三权的理解:配置,授权,审计
三员的理解:系统管理员,安全保密管理员,安全审计员
三员之三权:废除超级管理员;三员是三角色并非三人;安全保密管理员与审计员必须非同一个人。
BMB20-2007 提出的系统管理员、安全保密管理员和安全审计员是 3 类岗位或角色,并不是指 3 个人,可以是多人。各涉密信息系统应该根据实际情况,配备合理数量的安全保密管理人员,以满足系统安全保密管理的需要。
系统管理员主要负责系统的日常运行维护工作,其主要职责是确保涉密信息系统处于无故障运行的状态,应由具有一定计算机、网络知识的工作人员担任。系统管理员应能够进行网络、操作系统和业务应用系统的安装和维护工作,进行系统功能、实时性能监控和必要的状态检查;应定期备份数据,能够在系统中断、运行瘫痪的情况下,及时排除相应故障,避免或尽可能降低系统损失;另外,还应对系统的运行情况进行分析,提供合理的扩容、改造建议,确保系统的可持续发展。
安全保密管理员主要负责涉密信息系统的日常安全保密管理工作,包括对用户账号权限管理以及安全保密设备管理和系统所产生日志的审查分析,是整个系统安全方面的主要责任人,应由既具备技术能力又熟知安全保密管理要求的工作人员担任。安全保密管理员应负责将系统权限分配策略与系统内的用户逐一对应,并最终形成文档化的用户权限列表
安全审计员主要负责对系统管理员、安全保密管理员的操作行为进行审计跟踪分析和监督检查,及时发现违规行为,并定期向系统安全保密管理机构汇报相关情况。通过安全审计员的职责和工作性质可以看出,必须要求安全审计员与安全保密管理员的任用相互独立,互不兼任,才能保证安全审计工作的公正性,保证检查结果和各项报告具有客观性和真实性
实例三员分配实例。
系统管理员、安全保密管理员和安全审计员分别承担本单位涉密信息系统的日常运行维护(配置)、安全保密管理(授权)及安全审计(审计)工作。“三员”权限设置相互独立、相互制约,安全保密管理员与安全审计员不得由一人兼任。
一、系统管理员职责
(一)定期或不定期巡检,确保机房设备的安全和正常运行,发现异常情况及时处理;
(二)掌握网络设备配置情况,负责网络和设备的管理维护,及时排除故障;
(三)安装、配置涉密终端,做好维护和故障处理;
(四)负责重要数据的定期备份和数据恢复。
二、安全保密管理员职责
(一)掌握本单位涉密终端的配用情况,建立管理台账(包括数量、密级、责任人、责任处室、安放地点等);
(二)管理分配用户账号及相应权限,定期更改口令;
(三)负责安全设备的日常管理和维护;
(四)每月对重要安全产品的日志进行分析整理,及时发现安全保密隐患并妥善处理。
三、安全审计员职责
(一)审计涉密信息系统安全策略执行情况;
(二)每周查看安全审计记录,并记录审查情况;
(三)定期备份安全审计日志,保留周期为两年;
(四)每月检查系统管理员和安全保密管理员的工作情况,并进行符合性检查,形成审计记录,报送主管领导;
(五)在工作中发现问题应立即报告主管领导。
