为在组织中顺利建设信息安全管理体系,需要建立有效信息安全机构,对组织中的各类人员分配角色、明确权限、落实责任并予以沟通。
1. 成立信息安全委员会
信息安全委员会由组织的最高管理层与信息安全管理有关的部门负责人、管理人员、技术人员组成,定期召开会议,就以下重要信息安全议题进行讨论并做出决策,为组织信息安全管理提供导向与支持。
评审和审批信息安全方针;
分配信息安全管理职责;
确认风险评估的结果;
对与信息安全管理有关的重大事项,如组织机构调整、关键人事变动、信息安全设施购置等;
评审与监督信息安全事故;
审批与信息安全管理有关的其他重要事项。
2. 任命信息安全管理经理
组织最高管理者在管理层中指定一名信息安全管理经理,分管组织的信息安全管理事宜,具体由以下责任:
确定信息安全管理标准建立、实施和维护信息安全管理体系;
负责组织的信息安全方针与安全策略的贯彻与落实;
向最高管理者提交信息安全管理体系绩效报告,以供评审,并为改进信息安全管理体系提供证据;
就信息安全管理的有关问题与外部各方面进行联络。
3. 组建信息安全管理推进小组
在信息安全委员会的批准下,由信息安全管理经理组建信息安全管理推进小组,并对其进行管理。小组成员要懂信息安全技术知识,有一定的信息安全管理技能,并且有较强的分析能力及文字能力,小组成员一般是企业各部门的骨干人员。
4. 保证有关人员的作用、职责和权限得到有效沟通
用适当的方式,如通过培训、制定文件等方式,让每位员工明白自己的作用、职责与权限,以及与其他部分的关系,以保证全体员工各司其职,相互配合,有效地开展活动,为信息安全管理体系的建立做出贡献。
5. 组织机构的设立原则
合适的控制范围
一般情况下,一个经理直接控制的下属管理人员不少于6人,但不应超过10人。在作业复杂的部门或车间,一个组长对15人保持控制。在作业简单的部门或车间,一个组长能控制50个人或更多的人。
合适的管理层次
公司负责人与基层管理部门之间的管理层数应保护最少程度,最影响利润的部门经理应该直接向公司负责人报告。
一个上级的原则
责、权、利一致的原则
既无重叠,又无空白的原则
执行部门与监督部门分离的原则
信息安全部门有一定的独立性,不应成为生产部门的下属单位。
6. 信息安全管理体系组织结构建立及职责划分的注意事项
如果现有的组织结构合理,则只需将信息安全标准的要求分配落实到现有的组织结构中即可。如果现有的组织结构不合理,则按上面(5)中所述规则对组织结构进行调整。
应将组织内的部门设置及各部门的信息安全职责、权限及相互关系以文件的形式加以规定。
应将部门内岗位设置及各岗位的职责、权限和相互关系以文件的形式加以规定。
日常的信息安全监督检查工作应有专门的部门负责
对于大型企业来说,可以设置专门的安全部(可以把信息安全和职业健康与安全的职能划归此部门),安全部设立首席安全执行官,首席安全执行官直接向组织最高管理层负责(有的也向首席信息官负责)。美国“911”恐怖袭击事件以后,在美国的一些大型企业,这种安全机构的设置方式逐渐流行,它强调对各种风险的综合管理和对威胁的快速反应。
对于小型企业来说,可以把信息安全管理工作划归到信息部、人事行政部或其他相关部门。
