信息安全组织管理目的是建立信息安全责任体系和定义组织内的信息安全责任,建立清晰的信息安全责任体系是实现信息安全目标的保证。 信息安全组织为跨部门协调组织,由信息安全领导组、信息安全管理组、信息安全执行组、信息安全审计组组成。
▼▼信息安全领导组 信息安全领导组是信息安全工作的领导组织,负责信息安全工作的统筹规划与决策工作。信息安全领导组组长是信息安全工作最高管理者,是信息安全第一责任人。信息安全领导组职责包括: 统筹规划和领导信息安全工作。 决策信息安全总体方针和工作方向。 研究决定信息安全相关的重大事项。 审核、批准信息安全总体战略及规划。 批准信息安全管理体系重大变化。
▼▼信息安全管理组 信息安全管理组是信息安全工作管理组织,负责组织开展信息安全建设工作,负责信息安全工作的管理、实施、检查等工作。信息安全管理组职责包括: 制定风险评估方法和风险接受标准。 负责协调组织信息资产风险评估工作。 组织和协调信息安全各项工作。 制定信息安全管理制度和安全规划。 审查、监控并处理各方面信息安全事件。 监督、控制和检查信息安全工作的落实情况。
▼▼信息安全执行组 信息安全执行组是信息安全管理组的下设机构,通常由各部门安全员组成,负责落实本部门的信息安全工作。▼▼信息安全审计组 信息安全审计组是信息安全工作的监督组织,审计组成员由固定审计组员和临时审计组员组成。信息安全审计组职责包括: 定期或不定期实施信息安全内部审核和检查。 向信息安全领导组报告审核中发现的问题。 跟踪信息安全内部审核发现不符合的解决。 在进行人员职责定义时,应对相互冲突的职责与责任进行分割,以降低未授权访问、无意识修改等带来损失的可能性。应进行职责分离包括但不限于以下岗位: 如果冲突岗位难以进行分离,必须采用如活动监控、审核等补偿措施进行风险控制。 ▼▼利益相关方联系管理策略 信息安全管理人员在日常信息安全管理中,应保持与执法部门、政府部门及其他外部利益相关方进行必要的信息安全事务联络。当发生重大安全事件时,应及时与政府机构和监管部门联络,处理任何需要政府机构和监管部门介入的信息安全问题。信息安全管理工作人员可就以下问题向外部安全专家或特定外部组织寻求信息安全方面的建议:信息安全相关的最佳实践和最新状态知识; 信息安全管理应用和维护所需的技术支持; 协助进行信息安全风险评估及体系的建立和维护; 协助并支持信息安全控制措施的制定和实施; 尽早接受到关于攻击和脆弱点的警告、建议和补丁; 协助进行信息安全事件及犯罪取证调查; 分享和交换关于新的技术、产品、威胁或脆弱点信息。
在项目实施过程中,应将信息安全应整合到项目管理方法中,确保将识别并处理信息安全风险作为项目的组成部分。
在项目管理中,应考虑以下方面的信息安全内容:
|