{安全生产管理}组织与人员安全管理.pdfVIP

内容提要

◎国家信息安全组织

◎企业信息安全组织

◎信息安全的角色与职务

◎人员安全及其教育、培训和

意识提升

6.1国家信息安全组织

宏观

《中华人民共和国计算机信息系统安全保护条例》

第四条：“公安部主管全国的计算机信息系统的安全保

护工作，重点维护国家事务、经济建设、国防建设、尖

端科学角色等重要领域的计算机信息系统的安全”。

微观

《中华人民共和国计算机信息系统安全保护条例》

第十三条：“计算机信息系统的使用单位应当建立健全

安全管理制度，负责本单位计算机信息系统的安全保护

工作”。

6.1国家信息安全组织

6.1.1信息安全组织的基本要求

信息安全组织应当由单位安全负责人领导

具体工作应当由专门的安全负责人负责

安全组织成员类型的多样性

安全组织有着双重的组织联系

信息安全组织的运行应独立于信息系统的运行，同

时是一个综合性的组织。

6.1.2信息安全组织的基本标准

逐级信息安全防范责任制，各级的职责划分明确

明确信息系统使用部门或岗位的安全责任

有专职或兼职的安全员

有健全的安全管理规章制度

在工作人员中普及安全知识

定期进行信息系统风险评估，并对信息安全实行等级保

护制度

在安全各方面采取必要的安全措施

对本部门信息系统的安全保护工作有档案记录和应急计

划

严格执行信息安全事件上报制度

对信息系统安全保护工作定期总结评比

6.1.3信息安全组织的基本任务

在政府主管部门的管理指导

下定期或适时进行风险评估，

根据本单位的实际情况和需要，

确定信息系统的安全等级和管

理总体目标，提出相应的对策

并监督实施。

6.1.4信息安全组织的

职能

负责与信息安全有关方面的决策与实施

根据安全需求建立各自信息系统的安全策略和安全目标

建立和健全有关的实施细则

与各级国家信息安全主管机关、技术和保卫机构建立日

常工作关系

参与本单位及下属单位的信息系统的安全管理工作

建立和健全系统安全操作规程和制度

明确信息安全各岗位人员的职责和权限

奖罚并重

执行信息安全报告制度

6.1.5信息安全组织的

规模

大型机构

大型机构有1000台以上的设备需要安全管理，一

般都有专门的职员来支持安全项目。

专职安全人员的配置依赖于大量的因素，包括所保

护信息的敏感性、行业规则（如金融业和卫生保健业）

以及收益率。公司用于人员预算的资源越多，则越有可

能保持较大的信息安全人员配置。

注：这主要取决于机构的文化意识。

如果上层管理者认为信息安全只是在浪费时间和资

源，那么信息安全项目将得不到有力的支持，信息安全

人员所做的努力会被认为与机构的任务相抵触，不利于

机构生产率的提高；相反，如果管理层对信息安全有较

高的认识并且态度积极，那么安全项目不管是在经济上

还是在其他方面都有可能得到很大的支持。

6.1.5信息安全组织的

规模

一个典型的大型机构平均有1个专职安全管理人员，

4个专职的安全系统管理员或技术员和15个兼职人员，这

些兼职人员除了其他的工作职责外还有信息安全职责。

6.1.5信息安全组织的

规模

中型机构

中型机构拥有100—1000台要求安全管理的机

器。

这些机构也可能大到足以执行多级安全方法，虽然

这种方法是为大型机构提供的，但这些机构也可以使用

这种方法，只是专门小组的数量会减少，而每个小组会

有更多的功能。

当信息安全部门没有能力为某项功能配置人员，并

且机构不支持或要求IT或其他部门代为执行该项功能时，

中型机构趋向于忽略一些特别功能。在这种情况下，

CISO必须增强各小组之间