安全管理人員崗位制度篇

一、安全管理人員概述

（一）人員管理規(guī)則

安全管理人員的安全職責(zé)應(yīng)該在聘用員工的階段就開(kāi)始實(shí)施，還應(yīng)包括在合同中，并在員工的聘用期內(nèi)實(shí)施監(jiān)督機(jī)制。對(duì)將要聘用的員工應(yīng)該給予充分的篩選，特別是從事敏感工作的員工。所有使用信息處理設(shè)備的員工和第三方用戶都要簽署保密協(xié)議。

1.工作職責(zé)中的安全要求

應(yīng)該對(duì)組織信息安全方針中所規(guī)定的安全作用和責(zé)任進(jìn)行恰當(dāng)?shù)谋硎?。這些作用和責(zé)任應(yīng)該包括實(shí)施和維護(hù)安全方針的總體責(zé)任、保護(hù)特定資產(chǎn)和執(zhí)行特定的安全流程或行為的具體責(zé)任。

2.人員任用方針

對(duì)于申請(qǐng)長(zhǎng)期工作的員工，要進(jìn)行資格檢查，應(yīng)當(dāng)包括以下的管理措施：

（1）是否具有令人滿意的人品推薦材料，如針對(duì)一份工作的或針對(duì)一名員工的推薦材料；

（2）對(duì)申請(qǐng)人的簡(jiǎn)歷的完整性和準(zhǔn)確性的檢查；

（3） 對(duì)申請(qǐng)人的學(xué)術(shù)和專業(yè)資格的認(rèn)可；

（4） 獨(dú)立的身份檢查（護(hù)照或類似的證明材料）。

管理人員應(yīng)該對(duì)有權(quán)訪問(wèn)敏感系統(tǒng)的新員工或是缺乏經(jīng)驗(yàn)的員工進(jìn)行監(jiān)督。所有員工的工作應(yīng)該接受定期的檢查，審批程序應(yīng)該由員工中的資深人員來(lái)進(jìn)行。

管理人員應(yīng)該意識(shí)到員工的個(gè)人環(huán)境會(huì)影響其工作。個(gè)人問(wèn)題或是經(jīng)濟(jì)問(wèn)題會(huì)改變員工的行為或生活方式，引起精神壓力或憂郁。因此類變化會(huì)導(dǎo)致詐騙、盜竊、錯(cuò)誤或其他安全隱患，所以，應(yīng)該依據(jù)相應(yīng)權(quán)限范圍內(nèi)適當(dāng)?shù)姆ㄒ?guī)來(lái)處理這類問(wèn)題。

3.保密協(xié)議

保密或不泄密協(xié)議的目的是對(duì)保密性的秘密信息給出聲明。員工通常都要簽訂此類協(xié)議，作為他們受雇的首要條件。對(duì)于沒(méi)有簽訂保密協(xié)議的臨時(shí)員工和第三方用戶，應(yīng)要求他們?cè)谟袡?quán)訪問(wèn)信息處理設(shè)備之前簽訂保密協(xié)議。在雇用條款或合同發(fā)生變化時(shí)，特別是員工要離開(kāi)組織或合同到期時(shí)都應(yīng)對(duì)保密協(xié)議進(jìn)行審查。

4. 員工守則

員工守則應(yīng)該說(shuō)明員工在信息安全方面的責(zé)任。如有必要，這些責(zé)任在雇傭關(guān)系結(jié)束后的一段時(shí)間內(nèi)仍然有效。員工守則還應(yīng)該包括員工違反安全要求時(shí)所采取的行為。

員工守則中應(yīng)明確說(shuō)明和涵蓋員工的合法責(zé)任和權(quán)利，如版權(quán)法和數(shù)據(jù)保護(hù)法方面的權(quán)利。員工在數(shù)據(jù)分類和管理方面的責(zé)任也應(yīng)包含在內(nèi)。如有必要，員工守則還應(yīng)聲明：這些責(zé)任可以外延到組織范圍之外和正常的工作時(shí)間之外，如家庭工作的情況。

（二）安全培訓(xùn)

組織中所用員工以及必要情況下的第三方用戶，都應(yīng)該接受適當(dāng)?shù)呐嘤?xùn)，并了解安全管理方針和流程的經(jīng)常性更新。這包括安全要求、法律責(zé)任和運(yùn)營(yíng)控制，以及在授權(quán)訪問(wèn)信息和服務(wù)之前的正確使用信息處理系統(tǒng)方面的培訓(xùn)，如登錄流程、軟件的使用等。

用戶培訓(xùn)需貫穿于組織實(shí)體的建設(shè)、持續(xù)運(yùn)營(yíng)的全過(guò)程。無(wú)論是崗位調(diào)度、設(shè)備更新還是移動(dòng)辦公，都需要開(kāi)展廣泛、反復(fù)的培訓(xùn)計(jì)劃和實(shí)施工作?？梢哉J(rèn)為，本章前兩節(jié)所述均是貫徹于用戶培訓(xùn)的內(nèi)容。

（三）安全事故和故障處理中的員工職責(zé)

1.安全事件報(bào)告

安全事件應(yīng)該通過(guò)適當(dāng)?shù)墓芾砬辣M快地匯報(bào)上去。應(yīng)建立一套匯報(bào)流程，并實(shí)踐之。要確定接到事故匯報(bào)后所應(yīng)該采取的行動(dòng)。所有的員工和簽約者都應(yīng)了解匯報(bào)安全事件的流程，并要求在發(fā)生安全事件之后盡快進(jìn)行匯報(bào)。實(shí)施適當(dāng)?shù)姆答伭鞒虂?lái)確保在安全事件處理結(jié)束之后及時(shí)反饋處理結(jié)果。發(fā)生的事件可以用作用戶安全意識(shí)培訓(xùn)，用以說(shuō)明會(huì)發(fā)生哪些事件，對(duì)這些事件做出何種反應(yīng)以及以后如何避免再發(fā)生此類事件。

2.安全漏洞匯報(bào)

要求使用信息服務(wù)的用戶記錄并匯報(bào)所觀察到的或所懷疑的系統(tǒng)或服務(wù)中的安全漏洞或安全威脅，并把此類事件盡快匯報(bào)到他們的管理人員處或直接匯報(bào)給服務(wù)提供商。但應(yīng)向用戶強(qiáng)調(diào)，在任何情況下他們都不應(yīng)試圖對(duì)所懷疑的安全漏洞進(jìn)行論證。這對(duì)他們自身有益處，因?yàn)闇y(cè)試安全漏洞的行為有可能被認(rèn)為是對(duì)系統(tǒng)潛在的誤用。

3.軟件故障報(bào)告

建立一套匯報(bào)軟件故障的流程，應(yīng)考慮以下行為：

（1）出現(xiàn)問(wèn)題的征兆和任何在屏幕上顯示的信息都要被記錄下來(lái)。

（2）如有可能，計(jì)算機(jī)應(yīng)被隔離，并停止對(duì)其的使用。如果要對(duì)設(shè)備進(jìn)行檢查，應(yīng)在重新啟動(dòng)之前將其從組織的網(wǎng)絡(luò)上隔離下來(lái)。使用的軟盤(pán)不得應(yīng)用于其他計(jì)算機(jī)。

（3）有關(guān)事故應(yīng)該盡快匯報(bào)給信息安全經(jīng)理。用戶如果未經(jīng)授權(quán)不得試圖刪除所懷疑的軟件，應(yīng)該由經(jīng)過(guò)適當(dāng)培訓(xùn)并有經(jīng)驗(yàn)的員工來(lái)執(zhí)行恢復(fù)工作。

4.違規(guī)處理

要求建立相應(yīng)的機(jī)制，對(duì)事故的類型、數(shù)量、成本進(jìn)行量化和監(jiān)督。這類信息可用作以后鑒別重大事故或有重大危害的事故，這也表示有必要提高或增加額外的控制措施來(lái)限制以后安全事故發(fā)生的頻率、損失程度和成本，或是在安全方針的審查流程中加以考慮。

應(yīng)建立正式的違規(guī)處理流程來(lái)處理違反組織安全方針的員工。該流程可以對(duì)那些可能忽視組織安全方針流程的員工起到威懾作用。另外，要確保對(duì)懷疑制造嚴(yán)重或持續(xù)性安全破壞的員工的處理的正確性和公平性。

二、安全管理人員的崗位職責(zé)

各單位應(yīng)根據(jù)自己的實(shí)際情況制定出本單位的安全管理人員崗位責(zé)任制度。下面我們先看一個(gè)單位自行制定的安全管理人員崗位責(zé)任制度。

安全管理人員崗位責(zé)任制度

第一條 組織工作人員認(rèn)真學(xué)習(xí)《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》，提高工作人員的維護(hù)網(wǎng)絡(luò)安全的警惕性和自覺(jué)性。

第二條 負(fù)責(zé)對(duì)本網(wǎng)絡(luò)用戶進(jìn)行安全教育和培訓(xùn)，使用戶自覺(jué)遵守和維護(hù)《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》，使他們具備基本的網(wǎng)絡(luò)安全知識(shí)。

第三條 加強(qiáng)對(duì)信源單位的信息發(fā)布和電子公告系統(tǒng)的信息發(fā)布的審核管理工作，杜絕違反《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》的內(nèi)容出現(xiàn)。

第四條 一旦發(fā)現(xiàn)從事下列危害計(jì)算機(jī)信息網(wǎng)絡(luò)安全的活動(dòng)的，做好記錄并立即向當(dāng)?shù)毓矙C(jī)關(guān)報(bào)告：

（一）未經(jīng)允許，進(jìn)入計(jì)算機(jī)信息網(wǎng)絡(luò)或者使用計(jì)算機(jī)信息網(wǎng)絡(luò)資源的；

（二）未經(jīng)允許，對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)功能進(jìn)行刪除、修改或者增加的；

（三）未經(jīng)允許，對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改或者增加的；

（四）故意制作、傳播計(jì)算機(jī)病毒等破壞性程序的；

（五）從事其他危害計(jì)算機(jī)信息網(wǎng)絡(luò)安全的。

第五條 在信息發(fā)布的審核過(guò)程中，如發(fā)現(xiàn)有以下行為的，將一律不予以發(fā)布，并保留有關(guān)原始記錄，在二十四小時(shí)內(nèi)向當(dāng)?shù)毓矙C(jī)關(guān)報(bào)告：

（一）煽動(dòng)抗拒、破壞憲法和法律、行政法規(guī)實(shí)施的；

（二）煽動(dòng)顛覆國(guó)家政權(quán)，推翻社會(huì)主義制度的；

（三）煽動(dòng)分裂國(guó)家、破壞國(guó)家統(tǒng)一的；

（四）煽動(dòng)民族仇恨、民族歧視，破壞民族團(tuán)結(jié)的；

（五）捏造或者歪曲事實(shí)，散布謠言，擾亂社會(huì)秩序的；

（六）宣揚(yáng)封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖，教唆犯罪的；

（七）公然侮辱他人或者捏造事實(shí)誹謗他人的；

（八）損害國(guó)家機(jī)關(guān)信譽(yù)的；

（九）其他違反憲法和法律、行政法規(guī)的行為。

第六條 接受并配合公安機(jī)關(guān)的安全監(jiān)督、檢查和指導(dǎo)，如實(shí)向公安機(jī)關(guān)提供有關(guān)安全保護(hù)的信息、資料及數(shù)據(jù)文件，協(xié)助公安機(jī)關(guān)查處通過(guò)國(guó)際聯(lián)網(wǎng)的計(jì)算機(jī)信息網(wǎng)絡(luò)實(shí)施的違法犯罪行為。

這個(gè)安全管理人員崗位責(zé)任制度實(shí)際上是比較簡(jiǎn)單的，其規(guī)定也比較原則化，實(shí)際操作性不強(qiáng)。互聯(lián)網(wǎng)安全管理人員及其崗位責(zé)任具有非常具體而細(xì)致的內(nèi)容。一般來(lái)說(shuō)，互聯(lián)網(wǎng)安全管理人員根據(jù)其崗位的不同可以被劃分為以下幾類：安全管理責(zé)任人、安全管理員、信息審核員和信息管理員。下面分別介紹他們各自的崗位責(zé)任。

（一）安全管理責(zé)任人

互聯(lián)網(wǎng)聯(lián)網(wǎng)單位應(yīng)確定安全管理責(zé)任人。安全管理責(zé)任人實(shí)行領(lǐng)導(dǎo)責(zé)任制。

安全管理責(zé)任人應(yīng)履行下列職責(zé)：組織宣傳信息安全管理方面的法律、法規(guī)和有關(guān)政策；擬訂并組織實(shí)施本單位信息安全管理的各項(xiàng)規(guī)章制度；定期組織檢查信息安全情況，及時(shí)排除各種安全隱患；負(fù)責(zé)組織安全稽核；負(fù)責(zé)組織本單位信息網(wǎng)絡(luò)安全人員的安全教育和培訓(xùn)； 發(fā)生安全事故或計(jì)算機(jī)犯罪案件時(shí)，立即向公安機(jī)關(guān)、主管部門報(bào)告并采取妥善措施，保護(hù)現(xiàn)場(chǎng)，避免危害的擴(kuò)大。

（二）安全管理員

安全管理員是負(fù)責(zé)互聯(lián)網(wǎng)聯(lián)網(wǎng)單位的信息安全管理工作的人員。一般來(lái)說(shuō)，安全管理員應(yīng)具備以下條件：遵守國(guó)家法律、法規(guī)，無(wú)違法犯罪記錄；具有一定的信息網(wǎng)絡(luò)專業(yè)技術(shù)知識(shí)；經(jīng)過(guò)信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員繼續(xù)教育培訓(xùn)，并考試合格；基本掌握國(guó)家信息網(wǎng)絡(luò)安全方面的法律、法規(guī)和有關(guān)政策。

安全管理員的職責(zé)一般是：依據(jù)國(guó)家有關(guān)法規(guī)政策，從事本單位的信息網(wǎng)絡(luò)安全保護(hù)工作，確保網(wǎng)絡(luò)安全運(yùn)行；在公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門的監(jiān)督、指導(dǎo)下進(jìn)行信息網(wǎng)絡(luò)安全檢查和安全宣傳工作；向公安機(jī)關(guān)及時(shí)報(bào)告發(fā)生在本單位網(wǎng)絡(luò)上的有關(guān)信息、安全違法犯罪案件，并協(xié)助公安機(jī)關(guān)做好現(xiàn)場(chǎng)保護(hù)和技術(shù)取證工作；有關(guān)危害信息網(wǎng)絡(luò)安全的計(jì)算機(jī)病毒、黑客等方面的情報(bào)信息及時(shí)向公安機(jī)關(guān)報(bào)告；與信息網(wǎng)絡(luò)安全保護(hù)有關(guān)的其他工作。

安全管理員的安全責(zé)任一般包括：第一，要認(rèn)真學(xué)習(xí)黨的教育方針，認(rèn)真學(xué)習(xí)專業(yè)知識(shí)，刻苦鉆研業(yè)務(wù)。要有高度的事業(yè)心和責(zé)任感，嚴(yán)格遵守各項(xiàng)規(guī)章制度，認(rèn)真履行自己的職責(zé)，服從單位安全組織的領(lǐng)導(dǎo)，擔(dān)負(fù)單位網(wǎng)絡(luò)和信息安全保護(hù)工作。第二，加強(qiáng)防范意識(shí)和措施，確保網(wǎng)絡(luò)設(shè)備的安全。密切與單位各有關(guān)人員的聯(lián)系，執(zhí)行各項(xiàng)安全規(guī)章。第三，安全管理員要熟悉掌握設(shè)備的性能、使用方法及具備排除一般故障的能力，要定期對(duì)設(shè)備進(jìn)行安全檢查。第四，按照計(jì)算機(jī)安全管理行業(yè)技術(shù)規(guī)范要求，定期對(duì)單位計(jì)算機(jī)信息系統(tǒng)進(jìn)行安全檢查測(cè)試，及時(shí)排除各種安全隱患。第五，接受公安機(jī)關(guān)的安全技術(shù)培訓(xùn)，加強(qiáng)與公安機(jī)關(guān)的聯(lián)系。發(fā)生計(jì)算機(jī)犯罪案件時(shí)，應(yīng)采取妥善措施，保護(hù)現(xiàn)場(chǎng)，避免危害的擴(kuò)大，及時(shí)向單位主管部門匯報(bào)。

（三）信息審核員

信息審核員是負(fù)責(zé)對(duì)互聯(lián)網(wǎng)信息發(fā)布進(jìn)行審核的專門人員。單位的信息審核員具體負(fù)責(zé)本單位的信息發(fā)布，對(duì)所在單位上網(wǎng)發(fā)布的信息進(jìn)行審核，并簽發(fā)同意發(fā)布意見(jiàn)，要求對(duì)發(fā)布信息的申請(qǐng)人姓名、信息的內(nèi)容、發(fā)布的時(shí)間進(jìn)行檢查和登記，對(duì)過(guò)時(shí)的信息應(yīng)要求所屬信息管理員進(jìn)行及時(shí)的刪除，同時(shí)進(jìn)行登記和備份，并進(jìn)行硬盤(pán)或光盤(pán)的備份。

（四）信息管理員

信息管理員主要負(fù)責(zé)單位的網(wǎng)站管理，定期更新單位網(wǎng)站內(nèi)容。單位信息管理員應(yīng)監(jiān)視本單位網(wǎng)站內(nèi)容，防止有害信息的傳播，發(fā)現(xiàn)有害信息的應(yīng)立即報(bào)告。發(fā)生計(jì)算機(jī)違法犯罪案件時(shí)，立即向當(dāng)?shù)毓簿W(wǎng)監(jiān)部門報(bào)告并采取妥善措施，保護(hù)現(xiàn)場(chǎng)，避免危害擴(kuò)大。信息管理員要確保與公安網(wǎng)監(jiān)部門聯(lián)系渠道的暢通，發(fā)現(xiàn)有害信息能及時(shí)報(bào)告。

信息管理員應(yīng)承擔(dān)以下工作責(zé)任：負(fù)責(zé)本單位網(wǎng)站安全運(yùn)行；負(fù)責(zé)本單位網(wǎng)站的信息安全；熟悉計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)及正常使用方法，做好信息提供服務(wù)；不斷學(xué)習(xí)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和信息安全等有關(guān)知識(shí)，努力提高自身的工作水平；對(duì)上傳的信息認(rèn)真檢查，合格后方可發(fā)布，并且填好有關(guān)記錄；有獨(dú)立服務(wù)器的單位，所屬信息發(fā)布設(shè)備不得隨意提供給他人使用，并定期檢查設(shè)備和操作系統(tǒng)安全。