信息安全方针范文

发布时间：2023-10-12 17:42:50

导语：想要提升您的写作水平，创作出令人难忘的文章？我们精心为您整理的5篇信息安全方针范例，将为您的写作提供有力的支持和灵感！

信息安全方针

篇1

9月25日至10月15日，全镇集中开展全员流动人口信息再次采集变更工作。

二、工作要求

1、及时掌握辖区全员流动人口个案信息。各村要按照本方案，认真组织开展全员流动人口信息的再次清理摸底和及时核对、变更相关信息。。

2、及时、准确、规范上报本村新增的外流人口。

三、工作内容

（一）、清理对象

（1）离开户籍地县域30日以上流出人口，以工作、生活为目的异地居住的0岁以上人口。

（2）离开户籍地乡镇30日以上流出人口，生活为目的异地居住的已婚育龄妇女。

（3）同城区间人户分离人口除外；婚嫁人员除外；因出差、就医、旅游、探亲、访友、服军役、在中等以上专业学校就学等人口除外。

（二）、个案信息完善内容

全员流动人口个案信息项目包括基本信息、家庭户信息。

（1）基本信息包括：姓名、性别、现居住地地址、户籍所在地地址、公民身份号码、出生日期、文化程度、户口性质、流动原因、外出（流入）日期、返回（离开）日期、婚姻状况等项。

（2）家庭户信息包括：是否家庭户流动、已婚人口的配偶是否随同流动等信息。

（三）、个案信息变更

村对流动人口现居住地和婚育情况发生改变要及时上报计生办，计生办业务人在流动人口信息系统中对流出人口管理卡片进行及时变更。

（四）、个案信息退档

篇2

中图分类号：TP309.2文献标识码：A 文章编号：1009-3044(2008)36-2848-03

An Information Security Program for a Distributed Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.

Key words: distributed; information security; planning; program

1 引言

据来自eWeek 的消息，市场研究机构Gartner 研究报告称，很对企业目前仍缺乏完整的信息安全规划和规范。尽管目前很多企业在信息安全方面的投入每年都在缓慢增长，但由于推动力以外部法律法规的约束和商业业务的压力为主，因此他们对安全技术和服务的选择和使用仍停留在一个相对较低的水平。尤其对于机构构成方式为分布式的企业而言，因为信息安全需求和部署相对更加复杂，投入更多，因此这类企业的信息安全规划就更加缺乏。

本文根据这类分布式企业的特点提出了一种符合该类企业实际的信息安全规划方案。

2 总体规划原则和目标

2.1 总体规划原则

对于分布式企业的信息安全规划，要遵守如下原则：适度集中，控制风险；突出重点，分级保护；统筹安排，分步实施；分级管理，责任到岗；资源优化，注重效益。

这个原则的制定主要是根据分布式企业的实际机构构成情况、人员素质情况以及资源配置情况来制定的。

2.2 总体规划目标

信息系统安全规划的方法可以不同、侧重点可以不同，但是需要围绕组织安全、管理安全、技术安全进行全面的考虑。信息系统安全规划的最终效果应该体现在对信息系统与信息资源的安全保护上，下面将分别对组织规划、管理规划和技术规划分别进行阐述。信息安全规划依托企业信息化战略规划，对信息化战略的实施起到保驾护航的作用。信息系统安全规划的目标应该与企业信息化的目标是一致的，而且应该比企业信息化的目标更具体明确、更贴近安全。信息系统安全规划的一切论述都要围绕着这个目标展开和部署。

3 信息安全组织规划

3.1 组织规划目标

组织建设是信息安全建设的基本保证，信息安全组织的目标是：

1）完善和形成一个独立的、完整的、动态的、开放的信息安全组织架构，达到国际国内标准的要求；

2）打造一支具有专业水准的、过硬本领的信息安全队伍。对内可以保障企业内部网安全，对外可以向社会提供高品质的安全服务；

3）建设一个 “信息安全运维中心（SOC）”，能够满足当前和未来的业务发展及信息安全组织运转的支撑系统，能够对外提供安全服务平台。

3.2 组织规划实施

对于组织规划这个方面，是属于一个企业信息安全规划的上层建筑，需要用一种由上而下的方法来实现，其主要是在具体人事机制、管理机制和培训机制上做工作。对于分布式企业而言，需要主导部门从上层着手，建章立制，强化安全教育，加大基础人力、财力和物力的投入。

4 信息安全管理规划

4.1 管理规划目标

信息安全管理规划的目标是，完善和形成“七套信息安全软措施”，具体包括：一套等级划分指标，一套信息安全策略，一套信息安全制度，一套信息安全流程规范，一套信息安全教育培训体系，一套信息安全风险监管机制，一套信息安全绩效考核指标。“七套信息安全软措施”关系如图1所示。

4.2 信息安全管理设计

基于对管理目标的分析，信息安全管理的原则以风险管理为主，集中安全控制。管理要素由管理对象、安全威胁、脆弱性、风险、保护措施组成。

4.2.1 信息安全等级划分指标

信息安全等级保护是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化健康发展的基本策略。

4.2.2 信息安全策略

信息安全安全策略是关于保护对象说明、保护必要性描述、保护责任人、保护对策以及意外处理方法的总和。

4.2.3 信息安全制度

信息安全制度是指为信息资产的安全而制定的行为约束规则。

4.2.4 信息安全规范

信息安全规范是关于信息安全工作应达到的要求，在信息安全规范方面，根据调查，建立信息安全管理规范、信息安全技术规范。其中，安全管理规范主要针对人员、团队、制度和资源管理提供参照性准则；信息安全技术规范主要针对安全设计、施工、维护和操作提供技术性指导建议。

4.2.5 信息安全管理流程

信息安全流程是指工作中应遵循的信息安全程序，其目的是减少安全隐患，降低风险。

4.2.6 信息安全绩效考核指标

信息安全绩效考核指标是指针对信息安全工作的质量和态度而给出的评价依据，其目的是增强信息安全责任意识，提高信息安全工作质量。

4.2.7 信息安全监管机制

信息安全监管机制是指有关信息安全风险的识别、分析和控制的措施总和。其主要目的加强信息安全风险的控制，做到“安全第一，预防为主”。

4.2.8 信息安全教育培训体系

其主要目的加强的信息安全人才队伍的建设，提高企业人员的信息安全意识和技能，增强企业信息安全能力。

5 信息安全技术规划

5.1 技术规划目标

信息安全技术规划目标简言之是：给业务运营提供信息安全环境，为企业转型提供契机，构建信息安全服务支撑系统。具体目标如下：

1）打造信息安全基础环境，调整和优化IT基础设施，建立安全专网，设置两个中心（信息安全运维中心、灾备中心）；

2）建立一体化信息安全平台，综合集成安全决策调度、安全巡检、认证授权、安全防护、安全监控、安全审计、应急响应、安全服务、安全测试、安全培训等功能，实现的集中安全管理控制，快速安全事件响应，高可信的安全防护，拓展企业业务，开辟信息安全服务新领域。

5.2 信息安全运维中心(SOC)

SOC 是信息安全体系建设的基础性工作，SOC 承载用于监控第一生产网的安全专网核心基础设施，提供信息安全中心技术人员的办公场所，提供“7×24”小时连续不断的安全应用服务,提供实时监控、远程入侵发现、事件响应、安全更新与升级等业务，SOC 要求具有充分保障自身的安全措施。除了SOC 的组织建设、基础工程外，SOC 的技术性工作还要做以下几个方面：

1）硬件基础建设，主要内容是SOC 的选址、布局、布线、系统集成，实现SOC 自身的防火、防潮、防电、防尘、安全监控功能；

2）软件基础建设，包括SSS 系统、机房监控子系统、功能小组及中心组划分。

图1 信息安全软措施关系

图2 信息安全总体框架

图3 资产、组织、管理和安全措施的关系

5.3 信息安全综合测试环境

随着分布式企业信息化程度的日也加深，需要部署到大量IT 产品和应用系统，为了保障安全，必须对这些IT 系统和产品做入网前安全检查，消除安全隐患。基于此，综合测试环境建设的内容包括：安全测试网络；测试系统设备；安全测试工具；安全测试分析系统；安全测试知识库。

其中，安全测试网络要求能够模拟企业网络真实的带宽；测试系统设备能够提供典型的网络服务流量模拟、典型的应用系统流量模拟；安全测试工具覆盖防范类、检测类、评估类、应急恢复类、管理类等，并提供使用说明、漏洞扫描、应用安全分析；安全测试分析系统能够提供统计分析、图表展现功能；安全知识库包含以下内容：漏洞知识库，补丁信息库，安全标准知识库，威胁场景视频库，攻击特征知识库，信息安全解决案例库，安全产品知识库，安全概念和术语知识库。

5.4 安全平台建设规划

参照国际上PDRR 模型和国家信息安全方面规范，建议信息安全总体框架设计如图2所示。

主要目的，以资产为核心，通过安全组织实现资产保护，以安全管理来约束组织的行为，以技术手段辅助安全管理。其中，资产、组织、管理、安全措施的关系如图3所示，核心为资产，围绕资产是组织，组织是管理，最外层是安全措施。

在平台中集成十个安全机制，它们分别是：信息安全集中管理；信息安全巡检；信息安全认证授权；信息安全防护；信息安全监控；信息安全测试；信息安全审核；信息安全应急响应；信息安全教育培训；信息安全服务。

6 信息安全服务业务规划

6.1 服务业务规划目标

信息安全服务业务规划目标简言之是：以信息安全服务为切入点，充分发挥企业优势资源，引领信息安全市场，为企业转型创造时机。具体目标如下：

1）推出面向客户安全（检查、教育、配置）产品；2）推出面向大型企业的信息安全咨询产品；3）推出面向家庭安全上网产品；4）推出面向企业安全运维产品；5）推出面向企业灾害恢复产品。

6.2 服务业务规划设计

服务业务规划主要针对具体业务而言，在此列举信息类分布式企业业务作为示例：

1）信息安全咨询类产品，其服务功能主要有：信息安全风险评估；信息安全规划设计；信息安全产品顾问。

2）信息安全教育培训类产品，其服务功能主要有：提供信息安全操作环境；提供信息安全知识教育；提供信息安全运维教育。

3）家庭类安全服务产品，其服务功能主要有：推出“家庭绿色上网”安全服务；家庭上网防病毒服务；家庭上网机器安全检查服务；家庭上网机数据备份服务。

4）企业类安全服务产品，其服务功能主要有：企业安全上网控制服务；企业安全专网服务；安全信息通告；企业运维服务。

5）容灾类安全服务产品，其服务功能主要有：面向政府数据灾备服务；面向政府信息系统灾备服务；面向企业数据灾备服务；面向企业信息系统灾备服务。

7 结束语

通过结合分布式企业的具体实际，按照信息安全体系结构相关标准，提出了分布式企业的信息安全规划原则和目标。并依据次原则与目标，按照组织、管理和技术三个方面提出了具体的实现与设计规范原则。最后，依据服务规划目标，提出了信息类分布式企业的信息安全服务规划设计实例。

参考文献：

[1] 周晓梅. 论企业信息安全体系的建立[J]. 网络安全技术与应用，2006，3：62～64，57.

[2] Harold F. Tipton，Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US：Auerbach Publications，2004.

[3] 魏永红,李天智,张志. 网络信息安全防御体系探讨[J].河北省科学院学报，2006,23,(1):25～28.

[4] 张庆华. 信息网络动态安全体系模型综述[J].计算机应用研究，2002,10:5～7.

[5] ISO/IEC 15408，13335，15004，14598，信息技术安全评估的系列标准[S].

[6] BS7799-1，7799-2，ISO/IEC 17799，信息安全管理系列标准[S].

[7] BS7799-2，Information Security Management Systems-Specification With Guidance for use[S].

篇3

中图分类号X9 文献标识码A 文章编号 1674-6708（2014）121-0124-02

0 引言

近年来，广东省总体上仍处于火灾易发、多发期，重大特大火灾事故时有发生。从火灾原因来看，多数火灾是由于消防安全意识不强、责任制不落实、消防安全常识缺乏、违反消防安全操作规程等人为因素引发的。广东省21个省辖市经济发展各异，因此在公共消防设施、消防装备建设等消防“硬实力”有较大发展的前提下，消防管理、全民消防安全常识等消防“软实力”则参差不齐，因此通过此次全民消防安全常识知晓情况调查和研究，对全省消防安全工作实现跨越式发展具有重要意义。

1全民消防安全知晓率的调研情况

1.1调研方法

广东省公安消防总队联合专业调查机构，采用计算机辅助电话调查（CATI）访对全省21个省辖市，2000个配额的电话进行访问。[1]

1.2调研样本分布情况

样本根据广东省各省辖市人口数占省总人口数的比例进行分配。本次调研有效样本是2010个，其中城镇居民1205个样本，农村居民805个样本。固话有效样本是1006个，手机有效样本1004个。

1.3调研样本基本情况

1.3.1 性别

本次调研有效样本中，男性、女性全民分别占比67.91%和32.09%。

1.3.2 年龄

大部分参与调查的全民属于青年群体和中年群体，样本具有一定的代表性，如图1。

1.3.3 职业

本次调研有效样本中，职业比例如图2。

1.4指标体系及计算方法

1.4.1消防安全常识知晓率指标体系及分项权重

全民消防安全常识知晓率指标体系，包括消防安全防范意识和火场自救逃生知识技能两个一级指标，消防安全防范意识细分为96119火灾隐患举报投诉电话知晓率，对家用电器线路、燃气管道、灶具等的检查习惯，居住或办公楼等周围消防设施的知晓率和人员密集场所安全出口关注度二级指标；火场自救逃生知识技能细分为了解灭火器功能及使用方法、拨打火警正确提供基本信息、燃气泄漏处理得当、家用电器或线路着火处理得当、火灾不乘坐电梯、身上着火处理得当和身处高层遭遇火情时能够正确应对情况二级指标。

1.4.2计算方法

全民消防安全常识知晓率得分=消防安全防范意识得分×0.4+火场自救逃生知识技能得分×0.6

消防安全防范意识得分=（96119火灾隐患举报投诉电话知晓率得分+对家用电器线路、燃气管道、灶具等的检查习惯得分+居住或办公楼等周围消防设施的知晓率得分+人员密集场所安全出口关注度得分）/4。

火场自救逃生知识技能得分=（了解灭火器功能及使用方法得分+拨打火警正确提供基本信息得分+燃气泄漏处理得当得分+家用电器或线路着火处理得当得分+火灾不乘坐电梯得分+身上着火处理得当得分+身处高层遭遇火情时能够正确应对情况）/7。

1.5总体调研结果

1.5.1广东省全民消防安全常识知晓率得分为55.18分[1]

从总体来看，广东省全民消防安全常识知晓率总体得分为55.18分，其中，安全防范意识得分为37.84分，火场自救逃生知识技能得分为66.74分。

1.5.2广东省全民有36.57%参与过正规火灾自救培训和逃生演习

从全省火灾自救培训和逃生演习全民参与情况来看，我省投入及宣传力度不够，仅有36.57%的全民表示参加过相关

活动。

2消防安全常识宣传教育措施

2.1 城市提升消防安全常识知晓率的措施[2]

联合网易邮箱、QQ邮箱、搜狐邮箱定期以发送公众消防安全常识订阅邮件；加强消防演习和对官方微博和“南粤消防在线”微信公众账号信息进行宣传，让公众通过更多的新型渠道了解消防安全资讯。

可以联合社区单位对不同行业/不同建筑的火灾防范情况和自救逃生技能进行分类统计，有的放矢地让消防宣传人员对相关的企业开展针对性强、扎实有效的上门宣讲工作。

2.2 农村提升消防安全常识知晓率的举措[3]

在冬春火灾多发季节、清明扫墓祭祖期间、春耕垦荒烧荒期、森林火灾多发期以及秋收季节等火灾多发期，地方政府要根据农村火灾的特点和规律，由村委会牵头，在组织开展农村生产经营单位防火安全检查的同时，不失时机地通过宣传单张普及消防安全常识，提醒村民在日常生活中对家用电器线路、燃气管道、灶具等的做到经常检查的习惯，做到防患于未然。

2.3消防常识宣传教育从源头抓起，从校园消防抓起

在学校消防重点部位和人员较密集等场所进行消防演习，如使用灭火器灭火，疏散逃生演练等。

采取给学生布置一份消防安全作业的形式，让学生与家长一起完成家庭火灾隐患排查和电器使用方面的安全检查。及时督促家庭成员发现和消除火灾隐患，并记录下自己的感受和启发。

参考文献

篇4

论文摘要:文章首先分析了信息安全外包存在的风险，根据风险提出信息安全外包的管理框架，并以此框架为基础详细探讨了信息安全外包风险与管理的具体实施。文章以期时信息安全外包的风险进行控制，并获得与外包商合作的最大收益。

1信息安全外包的风险

1.1信任风险

企业是否能与信息安全服务的外包商建立良好的工作和信任关系，仍是决定时候将安全服务外包的一个重要因素。因为信息安全的外包商可以访问到企业的敏感信息，并全面了解其企业和系统的安全状况，而这些重要的信息如果被有意或无意地对公众散播出去，则会对企业造成巨大的损害。并且，如若企业无法信任外包商，不对外包商提供一些关键信息的话，则会造成外包商在运作过程中的信息不完全，从而导致某些环节的失效，这也会对服务质量造成影响。因此，信任是双方合作的基础，也是很大程度上风险规避的重点内容。

1.2依赖风险

企业很容易对某个信息安全服务的外包商产生依赖性，并受其商业变化、商业伙伴和其他企业的影响，恰当的风险缓释方法是将安全服务外包给多个服务外包商，但相应地会加大支出并造成管理上的困难，企业将失去三种灵活性:第一种是短期灵活性，即企业重组资源的能力以及在经营环境发生变化时的应变能力;第二种是适应能力，即在短期到中期的事件范围内所需的灵活性，这是一种以新的方式处理变革而再造业务流程和战略的能力，再造能力即包括了信息技术;第三种灵活性就是进化性，其本质是中期到长期的灵活性，它产生于企业改造技术基本设施以利用新技术的时期。进化性的获得需要对技术趋势、商业趋势的准确预测和确保双方建立最佳联盟的能力。

1.3所有权风险

不管外包商提供服务的范围如何，企业都对基础设施的安全操作和关键资产的保护持有所有权和责任。企业必须确定服务外包商有足够的能力承担职责，并且其服务级别协议条款支持这一职责的履行。正确的风险缓释方法是让包括员工和管理的各个级别的相关人员意识到，应该将信息安全作为其首要责任，并进行安全培训课程，增强常规企业的安全意识。

1.4共享环境风脸

信息安全服务的外包商使用的向多个企业提供服务的操作环境要比单独的机构内部环境将包含更多的风险，因为共享的操作环境将支持在多企业之间共享数据传输(如公共网络)或处理(如通用服务器)，这将会增加一个企业访问另一企业敏感信息的可能性。这对企业而言也是一种风险。

1.5实施过程风险

启动一个可管理的安全服务关系可能引起企业到服务外包商，或者一个服务外包商到另一个外包商之间的人员、过程、硬件、软件或其他资产的复杂过渡，这一切都可能引起新的风险。企业应该要求外包商说明其高级实施计划，并注明完成日期和所用时间。这样在某种程度上就对实施过程中风险的时间期限做出了限制。

1.6合作关系失败将导致的风险

如果企业和服务商的合作关系失败，企业将面临极大的风险。合作关系失败带来的经济损失、时间损失都是不言而喻的，而这种合作关系的失败归根究底来自于企业和服务外包商之间的服务计划不够充分完善以及沟通与交流不够频繁。这种合作关系在任何阶段都有可能失败，如同其他商业关系一样，它需要给予足够的重视、关注，同时还需要合作关系双方进行频繁的沟通。

2信息安全外包的管理框架

要进行成功的信息安全外包活动，就要建立起一个完善的管理框架，这对于企业实施和管理外包活动，协调与外包商的关系，最大可能降低外包风险，从而达到外包的目的是十分重要的。信息安全外包的管理框架的内容分为几个主体部分，分别包括企业协同信息安全的外包商确定企业的信息安全的方针以及信息安全外包的安全标准，然后是对企业遭受的风险进行系统的评估.并根据方针和风险程度.决定风险管理的内容并确定信息安全外包的流程。之后，双方共同制定适合企业的信息安全外包的控制方法，协调优化企业的信息安全相关部门的企业结构，同时加强管理与外包商的关系。

3信息安全外包风险管理的实施

3.1制定信息安全方针

信息安全方针在很多时候又称为信息安全策略，信息安全方针指的是在一个企业内，指导如何对资产，包括敏感性信息进行管理、保护和分配的指导或者指示。信息安全的方针定义应该包括:(1)信息安全的定义，定义的内容包括信息安全的总体目标、信息安全具体包括的范围以及信息安全对信息共享的重要性;(2)管理层的目的的相关阐述;(3)信息安全的原则和标准的简要说明，以及遵守这些原则和标准对企业的重要性;(4)信息安全管理的总体性责任的定义。在信息安全方针的部分只需要对企业的各个部门的安全职能给出概括性的定义，而具体的信息安全保护的责任细节将留至服务标准的部分来阐明。

3.2选择信息安全管理的标准

信息安全管理体系标准BS7799与信息安全管理标准IS013335是目前通用的信息安全管理的标准:

(1)BS7799:BS7799标准是由英国标准协会指定的信息安全管理标准，是国际上具有代表性的信息安全管理体系标准，标准包括如下两部分:BS7799-1;1999《信息安全管理实施细则》;BS7799-2:1999((信息安全管理体系规范》。

(2)IS013335:IS013335《IT安全管理方针》主要是给出如何有效地实施IT安全管理的建议和指南。该标准目前分为5个部分，分别是信息技术安全的概念和模型部分;信息技术安全的管理和计划部分;信息技术安全的技术管理部分;防护和选择部分以及外部连接的防护部分。

3.3确定信息安全外包的流程

企业要根据企业的商业特性、地理位置、资产和技术来对信息安全外包的范围进行界定。界定的时候需要考虑如下两个方面:(1)需要保护的信息系统、资产、技术;(2)实物场所(地理位置、部门等)。信息安全的外包商应该根据企业的信息安全方针和所要求的安全程度，识别所有需要管理和控制的风险的内容。企业需要协同信息安全的外包商选择一个适合其安全要求的风险评估和风险管理方案，然后进行合乎规范的评估，识别目前面临的风险。企业可以定期的选择对服务外包商的站点和服务进行独立评估，或者在年度检查中进行评估。选择和使用的独立评估的方案要双方都要能够接受。在达成书面一致后，外包商授予企业独立评估方评估权限，并具体指出评估者不能泄露外包商或客户的任何敏感信息。给外包商提供关于检查范围的进一步消息和细节，以减少任何对可用性，服务程度，客户满意度等的影响。在评估执行后的一段特殊时间内，与外包商共享结果二互相讨论并决定是否需要解决方案和/或开发计划程序以应对由评估显示的任何变化。评估所需要的相关材料和文档在控制过程中都应该予以建立和保存，企业将这些文档作为评估的重要工具，对外包商的服务绩效进行考核。评估结束后，对事件解决方案和优先级的检查都将记录在相应的文件中，以便今后双方在服务和信息安全管理上进行改进。

3.4制定信息安全外包服务的控制规则

依照信息安全外包服务的控制规则，主要分为三部分内容:第一部分定义了服务规则的框架，主要阐明信息安全服务要如何执行，执行的通用标准和量度，服务外包商以及各方的任务和职责;第二部分是信息安全服务的相关要求，这个部分具体分为高层服务需求;服务可用性;服务体系结构;服务硬件和服务软件;服务度量;服务级别;报告要求，服务范围等方面的内容;第三部分是安全要求，包括安全策略、程序和规章制度;连续计划;可操作性和灾难恢复;物理安全;数据控制;鉴定和认证;访问控制;软件完整性;安全资产配置;备份;监控和审计;事故管理等内容。

3.5信息安全外包的企业结构管理具体的优化方案如下:

(1)首席安全官:CSO是公司的高层安全执行者，他需要直接向高层执行者进行工作汇报，主要包括:首席执行官、首席运营官、首席财务官、主要管理部门的领导、首席法律顾问。CSO需要监督和协调各项安全措施在公司的执行情况，并确定安全工作的标准和主动性，包括信息技术、人力资源、通信、法律、设备管理等部门。

(2)安全小组:安全小组的人员组成包括信息安全外包商的专业人员以及客户企业的内部IT人员和信息安全专员。这个小组的任务主要是依照信息安全服务的外包商与企业签订的服务控制规则来进行信息安全的技术。

(3)管理委员会:这是信息安全服务外包商和客户双方高层解决问题的机构。组成人员包括双方的首席执行官，客户企业的CIO和CSO，外包商的项目经理等相关的高层决策人员。这个委员会每年召开一次会议，负责审核年度的服务水平、企业的适应性、评估结果、关系变化等内容。

(4)咨询委员会:咨询委员会的会议主要解决计划性问题。如服务水平的变更，新的技术手段的应用，服务优先等级的更换以及服务的财政问题等，咨询委员会的成员包括企业内部的TI’人员和安全专员，还有财务部门、人力资源部门、业务部门的相关人员，以及外包商的具体项目的负责人。

(6)安全工作组:安全工作组的人员主要负责解决信息安全中某些特定的问题，工作组的人员组成也是来自服务外包商和企业双方。工作组与服务交换中心密切联系，将突出的问题组建成项目进行解决，并将无法解决的问题提交给咨询委员会。

(7)服务交换中心:服务交换中心由双方人员组成，其中主要人员是企业内部的各个业务部门中与信息安全相关的人员。他们负责联络各个业务部门，发掘出企业中潜在的信息安全的问题和漏洞，并将这些问题报告给安全工作组。

（8）指令问题管理小组:这个小组的人员组成全部为企业内部人员，包括信息安全专员以及各个业务部门的负责人。在安全小组的技术人员解决了企业中的安全性技术问题之后，或者，是当CSO了关于信息安全的企业改进方案之后，这些解决方案都将传送给指令问题管理小组，这个小组的人员经过学习讨论后，继而将其到各个业务部门。

篇5