網絡安全管理機構,一般是在機關的内部結構上建立一整套從機關最高管理層(網絡安全上司小組并且由機關最高上司委任或授權)到執行管理層(網絡安全管理工作職能部門及安全主管)以及系統日常營運層(系統管理者、網絡管理者、安全管理者等)的三層及金字塔式的管理結構來限制和保證各項安全管理措施的執行。
網絡安全上司小組主要的職責包括對安全管理制度體系合理性和适用性的審定、對機構内關鍵網絡安全工作進行授權和審批等,但其最主要的是負責機關網絡安全管理的全局工作;網絡安全管理職能部門的主要職責是對機構内重要網絡安全管理工作的授權和審批、内部相關業務部門和安全管理部門之間的溝通協調以及與機構外部機關的合作、定期對系統的安全措施落實情況進行檢查,以便發現問題進行改進。
注:《黨委(黨組)網絡安全工作責任制實施辦法》明确了上司班子主要負責人是第一責任人,主管網絡安全的上司班子成員是直接責任人,是以在建設網絡安全上司小組時,可以參考此檔案,以機關主要負責人擔任網絡安全上司小組組長最佳,可以同時滿足等級保護制度要求。
注:因網絡安全與資訊化相輔相成,各機關在建立網絡安全上司小組時,可充分參考資訊化上司小組組建情況,将二者合二為一。
安全管理的重要實施條件就是要建立一個統一指揮、協調有序、組織有力的安全管理機構,這是網絡安全管理得以實施、推廣的基礎。通過建構從機關最高管理層到執行層以及具體業務營運層的組織體系,明确各個崗位的安全職責,為安全管理提供組織上的保證。
安全通用要求的安全管理機構部分針對整個管理組織架構提出安全控制要求,涉及的安全控制點包括崗位設定、人員配備、授權和審批、溝通和合作、稽核和檢查等。
安全管理機構控制點/要求項的逐級變化
序号 | 控制點 | 一級 | 二級 | 三級 | 四級 |
1 | 崗位設定 | 1 | 2 | 3 | 3 |
2 | 人員配備 | 1 | 1 | 2 | 3 |
3 | 授權和審批 | 1 | 2 | 3 | 3 |
4 | 溝通和合作 | 3 | 3 | 3 | |
5 | 稽核和檢查 | 1 | 3 | 3 |
安全管理機構的基本要求一至四級,詳情見下表
安全管理機構 | 安全管理機構 | 安全管理機構 | 安全管理機構 |
崗位設定 | 崗位設定 | 崗位設定 | 崗位設定 |
本項要求包括: | 本項要求包括: | 本項要求包括: | 本項要求包括: |
應設立系統管理者等崗位,并定義各個工作崗位的職責。 | a) 應設立網絡安全管理工作的職能部門,設立安全主管、安全管理各個方面的負責人崗位,并定義各負責人的職責; | a)應成立指導和管理網絡安全工作的委員會或上司小組,其最高上司由機關主管上司擔任或授權; | a)應成立指導和管理網絡安全工作的委員會或上司小組,其最高上司由機關主管上司擔任或授權; |
— | b) 應設立系統管理者、審計管理者和安全管理者等崗位,并定義部門及各個工作崗位的職責。 | b)應設立網絡安全管理工作的職能部門,設立安全主管、安全管理各個方面的負責人崗位,并定義各負責人的職責; | b)應設立網絡安全管理工作的職能部門,設立安全主管、安全管理各個方面的負責人崗位,并定義各負責人的職責; |
— | — | c)應設立系統管理者、審計管理者和安全管理者等崗位,并定義部門及各個工作崗位的職責。 | c)應設立系統管理者、審計管理者和安全管理者等崗位,并定義部門及各個工作崗位的職責。 |
人員配備 | 人員配備 | 人員配備 | 人員配備 |
本項要求包括: | 本項要求包括: | 本項要求包括: | 本項要求包括: |
應配備一定數量的系統管理者。 | 應配備一定數量的系統管理者、審計管理者和安全管理者等。 | a)應配備一定數量的系統管理者、審計管理者和安全管理者等; | a)應配備一定數量的系統管理者、審計管理者和安全管理者等; |
— | — | b)應配備專職安全管理者,不可兼任。 | b)應配備專職安全管理者,不可兼任; |
— | — | — | c)關鍵事務崗位應配備多人共同管理。 |
授權和審批 | 授權和審批 | 授權和審批 | 授權和審批 |
本項要求包括: | 本項要求包括: | 本項要求包括: | 本項要求包括: |
應根據各個部門和崗位的職責明确授權審批事項、審批部門和準許人等。 | a) 應根據各個部門和崗位的職責明确授權審批事項、審批部門和準許人等; | a)應根據各個部門和崗位的職責明确授權審批事項、審批部門和準許人等; | a)應根據各個部門和崗位的職責明确授權審批事項、審批部門和準許人等; |
— | b) 應針對系統變更、重要操作、實體通路和系統接入等事項執行審批過程。 | b)應針對系統變更、重要操作、實體通路和系統接入等事項建立審批程式,按照審批程式執行審批過程,對重要活動建立逐級審批制度; | b)應針對系統變更、重要操作、實體通路和系統接入等事項建立審批程式,按照審批程式執行審批過程,對重要活動建立逐級審批制度; |
— | — | c)應定期審查審批事項,及時更新需授權和審批的項目、審批部門和審批人等資訊。 | c)應定期審查審批事項,及時更新需授權和審批的項目、審批部門和審批人等資訊。 |
溝通和合作 | 溝通和合作 | 溝通和合作 | 溝通和合作 |
本項要求包括: | 本項要求包括: | 本項要求包括: | 本項要求包括: |
— | a) 應加強各類管理人員、組織内部機構和網絡安全管理部門之間的合作與溝通,定期召開協調會議,共同協作處理網絡安全問題; | a)應加強各類管理人員、組織内部機構和網絡安全管理部門之間的合作與溝通,定期召開協調會議,共同協作處理網絡安全問題; | a)應加強各類管理人員、組織内部機構和網絡安全管理部門之間的合作與溝通,定期召開協調會議,共同協作處理網絡安全問題; |
— | b) 應加強與網絡安全職能部門、各類供應商、業界專家及安全組織的合作與溝通; | b)應加強與網絡安全職能部門、各類供應商、業界專家及安全組織的合作與溝通; | b)應加強與網絡安全職能部門、各類供應商、業界專家及安全組織的合作與溝通; |
— | c) 應建立外聯機關聯系清單,包括外聯機關名稱、合作内容、聯系人和聯系方式等資訊。 | c)應建立外聯機關聯系清單,包括外聯機關名稱、合作内容、聯系人和聯系方式等資訊。 | c)應建立外聯機關聯系清單,包括外聯機關名稱、合作内容、聯系人和聯系方式等資訊。 |
稽核和檢查 | 稽核和檢查 | 稽核和檢查 | 稽核和檢查 |
本項要求包括: | 本項要求包括: | 本項要求包括: | 本項要求包括: |
— | 應定期進行正常安全檢查,檢查内容包括系統日常運作、系統漏洞和資料備份等情況。 | a)應定期進行正常安全檢查,檢查内容包括系統日常運作、系統漏洞和資料備份等情況; | a)應定期進行正常安全檢查,檢查内容包括系統日常運作、系統漏洞和資料備份等情況; |
— | — | b)應定期進行全面安全檢查,檢查内容包括現有安全技術措施的有效性、安全配置與安全政策的一緻性、安全管理制度的執行情況等; | b)應定期進行全面安全檢查,檢查内容包括現有安全技術措施的有效性、安全配置與安全政策的一緻性、安全管理制度的執行情況等; |
— | — | c)應制定安全檢查表格實施安全檢查,彙總安全檢查資料,形成安全檢查報告,并對安全檢查結果進行通報。 | c)應制定安全檢查表格實施安全檢查,彙總安全檢查資料,形成安全檢查報告,并對安全檢查結果進行通報。 |
參考資料:
網絡安全等級測評師教育訓練教程
網絡安全等級保護基本要求
網絡安全等級保護測評要求等