|
|
|
|
|
安全组织的目的在于通过建立管理框架,以启动和控制组织范围内的信息安全的实施。管理者应通过清晰的方向、说明性承诺、明确的信息安全职责分配和确认,来积极地支持组织内的安全,且应批准整个组织内的信息安全方针、分配安全角色并协调和评审安全的实施。
|
|
|
|
组织可建立信息安全领导小组,负责本组织机构的信息系统安全工作,并至少履行安全管理的领导职能和保密监督的管理职能。
|
|
|
|
组织可建立信息安全职能部门,在信息安全领导小组监管下,负责本组织机构信息系统安全的具体工作,至少履行基本的安全管理职能或集中的安全管理职能。
|
|
|
|
如果需要,要在组织范围内建立信息安全专家建议的资料源,并在整个组织内均可获得该资料。要发展与外部安全专家或组织(包括相关权威人士)的联系,以便跟上行业发展趋势、跟踪标准和评估方法,并且当处理信息安全事故时,提供合适的联络地点。应鼓励构建信息安全的多学科交叉途径。
|
|
|
|
|
|
对信息系统岗位人员的管理,应根据其关键程度建立相应的管理要求,例如:
|
|
|
|
.对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发人员、系统维护人员和重要业务应用操作人员等信息系统关键岗位人员进行统一管理;允许一人多岗,但业务应用操作人员不能由其他关键岗位人员兼任;关键岗位人员应定期接受安全培训,加强安全意识和风险防范意识。
|
|
|
|
.兼职和轮岗要求:业务开发人员和系统维护人员不能兼任或担负安全管理员、系统管理员、数据库管理员、网络管理员和重要业务应用操作人员等岗位或工作;必要时关键岗位人员应采取定期轮岗制度。
|
|
|
|
.权限分散要求:应坚持关键岗位“权限分散、不得交叉覆盖”的原则,系统管理员、数据库管理员、网络管理员不能相互兼任岗位或工作。
|
|
|
|
.多人共管要求:关键岗位人员处理重要事务或操作时,应保持二人同时在场,关键事务应多人共管。
|
|
|
|
.全面控制要求:应采取对内部人员全面控制的安全保证措施,对所有岗位工作人员实施全面安全管理。
|
|
|
|
|
|
对人员离岗的管理,可以根据离岗人员的关键程度,采取下列控制措施:
|
|
|
|
.基本要求:立即中止被解雇的、退休的、辞职的或其他原因离开的人员的所有访问权限;收回所有相关证件、徽章、密钥和访问控制标记等;收回机构提供的设备等。
|
|
|
|
.调离后的保密要求:管理层和信息系统关键岗位人员调离岗位,必须经单位人事部门严格办理调离手续,承诺其调离后的保密要求。
|
|
|
|
.离岗的审计要求:涉及组织机构管理层和信息系统关键岗位的人员调离单位,必须进行离岗安全审查,在规定的脱密期限后,方可调离。
|
|
|
|
.关键部位人员的离岗要求:关键部位的信息系统安全管理人员离岗,应按照机要人员管理办法办理。
|
|
|
