某某石油管理局企業(yè)標準網(wǎng)絡(luò)信息安全系統(tǒng)組織機構(gòu)建設(shè)規(guī)范1適用范圍 本標準要求了某某石油管理局網(wǎng)絡(luò)信息安全系統(tǒng)組織機構(gòu)建設(shè)規(guī)范。本標準適適用于某某油田（企業(yè)內(nèi)部）網(wǎng)絡(luò)信息安全系統(tǒng)組織機構(gòu)建設(shè)。2規(guī)范解釋權(quán) 本要求適適用于某某油田管理局信息安全管理中心和下屬各單位中心機房。3網(wǎng)絡(luò)信息安全系統(tǒng)組織機構(gòu)建設(shè)規(guī)范概述管理是網(wǎng)絡(luò)安全關(guān)鍵，實際上不少網(wǎng)絡(luò)安全問題是因管理不妥造成，建立一個系統(tǒng)安全管理組織必不可少。安全管理組織職責是,宏觀決議管理局信息安全重大事件,宏觀決議管理局信息安全重大基礎(chǔ)設(shè)施,公布管理局信息安全政策,同意管理局信息安全計劃,協(xié)調(diào)各相關(guān)部門工作對管理局面臨重大信息安全緊急事件作出決斷等；研究信息安全關(guān)鍵技術(shù)發(fā)展趨勢;為管理局信息安全計劃和信息安全基礎(chǔ)設(shè)施計劃制訂提供技術(shù)性支持;參與審批重大信息化工程信息安全技術(shù)路線和方法;參與制訂信息安全標準和規(guī)范;參與制訂信息安全產(chǎn)品評測標準和規(guī)范等等。信息安全技術(shù)委員會局黨委信息安全部門信息安全技術(shù)委員會局黨委信息安全部門局信息安全管理中心公安部門局信息安全指導委員會局其它處室相關(guān)安全部門下級信息安全管理部門信息網(wǎng)絡(luò)安全管理站項目安全評定站信息網(wǎng)絡(luò)安全事故處理站信息安全教育普及站信息安全技術(shù)跟蹤站信息安全監(jiān)查站信息安全計劃中心下級信息安全管理部門信息網(wǎng)絡(luò)安全管理站項目安全評定站信息網(wǎng)絡(luò)安全事故處理站信息安全教育普及站信息安全技術(shù)跟蹤站信息安全監(jiān)查站信息安全計劃中心 5信息系統(tǒng)安全管理機構(gòu)組織員組織標準管理局和下級單位應(yīng)建立信息系統(tǒng)安全管理機構(gòu)。單位最高領(lǐng)導必需主管或兼管信息系統(tǒng)安全工作。按從上到下垂直管理標準，上一級機關(guān)信息系統(tǒng)管理機構(gòu)指導下一級機關(guān)信息系統(tǒng)安全管理機構(gòu)工作。下一級機關(guān)信息系統(tǒng)安全管理機構(gòu)接收并實施上一級機關(guān)信息系統(tǒng)安全管理機構(gòu)安全策略。各級信息系統(tǒng)安全管理機構(gòu)，不隸屬于同級信息系統(tǒng)管理和業(yè)務(wù)機構(gòu)。各級信息系統(tǒng)安全管理機構(gòu)由系統(tǒng)管理、系統(tǒng)分析、軟件硬件、安全保衛(wèi)、系統(tǒng)稽核、人事、通信等相關(guān)方面人員組成。信息系統(tǒng)人員管理機構(gòu)應(yīng)常設(shè)一辦事機構(gòu)，負責信息安全日常事務(wù)工作。6信息系統(tǒng)安全管理機構(gòu)職能管理局信息安全指導委員會：組員應(yīng)為各主管部領(lǐng)導人,其責任人應(yīng)為管理局關(guān)鍵領(lǐng)導人。該委員會下設(shè)技術(shù)教授委員會,由管理局信息領(lǐng)域教授和資深技術(shù)人員組成。管理局信息安全委員會職責是,宏觀決議管理局信息安全重大事件,宏觀決議管理局信息安全重大基礎(chǔ)設(shè)施,公布管理局信息安全政策,同意管理局信息安全計劃,協(xié)調(diào)各相關(guān)部門工作對管理局面臨重大信息安全緊急事件做出決斷等。管理局信息安全技術(shù)教授委員會：接收管理局信息安全指導委員會領(lǐng)導。負責發(fā)展信息安全產(chǎn)業(yè)關(guān)鍵技術(shù)宏觀決議。管理局信息安全技術(shù)委員會職責包含:研究信息安全關(guān)鍵技術(shù)發(fā)展趨勢;為管理局信息安全計劃和信息安全基礎(chǔ)設(shè)施計劃制訂提供技術(shù)性支持;參與審批重大信息化工程信息安全技術(shù)路線和方法;參與制訂信息安全標準和規(guī)范;參與制訂信息安全產(chǎn)品評測標準和規(guī)范等等。公安部門：負責油田部門日常生產(chǎn)、生活安全。配合油田各單位開展安全巡查，事故處理。信息中心關(guān)鍵安全職能：制訂管理局范圍內(nèi)總體IT安全目標、戰(zhàn)略和政策；制訂油田信息產(chǎn)業(yè)中長久安全總體計劃；負責管理局信息系統(tǒng)全方面管理；審批重大信息化工程信息安全技術(shù)路線和方法；組織制訂信息安全標準和規(guī)范；組織制訂信息安全產(chǎn)品評測標準和規(guī)范；負責和管理局其它相關(guān)信息安全部門協(xié)同工作；跟蹤IT安全信息技術(shù)發(fā)展動態(tài)和方向；處理管理局各類IT信息安全事故。信息中心具體分設(shè)7個下屬職能機構(gòu)，下屬機構(gòu)未必單獨形成一個部門，但必需由專員負責。計劃中心負責IT安全目標、戰(zhàn)略和政策制訂；制訂油田信息產(chǎn)業(yè)中長久安全總體計劃；制訂和信息安全相關(guān)法規(guī)；監(jiān)督信息安全戰(zhàn)略、政策、法規(guī)實施情況；協(xié)調(diào)和處理和公安處、黨委和其它部門相關(guān)安全機構(gòu)協(xié)同關(guān)系。項目安全性評定（審計）站依據(jù)國際、中國和行業(yè)內(nèi)安全技術(shù)標準，對引進計算機系統(tǒng)（包含硬件、軟件）、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等IT產(chǎn)品和自主、聯(lián)合開發(fā)產(chǎn)品安全性進行嚴格評定；對現(xiàn)存系統(tǒng)、硬件、網(wǎng)絡(luò)、應(yīng)用提出安全性過渡意見和提議；確保引進項目達成油田要求安全等級；制訂項目安全性評定標準和實施步驟；制訂項目安全監(jiān)查標準。信息安全技術(shù)跟蹤站緊跟國際、中國信息網(wǎng)絡(luò)安全技術(shù)；并力圖分析、掌握前沿、可能用于油田優(yōu)異安全技術(shù)；發(fā)覺現(xiàn)在油田所采取安全技術(shù)漏洞并提出補救方法；對信息網(wǎng)絡(luò)安全技術(shù)在油田可行性提交匯報；為計劃中心提供技術(shù)支持；制訂油田安全技術(shù)評測標準。信息安全監(jiān)查站依據(jù)計劃中心總體安全標準和項目安全監(jiān)查標準；對油田投入運行各類信息系統(tǒng)進行全方面安全監(jiān)查（包含網(wǎng)絡(luò)和操作系統(tǒng)以外IT部分）；立即對發(fā)覺安全問題上報；提出信息系統(tǒng)安全改善意見和提議；指導下級信息安全監(jiān)查部門工作并提供技術(shù)支持。網(wǎng)絡(luò)安全管理站負責油田范圍內(nèi)網(wǎng)絡(luò)和系統(tǒng)總體管理；尤其對網(wǎng)絡(luò)和系統(tǒng)安全性進行監(jiān)查、跟蹤；立即把發(fā)覺安全問題上報；提出信息系統(tǒng)中（關(guān)鍵是網(wǎng)絡(luò)和系統(tǒng)）安全改善意見和提議；指導下級管理部門管理工作；制訂油田網(wǎng)絡(luò)和系統(tǒng)管理監(jiān)督措施。網(wǎng)絡(luò)信息安全事故處理站立即向上級單位回報其它部門發(fā)覺安全事故；做出必需應(yīng)急處理方法并提出可行參考意見；制訂網(wǎng)絡(luò)、信息安全事故等級和事故匯報制度；搜集中國外相關(guān)安全事故及處理方法；立即對下級部門提出信息安全方面警告。網(wǎng)絡(luò)信息安全教育、普及站負責油田范圍內(nèi)IT管理IT使用人員專業(yè)性和普及性安全教育；宣傳國家、總企業(yè)和管理局安全法規(guī)；宣傳油田采取IT安全方法；普及安全知識，提升全體職員安全防范意識；制訂局信息系統(tǒng)安全教育綱要、安全檢驗措施；為下級安全宣傳部門提供各類安全宣傳材料；調(diào)研和借鑒其它單位安全教育經(jīng)驗。下級信息安全管理部門立即和信息中心溝通，并定時向信息中心匯報本單位安全情況；對本單位信息網(wǎng)絡(luò)系統(tǒng)進行全方面管理；負責制訂適合本單位實際各項信息安全政策；負責本單位信息安全教育普及工作；負責本單位和信息安全相關(guān)規(guī)則、建設(shè)、投資、安全政策、資源利用和事故處理等方面決議和實施；應(yīng)依據(jù)安全需求建立本單位信息系統(tǒng)安全策略、安全目標；依據(jù)上級單位相關(guān)制度、規(guī)范建立和健全相關(guān)實施細則，并負責落實實施；建立和健全本系統(tǒng)系統(tǒng)安全操作規(guī)程；確定信息安全各個崗位人員職責和權(quán)限，建立崗位責任制；審議并經(jīng)過安全規(guī)則，年度安全匯報，相關(guān)安全宣傳、教育、培訓計劃；對于證實重大安全違規(guī)，違紀事件及泄密事件進行處理；配合上級安全管理部門完成必需任務(wù)。7各下級信息系統(tǒng)安全責任人職能全方面負責本單位信息系統(tǒng)安全工作。安全責任人應(yīng)指定專員負責建立、修建和管理系統(tǒng)授權(quán)表及系統(tǒng)授權(quán)口令。負責審閱違章匯報、控制臺安全匯報、系統(tǒng)日志、系統(tǒng)報警統(tǒng)計、系統(tǒng)活動統(tǒng)計、警衛(wèi)匯報和其它和安全相關(guān)材料。負責組織制訂安全教育、培訓計劃。負責協(xié)調(diào)和管理對下級安全管理人員、系統(tǒng)管理和操作人員定時和不定時安全教育和訓練。負責管理、監(jiān)督、檢驗、分析系統(tǒng)運行日志，及系統(tǒng)安全監(jiān)督文檔，定時對系統(tǒng)作安全評價，對違反系統(tǒng)安全要求行為進行處罰。負責制訂、管理和定時分發(fā)系統(tǒng)及用戶身份識別號碼、密鑰和口令。依據(jù)國家和上級機關(guān)相關(guān)