某某石油管理局企业标准网络信息安全系统的组织机构建设规范1适用范围本标准规定了某某石油管理局网络信息安全系统的组织机构建设规范。本标准适用于某某油田（企业内部）网络信息安全系统的组织机构建设。2规范解释权本规定适用于某某油田管理局信息安全管理中心和下属各单位中心机房。3网络信息安全系统的组织机构建设规范概述管理是网络安全的关键，实际上不少网络安全问题是因管理不当造成的，建立一个系统安全管理组织必不可少。安全管理组织的职责是,宏观决策管理局信息安全的重大事件,宏观决策管理局信息安全重大基础设施,发布管理局信息安全政策,批准管理局信息安全规划,协调各相关部门的工作对管理局面临的重大信息安全紧急事件作出决断等；研究信息安全关键技术的发展趋势;为管理局信息安全规划和信息安全基础设施规划的制定提供技术性支持;参与审批重大信息化工程的信息安全技术路线和措施;参与制定信息安全的标准和规范;参与制定信息安全产品的评测标准和规范等等。信息安全技术委员会局党委信息安全部门局信息安全管理中心公安部门局信息安全指导委员会局其它处室相关安全部门4某某油田网络信息安全系统组织机构规划图：下级信息安全管理部门信息网络安全管理站项目安全评估站信息网络安全事故处理站信息安全教育普及站信息安全技术跟踪站信息安全监查站信息安全规划中心5信息系统安全管理机构组织员组织原则管理局以及下级单位应建立信息系统安全管理机构。单位最高领导必须主管或者兼管信息系统安全工作。按从上到下的垂直管理原则，上一级机关的信息系统管理机构指导下一级机关信息系统安全管理机构的工作。下一级机关信息系统的安全管理机构接受并执行上一级机关信息系统安全管理机构的安全策略。各级信息系统的安全管理机构，不隶属于同级信息系统管理和业务机构。各级信息系统的安全管理机构由系统管理、系统分析、软件硬件、安全保卫、系统稽核、人事、通信等有关方面的人员组成。信息系统人员管理机构应常设一办事机构，负责信息安全日常事务工作。6信息系统安全管理机构的职能管理局信息安全指导委员会：成员应为各主管部领导人,其负责人应为管理局主要领导人。该委员会下设技术专家委员会,由管理局信息领域的专家和资深技术人员组成。管理局信息安全委员会的职责是,宏观决策管理局信息安全的重大事件,宏观决策管理局信息安全重大基础设施,发布管理局信息安全政策,批准管理局信息安全规划,协调各相关部门的工作对管理局面临的重大信息安全紧急事件做出决断等。管理局信息安全技术专家委员会：接受管理局信息安全指导委员会领导。负责发展信息安全产业关键技术的宏观决策。管理局信息安全技术委员会的职责包括:研究信息安全关键技术的发展趋势;为管理局信息安全规划和信息安全基础设施规划的制定提供技术性支持;参与审批重大信息化工程的信息安全技术路线和措施;参与制定信息安全的标准和规范;参与制定信息安全产品的评测标准和规范等等。公安部门：负责油田部门日常生产、生活的安全。配合油田各单位开展安全巡逻，事故处理。信息中心的主要安全职能：制定管理局范围内的总体IT安全目标、战略和政策；制定油田信息产业的中长期安全总体规划；负责管理局信息系统的全面管理；审批重大信息化工程的信息安全技术路线和措施；组织制定信息安全的标准和规范；组织制定信息安全产品的评测标准和规范；负责与管理局其他相关信息安全部门的协同工作；跟踪IT安全信息技术的发展动态与方向；处理管理局各类IT信息安全事故。信息中心具体分设7个下属职能机构，下属机构未必单独形成一个部门，但必须由专人负责。规划中心负责IT安全目标、战略和政策的制定；制定油田信息产业的中长期安全总体规划；制定与信息安全相关的法规；监督信息安全战略、政策、法规的执行情况；协调和处理与公安处、党委和其他部门相关安全机构的协同关系。项目安全性评估（审计）站根据国际、国内和行业内的安全技术标准，对引进的计算机系统（包括硬件、软件）、应用系统、网络系统、数据库系统等IT产品和自主、联合开发的产品的安全性进行严格评估；对现存系统、硬件、网络、应用提出安全性过渡的意见和建议；保证引进项目达到油田规定的安全级别；制定项目安全性评估标准和执行步骤；制定项目安全监查的标准。信息安全技术跟踪站紧跟国际、国内信息网络安全技术；并力图分析、掌握前沿的、可能用于油田的先进安全技术；发现目前油田所采用安全技术的漏洞并提出补救措施；对信息网络安全技术在油田的可行性提交报告；为规划中心提供技术支持；制定油田安全技术的评测标准。信息安全监查站根据规划中心的总体安全标准和项目安全监查