为规范网络安全管理工作,需要加强领导,落实责任,完善措施,建立健全网络安全责任制和网络安全相关管理制度,制定网络安全工作的总体方针和目标,明确网络安全工作的主要任务和原则,以推动网络安全工作的开展。
一、总体框架
网络安全管理组织由网络安全领导小组、网络安全工作小组和执行机构组成。管理组织框架如下:
网络安全领导小组组成如下:
1、网络安全领导小组组长:由网络安全工作分管领导(副部级领导)担任;
2、网络安全领导小组副组长:由网络安全责任部门网络安全工作主管领导(司局级领导)担任;
3、网络安全领导小组成员:由各部门主管领导组成;
网络安全工作小组组成如下:
1、网络安全工作小组组长:由网络安全领导小组副组长担任;
2、网络安全工作小组副组长:由网络安全责任部门网络安全工作负责人担任;
3、网络安全工作小组成员:由网络安全责任部门网络安全工作人员、支撑单位负责人和各部门网络安全员组成。
二、主要职责
网络安全领导小组负责本组织网络安全工作的领导、决策和资源提供。具体职责为:
1、负责本单位网络安全管理工作;
2、确定网络安全工作职责,指导、监督网络安全工作;
3、制定网络安全方针,确定网络安全总体目标;
4、为网络安全工作提供人力、物力和财力资源保障;
5、确定网络安全的风险级别,对重大网络安全事件的处置进行决策;
6、建立健全网络安全组织管理体系和管理机制。
网络安全工作小组负责研究本组织的重大网络安全事件,落实网络安全方针和目标,制定网络安全总体策略、规范和技术标准。具体职责为:
1、负责本单位网络安全工作的具体落实;
2、组织网络安全检查和风险评估工作;
3、宣贯网络安全方针和总体目标;
4、负责对网络安全工作人力、物力和财力需求进行策划;
5、根据国家法律、法规和有关要求制定网络安全管理制度和办法;
6、负责网络安全教育培训。
网络安全工作执行机构由政府部门信息技术相关部门承担,负责网络安全具体工作的开展和执行。
1、根据网络安全制度或办法,制定网络安全规范、策略和具体防护措施;
2、负责重点领域网络安全检查,开展网络安全风险评估工作;
3、宣传网络安全相关知识;
4、负责网络安全日常运行维护工作。
三、网安全管理范畴
网络安全管理范畴包括人员安全管理、信息资产安全管理、访问控制安全管理、密码控制安全管理、物理环境安全管理、操作安全管理、通信安全管理、信息系统获取开发维护管理、供应关系管理、信息安全事件管理、信息安全方面的业务连续性管理、信息安全符合性管理、信息安全风险管理等方面。
(一)人员安全管理
人员安全管理的目的是确保信息安全相关人员理解其信息安全职责,确保信息安全相关人员能够履行信息安全职责。
人员安全管理内容主要包括针对内部员工、外包人员和临时访客等第三方人员制定信息安全相关规定,明确信息安全管理部门、人力资源部门、信息技术部门等信息安全相关部门在人员安全管理各环节中的相关职责。
(二)资产安全管理
资产安全管理制度建设目的是实现和保持对信息资产的保护,对信息资产进行识别和分类,对不同级别的信息资产采取不同的保护措施。
主要内容包括对信息资产的分类、识别和分级保护的相关规定,明确信息资产管理者、所有者和使用者的安全职责,规范信息资产在创建、使用、维护和处置整个生命周期中的安全管理。
(三)访问控制安全管理
访问控制安全管理的目的是防止对信息和信息处理设施的未授权或越权访问。
主要内容包括建立主机、网络设备、安全设备以及应用系统等访问控制策略,明确用户账号标识,访问应用系统的申请程序及相应访问权限的分配,用户账号和口令的基本要求,规范设备入网准入流程及设备变更等流程。
(四)密码控制安全管理
密码控制安全管理的目的是使用密码技术保护信息的机密性、真实性和完整性。
主要内容包括根据业务要求和相关法律法规要求制定密码策略;保护密钥免遭泄密、修改、丢失和毁坏。对密钥的生成、使用、存储、分发、归档、销毁整个环节进行安全管理。
(五)物理环境安全管理
物理环境安全管理的目的是防止对场所和信息的非法访问、损坏和干扰,防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。
主要内容包括明确物理和环境安全责任部门职责,按照信息资产重要度、业务类型、物理或逻辑区域和组织结构等进行安全区域的划分,对不同的安全区域制定相应的安全管理规定。
(六)操作安全管理
操作安全管理的目的是明确信息处理设施的操作流程和相关职责,减少系统的安全风险,确保正确、规范地使用信息资产。
主要内容包括针对通信和操作设备相关的活动制定流程和规范,如安全日志管理、防病毒管理、移动介质安全管理、终端安全管理、应用系统安全测试规范等。
(七)通信安全管理
通信安全管理的目的是确保网络中信息的安全性并保护支持性的信息处理设施,维护组织与任何外部实体的信息传输安全。
主要内容包括对网络活动采取日志记录和监视措施,明确所提供的网络服务的安全特性、服务级别和管理要求,确保网络服务的安全性。
(八)信息系统获取开发管理
信息系统获取开发管理的目的是保障信息系统在获取和开发过程中的信息安全,确保在整个信息系统生命周期中的信息安全设计与实施,确保测试数据的安全。
主要内容包括明确信息系统安全需求分析,在购买产品之前须考虑引入的风险和相关控制措施,信息系统上线须提供可行性设计方案等。
(九)供应关系管理
供应关系管理的目的是明确第三方人员在实施服务活动时必须遵守的信息安全要求。
主要内容包括对外包人员进行必要的背景审查,与外包人员签订保密协议等。
(十)信息安全事件管理
信息安全事件管理的目的是规范信息安全事件的报告、处置、责任追溯、回顾和改进机制,明确信息安全事件的管理职责和流程,将信息安全事件造成的损害降到最低。
主要内容包括对信息安全事件分类分级,按照信息安全事件的危害程度、影响范围和造成的损失,从高到低将信息安全事件分为特别重大事件、重大事件、较大事件和一般事件四个等级。制定信息安全事件处理流程,进行事件定性及责任认定。
(十一)信息安全业务连续性管理
信息安全业务连续性管理的目的是将信息安全的连续性嵌入业务连续性管理,以确保信息处理设施的可用性。
主要内容包括制定业务连续性管理目标,对业务影响性进行分析,评估灾难带来的损失。制定业务连续性风险处理策略,定期开展应急演练,明确灾难恢复流程和措施。
(十二)信息安全符合性管理
信息安全符合性管理的目的是保障信息安全管理按照已经制定的信息安全制度和策略正常运行。
主要内容包括提出信息安全合规管理的要求,明确信息安全年度审查的内容,如信息安全控制目标、控制措施、信息安全策略以及信息安全审查的范围等等。
(十三)信息安全风险管理
信息安全风险管理的目的是通过制定一个科学、合理的风险管理方法,对信息资产进行风险评估和风险处置,将信息资产的安全风险控制在可接受的水平,为信息安全管理提供依据。主要内容包括建立风险评估的模型,根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失。建立风险评估的实施流程,提出风险管理的要求。
四、应用案例
根据网络安全管理范畴,结合各单位实际情况,进行网络安全管理制度建设。某单位为规范网络安全管理,制定网络安全管理相关制度如下:
1、互联网使用管理办法
指定互联网管理工作的责任部门,明确互联网的网络管理及维护保障工作,具体内容包括网站发布信息的审核、舆论导向的指引、登记备案、规范移动存储介质的使用及有关法律法规的宣传教育。
2、内网安全管理制度
明确内网的使用范围,一般覆盖党政内网处理的所有事务和应用系统,包含但不仅限于:公文交换、公务员之窗、组织人事管理、内网门户发布、内部考勤、党员干部远程教育等。内网安全制度内容涉及网络管理、终端管理、用户管理、介质管理和安全事件报告等。
3、信息安全事件管理办法
对信息安全事件进行分类,并根据信息安全事件造成的后果及影响的严重程度进行分级,规范安全事件的处置流程及安全事件报告程序。
4、信息系统信息发布制度
明确信息系统信息发布的原则,建立信息发布流程,建立信息发布登记制度,促进信息系统信息发布、审核工作的规范化、制度化,保障信息系统发布信息的权威性、及时性、准确性、严肃性和安全性。
5、机房安全管理制度
涉及机房日常维护及监控管理等内容。
6、网络安全管理制度
对网络系统架构、安全域划分、网络接入控制等网络系统安全管理及账号管理、病毒防治管理、网络事件报告和查处等方面进行规定。
7、信息系统运行维护管理制度
对业务系统的运行维护、业务数据的备份和恢复、口令安全和权限设置、恶意代码防范以及系统补丁等进行规范与管理。
8、信息系统用户管理制度
根据信息系统岗位配置原则,设置安全管理员、系统管理员、网络管理员、机房管理员、安全审计员等岗位职责,对人员录用及调(离)岗、用户权限审批管理及安全培训教育管理。
9、信息资产和设备管理制度
对硬件、软件、电子数据、纸质文档、人员及相关服务设施等信息资产的获取、分类、使用和处置进行管理。
10、信息系统安全审计管理制度
明确信息系统安全审计的目的、范围、准则、时间及审计人员的工作职责,包括制定审计计划,规范具体的审计实施过程等内容。
11、数据存储介质管理制度
对服务器/台式电脑/笔记本电脑的硬盘、移动硬盘、U盘、用于备份数据的磁带、CD/DVD碟片等存储介质的使用、存放、维修及报废等进行管理。