文檔信息
|
文檔名稱
|
世界杯官网崗位建設管理制度
|
|
文檔編號
|
|
|
文檔類別
|
策略方针 □ 管理制度 ■ 工作流程 □ 操作指南 □ 运维记录 □ 其他 □
|
|
當前版本
|
1.0
|
|
創建日期
|
2020-10-18
|
|
文檔編輯部門
|
信息中心
|
|
文檔作者
|
|
|
聯系方式
|
|
修訂記錄
|
文檔版本
|
日期
|
修改人員
|
審閱人員
|
修訂摘要
|
|
V1.0
|
2020-10-18
|
|
|
建立文檔
|
|
|
|
|
|
|
審批發布
|
序號
|
審核記錄
|
日期
|
審閱人員
|
|
|
審閱
|
2020-10-18
|
|
|
|
正式核准發布
|
2020-10-18
|
|
|
|
|
|
|
一 總則
目的。爲加強世界杯官网安全管理機構管理,規範人員崗位職責,依據《世界杯官网信息安全管理辦法》制定本管理制度。
對象。本制度的對象主要是指世界杯官网系統各個方面管理員。
範圍。本制度適用于世界杯官网网站系統相關工作人員。
要求。世界杯官网网站系統崗位建設安全管理要求統一遵循《GB/T 22239-2019信息安全技术 信息系統安全等级保护基本要求》。
二 信息安全崗位職責
1 安全领导小组职责
安全領導小組是由組長牽頭,各部門的負責人爲組成成員的組織機構,主要負責批准世界杯官网安全策略、分配安全責任並協調安全策略能夠實施,確保安全管理工作有一個明確的方向,從管理和決策層角度對信息安全管理提供支持。安全領導小組的主要責任如下:
(1) 确定网络与信息安全工作的总体方向、目标、总体原则和安全工作方法;
(2) 审查并批准政府的信息安全策略和安全责任;
(3) 分配和指导安全管理总体职责与工作;
(4) 在网络与信息面临重大安全风险时,监督控制可能发生的重大变化;
(5) 对安全管理的重大更改事项(例如:组织机构调整、关键人事变动、信息系統更改等)进行决策;
(6) 指挥、协调、督促并审查重大安全事件的处理,并协调改进措施;
(7) 审核網絡安全建设和管理的重要活动,如重要安全项目建设、重要的安全管理措施出台等;
(8) 定期组织相关部门和相关人员对安全管理制度体系的合理性和適用性进行审定。
2 信息安全工作小組职责
信息安全工作小組是信息安全工作的日常執行機構,內設專職的安全管理組織和崗位,負責日常具體安全工作的落實、組織和協調。信息安全工作小組的主要職責如下:
(1) 贯彻执行和解释信息安全领导小组的决议;
(2) 贯彻执行和解释国家主管机构下发的信息安全策略;
(3) 负责组织和协调各类信息安全规划、方案、实施、测试和验收评审会议;
(4) 负责落实和执行各类信息安全具体工作,并对具体落实情况进行总 结和汇报;
(5) 负责内外部组织和机构的沟通、协调和合作工作;
(6) 负责制定所有信息安全相关的管理制度和规范;
(7) 负责针对信息安全相关的管理制度和规范具体落实工作进行监督、 检查、考核、指导及审批,例如现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。
3 信息安全岗位
爲了有效落實信息安全各項工作,應設立以下專職的安全崗位,負責安全工作的落實和執行:
3.1 信息安全工作小組主管
(1)負責網絡與信息安全的日常整體協調、管理工作;
(2)負責組織人員制定信息安全管理制度,並對管理制度進行推廣、培訓和指導;
(3)負責重大安全事件的具體協調和溝通工作。
3.2 安全管理员岗位
(1)負責執行網絡與信息安全工作的日常協調、管理工作;
(2) 負責日常的安全監控管理,並對上報和發現的各類安全事件進行響應;
(3)负责系統、网络和应用安全管理的协调和技术指导;
(4)負責安全管理平台安全策略制定,訪問控制策略審核;
(5)負責組織安全管理制度的推廣和培訓工作;
(6)负责定期进行安全检查,检查内容包括系統日常运行、系統漏洞和数据备份等情况。
3.3 安全审计员岗位
(1)負責安全管理制度落實情況的檢查、監督和指導;
(2)負責安全策略執行情況的審核。
3.4 系統管理员
(1) 负责系統安全稳定运行的日常管理工作;
(2) 负责保持系統的防病毒系統、补丁等保持最新,定期对系統进行安全加固,保持系統漏洞最小化。
3.5 网络管理员
(1) 負責網絡設備安全穩定運行的日常管理工作;
(2) 负责保持网络设备的漏洞最小化,定期对系統进行安全加固;
(3) 負責保持網絡路由和交換策略與業務需求保護一致。
(4) 應根據日常的運行維護和管理工作,設置物理環境管理、數據庫管理、應用管理以及資産管理等崗位。
三、信息安全崗位設置
1 岗位设置
健全的崗位設置、職責分配及技能要求等是安全組織建設的重點內容,對于以後安全管理工作的順利開展具有巨大的意義。
缺乏健全的崗位設置、職責分配及技能要求將導致無人負責、難以落實責權利,難以勝任安全管理工作等嚴重問題。
1.1 组织机构
1.成立信息安全領導小組,是信息安全的最高決策機構,下設辦公室,負責信息安全領導小組的日常事務。
2.信息安全領導小組,其最高領導由單位主管領導委任或授權。
3.信息安全領導小組負責研究重大事件,落實方針政策和制定總體策略等。職責主要包括:
(1)根據國家和行業有關信息安全的政策、法律和法規,批准單位信息安全總體策略規劃、管理規範和技術標准;
(2)確定單位信息安全各有關部門工作職責,指導、監督信息安全工作。
(3)信息安全領導小組下設兩個工作組:信息安全工作小組、應急響應小組。組長均由單位負責人擔任。
4.信息安全工作小組的主要職責包括:
(1)貫徹執行單位信息安全領導小組的決議,協調和規範單位信息安全工作;
(2)根據信息安全領導小組的工作部署,對信息安全工作進行具體安排、落實;
(3)組織對重大的信息安全工作制度和技術操作策略進行審查,擬訂信息安全總體策略規劃,並監督執行;
(4)负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系統工程建设中的安全规划,监督安全措施的执行;
(5)組織信息安全工作檢查,分析信息安全總體狀況,提出分析報告和安全風險的防範對策;
(6)負責接受各單位的緊急信息安全事件報告,組織進行事件調查,分析原因、涉及範圍,並評估安全事件的嚴重程度,提出信息安全事件防範措施;
(7)及時向信息安全領導小組和上級有關部門、單位報告信息安全事件。
(8)跟蹤先進的信息安全技術,組織信息安全知識的培訓和宣傳工作。
5.應急響應小組的主要職責包括:
(1)审定单位网络与信息系統的安全应急策略及应急预案;
(2)决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系統;
(3)每年組織對信息安全應急策略和應急預案進行測試和演練。
(5)單位應指定分管信息的領導負責本單位信息安全管理,並配備信息安全技術人員,有條件的應設置信息安全工作小組或辦公室,對單位信息安全領導小組和工作小組負責,落實本單位信息安全工作和應急處理工作。
1.2 關鍵崗位
设置信息系統的關鍵崗位并加强管理,配备系統管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员、機房管理員,要求六人各自獨立。要害崗位人員必須嚴格遵守保密法規和有關信息安全管理規定。
1.系統管理员主要职责有:
(1)负责系統的运行管理,实施系統安全运行细则;
(2)严格用户权限管理,维护系統安全正常运行;
(3)认真记录系統安全事项,及时向信息安全人员报告安全事件;
(4)对进行系統操作的其他人员予以安全监督。
2.網絡管理員主要職責有:
(1)负责网络的运行管理,实施網絡安全策略和安全运行细则;
(2)安全配置网络参数,严格控制网络用户访问权限,维护網絡安全正常运行;
(3)監控網絡關鍵設備、網絡端口、網絡物理線路,防範黑客入侵,及時向信息安全人員報告安全事件;
(4)對操作網絡管理功能的其他人員進行安全監督。
3.應用開發管理員主要職責有:
(1)负责在系統开发建设中,严格执行系統安全策略,保证系統安全功能的准确实现;
(2)系統投产运行前,完整移交系統相关的安全策略等资料;
(3)不得对系統设置“後門”;
(4)对系統核心技术保密等。
4.安全审计员負責對涉及系統安全的事件和各类操作人员的行为进行审计和监督,主要职能包括:
(1)按操作員證書號進行審計;
(2)按操作時間審計;
(3)按操作類型審計;
(4)事件類型進行審計;
(2)日志管理等。
5.安全保密管理員負責日常安全保密管理活動,主要職責有:
(1)監視全網運行和安全告警信息;
(2)網絡審計信息的常規分析;
(3)安全設備的常規設置和維護;
(4)執行應急中心制定的具體安全策略;
(5)向应急管理机构和领导机构报告重大的網絡安全事件等。
6.機房管理員
(1)執行規定的操作任務,包括日常手工操作,系統手工监控等;
(2)對機房環境狀況進行監控,對機房進出人員、設備進行登記等;
(3)根據設置好的備份/歸檔任務,進行備份介質的管理及對備份介質的驗證;
(4)监控系統产生的事件,执行相应的操作,如重新启动操作系統,对应用系統进行检查和基本的故障处理等;
(5)负责将每一个任务(包括软件、硬件系統)的操作步骤进行汇编、整理;
(6)負責對世界杯官网計算機機房及所屬各部門計算機機房安全性的檢查,發現問題或隱患及時提出整改意見和書面報告。
2 人员配备
配备足够数量的系統管理员、网络管理员、安全管理员对顺利完成安全管理工作是非常重要的,可以有效避免人力不足带来的问题。配备专职的安全管理员可以让管理工作落实到专人上,可以更高效的开展安全管理工作。关键事务岗位配备多人进行共同管理可以防止出现疏忽,并且有利于互相约束和监督机制的建立。
如果没有配备足够数量的系統管理员、网络管理员、安全管理员,则可能由于工作过度繁忙而出现安全事件。如果安全管理人员都是兼职,则很可能出现只顾其他业务而忽视安全的情况。关键事务岗位人员不足会导致疏忽大意。
(1)按照实际工作需要配备足够数量的系統管理员、网络管理员、安全管理员;
(2)在安全管理部配備專職的安全管理員;
(3)识别出关键事务岗位,对这些關鍵崗位配备多人进行共同管理,以防止疏忽,并且建立起约束和监督机制。
四 附則
對違反本制度的人員,將按照世界杯官网有關規定進行處罰。
本制度由信息安全工作小組負責制定、解釋和修改。
本制度自發布之日起執行。
世界杯官网信息安全工作小組
2020年10月18日