第七章 终端安全风险管理体系

7.4  构建组织

    通过组建完整的信息网络安全组织机构，设置安全管理人员，规划安全策略确定安全组织机制，明确安全组织原则和完善安全组织措施；制定严格的安全组织制度，合理地协调法律、技术和组织3种因素，实现对系统安全组织的科学化、系统化、法制化和规范化，达到保障整体安全的目的。

    7.4.1  组织结构

    组织结构按照统一领导和分级组织的原则，安全组织必须设立专门的组织机构，配备相应的安全组织人员，并实行“一把手”责任制，明确主管领导，落实部门责任，各尽其职。其主要内容包括各级组织机构的建立；各级组织机构的职能、权限划分；人员岗位、数量、职责的确定。

    信息安全管理组织架构是实施终端系统安全，进行终端安全管理的必要保证。图7-3是对应终端安全管理体系的组织架构图。

图7-3  对应终端安全管理体系的组织架构图

    （1）信息安全领导小组

    信息安全是组织/企业工作人员必须共用承担的责任，因此，应建立信息安全领导小组。信息安全领导小组是单位网络与信息安全工作的最高领导决策机构，它不隶属于任何部门，直接对本单位最高领导负责，信息安全领导小组是一个常设机构，负责本单位信息安全工作的宏观管理。其主要职能如下。

    ·负责领导落实系统安全建设的总体规划

    ·制定规划并监督安全工作规划的制定与实施

    ·负责组织制定信息系统安全策略并审批下级单位上报的信息系统安全策略调整建议

    ·负责组织细化规章制度，制定相应程序指南，并监督落实规章制度

    ·负责审阅信息安全工作报告

    ·负责管辖范围内重大安全事故查处与向上级汇报工作

    （2）信息安全管理办公室

    信息安全管理办公室应该由本机构信息安全相关的若干管理部门共同完成，例如信息技术部门、业务应用部门、安全保卫部门、人事行政部门等。

    ·信息技术部门对信息系统及信息系统安全保障提供技术决策和技术支持，在技术上对信息系统和信息系统安全保障承担管理责任

    ·业务应用部门对信息系统的业务处理以及业务流程的安全承担管理责任

    ·安全保卫部门对信息系统的场地以及系统资产的防灾、防盗、防破坏等承担管理责任

    ·行政部门从行政上对信息安全保障执行管理工作

    各个部门应与信息技术部门协作，共同对信息系统的建设和运行维护承担管理责任。

    为明确安全职责，应在相关管理部门中指定对信息安全负责的主管，这些主管共同贯彻执行系统安全工作的方针政策、规章制度及有关的技术标准、规范和方案，并监督安全策略的落实。

    （3）信息安全保密委员会

    重要系统和文件的保密是一项重要的信息安全工作，根据国家保密局的相关规定，成立信息安全保密委，负责重要文件密码信息的管理。该委员会至少由负责领导和密钥管理员组成。