前言
笔者认为,无论是关键信息基础设施运营者(以下简称运营者)还是其他网络运营者,在网络安全保障过程中,人的因素都是至关重要的。在安全运营实践中,通常认为人、工具、流程三者融合并持续加以改进,才能做好安全运营工作。今天,笔者结合我国关键信息基础设施保护的相关政策、法律法规、未来即将发布的国家标准规范的相关要求,结合ITIL实践,运营者网络安全建设、运行与保障实践,来谈一谈运营者如何组建专门安全管理机构来落实网络安全主体责任,推动各项关键信息基础设施安全保护工作。
一、专门安全管理机构的定位
根据我国相关法律法规的规定,运营者作为关键信息基础设施保护的主体单位,负责关键信息基础设施的运行、管理,履行网络安全保护义务,接受国家网信部门、国务院公安部门以及行业和领域的主管部门、监督管理部门(以下称保护工作部门)的监督管理。
运营者作为实体单位,其关键信息基础保护工作需指定由内设的部门或小组负责落实。专门安全管理机构便是运营者内部专门负责本单位关键信息基础设施保护工作,履行关键信息基础设施保护职责义务的主要实体部门。
二、运营者的职责义务
在谈运营者如何组建专门安全管理机构前,读者需首先明白运营者开展关键信息基础设施保护需要履行的职责义务应该包括哪些。
运营者开展关键信息基础设施保护工作时,除了满足本单位的实际需要和内在要求,还必须符合我国以及所属行业和领域现阶段的关键信息基础设施保护的若干政策、法律法规以及标准规范等提出的职责义务。
各运营者的内在要求各异,笔者不再列举,另外,由于关键信息基础设施所属行业和领域分布较为广泛,笔者以下仅列出国家层面对运营者提出的职责义务,如下表所示:
| 法律法规/标准规范 | 相关规定 | | 《网络安全法》 | 第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改: (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施; (五)法律、行政法规规定的其他义务。 第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。 第二十八条网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。 第三十四条除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务: (一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查; (二)定期对从业人员进行网络安全教育、技术培训和技能考核; (三)对重要系统和数据库进行容灾备份; (四)制定网络安全事件应急预案,并定期进行演练;(五)法律、行政法规规定的其他义务。 第三十五条关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。 第三十六条关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。 第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。 第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。 第四十条网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。 第四十一条网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。 第四十二条网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 第四十七条网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。 第四十九条网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。 第五十五条发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。 第五十六条省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患。| | 《中华人民共和国密码法》 | 第十四条在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。 第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。| | 《中华人民共和国数据安全法》 | 第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。 重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。 第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。 风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。 第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。| | 《中华人民共和国个人信息保护法》 | 第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。| | 《关键信息基础设施安全保护条例》 | 第四条 关键信息基础设施安全保护坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者(以下简称运营者)主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。 第六条 运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。 第十一条 关键信息基础设施发生较大变化,可能影响其认定结果的,运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定,将认定结果通知运营者,并通报国务院公安部门。 第十二条安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。 第十三条运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。 第十四条 运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时,公安机关、国家安全机关应当予以协助。 第十五条 专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责: (一)建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划; (二)组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估; (三)按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件; (四)认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议; (五)组织网络安全教育、培训; (六)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度; (七)对关键信息基础设施设计、建设、运行、维护等服务实施安全管理; (八)按照规定报告网络安全事件和重要事项。 第十六条 运营者应当保障专门安全管理机构的运行经费、配备相应的人员,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。 第十七条 运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。 第十八条 关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告。 发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。 第十九条 运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。 第二十条 运营者采购网络产品和服务,应当按照国家有关规定与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。 第二十一条 运营者发生合并、分立、解散等情况,应当及时报告保护工作部门,并按照保护工作部门的要求对关键信息基础设施进行处置,确保安全。| | 《网络安全等级保护条例》(征求意见稿) | 第六条网络运营者应当依法开展网络定级备案、安全建设整改、等级测评和自查等工作,采取管理和技术措施,保障网络基础设施安全、网络运行安全、数据安全和信息安全,有效应对网络安全事件,防范网络违法犯罪活动。 第二十条网络运营者应当依法履行下列安全保护义务,保障网络和信息安全: (一)确定网络安全等级保护工作责任人,建立网络安全等级保护工作责任制,落实责任追究制度; (二)建立安全管理和技术保护制度,建立人员管理、教育培训、系统安全建设、系统安全运维等制度; (三)落实机房安全管理、设备和介质安全管理、网络安全管理等制度,制定操作规范和工作流程; (四)落实身份识别、防范恶意代码感染传播、防范网络入侵攻击的管理和技术措施; (五)落实监测、记录网络运行状态、网络安全事件、违法犯罪活动的管理和技术措施,并按照规定留存六个月以上可追溯网络违法犯罪的相关网络日志; (六)落实数据分类、重要数据备份和加密等措施; (七)依法收集、使用、处理个人信息,并落实个人信息保护措施,防止个人信息泄露、损毁、篡改、窃取、丢失和滥用;(八)落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施; (九)落实联网备案和用户zhenshi身份查验等责任; (十)对网络中发生的案事件,应当在二十四小时内向属地公安机关报告;泄露国家秘密的,应当同时向属地保密行政管理部门报告。 (十一)法律、行政法规规定的其他网络安全保护义务。 第二十一条第三级以上网络的运营者除履行本条例第二十条规定的网络安全保护义务外,还应当履行下列安全保护义务: (一)确定安全管理机构,明确网络安全等级保护的工作职责,对网络变更、网络接入、运维和技术保障单位变更等事项建立逐级审批制度; (二)制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过; (三)对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度; (四)对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全管理; (五)落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安全案事件等进行动态监测分析,并与同级公安机关对接; (六)落实重要网络设备、通信链路、系统的冗余、备份和恢复措施; (七)建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告; (八)法律和行政法规规定的其他网络安全保护义务。 第五十条县级以上公安机关对网络运营者开展下列网络安全工作情况进行监督检查: (一)日常网络安全防范工作; (二)重大网络安全风险隐患整改情况;(三)重大网络安全事件应急处置和恢复工作; (四)重大活动网络安全保护工作落实情况; (五)其他网络安全保护工作情况。公安机关对第三级以上网络运营者每年至少开展一次安全检查。涉及相关行业的可以会同其行业主管部门开展安全检查。必要时,公安机关可以委托社会力量提供技术支持。公安机关依法实施监督检查,网络运营者应当协助、配合,并按照公安机关要求如实提供相关数据信息。 第五十五条公安机关应当根据有关规定处置网络安全事件,开展事件调查,认定事件责任,依法查处危害网络安全的违法犯罪活动。必要时,可以责令网络运营者采取阻断信息传输、暂停网络运行、备份相关数据等紧急措施。网络运营者应当配合、支持公安机关和有关部门开展事件调查和处置工作。 第六十一条网络运营者和技术支持单位应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供支持和协助。| | 《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019) | 以等级保护三级为例 8.1.7**安全管理机构 8.1.7.1 岗位设置 本项要求包括: a) 应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权; b) 应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责; c) 应设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。 8.1.7.2 人员配备 本项要求包括: a) 应配备一定数鼠的系统管理员、审计管理员和安全管理员等; b) 应配备专职安全管理员,不可兼任。 8.1.7.3 授权和审批 本项要求包括: a) 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等; b) 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度; c) 应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。 8.1.7.4 沟通和合作 本项要求包括: a) 应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题; b) 应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通; c) 应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。 8.1.7.5 审核和检查 本项要求包括: a) 应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况; b) 应定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等; c) 应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。 8.1.8**安全管理人员 8. 1.8. 1 人员录用 本项要求包括: a) 应指定或授权专门的部门或人员负责人员录用; b) 应对被录用人员的身份、安全背景、专业资格或资质等进行审查,对其所具有的技术技能进行考核; c) 应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议。 8.1.8.2 人员离岗 本项要求包括: a) 应及时终止离岗人员的所有访问权限,取回各种shenfen证件、钥匙、徽章等以及机构提供的软硬 件设备; b) 应banli严格的调离手续,并承诺调离后的保密义务后方可离开。 8. 1.8.3 安全意识教育和培训 本项要求包括: a) 应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施; b) 应针对不同岗位制定不同的培训计划,对安全基础知识、岗位操作规程等进行培训; c) 应定期对不同岗位的人员进行技能考核。 8. 1.8.4 外部人员访问管理 本项要求包括: a) 应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案; b) 应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限, 并登记备案; c) 外部人员离场后应及时清除其所有的访间权限; d) 获得系统访间授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息。| | 《信息安全技术 关键信息基础设施安全保护要求》(送审稿) | 6.3 安全管理机构 a) 运营者应成立指导和管理网络安全工作的委员会或领导小组,由组织主要负责人担任其领导职务,设置专门的网络安全管理机构(以下简称“安全管理机构”),明确机构负责人及岗位,建立并实施网络安全考核及监督问责机制。 b) 安全管理机构主要人员应参与本组织信息化决策。 c) 安全管理机构相关人员应参加国家、行业或业界网络安全相关活动,及时获取网络安全动态,并传达到相关部门及人员。 6.4 安全管理人员 运营者应: a) 对安全管理机构的负责人和关键岗位的人员进行安全背景审查和安全技能考核,符合要求的人员方能上岗,关键岗位包括与关键业务系统直接相关的系统管理、网络管理、安全管理等岗位。关键岗位应专人负责,并配备2人以上共同管理。 b) 建立网络安全教育培训制度,定期开展基于岗位的网络安全教育培训和技能考核,应规定适当的关键信息基础设施从业人员和网络安全关键岗位从业人员的年度培训时长,教育培训内容应包括网络安全相关制度和规定、网络安全保护技术、网络安全风险意识等。 c) 在上岗前对人员进行安全背景审查,当必要时或人员的身份、安全背景等发生变化时(例如取得非中国国籍)应根据情况重新进行安全背景审查。应在人员发生内部岗位调动时,重新评估调动人员对关键信息基础设施的逻辑和物理访问权限,修改访问权限并通知相关人员或角色。应在人员离岗时,及时终止离岗人员的所有访问权限,收回与身份鉴别相关的软硬件设备,进行离职面谈并通知相关人员或角色。 d) 明确从业人员安全保密职责和义务,包括安全职责、奖惩机制、离岗后的脱密期限等。必要时,签订安全保密协议。| | 保密法律、行政法规,军事网络的安全保护法律法规,本行业、本单位的相关规定,运营者自身等提出的职责与业务。|
注1:《网络安全等级保护条例》(征求意见稿)、《信息安全技术 关键信息基础设施安全保护要求》(送审稿)在正式发布后,运营者应按照最新的要求梳理相关职责义务。
注2:《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》以及《关键信息基础设施安全保护条例》正式施行后,运营者应依法履行相关职责义务。
三、专门安全管理机构组建的主要工作要求
运营者在组建专门安全管理机构时,应明确其主要工作要求。其主要工作要求包括:
(1)运营者组建专门安全管理机构时,应符合国家以及所在行业和领域的相关政策、法律法规、标准规范的要求和满足自身关键信息基础设施保护的实际需要;
(2)运营者在组建专门安全管理机构时,应按照“同步规划、同步建设、同步使用”的“三同步”原则,同步规划、建设和运转专门安全管理机构。
(3)运营者在组建专门安全管理机构时,遵循定方案、定岗、定位、定员、定目标、定制度和定工作流程的要求。
(4)运营者在组建专门安全管理机构时,应标识关键岗位,开展安全背景审查,明确授权审批事项、程序与信息化决策参与机制,完成职责分离,建立各岗位之间,安全管理机构与使用部门、外部国家网信部门、国务院公安部门、保护工作部门的沟通合作机制。同时通过安全管理制度对以上所描述的内容进行指导、规范和约束。
(5)运营者应从人员审查、人员筛选、人员调动、人员离职、职责分离以及安全意识教育、专业技能培训等方面设计安全从业人员的管理工作机制。通过安全管理制度加以明确,为开展安全从业人员管理相关工作提供指导、约束和规范。
(6)安全管理机构的岗位设置应以满足常态化安全保护工作和覆盖需常态化开展的网络安全活动为原则。
(7)运营者应尽可能的在开发建设阶段完成安全管理机构的组建或调整。若因无法调度足够的人力组建或调整完成安全管理机构,应制定岗位建立健全计划,逐步组建或调整完成安全管理机构或邀请网络安全服务机构派人协助参与关键信息基础设施保护工作。
(8)网络安全服务机构参与关键信息基础设施保护工作的,运营者应与其签订保密协议。
四、专门安全管理机构的设计
笔者接下来结合我国关键信息基础设施保护的相关政策、法律法规、未来即将发布的国家标准规范的相关要求,结合ITIL实践、运营者网络安全建设、运行与保障实践,来谈一谈专门安全管理机构的设计。专门安全管理机构的组织架构如下图所示:
注:图中虚线框表示该岗可能有多个实体角色组成。
4.1 网络安全工作委员会/领导小组
建立指导和管理关键信息基础设施保护工作的网络安全工作委员会或领导小组,由本单位的第一责任人担任最高领导。运营者主要负责人是本单位关键信息基础设施安全保护工作第一责任人,统筹领导和组织关键信息基础设施保护各方面的工作,负责建立健全网络安全责任制并组织落实,对本单位关键信息基础设施安全保护工作全面负责。
4.2 首席网络安全官
设置首席网络安全官,向网络安全工作委员会或领导小组负责,具体负责关键信息基础设施保护的各项事务。首席网络安全官可根据具体实际需要,设置助理员若干名,协助开展关键信息基础设施保护工作。助理员一般应从关键岗位中选拔。
不同的运营者对首席网络安全官可能有不同的称呼,重点是运营者应设置类似首席网络安全官一类的岗位或角色,来具体负责关键信息基础设施保护的各项事务。
4.3 网络安全管理机构
安全管理机构将运营者的网络安全职责从信息化职责中剥离出来,配备专职的网络安全人员从事关键信息基础设施保护相关工作。
安全管理机构由从事关键信息基础设施保护具体不同工作的专职人员组成。根据从事网络安全工作的不同,可分为安全值守岗、分析识别岗、安全防护岗、检测评估岗、监测预警岗、响应处置岗、开发建设岗、安全运维岗、安全管理岗、安全审计岗以及其他临时任务编组等角色。
4.3.1 安全值守岗
安全值守岗可作为一类实体岗位,至少由2人组成,实行A/B角。主要履行以下职责义务:
(1)负责受理外部输入的关键信息基础设施保护的相关要求,梳理、分析国家以及运营者所在行业和领域关于关键信息基础设施保护的相关政策、法律法规、标准规范等的监管以及合规要求; (2)负责受理内部关键信息基础设施业务和使用部门的网络安全需求输入、咨询; 关键信息基础设施的运行维护值守等; (3)协助安全管理人员建立健全安全值守类文件。
4.3.2 开发建设岗
开发建设岗非单一类岗位,可能由运营者的多个部门的相关角色组成,如在产品或服务采购时涉及采购角色。运营者应指定专人负责开发建设相关的工作管理,并建立协调机制。主要履行以下职责义务:
(1)负责关键信息基础设施(含新建、改建或扩建)的等级保护的定级备案、等级测评、协调整改等工作; (2)安全设计、建设、实施等方案的编制、变更、评审等; (3)网络产品或服务的采购,包括协助对可能影响国家安全的产品或服务进行审查; (4)自行与外包软件开发管理; (5)工程实施、验收与交付管理; (6)供应链管理; (7)协助安全管理人员制定本单位网络安全中长期发展规划,编制网络安全预算等; (8)协助安全管理人员建立健全定级备案,等级测评,工程规划、实施、验收、交付,网络产品或服务采购,自行与外包软件管理,服务供应商选择与管理,供应链管理等方面的安全管理制度、操作规程等文件。
4.3.3 安全运维岗
安全运维岗可作为一类实体岗位,根据实际需要,由多人组成,负责开展常态化的安全运维工作。主要履行以下职责义务:
(1)关键信息基础设施保护涉及的各类设备的统一运行维护管理; (2)维护网络安全基线; (3)维护基本配置信息,包括网络拓扑结构,版本及补丁信息等,并实施变更控制; (4)备份与恢复管理,包括定期备份,制定备份恢复策略和程序等; (5)安全运维行为规范管理; (6)协助安全管理人员建立健全安全运维类的制度、操作规程等文件。
4.3.4 安全管理岗
安全管理岗可作为一类实体岗位,根据实际需要,由多人组成,负责开展常态化的安全管理工作。主要履行以下职责义务:
(1)关键岗位管理; (2)物理环境管理; (3)资产管理; (4)介质管理; (5)密码管理; (6)变更管理; (7)外包运维管理; (8)安全测评管理; (9)培训管理; (10)协助首席网络安全官制定本单位网络安全中长期发展规划,编制网络安全预算等; (11)协助安全审计员开展安全管理体系内审。 (12)协助首席网络安全官统筹资源,建立健全和实施本单位关键信息基础设施保护的若干制度、操作规程,网络安全考核及监督问责机制文件等; (13)制定各类安全管理制度、流程、规范与操作规程等文件。
4.3.5 安全审计岗
安全审计岗可作为一类实体岗位,根据实际需要,由多人组成,负责开展常态化的安全审计工作。主要履行以下职责义务:
(1)负责对关键信息基础设施保护的相关网络安全行为活动进行审计,审计各项活动是否符合运营者已建立的安全策略和操作规程,并评估它们的有效性和准确性,发现安全违规,掌握安全状态,提出改进建议; (2)负责安全管理体系内审; (3)协助安全管理人员制定安全审计相关制度文件。
4.3.6 分析识别岗
分析识别岗可作为一类实体岗位,根据实际需要,由多人组成,负责开展常态化的分析识别工作。主要履行以下职责义务:
(1)负责关键业务(链)、供应链等的业务识别、资产识别以及漏洞、威胁等的风险识别等; (2)关键信息基础设施的边界识别; (3)维护关键信息基础设施清单; (4)维护网络安全风险管理计划; (5)协助安全防护、检测评估、监测预警、技术对抗、事件处置等环节的相关工作; (6)协助安全管理人员建立健全关键信息基础设施识别类文件。
4.3.7 安全防护岗
安全防护岗可作为一类实体岗位,根据实际需要,由多人组成,负责开展常态化的安全防护工作。主要履行以下职责义务:
(1)根据网络安全合规体系要求,我国关键信息基础设施保护的若干政策法律法规要求,运营者内部网络安全基线,本单位的特殊安全防护需求以及网络安全综合防御体系要求,制定安全防护策略; (2)维护并保证安全防护措施的有效性; (3)协助开展事件处置、应急处置以及攻防对抗等工作; (4)协助分析识别、检测评估、监测预警等环节的相关工作; (5)协助安全管理人员建立健全网络安全保护的相关制度、策略、操作规程等文件。
4.3.8 检测评估岗
检测评估岗可作为一类实体岗位,根据实际需要,由多人组成,负责开展常态化的检测评估工作。主要履行以下职责义务:
(1)自行或委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,对发现的问题提出修复整改建议,协助相关部门安全整改,跟踪处置过程; (2)建立常规安全检测评估与全面安全检测评估体系; (3)负责检测评估发现的重大风险隐患的报告; (4)定期进行安全检查,包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等,形成安全检查报告并通报; (5)配合保护工作部门开展关键信息基础设施网络安全检查检测工作; (6)协助分析识别、安全防护、监测预警、技术对抗、事件处置等环节的相关工作; (7)协助安全管理人员建立健全关键信息基础设施安全检测评估制度和流程。
4.3.9 监测预警岗
监测预警岗可作为一类实体岗位,根据实际需要,由多人组成,负责开展常态化的监测预警工作。主要履行以下职责义务:
(1)开展本单位常态化的网络安全监测预警和信息通报工作,包括接收来自外部的网络安全通报信息和预警信息以及向安全管理机构或首席网络安全官或直接负责主管报告监测预警情况; (2)建立监测预警与信息通报工作机制; (3)制定监测策略,包括明确监测对象、流程和内容; (4)明确本组织的预警信息分级标准,建立预警信息响应处置程序,明确不同级别预警信息的报告、响应和处置流程; (5)协助分析识别、安全防护、检测评估、技术对抗、事件处置等环节的相关工作; (6)协助安全管理人员建立健全网络安全监测预警与信息通报类文件。
4.3.10 响应处置岗
响应处置岗非单一类岗位,可能由运营者的多个部门的相关角色组成,如在事件处置时涉及业务部门的系统管理员相关角色。运营者应指定专人负责响应处置相关的工作管理,并建立协调机制。主要履行以下职责义务:
(1)开展本单位的网络安全事件响应处置工作,消除安全隐患,防止危害扩大,能够恢复关键业务和信息系统到已知的状态; (2)向可能受影响的内部部门或人员,外部关键业务链涉及的、与事件相关的其他单位或组织报告安全事件; (3)开展必要的网络安全溯源、调查取证分析工作。 (4)组织本单位网络安全应急预案编制、应急演练、攻防对抗等工作并持续改进; (5)协助分析识别、安全防护、检测评估、监测预警等环节的相关工作; (6)协助安全管理人员建立健全网络安全事件管理类制度、应急预案。
4.4 其他临时任务编组
其他临时任务编组区别于常设的岗位,是当有特定任务或需求,抽调资源临时组建完成某一类任务或需求的临时性岗位。例如:
—当关键信息基础设施需要停运时,运营者抽调相关部门人员,必要时邀请网络安全服务机构、外部专家加入,共同组建退役废弃工作小组,规范退役废弃活动的实施过程,保障整个退役废弃活动顺利进行。退役废弃活动结束后,工作小组解散。
4.5 网络安全服务机构
运营者还可以委托网络安全服务机构,协助本单位从事关键信息基础设施保护的相关工作。但根据“谁主管,谁负责;谁运营,谁负责”的原则,运营者应履行“安全管理责任不变、数据归属关系不变、安全管理标准不变”的基本要求。
五、专门安全管理机构的运转
以上岗位的设计并不是固定不变的,运营者可根据本单位实际情况,对岗位进行重组。
运营者还可以对以上所描述的岗位做进一步的职能细分。根据关键业务的重要性、安全保障工作的繁重程度等因素,每个岗位也可以是工作小组形式。工作小组根据具体工作的性质,也可分为常设小组和临时任务编组。例如:
——为保证关键信息基础设施的业务稳定、持续运行,运营者设计运行维护团队为常设工作小组开展常态化运行维护工作。
运营者根据实际情况,还可对以上岗位应履行的职责与业务做进一步的明确,使得岗位及其角色的职责与义务的设计更能满足和符合本单位的需要。
运营者依托安全管理机构开展常态化的安全保护工作。
运营者应根据岗位职责设计并明确授权审批事项、审批部门和批准人等,针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度;定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。例如:
——监测预警岗位为工作小组形式的,小组成员需要发布通报信息或预警信息,应先向工作小组组长、首席网络安全官报告,必要时首席网络安全官还应向网络安全工作委员会或领导小组的第一负责人报告,经同意后,才可通过相关程序发布通报信息或预警信息。
运营者应建立安全管理机构人员参与网络安全和信息化有关的决策的事项清单、工作机制等。
运营者应从人员审查、人员筛选、人员调动、人员离职、职责分离以及安全意识教育、专业技能培训等方面设计安全从业人员的管理工作机制。
运营者应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题;加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通;建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。例如:
——运营者可设计联席会议制度,加强各岗位或工作小组之间沟通合作,定期或不定期召开联席会议,共同协作处理网络安全问题。同时,加强与网络安全服务机构、网络安全研究机构、业界专家、保护工作部门以及其他安全组织的合作沟通。
运营者应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。
小结
由于篇幅有限,笔者不再对安全管理机构的组建以及运转做更多描述。本文仅是笔者根据我国关键信息基础设施保护的相关政策、法律法规、标准规范等的要求,结合实践,提出的关于安全管理机构的组织架构的设计以及运转的相关事项的一些想法,仅代表笔者个人意见,不见得成熟和一定能够满足某一运营者的实际需要。本文难免存在不足之处,敬请指正。