信息安全保障體系

　組織體系

　- 1 -

　- 2 -

　 組織體系 1 范圍 本標(biāo)準(zhǔn)規(guī)定了公司內(nèi)部安全保障體系組織架構(gòu)的要求，包括人員組成，責(zé)任和要求。

　本標(biāo)準(zhǔn)適用于公司，各廠應(yīng)依據(jù)本標(biāo)準(zhǔn)制訂適用的標(biāo)準(zhǔn)。

　2 規(guī)范性引用文件 下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注版本（日期）的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注版本（日期）的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。

　3 術(shù)語和定義 無。

　4 職責(zé) 4.1 信息中心負(fù)責(zé)公司整體信息安全保障體系組織建設(shè)。

　4.2 各廠負(fù)責(zé)在授權(quán)范圍內(nèi)開展安全組織建設(shè)，負(fù)責(zé)本單位信息安全日常管理、監(jiān)督。

　5 信息安全管理組織架構(gòu) 在組織架構(gòu)方面，應(yīng)依托企業(yè)現(xiàn)有的組織體系，賦予各層面的組織和個人以安全職責(zé)，使原有的組織架構(gòu)具有信息安全的管理職能，同時應(yīng)對企業(yè)安全管理的三層組織結(jié)構(gòu)：決策層、管理層和執(zhí)行層的機(jī)構(gòu)建立、安全目標(biāo)、崗位設(shè)置、安全職責(zé)進(jìn)行確定，組織架構(gòu)的建立和充分發(fā)揮職能是整個系統(tǒng)安全的前提和基礎(chǔ)。

　決策層管理層業(yè)務(wù)安全決策安全戰(zhàn)略規(guī)劃安全績效考核信息安全領(lǐng)導(dǎo)小組信息安全管理部門安全管理系統(tǒng)安全工程安全績效管理信息安全執(zhí)行部門實施與運作運行管理安全審計實施執(zhí)行層

　圖 1 信息安全管理組織架構(gòu)層次圖 組織架構(gòu)

　企業(yè)本部

　企業(yè)下屬各廠

　- 3 -

　決策層

　公司信息化建設(shè)主管領(lǐng)導(dǎo) 各廠信息化建設(shè)主管領(lǐng)導(dǎo) 管理層

　公司信息、辦公室、財務(wù)、營銷、人事、技術(shù)等各部門負(fù)責(zé)人 各廠信息、財務(wù)、生產(chǎn)、人事等業(yè)務(wù)部門負(fù)責(zé)人 執(zhí)行層

　公司具體負(fù)責(zé)信息系統(tǒng)管理和信息安全管理工作的技術(shù)人員及相關(guān)部門的專職（或兼職）信息安全員 各廠具體負(fù)責(zé)信息系統(tǒng)管理和信息安全管理工作的技術(shù)人員及相關(guān)部門的專職（或兼職）信息安全員

　圖 2 信息安全管理組織架構(gòu)細(xì)化表

　6 信息安全組織架構(gòu)各層職責(zé)說明 6.1 決策機(jī)構(gòu) 信息安全決策機(jī)構(gòu)處于安全組織機(jī)構(gòu)的第一個層次，是企業(yè)公司信息安全工作的最高管理機(jī)構(gòu)，按照國家和國家局的方針、政策和要求，對企業(yè)公司信息安全進(jìn)行統(tǒng)一領(lǐng)導(dǎo)和管理。

　其主要職責(zé)包括：

　1) 領(lǐng)導(dǎo)和督促全企業(yè)公司范圍的信息安全工作； 2) 制定企業(yè)公司信息安全戰(zhàn)略、方針和政策，確定企業(yè)公司信息安全發(fā)展方向和目標(biāo)； 3) 為信息安全提供所需的資源； 4) 批準(zhǔn)整個組織內(nèi)信息安全特定角色和職責(zé)的分配； 5) 建立企業(yè)公司的總體安全規(guī)劃方案； 6) 制定企業(yè)公司統(tǒng)一的安全策略體系； 7) 審批企業(yè)公司重大的信息安全活動； 8) 重大技術(shù)事項或突發(fā)緊急問題的協(xié)調(diào)處理和事后調(diào)查仲裁等； 9) 審批信息安全項目及安全產(chǎn)品的采購申請； 10) 審閱下級的重要工作匯報和意見，并及時反饋批復(fù)意見； 11) 監(jiān)督管理層信息安全工作的管理和執(zhí)行情況，協(xié)調(diào)管理隊伍之間的關(guān)系； 12) 負(fù)責(zé)組織企業(yè)公司范圍的信息安全事件的調(diào)查，并聽取相關(guān)匯報； 13) 定期組織會議，了解企業(yè)公司信息系統(tǒng)的整體安全現(xiàn)狀，討論提高安全水平的整改措施。

　14) 啟動計劃和程序來保持信息安全意識； 15) 信息安全領(lǐng)導(dǎo)小組應(yīng)定期組織信息安全巡檢和評審工作。

　6.2 管理機(jī)構(gòu) 信息安全管理機(jī)構(gòu)處于安全組織機(jī)構(gòu)的第二個層次，在決策機(jī)構(gòu)的領(lǐng)導(dǎo)下，負(fù)責(zé)組織制訂信息安全保障體系建設(shè)規(guī)劃，以及信息安全的管理、監(jiān)督、檢查、考核等工作。日常的信息安全管理工作主要由信息化工作部門負(fù)責(zé)。

　其主要職責(zé)包括：

　1) 根據(jù)決策層總體安全規(guī)劃制定系統(tǒng)安全建設(shè)的詳細(xì)安全計劃并組織實施； 2) 根據(jù)決策層統(tǒng)一的安全策略制定并落實信息安全管理制度； 3) 監(jiān)督和指導(dǎo)執(zhí)行層信息安全工作的貫徹和實施； 4) 組織技術(shù)人員和普通員工的安全技術(shù)交流與培訓(xùn)； 5) 參與信息系統(tǒng)相關(guān)的新工程建設(shè)和新業(yè)務(wù)開展的方案論證，并提出安全方面的相應(yīng)

　- 4 -

　建議； 6) 在信息系統(tǒng)相關(guān)的工程驗收時，對信息安全方面的驗收測試方案進(jìn)行審查并參與驗收； 7) 組織相關(guān)安全員定期進(jìn)行信息安全巡檢； 8) 負(fù)責(zé)組織范圍內(nèi)的信息安全事件調(diào)查，并聽取相關(guān)匯報； 9) 審閱執(zhí)行層的重要工作匯報和意見，并及時反饋批復(fù)意見； 10) 定期組織會議，了解管轄系統(tǒng)的整體安全現(xiàn)狀，討論提高安全水平的整改措施； 6.3 執(zhí)行機(jī)構(gòu) 信息安全執(zhí)行機(jī)構(gòu)處于信息安全組織機(jī)構(gòu)的第三個層次，在管理層的領(lǐng)導(dǎo)下，負(fù)責(zé)保證信息安全技術(shù)體系的有效運行及日常維護(hù)，通過具體技術(shù)手段落實安全策略，消除安全風(fēng)險，以及發(fā)生安全事件后的具體響應(yīng)和處理。

　主要職責(zé)包括：

　1) 學(xué)習(xí)和執(zhí)行企業(yè)公司制定的各項信息安全管理策略、制度、規(guī)范和指南； 2) 企業(yè)公司信息安全規(guī)劃、管理制度的落實和執(zhí)行工作； 3) 直接負(fù)責(zé)管理范圍內(nèi)各業(yè)務(wù)系統(tǒng)的安全管理和維護(hù)工作； 4) 參與檢查與國家信息安全相關(guān)的法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)等的符合性，參與企業(yè)公司安全方案的規(guī)劃、設(shè)計； 5) 具體安全項目的實施與支持； 6) 根據(jù)管理層安全規(guī)劃制定系統(tǒng)安全建設(shè)的詳細(xì)安全計劃并組織實施； 7) 監(jiān)督和指導(dǎo)管理范圍內(nèi)信息安全工作的貫徹和實施； 8) 組織內(nèi)部的安全技術(shù)交流與培訓(xùn)； 9) 參與管理范圍內(nèi)工程建設(shè)和業(yè)務(wù)開展的方案論證，并提出相應(yīng)的安全方面的建議； 10) 提出的網(wǎng)絡(luò)安全整改意見，提交管理層審批； 11) 向管理層定期匯報系統(tǒng)當(dāng)前安全現(xiàn)狀以及安全事件的處理情況；

　7 安全職責(zé)的分配 為明確安全責(zé)任，劃分（界定）安全管理與具體執(zhí)行之間的工作職責(zé)，公司必須建立安全責(zé)任制度。

　安全責(zé)任分配的基本原則是“誰主管，誰負(fù)責(zé)”。公司擁有的每項網(wǎng)絡(luò)與信息資產(chǎn)，必須根據(jù)資產(chǎn)歸屬確定“責(zé)任人”。“責(zé)任人”對資產(chǎn)安全保護(hù)負(fù)有完全責(zé)任。“責(zé)任人”可以是個人或部門，但“責(zé)任人”是部門時，應(yīng)由該部門領(lǐng)導(dǎo)實際負(fù)責(zé)。

　“責(zé)任人”可以將具體的執(zhí)行工作委派給“維護(hù)人”，但“責(zé)任人”仍然必須承擔(dān)資產(chǎn)安全的最終責(zé)任。因此“責(zé)任人”應(yīng)明確規(guī)定“維護(hù)人”的工作職責(zé)，并定期檢查“維護(hù)人”是否正確履行了安全職責(zé)。“維護(hù)人”可以是個人或部門，也可以是外包服務(wù)提供商。當(dāng)“維護(hù)人”是部門時，應(yīng)由該部門領(lǐng)導(dǎo)實際負(fù)責(zé)。

　安全工作人員的職責(zé)是指導(dǎo)、監(jiān)督、管理、考核“責(zé)任人”的安全工作，不能替代“責(zé)任人”對具體網(wǎng)絡(luò)與信息資產(chǎn)進(jìn)行安全保護(hù)。

　在資產(chǎn)的安全保護(hù)工作中，應(yīng)重點關(guān)注以下內(nèi)容：

　a) 應(yīng)清楚地說明每個獨立的網(wǎng)絡(luò)與信息系統(tǒng)所包含的各種資產(chǎn)和相應(yīng)的安全保護(hù)流程。

　b) “責(zé)任人”與“維護(hù)人”都應(yīng)明確接受其負(fù)責(zé)的安全職責(zé)和安全保護(hù)流程，并對該職責(zé)的詳細(xì)內(nèi)容記錄在案。

　- 5 -

　c) 所有授權(quán)的內(nèi)容和權(quán)限應(yīng)當(dāng)被明確規(guī)定，并記錄在案。

　8 職責(zé)分散與隔離 職責(zé)分隔（Segregation of Duties）是一種減少偶然或故意行為造成安全風(fēng)險的方法。公司應(yīng)分散某些任務(wù)的管理、執(zhí)行及職責(zé)范圍，以減少誤用或濫用職責(zé)帶來風(fēng)險的概率。例如關(guān)鍵數(shù)據(jù)修改的審批與制作必須分開。

　在無法實現(xiàn)職責(zé)充分分散的情況下，應(yīng)采取其他補償控制措施并記錄在案。例如：活動監(jiān)控、檢查審計跟蹤記錄以及管理監(jiān)督等。

　為避免串通勾結(jié)等欺詐活動，公司應(yīng)盡量隔離相應(yīng)職責(zé)，并增加執(zhí)行和監(jiān)督人員，以降低串通的可能性。

　9 安全信息的獲取和發(fā)布 信息技術(shù)的發(fā)展日新月異，安全工作愈發(fā)復(fù)雜和困難。公司必須建立有效可靠的渠道，獲取安全信息，不斷推進(jìn)安全工作。例如：

　a) 從內(nèi)部挑選經(jīng)驗豐富的安全管理和技術(shù)人員，組成內(nèi)部專家組，制定安全解決方案，參與安全事件處理，解決實際安全問題，提供預(yù)防性建議等。為使內(nèi)部專家組的工作更具成效，應(yīng)允許他們直接接觸公司的管理層。

　b) 與設(shè)備提供商、安全服務(wù)商等外部安全專家保持緊密聯(lián)系，聽取他們的安全建議。

　c) 從一些公開的信息渠道獲取安全信息，例如專業(yè)出版物、定期公告等。

　企業(yè)權(quán)威的安全信息發(fā)布機(jī)構(gòu)為公司信息中心。公司負(fù)責(zé)收集和整理并向各廠信息部門發(fā)布安全信息；各廠負(fù)責(zé)廠內(nèi)發(fā)布和信息上報。

　10 加強與外部組織之間的協(xié)作 公司應(yīng)加強與國家安全機(jī)關(guān)、行業(yè)監(jiān)管部門、其他運營商和信息服務(wù)提供商等外部組織的聯(lián)系，并建立協(xié)作流程，以便在出現(xiàn)安全事件時，盡快獲取信息、采取措施。

　公司在加入安全組織或與其他組織進(jìn)行交流時，應(yīng)對信息交換予以嚴(yán)格限制，以確保公司信息的保密性。

　11 安全審計的獨立性 安全審計是從管理和技術(shù)兩個方面檢查公司的安全策略和控制措施的執(zhí)行情況，發(fā)現(xiàn)安全隱患的過程。

　安全審計的獨立性是指審計方與被審計方應(yīng)保持相對獨立，即不能自己審計自己的工作，以確保審計結(jié)果的公正可靠。

　安全審計可由公司內(nèi)部審計組織，或外聘的專業(yè)審計機(jī)構(gòu)完成。審計人員應(yīng)接受審計培訓(xùn)，掌握一定的技能和經(jīng)驗。當(dāng)采用外聘審計機(jī)構(gòu)時，應(yīng)充分考慮其風(fēng)險，并采取相應(yīng)的控制措施。

相關(guān)熱詞搜索：信息安全 保障體系 體系