GB/T 36626—2018信息安全技術 信息系統安全運維管理指南7.3 工作履責
7.3.1 目的
確保信息系統安全運維人員理解并履行信息系統安全運維責任。
7.3.2 要求
安全運維人員宜按照已建立的策略、規程和工具進行安全運維工作。
7.3.3 實施指南
宜建立崗位手冊作為安全運維指南。崗位手冊內容宜包括:
—崗位職責;
—工作模板;
—工作流程;
宜進行信息安全意識教育和培訓。信息安全意識教育和培訓宜包括:
— 信息安全意識培訓旨在使安全運維人員,適當時,包括合同方,了解他們的信息系統安全運維責任法;
— 信息安全意識教育和技能培訓方案應按照組織的信息安全策略和相關規程建立。崗位技能培訓旨在使安全運維人員和團隊具備相應的崗位技能。
宜有正式的違規處理過程對違規的安全運維人員進行處罰。內容包括:
— 在沒有最終確定違規之前,不能開始違規處理過程;
— 正式的違規處理過程宜確保對運維工程師給予了正確和公平的對待。無論違規是第一次或是已發生過,無論違規者是否經過適當地培訓;
— 違規處理過程對運維工程師也是一種威懾,防止他們違反組織的信息系統安全運維策略和規程。
推薦文章: