涉密信息系统建设管理

涉密信息系统建设管理
涉密信息系统“三员”是指系统管理员、安全保密管理员和安全审计员。系统管理员主要负责系统的日常运行维护工作；安全保密管理员主要负责系统的日常安全保密管理工作，包括用户账号管理以及安全保密设备和系统所产生日志的审查分析；安全审计员主要负责对系统管理员、安全保密管理员的操作行为进行审计、跟踪、分析和监督检查，以及时发现违规行为，并定期向安全保密管理机构汇报相关情况。“三员”权限设置应相互独立，相互制约，相互之间不得兼任或者替代。 [6]
涉密信息系统“三员”应具备信息安全保密知识和业务技能，认真履行岗位职责，积极完成与职责相关的工作，按照有关保密标准的要求建立健全工作记录和日志文档，并妥善保存；“三员”应掌握常见安全产品的适用方法和技术手段，熟悉数据库、操作系统、网络设备和应用系统的安全知识和技术防护措施；“三员”应当定期接受管理和业务方面的集中培训，熟练掌握国家保密法规和标准要求，不断提高技术技能和管理水平。 [6]
管理改进
1、根据实际工作需要足额配备“三员”
“三员”应当设置独立的工作权限，实现相互监督、相互制约，相互之间不得兼任或者替代；单位“三员”应该设立A、B角，互为备份；单位应该按照最大化原则配备“三员”以满足日常运维工作；无涉密信息系统仅使用涉密计算机的单位，应当配备安全保密管理员。
2、扎实做好“三员”上岗前及上岗后的技能培训
“三员”上岗前需要参加有关部门组织的培训，具备上岗能力后方可上岗；“三员”上岗后要定期参加安全保密管理和专业技能方面的培训，熟练掌握国家信息安全保密法规和标准要求，不断提高技术技能和管理水平。
3、从技术和管理上做好对“三员”的监督工作
在系统运行维护过程中，如果可以从技术上实现配置变更两人操作方可生效