信息安全管理组织和人员的管理原则应包括:
1.获取项目领导小组、各租户高层领导的足够重视,保证安全管理组织建设的顺利推进;
2.提高整体员工的安全意识和技能,从广泛的人员视角上和纵深的层次上杜绝安全事件的发生;
3.需要不同的相关参与部门共同参与,制定不同角色和分工,从而保障安全管理的协调统一。
| 序号 | 管理项 | 管理措施 |
| 1 | 授权和审批 | 租户和云服务商应协作,明确授权审批事项、批准人等。针对系统变更、重要操作、物理访问和系统接入等事项,建立审批程序,按照程序执行审批过程。对重要的活动应建立逐级审批制度。应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人的信息。 |
| 2 | 沟通和合作 | 租户和云服务商还应加强各部门的合作与沟通,定期召开协调会议,共同协作处理信息安全问题。 同时,也应建立与外联单位(如兄弟单位、公安机关、各类供应商、业界专家和专业安全组织)的沟通与合作。这些外联单位应组成列表,注明单位名称、合作内容、联系人和联系方式等内容。 |
| 3 | 审核和检查 | 租户和云服务商应定期执行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份情况等。应定期执行全面的安全检查,检查内容应包括安全技术措施有效性、安全配置和策略一致性、安全管理制度的执行情况等。使用定制的安全检查表格来实施安全检查,汇总检查数据,形成检查报告,对安全检查结果进行通报。 |
| 4 | 人员录用 | 租户和云服务商均应对被录用人员的身份、背景、专业资格和资质进行审查,对其工作范围内应具备的技术技能进行考核。只要被录用人员具备接触和掌握租户敏感数据的权限,均应签署保密协议。对于重要的岗位人员,应签署岗位责任协议。 |
| 5 | 人员离岗 | 人员离岗时,应及时终止其所有访问权限,收回各类身份证件、钥匙、身份鉴别硬件Key等各类软硬件设备。对于重要业务系统,还应要求人员离职办理严格的调离手续,承诺调离后的保密义务后方可离开。 |
| 6 | 安全意识教育和培训 | 租户和云服务商均应对人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。 租户和云服务商都应对组织内不同岗位制定不同的培训计划。培训内容应涵盖:岗位操作规程、组织安全策略的宣讲、信息安全基础知识等。 |
| 7 | 外部人员访问管理 | 当外部人员通过物理方式或远程接入方式访问系统时,均应提出书面申请。批准后,由专人陪同(开通账号、分配权限),并登记备案。当外部人员离场后应及时清除其所有的访问权限。 获得访问授权的外部人员还应签署保密协议,不得进行非授权的操作,不得复制和泄露任何敏感信息。 |
370
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
