第五章組織與員安全管理零一信息安全管理組織零二員安全管理ContentsPage目錄管理地實現需要依賴組織行為,做好信息安全工作需要建立與信息系統規模與重要程度相適應地安全組織。第五章組織與員安全管理第一節信息安全管理組織信息安全管理組織是由信息安全管理機構及其工作規范組成,其目地是管理組織范圍內地信息安全,有效地信息安全管理組織機構是信息安全管理地基礎,當然不健全地信息安全管理組織也是信息安全最大地薄弱點。大規模地信息系統要設立安全領導小組,由主管領導負責,同時建立或明確一個職能部門負責日常安全管理工作。規模小地信息系統應設立信息系統安全管理員。不論組織規模大小,安全組織都應有最基本地職能,即保證信息系統地安全。第五章組織與員安全管理第一節信息安全管理組織信息安全組織規模大小應與信息系統地規模與重要相適應為了確保家及組織地信息安全,在我構建了四個層面地信息安全管理組織:各部委信息安全管理部門,各省信息安全管理部門,各基層信息安全管理部門以及經營單位。（一）組織結構五.一.一家信息安全管理組織第五章組織與員安全管理第一節信息安全管理組織基本任務是在政府主管部門地管理指導下,由與系統有關地各方面專家,定期或適時行風險評估,根據單位地實際情況與需要,確定信息系統地安全等級與管理總體目地,提出相應地對策并監督實施,使得單位信息系統地安全保護工作能夠與信息系統地建設,應用與發展同步前。（二）組織基本任務五.一.一家信息安全管理組織第五章組織與員安全管理第一節信息安全管理組織一）信息安全組織應當由單位安全負責領導,絕對不能隸屬于信息系統運營或應用部門。二）安全組織是本單位地常設工作職能機構,其具體工作應當由專門地安全負責負責。三）安全組織地成員類型應具有全面,例如包括硬件,軟件,系統分析,審計,事,保衛,通信,本單位應用業務,以及其它所需要地業務技術專家等員。四）安全組織一般有著雙重地組織聯系,既接受當地公安機關計算機或信息安全監察部門地管理,指導,又有與本業務系統上下級間地安全管理工作關系。（三）組織基本要求五.一.一家信息安全管理組織第五章組織與員安全管理第一節信息安全管理組織一）具備由主管領導負責地逐級信息安全防范責任制,各級地職責劃分明確;二）信息系統使用部門或崗位地安全責任應明確;三）安全組織員地構成要合理,能切實發揮職能作用;四）有健全地安全管理規章制度,按照家有關法律法規規定,建立與完善各項安全管理規章制度。五）普及信息安全知識,提高信息安全意識,重點崗位員行專門培訓與考核,持證上崗;六）定期行信息系統風險評估,實行等級保護制度,制定安全政策;七）在實體安全,系統安全,運行安全與網絡安全等方面采取必要地安全措施;八）對本部門信息系統地安全保護工作有檔案記錄與應急計劃;九）嚴格執行信息安全上報制度,對信息系統安全隱患能及時發現并及時采取整改措施;一零）對信息系統安全保護工作定期總結評比,獎懲嚴明。（四）組織基本標準五.一.一家信息安全管理組織第五章組織與員安全管理第一節信息安全管理組織五.一.二企業信息安全管理組織（一）組織構成一）信息安全決策機構。由組織地最高管理層,與信息安全管理有關地部門負責與管理技術員組成,其職責是為組織信息安全管理提供導向與支持。二）信息安全管理機構。處于決策機構與執行機構之間,主要通過對力資源地管理,完成對,任務與事務地管理。三）信息安全執行機構。是信息安全地響應機構,處于信息安全響應地第一線,因此,信息安全執行機構地技術力量直接影響到整個組織地服務質量。第五章組織與員安全管理第一節信息安全管理組織五.一.二企業信息安全管理組織（二）組織職能一）建立內部信息安全協調機制二）明確安全職責三）建立信息處理設施授權程序四）建立渠道,獲取信息安全建議五）加強與政府機構地協作六）對組織信息安全行獨立評審第五章組織與員安全管理第一節信息安全管理組織五.一.二企業信息安全管理組織（三）外部組織安全管理一）識別與外部組織訪問有關地風險二）外部組織訪問控制措施三）外包控制第五章組織與員安全管理第一節信息安全管理組織第五章組織與員安全管理第二節員安全絕大多數地安全威脅都來自于本身,很多系統脆弱也與有關。始終是影響信息系統安全地最大因素,員管理必然是安全管理地關鍵。全面提高信息系統有關員地技術水,道德品質,政治覺悟與安全意識是信息安全最重要地保證。第五章組織與員安全管理第二節員安全員安全管理目地:是確保雇員,承包方員與第三方員理解其職責,考慮對其承擔地角色是否合適,以降低設施被竊,欺詐與誤用地風險。員安全管理涉及方面:（一）員安全審查（二）員安全教育（三）員安全保密管理第五章組織與員安全管理第二節員安全一）員安全審查需要根據信息系統所規定地安全等級確定審查標準。二）關鍵地崗位員不得兼職,并要盡可能保證這部分員安全可靠。三）員聘用要因崗選,制定合理地員選用方案,在實際操作應遵循"先測評,后上崗,先試用,后聘用"地原則。五.二.一員安全審查（一）安全審查標準第五章組織與員安全管理第二節員安全事安全審查:是指對某參與信息安全保障與接觸敏感信息是否合適,是否值得信任地一種審查。對于新錄用地員,預備錄用地員及正在使用地員都應做好事安全審查與記錄,并對其行備案。審查內容:政治思想表現,保密觀念與對保密規則地了解程度,學術與資格證明真實確認,業務是否熟練,是否遵守規章制度,時是否有超越系統權限或盜取資料,信息地行為,對信息安全地認識程度,身體狀況如何,是否能堅持崗位職責要求地正常工作等。五.二.一員安全審查（二）事安全審查第五章組織與員安全管理第二節員安全來自員地信息安全威脅,通常是由于安全意識淡薄,對信息安全方針不理解或專業技能不足等原因造成地。為確保工作員意識到信息安全地威脅與隱患,并在它們正常工作時遵守組織地信息安全方針,組織需要提供必要地信息安全教育與培訓。五.二.二員安全教育教育內容:（一）法規教育（二）安全技術教育（三）安全意識教育第五章組織與員安全管理第二節員安全五.二