安全管理人员岗位制度篇
一、安全管理人员概述
(一)人员管理规则
安全管理人员的安全职责应该在聘用员工的阶段就开始实施,还应包括在合同中,并在员工的聘用期内实施监督机制。对将要聘用的员工应该给予充分的筛选,特别是从事敏感工作的员工。所有使用信息处理设备的员工和第三方用户都要签署保密协议。
1.工作职责中的安全要求
应该对组织信息安全方针中所规定的安全作用和责任进行恰当的表述。这些作用和责任应该包括实施和维护安全方针的总体责任、保护特定资产和执行特定的安全流程或行为的具体责任。
2.人员任用方针
对于申请长期工作的员工,要进行资格检查,应当包括以下的管理措施:
(1)是否具有令人满意的人品推荐材料,如针对一份工作的或针对一名员工的推荐材料;
(2)对申请人的简历的完整性和准确性的检查;
(3) 对申请人的学术和专业资格的认可;
(4) 独立的身份检查(护照或类似的证明材料)。
管理人员应该对有权访问敏感系统的新员工或是缺乏经验的员工进行监督。所有员工的工作应该接受定期的检查,审批程序应该由员工中的资深人员来进行。
管理人员应该意识到员工的个人环境会影响其工作。个人问题或是经济问题会改变员工的行为或生活方式,引起精神压力或忧郁。因此类变化会导致诈骗、盗窃、错误或其他安全隐患,所以,应该依据相应权限范围内适当的法规来处理这类问题。
3.保密协议
保密或不泄密协议的目的是对保密性的秘密信息给出声明。员工通常都要签订此类协议,作为他们受雇的首要条件。对于没有签订保密协议的临时员工和第三方用户,应要求他们在有权访问信息处理设备之前签订保密协议。在雇用条款或合同发生变化时,特别是员工要离开组织或合同到期时都应对保密协议进行审查。
4. 员工守则
员工守则应该说明员工在信息安全方面的责任。如有必要,这些责任在雇佣关系结束后的一段时间内仍然有效。员工守则还应该包括员工违反安全要求时所采取的行为。
员工守则中应明确说明和涵盖员工的合法责任和权利,如版权法和数据保护法方面的权利。员工在数据分类和管理方面的责任也应包含在内。如有必要,员工守则还应声明:这些责任可以外延到组织范围之外和正常的工作时间之外,如家庭工作的情况。
(二)安全培训
组织中所用员工以及必要情况下的第三方用户,都应该接受适当的培训,并了解安全管理方针和流程的经常性更新。这包括安全要求、法律责任和运营控制,以及在授权访问信息和服务之前的正确使用信息处理系统方面的培训,如登录流程、软件的使用等。
用户培训需贯穿于组织实体的建设、持续运营的全过程。无论是岗位调度、设备更新还是移动办公,都需要开展广泛、反复的培训计划和实施工作。可以认为,本章前两节所述均是贯彻于用户培训的内容。
(三)安全事故和故障处理中的员工职责
1.安全事件报告
安全事件应该通过适当的管理渠道尽快地汇报上去。应建立一套汇报流程,并实践之。要确定接到事故汇报后所应该采取的行动。所有的员工和签约者都应了解汇报安全事件的流程,并要求在发生安全事件之后尽快进行汇报。实施适当的反馈流程来确保在安全事件处理结束之后及时反馈处理结果。发生的事件可以用作用户安全意识培训,用以说明会发生哪些事件,对这些事件做出何种反应以及以后如何避免再发生此类事件。
2.安全漏洞汇报
要求使用信息服务的用户记录并汇报所观察到的或所怀疑的系统或服务中的安全漏洞或安全威胁,并把此类事件尽快汇报到他们的管理人员处或直接汇报给服务提供商。但应向用户强调,在任何情况下他们都不应试图对所怀疑的安全漏洞进行论证。这对他们自身有益处,因为测试安全漏洞的行为有可能被认为是对系统潜在的误用。
3.软件故障报告
建立一套汇报软件故障的流程,应考虑以下行为:
(1)出现问题的征兆和任何在屏幕上显示的信息都要被记录下来。
(2)如有可能,计算机应被隔离,并停止对其的使用。如果要对设备进行检查,应在重新启动之前将其从组织的网络上隔离下来。使用的软盘不得应用于其他计算机。
(3)有关事故应该尽快汇报给信息安全经理。用户如果未经授权不得试图删除所怀疑的软件,应该由经过适当培训并有经验的员工来执行恢复工作。
4.违规处理
要求建立相应的机制,对事故的类型、数量、成本进行量化和监督。这类信息可用作以后鉴别重大事故或有重大危害的事故,这也表示有必要提高或增加额外的控制措施来限制以后安全事故发生的频率、损失程度和成本,或是在安全方针的审查流程中加以考虑。
应建立正式的违规处理流程来处理违反组织安全方针的员工。该流程可以对那些可能忽视组织安全方针流程的员工起到威慑作用。另外,要确保对怀疑制造严重或持续性安全破坏的员工的处理的正确性和公平性。
二、安全管理人员的岗位职责
各单位应根据自己的实际情况制定出本单位的安全管理人员岗位责任制度。下面我们先看一个单位自行制定的安全管理人员岗位责任制度。
安全管理人员岗位责任制度
第一条 组织工作人员认真学习《计算机信息网络国际联网安全保护管理办法》,提高工作人员的维护网络安全的警惕性和自觉性。
第二条 负责对本网络用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际联网安全保护管理办法》,使他们具备基本的网络安全知识。
第三条 加强对信源单位的信息发布和电子公告系统的信息发布的审核管理工作,杜绝违反《计算机信息网络国际联网安全保护管理办法》的内容出现。
第四条 一旦发现从事下列危害计算机信息网络安全的活动的,做好记录并立即向当地公安机关报告:
(一)未经允许,进入计算机信息网络或者使用计算机信息网络资源的;
(二)未经允许,对计算机信息网络功能进行删除、修改或者增加的;
(三)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
(四)故意制作、传播计算机病毒等破坏性程序的;
(五)从事其他危害计算机信息网络安全的。
第五条 在信息发布的审核过程中,如发现有以下行为的,将一律不予以发布,并保留有关原始记录,在二十四小时内向当地公安机关报告:
(一)煽动抗拒、破坏宪法和法律、行政法规实施的;
(二)煽动颠覆国家政权,推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
(七)公然侮辱他人或者捏造事实诽谤他人的;
(八)损害国家机关信誉的;
(九)其他违反宪法和法律、行政法规的行为。
第六条 接受并配合公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络实施的违法犯罪行为。
这个安全管理人员岗位责任制度实际上是比较简单的,其规定也比较原则化,实际操作性不强。互联网安全管理人员及其岗位责任具有非常具体而细致的内容。一般来说,互联网安全管理人员根据其岗位的不同可以被划分为以下几类:安全管理责任人、安全管理员、信息审核员和信息管理员。下面分别介绍他们各自的岗位责任。
(一)安全管理责任人
互联网联网单位应确定安全管理责任人。安全管理责任人实行领导责任制。
安全管理责任人应履行下列职责:组织宣传信息安全管理方面的法律、法规和有关政策;拟订并组织实施本单位信息安全管理的各项规章制度;定期组织检查信息安全情况,及时排除各种安全隐患;负责组织安全稽核;负责组织本单位信息网络安全人员的安全教育和培训; 发生安全事故或计算机犯罪案件时,立即向公安机关、主管部门报告并采取妥善措施,保护现场,避免危害的扩大。
(二)安全管理员
安全管理员是负责互联网联网单位的信息安全管理工作的人员。一般来说,安全管理员应具备以下条件:遵守国家法律、法规,无违法犯罪记录;具有一定的信息网络专业技术知识;经过信息网络安全专业技术人员继续教育培训,并考试合格;基本掌握国家信息网络安全方面的法律、法规和有关政策。
安全管理员的职责一般是:依据国家有关法规政策,从事本单位的信息网络安全保护工作,确保网络安全运行;在公安机关公共信息网络安全监察部门的监督、指导下进行信息网络安全检查和安全宣传工作;向公安机关及时报告发生在本单位网络上的有关信息、安全违法犯罪案件,并协助公安机关做好现场保护和技术取证工作;有关危害信息网络安全的计算机病毒、黑客等方面的情报信息及时向公安机关报告;与信息网络安全保护有关的其他工作。
安全管理员的安全责任一般包括:第一,要认真学习党的教育方针,认真学习专业知识,刻苦钻研业务。要有高度的事业心和责任感,严格遵守各项规章制度,认真履行自己的职责,服从单位安全组织的领导,担负单位网络和信息安全保护工作。第二,加强防范意识和措施,确保网络设备的安全。密切与单位各有关人员的联系,执行各项安全规章。第三,安全管理员要熟悉掌握设备的性能、使用方法及具备排除一般故障的能力,要定期对设备进行安全检查。第四,按照计算机安全管理行业技术规范要求,定期对单位计算机信息系统进行安全检查测试,及时排除各种安全隐患。第五,接受公安机关的安全技术培训,加强与公安机关的联系。发生计算机犯罪案件时,应采取妥善措施,保护现场,避免危害的扩大,及时向单位主管部门汇报。
(三)信息审核员
信息审核员是负责对互联网信息发布进行审核的专门人员。单位的信息审核员具体负责本单位的信息发布,对所在单位上网发布的信息进行审核,并签发同意发布意见,要求对发布信息的申请人姓名、信息的内容、发布的时间进行检查和登记,对过时的信息应要求所属信息管理员进行及时的删除,同时进行登记和备份,并进行硬盘或光盘的备份。
(四)信息管理员
信息管理员主要负责单位的网站管理,定期更新单位网站内容。单位信息管理员应监视本单位网站内容,防止有害信息的传播,发现有害信息的应立即报告。发生计算机违法犯罪案件时,立即向当地公安网监部门报告并采取妥善措施,保护现场,避免危害扩大。信息管理员要确保与公安网监部门联系渠道的畅通,发现有害信息能及时报告。
信息管理员应承担以下工作责任:负责本单位网站安全运行;负责本单位网站的信息安全;熟悉计算机网络应用技术及正常使用方法,做好信息提供服务;不断学习计算机网络技术和信息安全等有关知识,努力提高自身的工作水平;对上传的信息认真检查,合格后方可发布,并且填好有关记录;有独立服务器的单位,所属信息发布设备不得随意提供给他人使用,并定期检查设备和操作系统安全。
( 责任编辑: 黄淑蓉 )
1600
