前言

筆者認為，無論是關鍵信息基礎設施運營者(以下簡稱運營者0還是其他網(wǎng)絡運營者，在網(wǎng)絡安全保障過程中，人的因素都是至關重要的。在安全運營實踐中，通常認為人、工具、流程三者融合并持續(xù)加以改進，才能做好安全運營工作。今天，筆者結合我國關鍵信息基礎設施保護的相關政策、法律法規(guī)、未來即將發(fā)布的國家標準規(guī)范的相關要求，結合ITIL實踐，運營者網(wǎng)絡安全建設、運行與保障實踐，來談一談運營者如何組建專門安全管理機構來落實網(wǎng)絡安全主體責任，推動各項關鍵信息基礎設施安全保護工作。

一、專門安全管理機構的定位

根據(jù)我國相關法律法規(guī)的規(guī)定，運營者作為關鍵信息基礎設施保護的主體單位，負責關鍵信息基礎設施的運行、管理，履行網(wǎng)絡安全保護義務，接受國家網(wǎng)信部門、國務院公安部門以及行業(yè)和領域的主管部門、監(jiān)督管理部門(以下稱保護工作部門)的監(jiān)督管理。

運營者作為實體單位，其關鍵信息基礎保護工作需指定由內(nèi)設的部門或小組負責落實。專門安全管理機構便是運營者內(nèi)部專門負責本單位關鍵信息基礎設施保護工作，履行關鍵信息基礎設施保護職責義務的主要實體部門。

二、運營者的職責義務

在談運營者如何組建專門安全管理機構前，讀者需首先明白運營者開展關鍵信息基礎設施保護需要履行的職責義務應該包括哪些。

運營者開展關鍵信息基礎設施保護工作時，除了滿足本單位的實際需要和內(nèi)在要求，還必須符合我國以及所屬行業(yè)和領域現(xiàn)階段的關鍵信息基礎設施保護的若干政策、法律法規(guī)以及標準規(guī)范等提出的職責義務。

各運營者的內(nèi)在要求各異，筆者不再列舉，另外，由于關鍵信息基礎設施所屬行業(yè)和領域分布較為廣泛，筆者以下僅列出國家層面對運營者提出的職責義務，如下表所示：

法律法規(guī)/標準規(guī)范 相關規(guī)定

《網(wǎng)絡安全法》第二十一條國家實行網(wǎng)絡安全等級保護制度。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求，履行下列安全保護義務，保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權的訪問，防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改：

( 一 ) 制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡安全負責人，落實網(wǎng)絡安全保護責任;

( 二 ) 采取防范計算機病毒和網(wǎng)絡攻擊、網(wǎng)絡侵入等危害網(wǎng)絡安全行為的技術措施;

( 三 ) 采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術措施，并按照規(guī)定留存相關的網(wǎng)絡日志不少于六個月;

( 四 ) 采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;

( 五 ) 法律、行政法規(guī)規(guī)定的其他義務。

第二十五條 網(wǎng)絡運營者應當制定網(wǎng)絡安全事件應急預案，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入等安全風險;在發(fā)生危害網(wǎng)絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規(guī)定向有關主管部門報告。

第二十八條 網(wǎng)絡運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協(xié)助。

第三十四條 除本法第二十一條的規(guī)定外，關鍵信息基礎設施的運營者還應當履行下列安全保護義務：

( 一 ) 設置專門安全管理機構和安全管理負責人，并對該負責人和關鍵崗位的人員進行安全背景審查;

( 二 ) 定期對從業(yè)人員進行網(wǎng)絡安全教育、技術培訓和技能考核;

( 三 ) 對重要系統(tǒng)和數(shù)據(jù)庫進行容災備份;

( 四 ) 制定網(wǎng)絡安全事件應急預案，并定期進行演練;

( 五 ) 法律、行政法規(guī)規(guī)定的其他義務。

第三十五條 關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務，可能影響國家安全的，應當通過國家網(wǎng)信部門會同國務院有關部門組織的國家安全審查。

第三十六條 關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務，應當按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務與責任。

第三十七條 關鍵信息基礎設施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網(wǎng)信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

第三十八條 關鍵信息基礎設施的運營者應當自行或者委托網(wǎng)絡安全服務機構對其網(wǎng)絡的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。

第四十條 網(wǎng)絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度。

第四十一條 網(wǎng)絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。網(wǎng)絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息。

第四十二條 網(wǎng)絡運營者不得泄露、篡改、毀損其收集的個人信息;未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復原的除外。網(wǎng)絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規(guī)定及時告知用戶并向有關主管部門報告。

第四十七條 網(wǎng)絡運營者應當加強對其用戶發(fā)布的信息的管理，發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌?，應當立即停止傳輸該信息，采取消除等處置措施，防止信息擴散，保存有關記錄，并向有關主管部門報告。第四十九條 網(wǎng)絡運營者應當建立網(wǎng)絡信息安全投訴、舉報制度，公布投訴、舉報方式等信息，及時受理并處理有關網(wǎng)絡信息安全的投訴和舉報。網(wǎng)絡運營者對網(wǎng)信部門和有關部門依法實施的監(jiān)督檢查，應當予以配合。

第五十五條 發(fā)生網(wǎng)絡安全事件，應當立即啟動網(wǎng)絡安全事件應急預案，對網(wǎng)絡安全事件進行調(diào)查和評估，要求網(wǎng)絡運營者采取技術措施和其他必要措施，消除安全隱患，防止危害擴大，并及時向社會發(fā)布與公眾有關的警示信息。第五十六條 省級以上人民政府有關部門在履行網(wǎng)絡安全監(jiān)督管理職責中，發(fā)現(xiàn)網(wǎng)絡存在較大安全風險或者發(fā)生安全事件的，可以按照規(guī)定的權限和程序對該網(wǎng)絡的運營者的法定代表人或者主要負責人進行約談。網(wǎng)絡運營者應當按照要求采取措施，進行整改，消除隱患。

《中華人民共和國密碼法》第十四條 在有線、無線通信中傳遞的國家秘密信息，以及存儲、處理國家秘密信息的信息系統(tǒng)，應當依照法律、行政法規(guī)和國家有關規(guī)定使用核心密碼、普通密碼進行加密保護、安全認證。

第二十七條 法律、行政法規(guī)和國家有關規(guī)定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網(wǎng)絡安全等級測評制度相銜接，避免重復評估、測評。關鍵信息基礎設施的運營者采購涉及商用密碼的網(wǎng)絡產(chǎn)品和服務，可能影響國家安全的，應當按照《中華人民共和國網(wǎng)絡安全法》的規(guī)定，通過國家網(wǎng)信部門會同國家密碼管理部門等有關部門組織的國家安全審查。

《中華人民共和國數(shù)據(jù)安全法》第二十七條 開展數(shù)據(jù)處理活動應當依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓，采取相應的技術措施和其他必要措施，保障數(shù)據(jù)安全。利用互聯(lián)網(wǎng)等信息網(wǎng)絡開展數(shù)據(jù)處理活動，應當在網(wǎng)絡安全等級保護制度的基礎上，履行上述數(shù)據(jù)安全保護義務。

重要數(shù)據(jù)的處理者應當明確數(shù)據(jù)安全負責人和管理機構，落實數(shù)據(jù)安全保護責任。

第三十條 重要數(shù)據(jù)的處理者應當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。

風險評估報告應當包括處理的重要數(shù)據(jù)的種類、數(shù)量，開展數(shù)據(jù)處理活動的情況，面臨的數(shù)據(jù)安全風險及其應對措施等。

第三十一條 關鍵信息基礎設施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理，適用《中華人民共和國網(wǎng)絡安全法》的規(guī)定;其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國家網(wǎng)信部門會同國務院有關部門制定。

《中華人民共和國個人信息保護法》第四十條 關鍵信息基礎設施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，應當將在中華人民共和國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)。確需向境外提供的，應當通過國家網(wǎng)信部門組織的安全評估;法律、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進行安全評估的，從其規(guī)定。

《關鍵信息基礎設施安全保護條例》第四條 關鍵信息基礎設施安全保護堅持綜合協(xié)調(diào)、分工負責、依法保護，強化和落實關鍵信息基礎設施運營者(以下簡稱運營者)主體責任，充分發(fā)揮政府及社會各方面的作用，共同保護關鍵信息基礎設施安全。

第六條 運營者依照本條例和有關法律、行政法規(guī)的規(guī)定以及國家標準的強制性要求，在網(wǎng)絡安全等級保護的基礎上，采取技術保護措施和其他必要措施，應對網(wǎng)絡安全事件，防范網(wǎng)絡攻擊和違法犯罪活動，保障關鍵信息基礎設施安全穩(wěn)定運行，維護數(shù)據(jù)的完整性、保密性和可用性。

第十一條 關鍵信息基礎設施發(fā)生較大變化，可能影響其認定結果的，運營者應當及時將相關情況報告保護工作部門。保護工作部門自收到報告之日起3個月內(nèi)完成重新認定，將認定結果通知運營者，并通報國務院公安部門。

第十二條 安全保護措施應當與關鍵信息基礎設施同步規(guī)劃、同步建設、同步使用。

第十三條 運營者應當建立健全網(wǎng)絡安全保護制度和責任制，保障人力、財力、物力投入。運營者的主要負責人對關鍵信息基礎設施安全保護負總責，領導關鍵信息基礎設施安全保護和重大網(wǎng)絡安全事件處置工作，組織研究解決重大網(wǎng)絡安全問題。

第十四條 運營者應當設置專門安全管理機構，并對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查。審查時，公安機關、國家安全機關應當予以協(xié)助。

第十五條 專門安全管理機構具體負責本單位的關鍵信息基礎設施安全保護工作，履行下列職責：

( 一 ) 建立健全網(wǎng)絡安全管理、評價考核制度，擬訂關鍵信息基礎設施安全保護計劃;

( 二 ) 組織推動網(wǎng)絡安全防護能力建設，開展網(wǎng)絡安全監(jiān)測、檢測和風險評估;

( 三 ) 按照國家及行業(yè)網(wǎng)絡安全事件應急預案，制定本單位應急預案，定期開展應急演練，處置網(wǎng)絡安全事件;

( 四 ) 認定網(wǎng)絡安全關鍵崗位，組織開展網(wǎng)絡安全工作考核，提出獎勵和懲處建議;

( 五 ) 組織網(wǎng)絡安全教育、培訓;

( 六 ) 履行個人信息和數(shù)據(jù)安全保護責任，建立健全個人信息和數(shù)據(jù)安全保護制度;

( 七 ) 對關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理;

( 八 ) 按照規(guī)定報告網(wǎng)絡安全事件和重要事項。

第十六條 運營者應當保障專門安全管理機構的運行經(jīng)費、配備相應的人員，開展與網(wǎng)絡安全和信息化有關的決策應當有專門安全管理機構人員參與。

第十七條 運營者應當自行或者委托網(wǎng)絡安全服務機構對關鍵信息基礎設施每年至少進行一次網(wǎng)絡安全檢測和風險評估，對發(fā)現(xiàn)的安全問題及時整改，并按照保護工作部門要求報送情況。

第十八條 關鍵信息基礎設施發(fā)生重大網(wǎng)絡安全事件或者發(fā)現(xiàn)重大網(wǎng)絡安全威脅時，運營者應當按照有關規(guī)定向保護工作部門、公安機關報告。

發(fā)生關鍵信息基礎設施整體中斷運行或者主要功能故障、國家基礎信息以及其他重要數(shù)據(jù)泄露、較大規(guī)模個人信息泄露、造成較大經(jīng)濟損失、違法信息較大范圍傳播等特別重大網(wǎng)絡安全事件或者發(fā)現(xiàn)特別重大網(wǎng)絡安全威脅時，保護工作部門應當在收到報告后，及時向國家網(wǎng)信部門、國務院公安部門報告。

第十九條 運營者應當優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務;采購網(wǎng)絡產(chǎn)品和服務可能影響國家安全的，應當按照國家網(wǎng)絡安全規(guī)定通過安全審查。

第二十條 運營者采購網(wǎng)絡產(chǎn)品和服務，應當按照國家有關規(guī)定與網(wǎng)絡產(chǎn)品和服務提供者簽訂安全保密協(xié)議，明確提供者的技術支持和安全保密義務與責任，并對義務與責任履行情況進行監(jiān)督。

第二十一條 運營者發(fā)生合并、分立、解散等情況，應當及時報告保護工作部門，并按照保護工作部門的要求對關鍵信息基礎設施進行處置，確保安全。

《網(wǎng)絡安全等級保護條例》(征求意見稿)第六條 網(wǎng)絡運營者應當依法開展網(wǎng)絡定級備案、安全建設整改、等級測評和自查等工作，采取管理和技術措施，保障網(wǎng)絡基礎設施安全、網(wǎng)絡運行安全、數(shù)據(jù)安全和信息安全，有效應對網(wǎng)絡安全事件，防范網(wǎng)絡違法犯罪活動。

第二十條 網(wǎng)絡運營者應當依法履行下列安全保護義務，保障網(wǎng)絡和信息安全：

( 一 ) 確定網(wǎng)絡安全等級保護工作責任人，建立網(wǎng)絡安全等級保護工作責任制，落實責任追究制度;

( 二 ) 建立安全管理和技術保護制度，建立人員管理、教育培訓、系統(tǒng)安全建設、系統(tǒng)安全運維等制度;

( 三 ) 落實機房安全管理、設備和介質安全管理、網(wǎng)絡安全管理等制度，制定操作規(guī)范和工作流程;

( 四 ) 落實身份識別、防范惡意代碼感染傳播、防范網(wǎng)絡入侵攻擊的管理和技術措施;

( 五 ) 落實監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件、違法犯罪活動的管理和技術措施，并按照規(guī)定留存六個月以上可追溯網(wǎng)絡違法犯罪的相關網(wǎng)絡日志;

( 六 ) 落實數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;

( 七 ) 依法收集、使用、處理個人信息，并落實個人信息保護措施，防止個人信息泄露、損毀、篡改、竊取、丟失和濫用;

( 八 ) 落實違法信息發(fā)現(xiàn)、阻斷、消除等措施，落實防范違法信息大量傳播、違法犯罪證據(jù)滅失等措施;

( 九 ) 落實聯(lián)網(wǎng)備案和用戶zhenshi身份查驗等責任;

( 十 ) 對網(wǎng)絡中發(fā)生的案事件，應當在二十四小時內(nèi)向屬地公安機關報告;泄露國家秘密的，應當同時向屬地保密行政管理部門報告。

( 十一 ) 法律、行政法規(guī)規(guī)定的其他網(wǎng)絡安全保護義務。

第二十一條 第三級以上網(wǎng)絡的運營者除履行本條例第二十條規(guī)定的網(wǎng)絡安全保護義務外，還應當履行下列安全保護義務：

( 一 ) 確定安全管理機構，明確網(wǎng)絡安全等級保護的工作職責，對網(wǎng)絡變更、網(wǎng)絡接入、運維和技術保障單位變更等事項建立逐級審批制度;

( 二 ) 制定并落實網(wǎng)絡安全總體規(guī)劃和整體安全防護策略，制定安全建設方案，并經(jīng)專業(yè)技術人員評審通過;

( 三 ) 對網(wǎng)絡安全管理負責人和關鍵崗位的人員進行安全背景審查，落實持證上崗制度;

( 四 ) 對為其提供網(wǎng)絡設計、建設、運維和技術服務的機構和人員進行安全管理;

( 五 )落實網(wǎng)絡安全態(tài)勢感知監(jiān)測預警措施，建設網(wǎng)絡安全防護管理平臺，對網(wǎng)絡運行狀態(tài)、網(wǎng)絡流量、用戶行為、網(wǎng)絡安全案事件等進行動態(tài)監(jiān)測分析，并與同級公安機關對接;

( 六 ) 落實重要網(wǎng)絡設備、通信鏈路、系統(tǒng)的冗余、備份和恢復措施;

( 七 ) 建立網(wǎng)絡安全等級測評制度，定期開展等級測評，并將測評情況及安全整改措施、整改結果向公安機關和有關部門報告;

( 八 ) 法律和行政法規(guī)規(guī)定的其他網(wǎng)絡安全保護義務。

第五十條 縣級以上公安機關對網(wǎng)絡運營者開展下列網(wǎng)絡安全工作情況進行監(jiān)督檢查：

( 一 ) 日常網(wǎng)絡安全防范工作;

( 二 ) 重大網(wǎng)絡安全風險隱患整改情況;

( 三 ) 重大網(wǎng)絡安全事件應急處置和恢復工作;

( 四 ) 重大活動網(wǎng)絡安全保護工作落實情況;

( 五 ) 其他網(wǎng)絡安全保護工作情況。公安機關對第三級以上網(wǎng)絡運營者每年至少開展一次安全檢查。涉及相關行業(yè)的可以會同其行業(yè)主管部門開展安全檢查。必要時，公安機關可以委托社會力量提供技術支持。公安機關依法實施監(jiān)督檢查，網(wǎng)絡運營者應當協(xié)助、配合，并按照公安機關要求如實提供相關數(shù)據(jù)信息。

第五十五條 公安機關應當根據(jù)有關規(guī)定處置網(wǎng)絡安全事件，開展事件調(diào)查，認定事件責任，依法查處危害網(wǎng)絡安全的違法犯罪活動。必要時，可以責令網(wǎng)絡運營者采取阻斷信息傳輸、暫停網(wǎng)絡運行、備份相關數(shù)據(jù)等緊急措施。網(wǎng)絡運營者應當配合、支持公安機關和有關部門開展事件調(diào)查和處置工作。

第六十一條 網(wǎng)絡運營者和技術支持單位應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供支持和協(xié)助。

《信息安全技術 網(wǎng)絡安全等級保護基本要求》(GB/T 22239-2019)以等級保護三級為例

8.1.7**安全管理機構

8.1.7.1 崗位設置

本項要求包括：

a) 應成立指導和管理網(wǎng)絡安全工作的委員會或領導小組，其最高領導由單位主管領導擔任或授權;

b) 應設立網(wǎng)絡安全管理工作的職能部門，設立安全主管、安全管理各個方面的負責人崗位，并定義各負責人的職責;

c) 應設立系統(tǒng)管理員、審計管理員和安全管理員等崗位，并定義部門及各個工作崗位的職責。

8.1.7.2 人員配備

本項要求包括：

a) 應配備一定數(shù)鼠的系統(tǒng)管理員、審計管理員和安全管理員等;

b) 應配備專職安全管理員，不可兼任。

8.1.7.3 授權和審批

本項要求包括：

a) 應根據(jù)各個部門和崗位的職責明確授權審批事項、審批部門和批準人等;

b) 應針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項建立審批程序，按照審批程序執(zhí)行審批過程，對重要活動建立逐級審批制度;

c) 應定期審查審批事項，及時更新需授權和審批的項目、審批部門和審批人等信息。

8.1.7.4 溝通和合作

本項要求包括：

a) 應加強各類管理人員、組織內(nèi)部機構和網(wǎng)絡安全管理部門之間的合作與溝通，定期召開協(xié)調(diào)會議，共同協(xié)作處理網(wǎng)絡安全問題;

b) 應加強與網(wǎng)絡安全職能部門、各類供應商、業(yè)界專家及安全組織的合作與溝通;

c) 應建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息。

8.1.7.5 審核和檢查

本項要求包括：

a) 應定期進行常規(guī)安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況;

b) 應定期進行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等;

c) 應制定安全檢查表格實施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報告，并對安全檢查結果進行通報。

8.1.8**安全管理人員

8. 1.8. 1 人員錄用

本項要求包括：

a) 應指定或授權專門的部門或人員負責人員錄用;

b) 應對被錄用人員的身份、安全背景、專業(yè)資格或資質等進行審查，對其所具有的技術技能進行考核;

c) 應與被錄用人員簽署保密協(xié)議，與關鍵崗位人員簽署崗位責任協(xié)議。

8.1.8.2 人員離崗

本項要求包括：

a) 應及時終止離崗人員的所有訪問權限，取回各種shenfen證件、鑰匙、徽章等以及機構提供的軟硬件設備;

b) 應banli嚴格的調(diào)離手續(xù)，并承諾調(diào)離后的保密義務后方可離開。

8. 1.8.3 安全意識教育和培訓

本項要求包括：

a) 應對各類人員進行安全意識教育和崗位技能培訓，并告知相關的安全責任和懲戒措施;

b) 應針對不同崗位制定不同的培訓計劃，對安全基礎知識、崗位操作規(guī)程等進行培訓;

c) 應定期對不同崗位的人員進行技能考核。

8. 1.8.4 外部人員訪問管理

本項要求包括：

a) 應在外部人員物理訪問受控區(qū)域前先提出書面申請，批準后由專人全程陪同，并登記備案;

b) 應在外部人員接入受控網(wǎng)絡訪問系統(tǒng)前先提出書面申請，批準后由專人開設賬戶、分配權限，并登記備案;

c) 外部人員離場后應及時清除其所有的訪間權限;

d) 獲得系統(tǒng)訪間授權的外部人員應簽署保密協(xié)議，不得進行非授權操作，不得復制和泄露任何敏感信息。

《信息安全技術 關鍵信息基礎設施安全保護要求》(送審稿)

 6.3安全管理機構

a) 運營者應成立指導和管理網(wǎng)絡安全工作的委員會或領導小組，由組織主要負責人擔任其領導職務，設置專門的網(wǎng)絡安全管理機構(以下簡稱“安全管理機構”)，明確機構負責人及崗位，建立并實施網(wǎng)絡安全考核及監(jiān)督問責機制。

b) 安全管理機構主要人員應參與本組織信息化決策。

c) 安全管理機構相關人員應參加國家、行業(yè)或業(yè)界網(wǎng)絡安全相關活動，及時獲取網(wǎng)絡安全動態(tài)，并傳達到相關部門及人員。

6.4 安全管理人員

運營者應：

a) 對安全管理機構的負責人和關鍵崗位的人員進行安全背景審查和安全技能考核，符合要求的人員方能上崗，關鍵崗位包括與關鍵業(yè)務系統(tǒng)直接相關的系統(tǒng)管理、網(wǎng)絡管理、安全管理等崗位。關鍵崗位應專人負責，并配備2人以上共同管理。

b) 建立網(wǎng)絡安全教育培訓制度，定期開展基于崗位的網(wǎng)絡安全教育培訓和技能考核，應規(guī)定適當?shù)年P鍵信息基礎設施從業(yè)人員和網(wǎng)絡安全關鍵崗位從業(yè)人員的年度培訓時長，教育培訓內(nèi)容應包括網(wǎng)絡安全相關制度和規(guī)定、網(wǎng)絡安全保護技術、網(wǎng)絡安全風險意識等。

c) 在上崗前對人員進行安全背景審查，當必要時或人員的身份、安全背景等發(fā)生變化時(例如取得非中國國籍)應根據(jù)情況重新進行安全背景審查。應在人員發(fā)生內(nèi)部崗位調(diào)動時，重新評估調(diào)動人員對關鍵信息基礎設施的邏輯和物理訪問權限，修改訪問權限并通知相關人員或角色。應在人員離崗時，及時終止離崗人員的所有訪問權限，收回與身份鑒別相關的軟硬件設備，進行離職面談并通知相關人員或角色。

d) 明確從業(yè)人員安全保密職責和義務，包括安全職責、獎懲機制、離崗后的脫密期限等。必要時，簽訂安全保密協(xié)議。保密法律、行政法規(guī)，軍事網(wǎng)絡的安全保護法律法規(guī)，本行業(yè)、本單位的相關規(guī)定，運營者自身等提出的職責與業(yè)務。

注1：《網(wǎng)絡安全等級保護條例》(征求意見稿)、《信息安全技術 關鍵信息基礎設施安全保護要求》(送審稿)在正式發(fā)布后，運營者應按照最新的要求梳理相關職責義務。

注2：《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護法》以及《關鍵信息基礎設施安全保護條例》正式施行后，運營者應依法履行相關職責義務。

三、專門安全管理機構組建的主要工作要求

運營者在組建專門安全管理機構時，應明確其主要工作要求。其主要工作要求包括：

( 1 ) 運營者組建專門安全管理機構時，應符合國家以及所在行業(yè)和領域的相關政策、法律法規(guī)、標準規(guī)范的要求和滿足自身關鍵信息基礎設施保護的實際需要。

( 2 ) 運營者在組建專門安全管理機構時，應按照“同步規(guī)劃、同步建設、同步使用”的“三同步”原則，同步規(guī)劃、建設和運轉專門安全管理機構。

( 3 ) 運營者在組建專門安全管理機構時，遵循定方案、定崗、定位、定員、定目標、定制度和定工作流程的要求。

( 4 ) 運營者在組建專門安全管理機構時，應標識關鍵崗位，開展安全背景審查，明確授權審批事項、程序與信息化決策參與機制，完成職責分離，建立各崗位之間，安全管理機構與使用部門、外部國家網(wǎng)信部門、國務院公安部門、保護工作部門的溝通合作機制。同時通過安全管理制度對以上所描述的內(nèi)容進行指導、規(guī)范和約束。

( 5 ) 運營者應從人員審查、人員篩選、人員調(diào)動、人員離職、職責分離以及安全意識教育、專業(yè)技能培訓等方面設計安全從業(yè)人員的管理工作機制。通過安全管理制度加以明確，為開展安全從業(yè)人員管理相關工作提供指導、約束和規(guī)范。

( 6 ) 安全管理機構的崗位設置應以滿足常態(tài)化安全保護工作和覆蓋需常態(tài)化開展的網(wǎng)絡安全活動為原則。

( 7 ) 運營者應盡可能的在開發(fā)建設階段完成安全管理機構的組建或調(diào)整。若因無法調(diào)度足夠的人力組建或調(diào)整完成安全管理機構，應制定崗位建立健全計劃，逐步組建或調(diào)整完成安全管理機構或邀請網(wǎng)絡安全服務機構派人協(xié)助參與關鍵信息基礎設施保護工作。

( 8 ) 網(wǎng)絡安全服務機構參與關鍵信息基礎設施保護工作的，運營者應與其簽訂保密協(xié)議。

四、專門安全管理機構的設計

筆者接下來結合我國關鍵信息基礎設施保護的相關政策、法律法規(guī)、未來即將發(fā)布的國家標準規(guī)范的相關要求，結合ITIL實踐、運營者網(wǎng)絡安全建設、運行與保障實踐，來談一談專門安全管理機構的設計。專門安全管理機構的組織架構如下圖所示：

注：圖中虛線框表示該崗可能有多個實體角色組成。

4.1 網(wǎng)絡安全工作委員會/領導小組

建立指導和管理關鍵信息基礎設施保護工作的網(wǎng)絡安全工作委員會或領導小組，由本單位的第一責任人擔任最高領導。運營者主要負責人是本單位關鍵信息基礎設施安全保護工作第一責任人，統(tǒng)籌領導和組織關鍵信息基礎設施保護各方面的工作，負責建立健全網(wǎng)絡安全責任制并組織落實，對本單位關鍵信息基礎設施安全保護工作全面負責。

4.2 首席網(wǎng)絡安全官

設置首席網(wǎng)絡安全官，向網(wǎng)絡安全工作委員會或領導小組負責，具體負責關鍵信息基礎設施保護的各項事務。首席網(wǎng)絡安全官可根據(jù)具體實際需要，設置助理員若干名，協(xié)助開展關鍵信息基礎設施保護工作。助理員一般應從關鍵崗位中選拔。不同的運營者對首席網(wǎng)絡安全官可能有不同的稱呼，重點是運營者應設置類似首席網(wǎng)絡安全官一類的崗位或角色，來具體負責關鍵信息基礎設施保護的各項事務。

4.3 網(wǎng)絡安全管理機構

安全管理機構將運營者的網(wǎng)絡安全職責從信息化職責中剝離出來，配備專職的網(wǎng)絡安全人員從事關鍵信息基礎設施保護相關工作。安全管理機構由從事關鍵信息基礎設施保護具體不同工作的專職人員組成。根據(jù)從事網(wǎng)絡安全工作的不同，可分為安全值守崗、分析識別崗、安全防護崗、檢測評估崗、監(jiān)測預警崗、響應處置崗、開發(fā)建設崗、安全運維崗、安全管理崗、安全審計崗以及其他臨時任務編組等角色。

4.3.1 安全值守崗

安全值守崗可作為一類實體崗位，至少由2人組成，實行A/B角。主要履行以下職責義務：

(1)負責受理外部輸入的關鍵信息基礎設施保護的相關要求，梳理、分析國家以及運營者所在行業(yè)和領域關于關鍵信息基礎設施保護的相關政策、法律法規(guī)、標準規(guī)范等的監(jiān)管以及合規(guī)要求;

(2)負責受理內(nèi)部關鍵信息基礎設施業(yè)務和使用部門的網(wǎng)絡安全需求輸入、咨詢;關鍵信息基礎設施的運行維護值守等;(3)協(xié)助安全管理人員建立健全安全值守類文件。

4.3.2 開發(fā)建設崗

開發(fā)建設崗非單一類崗位，可能由運營者的多個部門的相關角色組成，如在產(chǎn)品或服務采購時涉及采購角色。運營者應指定專人負責開發(fā)建設相關的工作管理，并建立協(xié)調(diào)機制。主要履行以下職責義務：

(1)負責關鍵信息基礎設施(含新建、改建或擴建)的等級保護的定級備案、等級測評、協(xié)調(diào)整改等工作;

(2)安全設計、建設、實施等方案的編制、變更、評審等;

(3)網(wǎng)絡產(chǎn)品或服務的采購，包括協(xié)助對可能影響國家安全的產(chǎn)品或服務進行審查;

(4)自行與外包軟件開發(fā)管理;

(5)工程實施、驗收與交付管理;

(6)供應鏈管理;

(7)協(xié)助安全管理人員制定本單位網(wǎng)絡安全中長期發(fā)展規(guī)劃，編制網(wǎng)絡安全預算等;(8)協(xié)助安全管理人員建立健全定級備案，等級測評，工程規(guī)劃、實施、驗收、交付，網(wǎng)絡產(chǎn)品或服務采購，自行與外包軟件管理，服務供應商選擇與管理，供應鏈管理等方面的安全管理制度、操作規(guī)程等文件。

4.3.3 安全運維崗

安全運維崗可作為一類實體崗位，根據(jù)實際需要，由多人組成，負責開展常態(tài)化的安全運維工作。主要履行以下職責義務：

(1)關鍵信息基礎設施保護涉及的各類設備的統(tǒng)一運行維護管理;

(2)維護網(wǎng)絡安全基線;

(3)維護基本配置信息，包括網(wǎng)絡拓撲結構，版本及補丁信息等，并實施變更控制;

(4)備份與恢復管理，包括定期備份，制定備份恢復策略和程序等;(5)安全運維行為規(guī)范管理;(6)協(xié)助安全管理人員建立健全安全運維類的制度、操作規(guī)程等文件。

4.3.4 安全管理崗

安全管理崗可作為一類實體崗位，根據(jù)實際需要，由多人組成，負責開展常態(tài)化的安全管理工作。主要履行以下職責義務：

(1)關鍵崗位管理;

(2)物理環(huán)境管理;

(3)資產(chǎn)管理;

(4)介質管理;

(5)密碼管理;

(6)變更管理;

(7)外包運維管理;

(8)安全測評管理;

(9)培訓管理;

(10)協(xié)助首席網(wǎng)絡安全官制定本單位網(wǎng)絡安全中長期發(fā)展規(guī)劃，編制網(wǎng)絡安全預算等;

(11)協(xié)助安全審計員開展安全管理體系內(nèi)審。

(12)協(xié)助首席網(wǎng)絡安全官統(tǒng)籌資源，建立健全和實施本單位關鍵信息基礎設施保護的若干制度、操作規(guī)程，網(wǎng)絡安全考核及監(jiān)督問責機制文件等;(13)制定各類安全管理制度、流程、規(guī)范與操作規(guī)程等文件。

4.3.5 安全審計崗

安全審計崗可作為一類實體崗位，根據(jù)實際需要，由多人組成，負責開展常態(tài)化的安全審計工作。主要履行以下職責義務：

(1)負責對關鍵信息基礎設施保護的相關網(wǎng)絡安全行為活動進行審計，審計各項活動是否符合運營者已建立的安全策略和操作規(guī)程，并評估它們的有效性和準確性，發(fā)現(xiàn)安全違規(guī)，掌握安全狀態(tài)，提出改進建議;

(2)負責安全管理體系內(nèi)審;

(3)協(xié)助安全管理人員制定安全審計相關制度文件。

4.3.6 分析識別崗

分析識別崗可作為一類實體崗位，根據(jù)實際需要，由多人組成，負責開展常態(tài)化的分析識別工作。主要履行以下職責義務：

(1)負責關鍵業(yè)務(鏈)、供應鏈等的業(yè)務識別、資產(chǎn)識別以及漏洞、威脅等的風險識別等;

(2)關鍵信息基礎設施的邊界識別;

(3)維護關鍵信息基礎設施清單;

(4)維護網(wǎng)絡安全風險管理計劃;

(5)協(xié)助安全防護、檢測評估、監(jiān)測預警、技術對抗、事件處置等環(huán)節(jié)的相關工作;

(6)協(xié)助安全管理人員建立健全關鍵信息基礎設施識別類文件。

4.3.7 安全防護崗

安全防護崗可作為一類實體崗位，根據(jù)實際需要，由多人組成，負責開展常態(tài)化的安全防護工作。主要履行以下職責義務：

(1)根據(jù)網(wǎng)絡安全合規(guī)體系要求，我國關鍵信息基礎設施保護的若干政策法律法規(guī)要求，運營者內(nèi)部網(wǎng)絡安全基線，本單位的特殊安全防護需求以及網(wǎng)絡安全綜合防御體系要求，制定安全防護策略;

(2)維護并保證安全防護措施的有效性;

(3)協(xié)助開展事件處置、應急處置以及攻防對抗等工作;

(4)協(xié)助分析識別、檢測評估、監(jiān)測預警等環(huán)節(jié)的相關工作;

(5)協(xié)助安全管理人員建立健全網(wǎng)絡安全保護的相關制度、策略、操作規(guī)程等文件。

4.3.8 檢測評估崗

檢測評估崗可作為一類實體崗位，根據(jù)實際需要，由多人組成，負責開展常態(tài)化的檢測評估工作。主要履行以下職責義務：

(1)自行或委托網(wǎng)絡安全服務機構對關鍵信息基礎設施每年至少進行一次網(wǎng)絡安全檢測和風險評估，對發(fā)現(xiàn)的安全問題及時整改，對發(fā)現(xiàn)的問題提出修復整改建議，協(xié)助相關部門安全整改，跟蹤處置過程;

(2)建立常規(guī)安全檢測評估與全面安全檢測評估體系;

(3)負責檢測評估發(fā)現(xiàn)的重大風險隱患的報告;

(4)定期進行安全檢查，包括現(xiàn)有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等，形成安全檢查報告并通報;

(5)配合保護工作部門開展關鍵信息基礎設施網(wǎng)絡安全檢查檢測工作;

(6)協(xié)助分析識別、安全防護、監(jiān)測預警、技術對抗、事件處置等環(huán)節(jié)的相關工作;(7)協(xié)助安全管理人員建立健全關鍵信息基礎設施安全檢測評估制度和流程。

4.3.9 監(jiān)測預警崗

監(jiān)測預警崗可作為一類實體崗位，根據(jù)實際需要，由多人組成，負責開展常態(tài)化的監(jiān)測預警工作。主要履行以下職責義務：

(1)開展本單位常態(tài)化的網(wǎng)絡安全監(jiān)測預警和信息通報工作，包括接收來自外部的網(wǎng)絡安全通報信息和預警信息以及向安全管理機構或首席網(wǎng)絡安全官或直接負責主管報告監(jiān)測預警情況;

(2)建立監(jiān)測預警與信息通報工作機制;

(3)制定監(jiān)測策略，包括明確監(jiān)測對象、流程和內(nèi)容;

(4)明確本組織的預警信息分級標準，建立預警信息響應處置程序，明確不同級別預警信息的報告、響應和處置流程;

(5)協(xié)助分析識別、安全防護、檢測評估、技術對抗、事件處置等環(huán)節(jié)的相關工作;

(6)協(xié)助安全管理人員建立健全網(wǎng)絡安全監(jiān)測預警與信息通報類文件。

4.3.10 響應處置崗

響應處置崗非單一類崗位，可能由運營者的多個部門的相關角色組成，如在事件處置時涉及業(yè)務部門的系統(tǒng)管理員相關角色。運營者應指定專人負責響應處置相關的工作管理，并建立協(xié)調(diào)機制。主要履行以下職責義務：

(1)開展本單位的網(wǎng)絡安全事件響應處置工作，消除安全隱患，防止危害擴大，能夠恢復關鍵業(yè)務和信息系統(tǒng)到已知的狀態(tài);

(2)向可能受影響的內(nèi)部部門或人員，外部關鍵業(yè)務鏈涉及的、與事件相關的其他單位或組織報告安全事件;

(3)開展必要的網(wǎng)絡安全溯源、調(diào)查取證分析工作。

(4)組織本單位網(wǎng)絡安全應急預案編制、應急演練、攻防對抗等工作并持續(xù)改進;(5)協(xié)助分析識別、安全防護、檢測評估、監(jiān)測預警等環(huán)節(jié)的相關工作;(6)協(xié)助安全管理人員建立健全網(wǎng)絡安全事件管理類制度、應急預案。

4.4 其他臨時任務編組

其他臨時任務編組區(qū)別于常設的崗位，是當有特定任務或需求，抽調(diào)資源臨時組建完成某一類任務或需求的臨時性崗位。例如：

—當關鍵信息基礎設施需要停運時，運營者抽調(diào)相關部門人員，必要時邀請網(wǎng)絡安全服務機構、外部專家加入，共同組建退役廢棄工作小組，規(guī)范退役廢棄活動的實施過程，保障整個退役廢棄活動順利進行。退役廢棄活動結束后，工作小組解散。

4.5 網(wǎng)絡安全服務機構

運營者還可以委托網(wǎng)絡安全服務機構，協(xié)助本單位從事關鍵信息基礎設施保護的相關工作。但根據(jù)“誰主管，誰負責;誰運營，誰負責”的原則，運營者應履行“安全管理責任不變、數(shù)據(jù)歸屬關系不變、安全管理標準不變”的基本要求。

五、專門安全管理機構的運轉

以上崗位的設計并不是固定不變的，運營者可根據(jù)本單位實際情況，對崗位進行重組。

運營者還可以對以上所描述的崗位做進一步的職能細分。根據(jù)關鍵業(yè)務的重要性、安全保障工作的繁重程度等因素，每個崗位也可以是工作小組形式。工作小組根據(jù)具體工作的性質，也可分為常設小組和臨時任務編組。例如：

——為保證關鍵信息基礎設施的業(yè)務穩(wěn)定、持續(xù)運行，運營者設計運行維護團隊為常設工作小組開展常態(tài)化運行維護工作。

運營者根據(jù)實際情況，還可對以上崗位應履行的職責與業(yè)務做進一步的明確，使得崗位及其角色的職責與義務的設計更能滿足和符合本單位的需要。

運營者依托安全管理機構開展常態(tài)化的安全保護工作。

運營者應根據(jù)崗位職責設計并明確授權審批事項、審批部門和批準人等，針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項建立審批程序，按照審批程序執(zhí)行審批過程，對重要活動建立逐級審批制度；定期審查審批事項，及時更新需授權和審批的項目、審批部門和審批人等信息。例如：

——監(jiān)測預警崗位為工作小組形式的，小組成員需要發(fā)布通報信息或預警信息，應先向工作小組組長、首席網(wǎng)絡安全官報告，必要時首席網(wǎng)絡安全官還應向網(wǎng)絡安全工作委員會或領導小組的第一負責人報告，經(jīng)同意后，才可通過相關程序發(fā)布通報信息或預警信息。

運營者應建立安全管理機構人員參與網(wǎng)絡安全和信息化有關的決策的事項清單、工作機制等。運營者應從人員審查、人員篩選、人員調(diào)動、人員離職、職責分離以及安全意識教育、專業(yè)技能培訓等方面設計安全從業(yè)人員的管理工作機制。

運營者應加強各類管理人員、組織內(nèi)部機構和網(wǎng)絡安全管理部門之間的合作與溝通，定期召開協(xié)調(diào)會議，共同協(xié)作處理網(wǎng)絡安全問題；加強與網(wǎng)絡安全職能部門、各類供應商、業(yè)界專家及安全組織的合作與溝通；建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息。例如：

——運營者可設計聯(lián)席會議制度，加強各崗位或工作小組之間溝通合作，定期或不定期召開聯(lián)席會議，共同協(xié)作處理網(wǎng)絡安全問題。同時，加強與網(wǎng)絡安全服務機構、網(wǎng)絡安全研究機構、業(yè)界專家、保護工作部門以及其他安全組織的合作溝通。

運營者應定期進行常規(guī)安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；定期進行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；制定安全檢查表格實施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報告，并對安全檢查結果進行通報。

原文來源：FreeBuf