信息安全组织管理策略
信息安全组织管理目的是建立信息安全责任体系和定义组织内的信息安全责任,建立清晰的信息安全责任体系是实现信息安全目标的保证。
信息安全组织架构与职责定义
▼▼信息安全领导组
信息安全领导组职责包括:
统筹规划和领导信息安全工作。
决策信息安全总体方针和工作方向。
研究决定信息安全相关的重大事项。
审核、批准信息安全总体战略及规划。
批准信息安全管理体系重大变化。
▼▼信息安全管理组
信息安全管理组职责包括:
制定风险评估方法和风险接受标准。
负责协调组织信息资产风险评估工作。
组织和协调信息安全各项工作。
制定信息安全管理制度和安全规划。
审查、监控并处理各方面信息安全事件。
监督、控制和检查信息安全工作的落实情况。
▼▼信息安全执行组
落实信息资产识别、风险评估等工作。 负责信息安全工作的实施、落实、协调工作。 与其他部门人员协同工作确保信息安全目标的顺利实现和长期保持。 定期就信息安全管理的效果和有关重大问题及时向上级进行汇报。
▼▼信息安全审计组
信息安全审计组职责包括:
定期或不定期实施信息安全内部审核和检查。
向信息安全领导组报告审核中发现的问题。
跟踪信息安全内部审核发现不符合的解决。
内部组织安全管理策略
应进行职责分离包括但不限于以下岗位:
IT管理岗位与业务操作岗位应进行分离。
系统开发岗位与系统运维岗位应进行分离。
操作系统管理员、应用系统管理员及数据库管理员岗位应彼此分离。
网络管理员和其他系统管理员岗位应彼此分离。
如果冲突岗位难以进行分离,必须采用如活动监控、审核等补偿措施进行风险控制。
▼▼利益相关方联系管理策略
信息安全相关的最佳实践和最新状态知识;
信息安全管理应用和维护所需的技术支持;
协助进行信息安全风险评估及体系的建立和维护;
协助并支持信息安全控制措施的制定和实施;
尽早接受到关于攻击和脆弱点的警告、建议和补丁;
协助进行信息安全事件及犯罪取证调查;
分享和交换关于新的技术、产品、威胁或脆弱点信息。
项目管理中的信息安全策略
在项目实施过程中,应将信息安全应整合到项目管理方法中,确保将识别并处理信息安全风险作为项目的组成部分。
在项目管理中,应考虑以下方面的信息安全内容:
将信息安全目标纳入项目目标。
在项目阶段进行信息安全风险评估,以识别必要的控制措施。
信息安全应用于每个项目阶段,成为每个项目阶段的组成部分。