分类: 网络与安全
2008-03-22 14:33:10
全网安全的各项建设内容中,组织体系的建设是关键和基础。没有健全的安全组织,系统的安全性是很难保证的,任何网络系统仅在技术上是无法实现完整的安全要求的。为此,建立一套科学的、可靠的、全面而有层次的安全组织体系是整体安全建设的必要条件和基本保证。
安全组织体系的建设目标
通过有效的安全组织体系的建设,最终要实现的目标是:采取集中控制、分级管理的模式,建立起完整的安全组织体系并加以实施与保持,实现动态的、系统的、全员参与的、制度化的、以预防为主的安全组织模式,从而在组织上确保全方位、多层次、快速有效的网络安全防护。
安全组织体系的建设内容
安全组织体系主要包括安全机构建设、安全人员管理等方面。通过组建完整的信息网络安全组织机构,设置安全管理人员,规划安全策略、确定安全组织机制、明确安全组织原则和完善安全组织措施,制定严格的安全组织制度,合理地协调法律、技术和组织三种因素,实现对系统安全组织的科学化、系统化、法制化和规范化,达到保障整体安全的目的。
一、安全组织机构建设
按照统一领导和分级组织的原则,安全组织必须设立专门的组织机构,配备相应的安全组织人员,并实行“一把手”责任制,明确主管领导,落实部门责任,各尽其职。其主要内容包括:各级组织机构的建立;各级组织机构的职能、权限划分;人员岗位、数量、职责的确定。
安全管理组织架构
在公司总部设立安全管理专职机构―――安全管理部(组),设置安全管理专门负责人―――安全总监,以负责对公司安全进行统一管理。在各部门设立安全专员,受安全管理部垂直领导,负责营业部日常安全管理工作,负责保持与CSO的联系。
安全管理部具有以下职能:
安全资源管理:对各种软硬件安全资源(包括人员)统一管理,包括购置、登录、保管(包括异地备份)、标识、分类、分级等。
安全监察评估:不定期/定期(月末)督查、测试和评估公司安全状况(技术和管理两方面),发现问题予以解决。
安全事件响应:对公司发生的各种安全事件迅速响应,抢修恢复,调查事故原因,划分责任,撰写事故调查分析报告,采取纠正和预防措施,收集证据,为处罚或起诉提供客观依据。
安全管理体系维护:对公司安全管理体系的动态变更进行操作和管理。
安全设施维修:对公司安全设施(主要是通讯线路、服务器、防火墙等硬件)进行定期检修、保养。
安全课程培训:组织和协调对新、老员工定期开展公司基本安全知识、技术、上岗技能等方面的培训、考核。
制订安全策略:协助安全总监制订公司安全策略,定义公司的安全事件和审计事件的种类和级别。
业界安全动态跟踪:对证券行业的安全技术和管理方面的最新发展状况进行关注和跟踪,为更新和增强公司的安全策略提供建议。
二、人员管理制度建设
安全组织制度是保证网络系统安全的基础,需要通过一系列规章制度的实施,来确保各类人员按照规定的职责行事,做到各行其职、各负其责,避免责任事故的发生和防止恶意侵犯。
安全总监的职责
制订安全战略,负责制订公司安全战略和安全策略,推动公司实施安全策略,对公司安全负责。
监控安全管理体系,主持建立、运作和保持安全管理体系工作。
报告公司安全状况,定期以书面报告向总经理汇报公司安全状况,并提出相应问题解决方案。
处理最大安全事故,主持处理公司重大安全事故,并解决与客户的安全纠纷。
跟踪信息安全的最新进展,保持对外联络和协调工作,跟踪信息安全的最新进展,适时向公司领导提出提升公司安全的方案或建议。
各级信息系统安全组织机构,将根据国家的有关信息网络安全的法规、方针、政策等,承担所属部门网络系统的各项安全组织工作,主要职责为:
1.拟定并组织实施计算机信息系统安全组织的各项规章制度;
2.监督、指导计算机信息系统组织人员和用户做好安全保密工作,定期组织检查计算机信息系统安全运行情况,及时排除各种安全隐患;
3.贯彻国家信息安全主管部门的规章制度和要求,组织落实安全技术措施,保障计算机信息系统的运行安全;
4.组织宣传计算机信息系统安全方面的法律、法规和有关政策,开展计算机信息系统的安全培训和教育;
5.负责所属部门计算机信息系统的各项日常安全组织工作。