安全管理机构
安全管理的重要实施条件就是有一个统一指挥、协调有序、组织有力的安全管理机构,这是网络安全管理得以实施、推广的基础。通过构建从单位最高管理层到执行层以及具体业务运营层的组织体系,可以明确各个岗位的安全职责,为安全管理提供组织上的保证。
安全管理机构针对整个管理组织构架提出了安全控制要求,涉及的安全控制点包括岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
以下以三级等级保护对象为例,介绍安全管理机构各个控制要求项的测评内容、检查方法、证据、案例等。
控制点
1.
岗位设置为保证安全管理工作的有效实施,应设立指导和管理网络安全工作的委员会或领导小组及负责网络安全管理工作的职能部门,并以文件的形式明确安全管理机构各个部门和岗位的职责、分工和技能要求。其中,设置的岗位应包括安全主管、安全管理各方面的负责人、与系统安全管理有关的角色等,例如安全管理员、系统管理员、网络管理员等。
a)
安全要求(关键):应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权。
要求解读:为保证安全管理工作的有效实施,应设立指导和管理网络安全工作的委员会或领导小组,负责单位网络安全管理的全局工作,是网络安全组织的最高管理层。
在一般情况下,一个机构成立了指导和管理网络安全工作的委员会或领导小组,均需正式发文通告。
通常应在单位内部结构的基础上建立一整套从单位最高管理层(网络安全领导小组,并且由单位最高领导委任或授权)到执行管理层(网络安全管理工作职能部门及安全主管)及系统日常运营层(系统管理员、网络管理员、安全管理员等)的三层及金字塔式管理结构来约束和保证各项安全管理实施的执行。网络安全领导小组主要的职责包括对安全管理制度体系合理性和适用性的审定、对机构内关键网络安全工作进行授权和审批等,最重要的是负责单位网络安全管理的全局工作。网络安全管理职能部门的主要职责包括单位内重要网络安全管理工作的授权和审批、内部相关业务部门和安全管理部门之间的沟通协调、与机构外部单位的合作、定期对系统的安全措施落实情况进行检查,以便发现问题进行改进等。
测评方法
1.访谈信息/网络安全主管,了解单位是否成立了指导和管理网络安全工作的委员会或领导小组。
2.检查部门职责文档是否明确了网络安全工作委员会或领导小组构成情况和相关职责。
3.检查相关委任授权文件是否明确其最高领导由单位主管领导委任或授权。
期望结果
1.单位成立了网络安全工作委员会或领导小组,并有明确的文件明确其组成机构及工作职责。
2.有由单位主管领导委任或授权的相关文件。
高风险判定
满足以下条件即可判定为高风险,且无补偿因素:(三级及以上系统)
未成立指导和管理信息安全工作的委员会或领导小组,或其最高领导未由单位主管领导担任或授权。
b)
安全要求(关键):应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责。
要求解读:网络安全管理工作的职能部门是机构的执行管理层,一般负责对机构内重要网络安全管理工作的授权和审批、内部相关业务部门和安全管理部门之间的沟通协调以及与机构外部单位的合作、定期对系统的措施落实情况进行检查、系统安全运行维护管理工作等。
“安全主管”一般是一个单位安全管理工作的主要负责人,全面负责等级保护对象安全规划、建设、运行维护等安全管理工作,一般由单位的高层或某个部门主管担任。
安全管理各方面的负责人通常包括:
物理安全负责人(等级保护对象物理运行环境和办公环境安全的责任人)
系统建设方面负责人(等级保护对象安全规划、建设、工程实施过程的责任人)
系统运行维护方面的负责人(保证等级保护对象日常运行安全的责任人)
测评方法
1.访谈信息/网络安全主管,了解机构是否设立了网络安全管理职能部门和各方面负责人(如机房负责人、系统运维负责人、系统建设负责人等)。
2.检查部门职责文档是否明确了网络安全管理工作的职能部门和各负责人职责。
期望结果
1.机构设立了网络安全管理职能部门,并指定了各部门负责人。
2.有明确的职责文件明确各部门和负责人的工作职责。
c)
安全要求(重要):应设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。
要求解读:系统管理员、网络管理员、安全管理员等为机构的日常运营层,主要负责落实各项网络安全等级保护工作要求及日常安全维护。
测评方法
1.访谈信息/网络安全主管是否设立了系统管理员、网络管理员和安全管理员等岗位。
2.检查岗位职责文档是否明确了各岗位职责。
期望结果
机构设立了系统管理员、网络管理员、安全管理员岗位,且具有明确的各岗位职责说明文档。