一定數(shù)量的安全管理人員,例如系統(tǒng)管理員、安全管理員、審計(jì)管理員等。應(yīng)配備一定數(shù)量的系統(tǒng)管理員、審計(jì)管理員和安全管理員等由于部分崗位的人員擁有關(guān)鍵的操作權(quán)限,為避免人員操作失誤或?yàn)^職現(xiàn)象的發(fā)生,應(yīng)配備一定數(shù)量的安全管理人員,例如系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等。(1)訪談信息/網(wǎng)絡(luò)安全主管,了解各安全管理崗位的人員配備情況。(2)核查管理人員名單,查看是否明確了機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位人員的信息。(3)與技術(shù)核查結(jié)合,了解各崗位是否根據(jù)管理人員名單進(jìn)行授權(quán)(例如主機(jī)系統(tǒng)管理員是否與管理人員名單中的一致)。應(yīng)配備專職安全管理員,不可兼任。安全管理員不能兼任其他與等級(jí)保護(hù)對(duì)象相關(guān)的管理崗位,例如系統(tǒng)管理員、網(wǎng)絡(luò)管理員等。授權(quán)和審批等級(jí)保護(hù)對(duì)象生命周期的每個(gè)階段都涉及許多重要的環(huán)節(jié)與活動(dòng)。為保證這些環(huán)節(jié)與活動(dòng)順利實(shí)施且受控,應(yīng)對(duì)這些環(huán)節(jié)與活動(dòng)的實(shí)施進(jìn)行授權(quán)和審批。這不僅是質(zhì)量方面的要求,也能夠避免因管理上的漏洞或工作失誤而埋下安全隱患。為保證安全問(wèn)題可追溯,應(yīng)以文件的形式明確授權(quán)與審批制度,以及授權(quán)審批部門、批準(zhǔn)人、審批程序、審批范圍等內(nèi)容。應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門和批準(zhǔn)人等部門和崗位職責(zé)的描述,應(yīng)能明確指出部門或崗位可以審批的事項(xiàng)內(nèi)容應(yīng)針對(duì)系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入等事項(xiàng)建立審批程序,按照審批程序執(zhí)行審批過(guò)程,對(duì)重要活動(dòng)建立逐級(jí)審批制度在相關(guān)的管理制度文檔中,一般會(huì)對(duì)系統(tǒng)變更(例如變更管理制度)、物理訪問(wèn)(例如機(jī)房管理制度)、系統(tǒng)接入(例如網(wǎng)絡(luò)管理制度)等重要活動(dòng)的審批流程進(jìn)行明確,包括逐級(jí)審批流程。另外,應(yīng)保存審批過(guò)程記錄文檔,并保證執(zhí)行過(guò)程中審批程序、審批部門、審批人與審批制度文檔內(nèi)容的一致性。系統(tǒng)變更一般分為重大變更和普通變更,前者如系統(tǒng)運(yùn)行業(yè)務(wù)改變、系統(tǒng)核心設(shè)備更換等,后者如主機(jī)系統(tǒng)或設(shè)備配置更改等。重要操作包括設(shè)備加電或斷電等。物理訪問(wèn)主要是指對(duì)機(jī)房或重要辦公區(qū)域的訪問(wèn)。系統(tǒng)接人一般是指從外部系統(tǒng)或網(wǎng)絡(luò)接入等級(jí)保護(hù)對(duì)象。逐級(jí)審批依審批活動(dòng)的重要程度,可以是從執(zhí)行管理層(安全主管、負(fù)責(zé)人)到日常運(yùn)營(yíng)層(管理員)的二級(jí)審批,也可以是從最高層(網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組)到執(zhí)行管理層再到日常運(yùn)營(yíng)層的三級(jí)審批。應(yīng)定期審查審批事項(xiàng),及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息審批事項(xiàng)可能會(huì)根據(jù)審批部門、審批人及相關(guān)審批流程的變化而發(fā)生變更,因此,應(yīng)及時(shí)根據(jù)實(shí)際情況進(jìn)行審查并更新相關(guān)內(nèi)容。另外,應(yīng)定期對(duì)相關(guān)審批事項(xiàng)進(jìn)行審查,以更新相關(guān)信息。應(yīng)形成審批事項(xiàng)列表。在該列表中,應(yīng)明確審批事項(xiàng)、涉及的審批部門、審批人等,并定期對(duì)該列表進(jìn)行更新和維護(hù)。例如,若部門職責(zé)或崗位職責(zé)改變,則某一審批活動(dòng)涉及的審批部門和審批人將會(huì)改變。再如,若活動(dòng)的重要程度改變,則該活動(dòng)的審批流程將會(huì)改變。溝通和合作整個(gè)等級(jí)保護(hù)對(duì)象安全工作的順利完成,需要各業(yè)務(wù)部門的共同參與和密切配合,以及與外聯(lián)單位通暢的溝通與合作(以便及時(shí)獲取網(wǎng)絡(luò)安全發(fā)展動(dòng)態(tài),避免網(wǎng)絡(luò)安全事件的發(fā)生,或者在網(wǎng)絡(luò)安全事件發(fā)生時(shí)盡快得到支持和幫助,在第一時(shí)間采取有效措施將損失降到最低)。其中,外聯(lián)單位可能包括供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織、上級(jí)主管部門、兄弟單位、安全服務(wù)機(jī)構(gòu)、電信運(yùn)營(yíng)部門、執(zhí)法機(jī)關(guān)等。應(yīng)加強(qiáng)各類管理人員、組織內(nèi)部機(jī)構(gòu)和網(wǎng)絡(luò)安全管理部門之間的合作與溝通,定期召開協(xié)調(diào)會(huì)議,共同協(xié)作處理網(wǎng)絡(luò)安全問(wèn)題一個(gè)單位的等級(jí)保護(hù)對(duì)象的運(yùn)行可能涉及多個(gè)業(yè)務(wù)部門o整個(gè)等級(jí)保護(hù)對(duì)象相關(guān)安全工作的順利完成,需要各業(yè)務(wù)部門的共同參與和密切配合。此項(xiàng)關(guān)于溝通方式的要求,包括通過(guò)例會(huì)或不定期召開會(huì)議的形式對(duì)網(wǎng)絡(luò)安全問(wèn)題進(jìn)行協(xié)商處理。應(yīng)加強(qiáng)與網(wǎng)絡(luò)安全職能部門、各類供應(yīng)商、業(yè)界專家及安全組織的合作與溝通與外界單位、部門的溝通與合作可能有多種方式。例如,網(wǎng)絡(luò)管理部門定期匯報(bào)、檢查工作,定期與供應(yīng)商商討系統(tǒng)中的安全問(wèn)題,組織業(yè)界專家進(jìn)行安全評(píng)審咨詢等。應(yīng)建立外聯(lián)單位聯(lián)系列表,包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息與外聯(lián)單位的聯(lián)系應(yīng)建立聯(lián)系列表,并根據(jù)實(shí)際情況維護(hù)和更新列表信息,明確合作內(nèi)容及聯(lián)系人等相關(guān)信息。審核和檢查為保證網(wǎng)絡(luò)安全方針、制度的貫徹執(zhí)行,及時(shí)發(fā)現(xiàn)現(xiàn)有安全措施中的漏洞和系統(tǒng)脆弱性問(wèn)題,機(jī)構(gòu)應(yīng)制定安全審核和檢查制度并定期組織實(shí)施。安全審核和檢查包括現(xiàn)有安全措施的有效性、安全配置與安全策略的一致性、安全管理制度的落實(shí)情況、用戶賬號(hào)情況、系統(tǒng)漏洞情況等方面,檢查范圍包括日常檢查和機(jī)構(gòu)定期全面檢查。對(duì)安全檢查的結(jié)果應(yīng)進(jìn)行匯總,并形成檢查報(bào)告,交給主管領(lǐng)導(dǎo)及相關(guān)負(fù)責(zé)人。應(yīng)定期進(jìn)行常規(guī)安全檢查,檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況常規(guī)安全檢查不同于日常安全巡檢。常規(guī)安全檢查一般以年、半年或季度為周期開展,以便匯總一段時(shí)間內(nèi)的系統(tǒng)狀態(tài)。應(yīng)定期進(jìn)行全面安全檢查,檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等全面安全檢查可由單位自行組織或通過(guò)第三方機(jī)構(gòu)進(jìn)行。無(wú)論采用哪種方式,檢查內(nèi)容均應(yīng)涵蓋技術(shù)和管理各方面安全措施

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論