资源描述
某某石油管理局企业标准
网络信息安全系统组织机构建设规范
1适用范围
本标准要求了某某石油管理局网络信息安全系统组织机构建设规范。
本标准适适用于某某油田(企业内部)网络信息安全系统组织机构建设。
2规范解释权
本要求适适用于某某油田管理局信息安全管理中心和下属各单位中心机房。
3网络信息安全系统组织机构建设规范概述
管理是网络安全关键,实际上不少网络安全问题是因管理不妥造成,建立一个系统安全管理组织必不可少。
安全管理组织职责是, 宏观决议管理局信息安全重大事件, 宏观决议管理局信息安全重大基础设施, 公布管理局信息安全政策, 同意管理局信息安全计划, 协调各相关部门工作对管理局面临重大信息安全紧急事件作出决断等;研究信息安全关键技术发展趋势; 为管理局信息安全计划和信息安全基础设施计划制订提供技术性支持; 参与审批重大信息化工程信息安全技术路线和 方法; 参与制订信息安全标准和规范; 参与制订信息安全产品评测标准和规范等等。
信息安全技术委员会
局党委信息安全部门
局信息安全管理中心
公安部门
局信息安全指导委员会
局其它处室相关安全部门
4某某油田网络信息安全系统组织机构计划图:
下级信息安全管理部门
信息网络安全管理站
项目安全评定站
信息网络安全事故处理站
信息安全教育普及站
信息安全技术跟踪站
信息安全监查站
信息安全计划中心
5信息系统安全管理机构组织员组织标准
1) 管理局和下级单位应建立信息系统安全管理机构。
2) 单位最高领导必需主管或兼管信息系统安全工作。
3) 按从上到下垂直管理标准,上一级机关信息系统管理机构指导下一级机关信息系统安全管理机构工作。
4) 下一级机关信息系统安全管理机构接收并实施上一级机关信息系统安全管理机构安全策略。
5) 各级信息系统安全管理机构,不隶属于同级信息系统管理和业务机构。
6) 各级信息系统安全管理机构由系统管理、系统分析、软件硬件、安全保卫、系统稽核、人事、通信等相关方面人员组成。
7) 信息系统人员管理机构应常设一办事机构,负责信息安全日常事务工作。
6信息系统安全管理机构职能
1) 管理局信息安全指导委员会:
Ø 组员应为各主管部领导人,其责任人应为管理局关键领导人。
Ø 该委员会下设技术教授委员会, 由管理局信息领域教授和资深技术人员组成。
Ø 管理局信息安全委员会职责是, 宏观决议管理局信息安全重大事件, 宏观决议管理局信息安全重大基础设施, 公布管理局信息安全政策, 同意管理局信息安全计划, 协调各相关部门工作对管理局面临重大信息安全紧急事件做出决断等。
2) 管理局信息安全技术教授委员会:
Ø 接收管理局信息安全指导委员会领导。
Ø 负责发展信息安全产业关键 技术宏观决议。
Ø 管理局信息安全技术委员会职责包含: 研究信息安全关键技术发展趋势; 为管理局信息安全计划和信息安全基础设施计划制订提供技术性支持; 参与审批重大信息化工程信息安全技术路线和 方法; 参与制订信息安全标准和规范; 参与制订信息安全产品评测标准和规范等等。
3) 公安部门:
Ø 负责油田部门日常生产、生活安全。
Ø 配合油田各单位开展安全巡查,事故处理。
4) 信息中心关键安全职能:
Ø 制订管理局范围内总体IT安全目标、战略和政策;
Ø 制订油田信息产业中长久安全总体计划;
Ø 负责管理局信息系统全方面管理;
Ø 审批重大信息化工程信息安全技术路线和 方法;
Ø 组织制订信息安全标准和规范;
Ø 组织制订信息安全产品评测标准和规范;
Ø 负责和管理局其它相关信息安全部门协同工作;
Ø 跟踪IT安全信息技术发展动态和方向;
Ø 处理管理局各类IT信息安全事故。
5) 信息中心具体分设7个下属职能机构,下属机构未必单独形成一个部门,但必需由专员负责。
6) 计划中心
Ø 负责IT安全目标、战略和政策制订;
Ø 制订油田信息产业中长久安全总体计划;
Ø 制订和信息安全相关法规;
Ø 监督信息安全战略、政策、法规实施情况;
Ø 协调和处理和公安处、党委和其它部门相关安全机构协同关系。
7) 项目安全性评定(审计)站
Ø 依据国际、中国和行业内安全技术标准,对引进计算机系统(包含硬件、软件)、应用系统、网络系统、数据库系统等IT产品和自主、联合开发产品安全性进行严格评定;
Ø 对现存系统 、硬件、网络、应用提出安全性过渡意见和提议;
Ø 确保引进项目达成油田要求安全等级;
Ø 制订项目安全性评定标准和实施步骤;
Ø 制订项目安全监查标准。
8) 信息安全技术跟踪站
Ø 紧跟国际、中国信息网络安全技术;并力图分析、掌握前沿、可能用于油田优异安全技术;
Ø 发觉现在油田所采取安全技术漏洞并提出补救方法;
Ø 对信息网络安全技术在油田可行性提交汇报;
Ø 为计划中心提供技术支持;
Ø 制订油田安全技术评测标准。
9) 信息安全监查站
Ø 依据计划中心总体安全标准和项目安全监查标准;
Ø 对油田投入运行各类信息系统进行全方面安全监查(包含网络和操作系统以外IT部分);
Ø 立即对发觉安全问题上报;
Ø 提出信息系统安全改善意见和提议;
Ø 指导下级信息安全监查部门工作并提供技术支持。
10) 网络安全管理站
Ø 负责油田范围内网络和系统总体管理;
Ø 尤其对网络和系统安全性进行监查、跟踪;
Ø 立即把发觉安全问题上报;
Ø 提出信息系统中(关键是网络和系统)安全改善意见和提议;
Ø 指导下级管理部门管理工作;
Ø 制订油田网络和系统管理监督措施。
11) 网络信息安全事故处理站
Ø 立即向上级单位回报其它部门发觉安全事故;
Ø 做出必需应急处理方法并提出可行参考意见;
Ø 制订网络、信息安全事故等级和事故汇报制度;
Ø 搜集中国外相关安全事故及处理方法;
Ø 立即对下级部门提出信息安全方面警告。
12) 网络信息安全教育、普及站
Ø 负责油田范围内IT管理IT使用人员专业性和普及性安全教育;
Ø 宣传国家、总企业和管理局安全法规;
Ø 宣传油田采取IT安全方法;
Ø 普及安全知识,提升全体职员安全防范意识;
Ø 制订局信息系统安全教育纲要、安全检验措施;
Ø 为下级安全宣传部门提供各类安全宣传材料;
Ø 调研和借鉴其它单位安全教育经验。
13) 下级信息安全管理部门
Ø 立即和信息中心沟通,并定时向信息中心汇报本单位安全情况;
Ø 对本单位信息网络系统进行全方面管理;
Ø 负责制订适合本单位实际各项信息安全政策;
Ø 负责本单位信息安全教育普及工作;
Ø 负责本单位和信息安全相关规则、建设、投资、安全政策、资源利用和事故处理等方面决议和实施;
Ø 应依据安全需求建立本单位信息系统安全策略、安全目标;
Ø 依据上级单位相关制度、规范建立和健全相关实施细则,并负责落实实施;
Ø 建立和健全本系统系统安全操作规程;
Ø 确定信息安全各个岗位人员职责和权限,建立岗位责任制;
Ø 审议并经过安全规则,年度安全汇报,相关安全宣传、教育、培训计划;
Ø 对于证实重大安全违规,违纪事件及泄密事件进行处理;
Ø 配合上级安全管理部门完成必需任务。
7各下级信息系统安全责任人职能
1) 全方面负责本单位信息系统安全工作。
2) 安全责任人应指定专员负责建立、修建和管理系统授权表及系统授权口令。
3) 负责审阅违章汇报、控制台安全汇报、系统日志、系统报警统计、系统活动统计、警卫汇报和其它和安全相关材料。
4) 负责组织制订安全教育、培训计划。负责协调和管理对下级安全管理人员、系统管理和操作人员定时和不定时安全教育和训练。
5) 负责管理、监督、检验、分析系统运行日志,及系统安全监督文档,定时对系统作安全评价,对违反系统安全要求行为进行处罚。
6) 负责制订、管理和定时分发系统及用户身份识别号码、密钥和口令。
7) 依据国家和上级机关相关保密要求,审查对外公布消息,预防泄密事件发生。
8) 负责采取切实可行方法,预防系统操作人员对系统信息和数据篡改、泄露和破坏,预防未经许可越权使用系统资源和旁路系统安全设备控制。
9) 负责监督、管理外部设备系统维修人员对系统设备检修和维护,并建立对应同意手续。
10) 采取切实可行方法,预防信息系统设备受到损害、更换和盗用。
8生效日期
展开阅读全文