网络管理员职责 网络安全之安全管理机构和人员

管理机构和人员管理经常面临的问题有:沟通配合不到位、审核检查不到位、岗位设置不到位空、人员配备不合理、人员安全意识教育培训不到位、外部人员来访管理不严、安全职责不明确等。网络安全管理机构和人员管理系统的缺失或不完善，可能会影响信息系统的安全，甚至造成经济损失或法律责任。

通过建立和完善岗位设置、人员配备、授权审批、安全意识教育和培训等安全管理机构和人员管理措施，进一步明确责任界限，落实岗位职责，有效对安全管理和运维人员进行综合管理评价，最终构建安全管理体系，确保信息系统安全稳定运行。

1、安全管理机构和人员管理要求

(1)岗位设置要求

1)成立信息化工作领导小组，统筹推进或组织本单位的信息化工作，作为本单位信息化建设和管理的决策机构。一般情况下，单位主要负责人担任单位领导和信息化领导小组组长。

2)成立信息化领导小组办公室，协调和协调各部门的信息化工作。一般信息化或电子政务部门的主要负责人也担任办公室主任。

3)设置系统管理员、网络管理员、安全管理员等岗位，明确部门和各岗位的职责。

(2)人员配备要求

1)配备一定数量的系统管理员、网络管理员和安全管理员。

2)配备专职安全管理员，不得兼职。

(3)授权和批准要求

1)根据各部门、各岗位的职责，明确授权审批项目、审批部门和审批人。

2)系统变更、重要操作、物理访问、系统访问应建立审批程序，按照审批程序进行审批流程，重要活动应建立逐级审批制度。

3)定期对审批项目进行评审，及时更新项目、审批部门和需授权审批的审批人的信息。

(4)沟通与合作要求

1)加强各管理人员、组织和职能部门之间的合作与沟通，定期召开协调会，共同解决问题。

2)加强与兄弟单位、公安机关、各类供应服务商、行业专家、安全组织的合作与沟通。

3)应建立外联单位联系人名单，包括外联单位名称、合作内容、联系人和联系方式。

(5)审核和检查要求

1)应定期进行定期安全检查，包括系统的日常运行、系统漏洞和数据备份等。

2)定期进行全面的安全检查，包括现有安全技术措施的有效性、安全配置与安全政策的一致性、安全管理体系的实施等。

3)制定安全检查表，进行安全检查，收集安全检查数据，形成安全检查报告，并报告安全检查结果。

(6)人员招聘要求

1)审查受聘人员的身份、背景、职业资格和资历，并对其技术和技能进行评估。

2)与受聘人员签订保密协议，与关键岗位人员签订岗位责任协议。

(7)离职要求

1)所有访问权限、密码等。对下班人员应及时予以终止或修改，以及各种身份证件、门禁、钥匙等。以及该装置提供的软件和硬件设备。

2)你要经过严格的转院手续，并承诺转院后离职前保密。

(8)安全意识教育和培训要求

1)对各类人员进行安全意识教育和岗位技能培训，并告知相关安全责任和纪律措施。

2)针对不同岗位制定不同的培训计划，培训网络安全基础知识和岗位操作规程。

(9)外部人员准入管理要求

1)确保外来人员在实际访问受控区域前提交书面申请，经批准后由专人陪同，并进行登记备案。

2)确保外部人员接入网络接入系统前提交书面申请，经批准后，由专人开户、指定权限、登记备案。

3)外来人员离开现场后，应及时清除其所有访问权限。

4)授权访问系统的外部人员应签订保密协议，不得擅自操作，不得复制或泄露任何敏感信息。

2、安全管理机构和人员管理措施

(1)岗位设置

为了有效地实施管理，应建立管理组织结构。岗位设置要考虑的因素包括:职责分离、岗位职责和岗位轮换。

职责分离:职责分离属于安全概念，是指将关键、重要、敏感的任务分配给几个管理员或高管，可以防止任何人有能力破坏或削弱重要的安全机制。职责分离可以看作是行政人员最小特权原则的适用。

工作职责:工作职责是要求员工定期执行的特定任务。根据工作职责，员工需要访问不同的对象、资源和服务。在安全网络中，用户必须被授予与其工作任务相关的访问权限。

岗位轮换:岗位轮换是一种简单的方法，组织通过让员工在不同的岗位之间轮换岗位来提高安全性。首先，通过工作轮换提供一种知识冗余；第二，岗位轮换可以降低伪造、更改数据、盗窃、共谋和滥用信息的风险；三、岗位轮换还提供了一种同行审核的形式，可以防止合谋等风险。

保障是单位工作人员必须分担的责任，管理组织架构是实施信息系统安全和安全管理的必要保障。一般来说，对于一个多部门的单位，基本的组织架构和岗位设置首先要建立信息化领导小组，在网络领导小组的基础上设立办公室和工作组。

信息化领导小组是本单位网络安全和信息化工作的最高领导和决策机构，不隶属于任何部门。其领导一般为单位主要负责人，其成员一般由信息中心、办公室、相关业务部门、行政部门、后勤保障部门等多个与本单位业务和网络安全相关的管理部门的主要负责人组成。网络安全与信息化领导小组是常设机构，负责对本单位网络安全与信息化工作进行定期研究指导、监督检查和管理，并可根据实际情况随时调整。

一般在信息化领导小组下设领导小组办公室(以下简称网络信息办)，承担具体的网络安全管理和保障任务。网络信息办一般由网络安全管理工作组和具体网络安全管理岗位组成，网络安全管理岗位一般由信息中心副职、关键技术人员、运维人员、外部人员等组成。，并主要承担协调、技术、管理和维护等具体任务。网络安全机构设置及主要工作职责见表1、表2、表3。

表1网络安全组织设置列表

表2网络安全管理机构及岗位职责列表

表3网络安全管理工作组及工作职责列表

(2)人员配备

1)网络安全管理员

网络安全管理员的职责如下:

(1)负责组织制定、实施和维护网络安全政策、标准、规章制度和各种操作流程。

②负责提供安全产品采购建议，组织制定各种安全产品策略和配置规则，并跟踪安全产品投产后的使用情况。

③负责指导和监督系统管理员(包括系统管理员、网络管理员、管理员、应用管理员等)的安全相关工作。)和普通用户。

④负责组织信息系统安全风险评估，定期扫描系统漏洞，形成安全评估报告。

⑤根据本单位的需要，定期提出改进意见，并向管理部门汇报。

⑥定期查看网络安全站点的安全公告，跟踪研究各种网络安全和攻击手段，发现可能影响网络安全的安全漏洞和攻击手段时，及时做出相应的对策，并通知和指导主机系统管理员采取安全防范措施。

⑦负责组织审核各种安全方案、安全审核报告、应急预案和整体安全管理体系。

⑧负责并参与安全事故调查。

2)主机系统管理员

主机系统管理员的职责如下:

(1)负责主机的安全配置(包括及时修复系统漏洞)、系统应用软件的日常审核和安装，从系统层面实现对用户和资源的访问控制。

(2)协助安全管理员制定主机安全配置规则，并实施。

③负责主机设备的日常管理和维护，保持系统良好的运行状态。

④为安全审核员提供完整准确的主机系统运行活动日志记录。

⑤当主机系统出现异常或故障时，详细记录异常现象、时间和处理方法，并及时报告。

⑥编制主机设备的维护、报损和报废计划，并提交主管领导审核。

3)网络管理员

网络管理员的职责如下:

(1)负责网络部署、网络产品、产品配置、管理监控，备份关键配置文件，及时修复网络设备。

(2)协助安全管理员制定并实施网络设备安全配置规则。

(3)为安全审核员提供完整、准确的运行日志，记录重要网络设备和网站的运行活动。

(4)当网络和设备出现异常或故障时，详细记录异常现象、时间和处理方法，并及时报告。

⑤制定网络设备的维护、挂失和报废计划，并提交主管领导审核。

4)系统平台管理员

系统平台管理员的职责如下:

(1)系统、系统安全配置、修复已发现。

(2)负责系统、系统用户账户管理，对系统内所有用户进行登记和记录；管理系统、用户和密码的安全；监控和分析系统和系统登录用户。

③负责系统业务数据和其他重要数据的备份和备份数据管理。

④负责应用程序和中间件系统其他重要数据的备份和备份数据管理。

⑤为安全审核员提供完整、准确的系统和系统运行活动的日志记录，详细记录出现异常的现象、时间和处理方法，并及时上报。

⑥如果由于安全问题导致数据或应用程序损坏或丢失，请恢复数据或应用程序。

⑦根据业务发展需要，提交数据存储介质购买或存储系统扩展计划。

5)应用程序管理员

应用程序管理员的职责如下:

(1)对业务应用系统进行安全配置，督促软件开发人员提供补丁，修复发现的漏洞。

②管理业务应用系统用户和密码的安全，监控和分析业务应用系统的登录用户。

③负责提出数据备份要求，制定数据备份策略，督促数据库管理员按时完成备份计划，恢复所需数据。

④实施系统软件版本管理、应用软件备份和恢复管理。

6)安全审计员

安全审核员的职责如下:

①负责定期对主机系统、网络产品和应用系统的日志文件进行分析和审核，发现问题及时汇报。

②负责对安全管理活动的独立监督，提供内部独立审计和评价，并根据需要配合外部审计和评价机构进行评价和认证，为决策领导提供信息系统和对安全实施状况的客观评价。

7)病毒防护器

病毒防护员的职责如下:

(1)协助安全管理员制定防病毒程序。

(2)负责实施和监督整个系统的全面杀毒工作。

③定期升级网络杀毒软件的病毒库，监督个人杀毒软件的升级。

④实时监控重要业务系统和数据的安全，杜绝非法和开放的入侵渠道，减少侵权的影响。

⑤及时报告上级部门的病毒和感染情况，对感染频率高、严重性强的病毒提供有效的解决方案。

8)关键管理员

主要管理员的职责如下:

负责系统事务、传输、认证密钥管理和加密机操作。

9)资产管理员

资产经理的职责如下:

负责IT部门所有资产的采购、登记、发放、回收、废弃的管理。

10)机房管理员

机房管理员的职责如下:

(1)负责制定和实施适当的实体安全控制。

②主要负责非技术性和日常性的安全工作，如信息处理场所和办公场所的安全，核查进出信息中心的手续，执行多项规章制度。

11)安全法律顾问

安全法律顾问的职责如下:

负责本单位与其他单位签订安全服务合同的法律咨询。

12)外部技术专家

外部技术专家的职责如下:

根据实际工作需要和单位特点，可以选择长期或临时聘请行业相关技术专家，提供网络安全规划、建设、实施、应急处置、故障判断等方面的建议。

(3)授权和批准

系统变更、重要操作、物理访问、系统访问应建立审批程序，审批流程按审批程序进行。重要活动应建立分步审批制度，并详细记录系统变更、重要操作、物理访问等管理系统中的不同授权和审批流程。

授权和批准的基本原则:

1)坚持根据单位和上级部门的管理变化及时调整授权的原则，兼顾相对稳定性和可持续性。

2)坚持授权与责任相结合、授权与监督相结合、有权负责、有责任承担、被追究违约的原则。

(4)沟通与合作

加强各类管理者、组织和职能部门之间的合作与沟通，定期或不定期召开协调会，共同解决问题。

(5)审计和检查

1)网办负责组织审计和安全检查管理，严格规范审计和安全检查工作，按规定开展审计和安全检查活动。

2)上级单位牵头组织下级单位或部门的检查，各下级单位或部门负责组织本单位内部的自检工作。

3)定期(至少每半年一次)或根据需要组织对信息系统进行全面的安全审计和检查，包括现有安全技术和管理措施的有效性、安全配置和安全策略的一致性、安全管理体系和实施等。

4)应定期(至少每半年一次)或按要求进行定期安全审核和检查，包括日常运行安全、系统漏洞、备份和恢复、应急响应等。

5)对于审计和安全检查中发现的安全隐患，检查报告应及时报送网办，网办应及时制定安全隐患整改计划，提出改进建议，指导和督促相关部门限期整改，消除安全隐患。

(6)人员聘用

本单位人力资源部门负责人员招聘的相关事宜，对受聘人员的身份、背景、职业资格和资格进行审查，对其技术技能进行考核，并签订保密协议。

(七)离职人员

员工离职时，应按照信息系统安全管理的要求，办理相关交接和责任变更手续。管理部门应及时更改系统密码，注销其所有账户，撤销其对安全区域和敏感信息的访问，删除相关文件和信息，移交相关设备和文件，确保密码、设备、技术数据和敏感信息的安全。关键岗位人员离职前必须承诺调离后的保密义务。离职工作交接清单见表4，员工离职资产交接清单见表5。

表4出发工作交接清单

表5员工离职资产移交单

(8)安全意识教育和培训

为了保证管理体系在单位内部的有效运行，督促各部门持续有效地改进体系。网络信息办负责制定意识教育培训计划，开展管理制度、保密教育、技术保护措施等方面的教育培训。本单位全体工作人员每年至少接受两次保密教育，关键岗位(部门)保密人员每年至少接受两次保密工作技能培训。保密教育以讲课、看警示教育片的形式进行，如有可能组织一次保密知识的测试。对于涉及国家秘密和单位重要秘密的重大活动和重要项目，应当对有关人员进行有针对性的保密教育。教育和培训的所有活动记录应按要求归档和保存。

安全意识教育和培训的基本内容:

1)网络安全保密的指导思想、原则和政策的宣传教育。

2)国家保密、法律法规的宣传教育。

3)等级保护法规教育。

4)网络安全保密情况的宣传教育。

5)网络安全防护技术和技能的宣传教育。

6)新员工网络安全保密教育；

7)涉密人员网络安全教育；

8)对关键岗位和部门人员进行网络安全教育；

9)对各级主管领导进行网络安全和保密的培训教育。

10)新员工必须接受的保密法律法规内容。

(9)外部人员访问管理

通过外部人员的访问管理，降低安全风险，保证本单位计算机信息系统的安全。外部人员包括临时工、实习生、访问检查员和外国技术人员。

信息中心负责制定外来人员安全服务管理制度和技术保护措施；确定外部人员是否符合访问要求，与外部人员签订服务合同和保密协议，批准外部人员的访问。外部人员需要访问重要区域时，应向信息中心提交书面申请，经信息中心审核后，报主管领导批准，主管领导签字并指派信息中心相关人员陪同进入重要区域；外来人员参观重要区域时，运行维护人员应填写《外来人员参观重要区域记录表》，记录进入时间、离开时间、参观区域和陪同人员等。

参观服务后，单位负责人员必须对信息系统和设备进行安全检查，确认对信息系统和设备没有安全影响后，双方可以在离开现场前签字。

信息中心和各业务部门负责各项管理制度和技术措施的具体实施；控制和监督外部人员的网络安全。因工作需要向第三方安全服务人员提供的信息系统技术数据、管理系统等相关数据，应详细记录提交的文件编号、简要内容、页码、附件等相关内容，并要求服务方对检验结果的所有权、委托方的专利权和验证结果保密。

信息中心负责监督检查服务商各项保密措施的执行情况，发现问题及时通知对方。