5.2 機構和人員管理

5.2.1　安全管理機構

5.2.1.1 建立安全管理機構

在組織機構中應建立安全管理機構，不同安全等級的安全管理機構應有選擇地滿足以下要求的一項：
a）配備安全管理人員：管理層中應有一人分管信息系統安全工作，并為信息系統的安全管理配備專職或兼職的安全管理人員；
b）建立安全職能部門：在a）的基礎上，應建立管理信息系統安全工作的職能部門，或者明確指定一個職能部門兼管信息安全工作，作為該部門的關鍵職責之一；
c）成立安全領導小組：在b）的基礎上，應在管理層成立信息系統安全管理委員會或信息系統安全領導小組（以下統稱信息安全領導小組），對覆蓋全國或跨地區的組織機構，應在總部和下級單位建立各級信息系統安全領導小組，在基層至少要有一位專職的安全管理人員負責信息系統安全工作；
d）主要負責人出任領導：在c）的基礎上，應由組織機構的主要負責人出任信息系統安全領導小組負責人；
e）建立信息安全保密管理部門：在d）的基礎上，應建立信息系統安全保密監督管理的職能部門，或對原有保密部門明確信息安全保密管理責任，加強對信息系統安全管理重要過程和管理人員的保密監督管理。

5.2.1.2 信息安全領導小組

信息系統安全領導小組負責領導本組織機構的信息系統安全工作，至少應行使以下管理職能之一：
a）安全管理的領導職能：根據國家和行業有關信息安全的政策、法律和法規，批準機構信息系統的安全策略和發展規劃；確定各有關部門在信息系統安全工作中的職責，領導安全工作的實施；監督安全措施的執行，并對重要安全事件的處理進行決策；指導和檢查信息系統安全職能部門及應急處理小組的各項工作；建設和完善信息系統安全的集中控管的組織體系和管理機制；
b）保密監督的管理職能：在a）的基礎上，對保密管理部門進行有關信息系統安全保密監督管理方面的指導和檢查。

5.2.1.3 信息安全職能部門

信息安全職能部門在信息系統安全領導小組領導下，負責本組織機構信息系統安全的具體工作，至少應行使以下管理職能之一：
a）基本的安全管理職能：根據國家和行業有關信息安全的政策法規，起草組織機構信息系統的安全策略和發展規劃；管理機構信息系統安全日常事務，檢查和指導下級單位信息系統安全工作；負責安全措施的實施或組織實施，組織并參加對安全重要事件的處理；監控信息系統安全總體狀況，提出安全分析報告；指導和檢查各部門和下級單位信息系統安全人員及要害崗位人員的信息系統安全工作；應與有關部門共同組成應急處理小組或協助有關部門建立應急處理小組實施相關應急處理工作；
b）集中的安全管理職能：在a）的基礎上，管理信息系統安全機制集中管理機構的各項工作，實現信息系統安全的集中控制管理；完成信息系統安全領導小組交辦的工作，并向領導小組報告機構的信息系統安全工作。

5.2.2　安全機制集中管理機構

5.2.2.1 設置集中管理機構

信息系統安全機制集中管理機構（以下簡稱集中管理機構）既是技術實體，也是管理實體，應按照以下方式設立：
a）集中管理機構人員和職責：應配備必要的領導和技術管理人員，應選用熟悉安全技術、網絡技術、系統應用等方面技術人員，明確責任協同工作，統一管理信息系統的安全運行，進行安全機制的配置與管理，對與安全有關的信息進行匯集與分析，對與安全有關的事件進行響應與處置；應對分布在信息系統中有關的安全機制進行集中管理；應接受信息安全職能部門的直接領導。

5.2.2.2 集中管理機構職能

a）信息系統安全運行的統一管理：集中管理機構主要行使以下技術職能：
——防范與保護：建立物理、支撐系統、網絡、應用、管理等五個層面的安全控制機制，構成系統有機整體安全控制機制；統一進行信息系統安全機制的配置與管理，確保各個安全機制按照設計要求運行；
——監控與檢查：對服務器、路由器、防火墻等網絡部件、系統安全運行性狀態、信息（包括有害內容）的監控和檢查；匯集各種安全機制所獲取的與系統安全運行有關的信息，對所獲取的信息進行綜合分析，及時發現系統運行中的安全問題和隱患，提出解決的對策和方法；
——響應與處置：事件發現、響應、處置、應急恢復，根據應急處理預案，作出快速處理；應對各種事件和處理結果有詳細的記載并進行檔案化管理，作為對后續事件分析的參考和可查性的依據；
——安全機制集中管理控制（詳見5.5.6），完善管理信息系統安全運行的技術手段，進行信息系統安全的集中控制管理；
——負責接受和配合政府有關部門的信息安全監管工作；
b）關鍵區域安全運行管理：在a）的基礎上，集中管理機構對關鍵區域的安全運行進行管理，控制知曉范圍，對獲取的有關信息進行相應安全等級的保護；
c）核心系統安全運行管理：在b）的基礎上，集中管理機構應與有關業務應用的主管部門協調，定制更高安全級別的管理方式。

5.2.3　人員管理

5.2.3.1 安全管理人員配備

對安全管理人員配備的管理，不同安全等級應有選擇地滿足以下要求的一項：
a）可配備兼職安全管理人員：安全管理人員可以由網絡管理人員兼任；
b）安全管理人員的兼職限制：安全管理人員不能兼任網絡管理人員、系統管理員、數據庫管理員等；
c）配備專職安全管理人員：安全管理人員不可兼任，屬于專職人員，應具有安全管理工作權限和能力；
d）關鍵部位的安全管理人員：在c）的基礎上，安全管理人員還應按照機要人員條件配備。

5.2.3.2 關鍵崗位人員管理

對信息系統關鍵崗位人員的管理，不同安全等級應滿足以下要求的一項或多項：
a）基本要求：應對安全管理員、系統管理員、數據庫管理員、網絡管理員、重要業務開發人員、系統維護人員、重要業務應用操作人員等信息系統關鍵崗位人員進行統一管理；允許一人多崗，但業務應用操作人員不能由其他關鍵崗位人員兼任；關鍵崗位人員應定期接受安全培訓，加強安全意識和風險防范意識；
b）兼職和輪崗要求：業務開發人員和系統維護人員不能兼任或擔負安全管理員、系統管理員、數據庫管理員、網絡管理員、重要業務應用操作人員等崗位或工作；必要時關鍵崗位人員應采取定期輪崗制度；
c）權限分散要求：在b）的基礎上，應堅持關鍵崗位人員“權限分散、不得交叉覆蓋”的原則，系統管理員、數據庫管理員、網絡管理員不能相互兼任崗位或工作；
d）多人共管要求：在c）的基礎上，關鍵崗位人員處理重要事務或操作時，應保持二人同時在場，關鍵事務應多人共管；
e）全面控制要求：在d）的基礎上，應采取對內部人員全面控制的安全保證措施，對所有崗位工作人員實施全面安全管理。

5.2.3.3 人員錄用管理

對人員錄用的管理，不同安全等級應有選擇地滿足以下要求的一項：
a）人員錄用的基本要求：對應聘者進行審查，確認其具有基本的專業技術水平，接受過安全意識教育和培訓，能夠掌握安全管理基本知識；對信息系統關鍵崗位的人員還應注重思想品質方面的考察；
b）人員的審查與考核：在a）的基礎上，應由單位人事部門進行人員背景、資質審查，技能考核等，合格者還要簽署保密協議方可上崗；安全管理人員應具有基本的系統安全風險分析和評估能力；
c）人員的內部選拔：在b）的基礎上，重要區域或部位的安全管理人員一般可從內部符合條件人員選拔，應做到認真負責和保守秘密；
d）人員的可靠性：在c）的基礎上，關鍵區域或部位的安全管理人員應選用實踐證明精干、內行、忠實、可靠的人員，必要時可按機要人員條件配備。

5.2.3.4 人員離崗

對人員離崗的管理，不同安全等級應有選擇地滿足以下要求的一項：
a）離崗的基本要求：立即中止被解雇的、退休的、辭職的或其他原因離開的人員的所有訪問權限；收回所有相關證件、徽章、密鑰、訪問控制標記等；收回機構提供的設備等；
b）調離后的保密要求：在a）的基礎上，管理層和信息系統關鍵崗位人員調離崗位，必須經單位人事部門嚴格辦理調離手續，承諾其調離后的保密要求；
c）離崗的審計要求：在b）的基礎上，涉及組織機構管理層和信息系統關鍵崗位的人員調離單位，必須進行離崗安全審查，在規定的脫密期限后，方可調離；
d）關鍵部位人員的離崗要求：在c）的基礎上，關鍵部位的信息系統安全管理人員離崗，應按照機要人員管理辦法辦理。

5.2.3.5 人員考核與審查

對人員考核與審查的管理，不同安全等級應有選擇地滿足以下要求的一項：
a）定期的人員考核：應定期對各個崗位的人員進行不同側重的安全認知和安全技能的考核，作為人員是否適合當前崗位的參考；
b）定期的人員審查：在a）的基礎上，對關鍵崗位人員，應定期進行審查，如發現其違反安全規定，應控制使用；
c）管理有效性的審查：在b）的基礎上，對關鍵崗位人員的工作，應通過例行考核進行審查，保證安全管理的有效性；并保留審查結果；
d）全面嚴格的審查：在c）的基礎上，對所有安全崗位人員的工作，應通過全面考核進行審查，如發現其違反安全規定，應采取必要的應對措施。

5.2.3.6 第三方人員管理

對第三方人員的管理，不同安全等級應有選擇地滿足以下要求的一項：
a）基本管理要求：應對硬件和軟件維護人員，咨詢人員，臨時性的短期職位人員，以及輔助人員和外部服務人員等第三方人員簽署包括不同安全責任的合同書或保密協議；規定各類人員的活動范圍，進入計算機房需要得到批準，并有專人負責；第三方人員必須進行邏輯訪問時，應劃定范圍并經過負責人批準，必要時應有人監督或陪同；
b）重要區域管理要求：在重要區域，第三方人員必須進入或進行邏輯訪問（包括近程訪問和遠程訪問等）均應有書面申請、批準和過程記錄，并有專人全程監督或陪同；進行邏輯訪問應使用專門設置的臨時用戶，并進行審計；

5.2.4　教育和培訓

5.2.4.1 信息安全教育

信息安全教育包括信息安全意識的培養教育和安全技術培訓，不同安全等級應有選擇地滿足以下要求的一項：
a）應知應會要求：應讓信息系統相關員工知曉信息的敏感性和信息安全的重要性，認識其自身的責任和安全違例會受到紀律懲罰，以及應掌握的信息安全基本知識和技能等；
b）有計劃培訓：在a）的基礎上，應制定并實施安全教育和培訓計劃，培養信息系統各類人員安全意識，并提供對安全政策和操作規程的認知教育和訓練等；
c）針對不同崗位培訓：在b）的基礎上，針對不同崗位，制定不同的專業培訓計劃，包括安全知識、安全技術、安全標準、安全要求、法律責任和業務控制措施等；
d）按人員資質要求培訓：在c）的基礎上，對所有工作人員的安全資質進行定期檢查和評估，使相應的安全教育成為組織機構工作計劃的一部分；

5.2.4.2 信息安全專家

可邀請或聘用信息安全專家，不同安全等級應有選擇地滿足以下要求的一項：
a）聽取信息安全專家建議：聽取信息安全專家對于組織機構的信息系統安全方面的建議；組織專家參與安全威脅的評估，提供安全控制措施的建議，進行信息安全有效性評判，對安全事件給予專業指導和原因調查等；
b）對信息安全專家的管理：在a）的基礎上，對于邀請或聘用信息安全專家可以提供必要的組織機構內部信息，同時應告知專家這些信息的敏感性和保密性，并應采取必要的安全措施，保證提供的信息在安全可控的范圍內。