网络信息安全系统的组织机构建设标准.docx

某某石油管理局企业标准 网络信息安全系统的组织机构建设规范 1适用范围 本标准规定了某某石油管理局网络信息安全系统的组织机构建设规范。 本标准适用于某某油田（企业内部）网络信息安全系统的组织机构建设。 2规范解释权 本规定适用于某某油田管理局信息安全管理中心和下属各单位中心机房。 3网络信息安全系统的组织机构建设规范概述 管理是网络安全的关键，实际上不少网络安全问题是因管理不当造成的，建立一个系统安全管理组织必不可少。 安全管理组织的职责是, 宏观决策管理局信息安全的重大事件, 宏观决策管理局信息安全重大基础设施, 发布管理局信息安全政策, 批准管理局信息安全规划, 协调各相关部门的工作对管理局面临的重大信息安全紧急事件作出决断等；研究信息安全关键技术的发展趋势; 为管理局信息安全规划和信息安全基础设施规划的制定提供技术性支持; 参与审批重大信息化工程的信息安全技术路线和 措施; 参与制定信息安全的标准和规范; 参与制定信息安全产品的评测标准和规范等等。 信息安全技术委员会 局党委信息安全部门 局信息安全管理中心 公安部门 局信息安全指导委员会 局其它处室相关安全部门 4某某油田网络信息安全系统组织机构规划图： 下级信息安全管理部门 信息网络安全管理站 项目安全评估站 信息网络安全事故处理站 信息安全教育普及站 信息安全技术跟踪站 信息安全监查站 信息安全规划中心 5信息系统安全管理机构组织员组织原则 1) 管理局以及下级单位应建立信息系统安全管理机构。 2) 单位最高领导必须主管或者兼管信息系统安全工作。 3) 按从上到下的垂直管理原则，上一级机关的信息系统管理机构指导下一级机关信息系统安全管理机构的工作。 4) 下一级机关信息系统的安全管理机构接受并执行上一级机关信息系统安全管理机构的安全策略。 5) 各级信息系统的安全管理机构，不隶属于同级信息系统管理和业务机构。 6) 各级信息系统的安全管理机构由系统管理、系统分析、软件硬件、安全保卫、系统稽核、人事、通信等有关方面的人员组成。 7) 信息系统人员管理机构应常设一办事机构，负责信息安全日常事务工作。 6信息系统安全管理机构的职能 1) 管理局信息安全指导委员会： Ø 成员应为各主管部领导人,其负责人应为管理局主要领导人。 Ø 该委员会下设技术专家委员会, 由管理局信息领域的专家和资深技术人员组成。 Ø 管理局信息安全委员会的职责是, 宏观决策管理局信息安全的重大事件, 宏观决策管理局信息安全重大基础设施, 发布管理局信息安全政策, 批准管理局信息安全规划, 协调各相关部门的工作对管理局面临的重大信息安全紧急事件做出决断等。 2) 管理局信息安全技术专家委员会： Ø 接受管理局信息安全指导委员会领导。 Ø 负责发展信息安全产业关键 技术的宏观决策。 Ø 管理局信息安全技术委员会的职责包括: 研究信息安全关键技术的发展趋势; 为管理局信息安全规划和信息安全基础设施规划的制定提供技术性支持; 参与审批重大信息化工程的信息安全技术路线和 措施; 参与制定信息安全的标准和规范; 参与制定信息安全产品的评测标准和规范等等。 3) 公安部门： Ø 负责油田部门日常生产、生活的安全。 Ø 配合油田各单位开展安全巡逻，事故处理。 4) 信息中心的主要安全职能： Ø 制定管理局范围内的总体IT安全目标、战略和政策； Ø 制定油田信息产业的中长期安全总体规划； Ø 负责管理局信息系统的全面管理； Ø 审批重大信息化工程的信息安全技术路线和 措施； Ø 组织制定信息安全的标准和规范； Ø 组织制定信息安全产品的评测标准和规范； Ø 负责与管理局其他相关信息安全部门的协同工作； Ø 跟踪IT安全信息技术的发展动态与方向； Ø 处理管理局各类IT信息安全事故。 5) 信息中心具体分设7个下属职能机构，下属机构未必单独形成一个部门，但必须由专人负责。 6) 规划中心 Ø 负责IT安全目标、战略和政策的制定； Ø 制定油田信息产业的中长期安全总体规划； Ø 制定与信息安全相关的法规； Ø 监督信息安全战略、政策、法规的执行情况； Ø 协调和处理与公安处、党委和其他部门相关安全机构的协同关系。 7) 项目安全性评估（审计）站 Ø 根据国际、国内和行业内的安全技术标准，对引进的计算机系统（包括硬件、软件）、应用系统、网络系统、数据库系统等IT产品和自主、联合开发的产品的安全性进行严格评估； Ø 对现存系统　、硬件、网络、应用提出安全性过渡的意见和建议； Ø 保证引进项目达到油田规定的安全级别； Ø 制定项目安全性评估标准和执行步骤； Ø 制定项目安全监查的标准。 8) 信息安全技术跟踪站 Ø 紧跟国际、国内信息网络安全技术；并力图分析、掌握前沿的、可能用于油田的先进安全技术； Ø 发现目前油田所采用安全技术的漏洞并提出补救措施； Ø 对信息网络安全技术在油田的可行性提交报告； Ø 为规划中心提供技术支持； Ø 制定油田安全技术的评测标准。 9) 信息安全监查站 Ø 根据规划中心的总体安全标准和项目安全监查标准； Ø 对油田投入运行的各类信息系统进行全面的安全监查（包括网络和操作系统以外的IT部分）； Ø 及时对发现的安全问题上报； Ø 提出信息系统安全的改进意见和建议； Ø 指导下级信息安全监查部门的工作并提供技术支持。 10) 网络安全管理站 Ø 负责油田范围内网络和系统的总体管理； Ø 特别对网络和系统的安全性进行监查、跟踪； Ø 及时把发现的安全问题上报； Ø 提出信息系统中（主要是网络和系统）安全的改进意见和建议； Ø 指导下级管理部门的管理工作； Ø 制定油田网络和系统的管理监督办法。 11) 网络信息安全事故处理站 Ø 及时向上级单位回报其他部门发现的安全事故； Ø 做出必要的应急处理措施并提出可行的参考意见； Ø 制定网络、信息安全事故的级别和事故汇报制度； Ø 搜集国内外相关的安全事故及处理措施； Ø 及时对下级部门提出信息安全方面的警告。 12) 网络信息安全教育、普及站 Ø 负责油田范围内IT管理IT使用人员的专业性和普及性的安全教育； Ø 宣传国家、总公司和管理局的安全法规； Ø 宣传油田采取的IT安全措施； Ø 普及安全知识，提高全体职工的安全防范意识； Ø 制定局信息系统安全教育纲要、安全检查办法； Ø 为下级安全宣传部门提供各类安全宣传材料； Ø 调研和借鉴其他单位的安全教育经验。 13) 下级信息安全管理部门 Ø 及时与信息中心沟通，并定期向信息中心汇报本单位安全状况； Ø 对本单位的信息网络系统进行全面的管理； Ø 负责制定适合本单位实际的各项信息安全政策； Ø 负责本单位的信息安全教育普及工作； Ø 负责本单位与信息安全有关的规则、建设、投资、安全政策、资源利用和事故处理等方面的决策和实施； Ø 应根据安全需求建立本单位信息系统的安全策略、安全目标； Ø 根据上级单位有关制度、规范建立和健全有关的实施细则，并负责贯彻实施； Ø 建立和健全本系统的系统安全操作规程； Ø 确定信息安全各个岗位人员的职责和权限，建立岗位责任制； Ø 审议并通过安全规则，年度安全报告，有关安全的宣传、教育、培训计划； Ø 对于证实的重大的安全违规，违纪事件及泄密事件进行处理； Ø 配合上级安全管理部门完成必要的任务。 7各下级信息系统安全负责人职能 1) 全面负责本单位的信息系统安全工作。 2) 安全负责人应指定专人负责建立、修建和管理系统授权表及系统授权口令。 3) 负责审阅违章报告、控制台安全报告、系统日志、系统报警记录、系统活动统计、警卫报告以及其它与安全有关的材料。 4) 负责组织制定安全教育、培训计划。负责协调和管理对下级安全管理人员、系统管理和操作人员的定期和不定期的安全教育和训练。 5) 负责管理、监督、检查、分析系统运行日志，及系统安全监督文档，定期对系统作安全评价，对违反系统安全规定的行为进行处罚。 6) 负责制定、管理和定期分发系统及用户的身份识别号码、密钥和口令。 7) 根据国家和上级机关有关保密的规定，审查对外发布的消息，防止泄密事件的发生。 8) 负责采取切实可行的措施，防止系统操作人员对系统信息和数据的篡改、泄露和破坏，防止未经许可越权使用系统资源和旁路系统安全设备的控制。 9) 负责监督、管理外部设备系统维修人员对系统设备的检修和维护，并建立相应的批准手续。 10) 采取切实可行的措施，防止信息系统设备受到损害、更换和盗用。 8生效日期