一、要求内容
a)应配备一定数量的系统管理员、网络管理员、安全管理员等;
b)应配备专职安全管理员,不可兼任;
c)关键事务岗位应配备多人共同管理。
二、实施建议
安全管理员不应由系统管理员、网络管理员等人兼任是保证安全监督和管理工作的有效性。对于关键、重要岗位应尽量采取A、B角共同管理或岗位互备的方式。
三、常见问题
多数企业没有设立专门的安全管理员,通常是系统管理员、网络管理员负责自己的安全管理工作。
四、实施难点
对于人员较少的小公司实现职责分离是非常难的,应当在有限的人员内尽量做到分离,或采取一些其他的补偿性控制措施。
五、测评方法
形式 访谈,检查。 对象 安全主管,人员配备要求的相关文档,管理人员名单。
实施
a)应访谈安全主管,询问各个安全管理岗位人员(按照岗位职责文件询问,包括机房管理员、系统管理员、数据库管理员、网络管理员和安全管理员等重要岗位人员)配备情况,包括数量、专职还是兼职等;
b)应访谈安全主管,询问其对关键区域或部位的安全管理员配备是否有一定条件要求(如中心机房的安全管理员、重要服务器的安全管理员、机密资料的管理员等),对关键事务的管理人员配备情况如何(如密钥管理等人员),是否配备2人或2人以上共同管理,相互监督和制约;
c)应检查人员配备要求的相关文档,查看是否明确应配备哪些安全管理人员,是否包括机房管理员、系统管理员、数据库管理员、网络管理员和安全管理员等重要岗位人员并明确应配备专职的安全管理员;查看是否明确对哪些关键区域或部位的安全管理员应按照机要人员的条件配备;查看是否明确对哪些关键事务的管理人员应配备2人或2人以上共同管理;
d)应检查管理人员名单,查看其是否明确机房管理员、系统管理员、数据库管理员、网络管理员和安全管理员等重要岗位人员的信息,确认安全管理员是否是专职人员。
六、参考资料
《信息安全等级保护信息系统安全管理要求》中对安全人员配备的要求:
5.2.3.1 安全管理人员配备 对安全管理人员配备的管理,不同安全等级应有选择地满足以下要求的一项:
a)可配备兼职安全管理人员:安全管理人员可以由网络管理人员兼任。
b)安全管理人员的兼职限制:安全管理人员不能兼任网络管理人员、系统管理员、数据库管理员等。
c)配备专职安全管理人员:安全管理人员不可兼任,属于专职人员,应具有安全管理工作权限和能力。
d)关键部位的安全管理人员:在c)的基础上,安全管理人员还应按照机要人员条件配备。