1.1三权指什么？

        配置、授权、审计

1.2 三员及权限的理解

        系统管理员：主要负责系统的资源和运行进行配置、控制和管理，包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。

        审计管理员：主要负责对审计记录进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等。

        安全管理员：主要对系统中的安全策略进行配置，包括安全参数的设置，主体、客体进行统一安全标记，对主体进行授权，配置可信验证策略等。

1.3 三员之三权

        废除超级管理员， 三员是三角色也是三人，每个人有自己的账户， 管理员与审计员必须非同一个人。

（1）系统管理员（专人，不兼任其他角色）

        操作系统安装、配置

（2）应用系统管理员（专人，不兼任其他角色）

        应用系统、数据库安装、配置

（3）网络管理员（专人，不兼任其他角色）

        网络设备、防火墙安装、配置

（4）安全员（专人，不兼任其他角色）

        入侵检测、防病毒、态势感知、网闸、漏扫设备

（5）审计员（专人，不兼任其他角色）

        日志审计设备、上网行为管理、数据库审计、堡垒机

3.1 安全员的职责如下：（ 安全员不可兼职）

        执行信息系统的安全风险评估工作， 并定期进行系统漏洞扫描， 形成安全现状评估报告；

        定期编制信息安全现状报告， 向相关领导报告信息安全整体情况；

        负责安全管理系统、 终端管理系统和主机防病毒系统的日常运行维护工作；

        组织编制安全管理系统、 终端管理系统和主机防病毒系统的安全配置标准；

        负责沟通、 协调和组织处理信息安全事件， 确保信息安全事件能够及时处置和响应。

        网络安全设备的安装与维护。

3.2 网络管理员的安全职责如下：

        负责网络及网络安全设备的配置、 部署、 运行维护和日常管理工作；

        负责编制网络及网络安全设备的安全配置标准；

        能够及时发现、 处理网络、 网络安全设备的故障和相关安全事件，并能及时上报，减少信息安全事件的扩大和影响。

3.3 数据库管理员的安全职责如下：

        负责数据库的备份、 恢复、 测试及安全存储；负责数据库存储、 备份以及存储备份设备的日常安全运行管理工作；

        能够及时发现、 处理数据和数据备份相关安全事件， 并能根据流程及时上报， 减少信息安全事件的扩大和影响。

3.4 系统管理员的安全职责如下：

        负责服务器和终端的日常安全管理工作， 确保操作系统的漏洞最小化， 保障主机设备安全稳定运行；

        负责编制操作系统的安全配置标准；

        能够及时发现、 处理主机和操作系统相关安全事件， 并能根据流程及时上报，     减少信息安全事件的扩大和影响。

3.5 应用管理员的安全职责如下：

        负责支持和协助所管辖应用系统中涉及信息安全的相关标准、 规范与管理制度建设；

        负责对所管辖业务应用系统进行安全配置， 负责应用系统设计、 实施和运维的信息安全管理工作；

        负责对所管辖业务应用系统的用户权限分配和管理， 对登录用户进行监测和分析；

        负责实施系统软件版本管理， 应用软件备份和恢复管理；

        负责监督和管理第三方应用系统开发时的安全管理工作；

        能够及时发现、 处理应用系统相关的安全事件， 并能根据流程及时上报，减少信息安全事件的扩大和影响。

3.6 资产管理员的安全职责如下：

        负责物理资产的采购、 登记、 分发、 回收、 废弃等安全管理工作。

3.7 审计员的安全职责如下：

（1）参与信息安全技术规范的制订。

（2）负责实施和维护信息安全管理制度和技术规范。

（3）负责信息安全解决方案的评估检查工作。

（4）负责信息安全审计工作。

（5）监督、 检查各处安全管理工作。

（6）审计范围。

        审计功能的启动和关闭， 用户的增加、 修改和删除以及权限变更， 系统管理员、 安全保密管理员、 安全审计员和用户所实施的各种操作， 包括查阅、 备份、 维护和导出审计日志。审计记录内容应包括事件发生的时间、 地点、 类型、 主体、 客体和结果（开始、 结束、 失败、 成功等）。

（7）审计事项管理

        审计事项管理是指对核心业务操作、 需要进行审计的事件的定义和管理， 配置和定义所有可能需要审计的事项或操作。

（8）审计策略配置

        审计策略配置是指审计事项和审计人员之间的关联、 设置关系， 也就是设置哪些关键人员的哪些关键操作事项需要审计；而且根据国家标准要求， 用户的增加和删除、 权限的变更、 系统管理员、 审计管理员、 安全管理员和用户所实施的操作必须审计， 因此根据审计内容审计分为两类强制审计和可配置审计。

（9）审计信息的存储。

        系统应设计充足的审计记录存储空间， 且当存储空间将满时能及时进行告警，必须对已存储的审计记录进行保护， 能检测或防止对审计记录的修改和伪造，记录应至少保存六个月。

三、权限划分

        操作员： 具有系统监控、 网络配置、 系统管理权限

        管理员： 具有系统监控、 应用分析、 数据中心（ 除配置日 志、 系统日 志）、 策略配置、 网络配置、 用户管理、 系统管理（ 基本配置、 权限配置、 告警配置、 网页命令行、 证书管理）

        审计员：具有系统监控、 应用分析、 权限配置、 权限模式（ 1. 不显示保存、 生效、配置向导的权限；2. 不能进入系统升级页面；）  

系统管理员：主要负责系统的日常运行维护工作。包括网络设备、安全保密产品、服务器和用户终端、操作系统数据库、涉密业务系统的安装、配置、升级、维护、运行管理；网络和系统的用户增加或删除；网络和系统的数据备份、运行日志审查和运行情况监控；应急条件下的安全恢复。

安全保密管理员：主要负责系统的日常安全保密管理工作。包括网络和系统用户权限的授予与撤销，用户操作行为的安全设计，安全保密设备管理，系统安全事件的审计、分析和处理，应急条件下的安全恢复。

安全审计员：主要负责对系统管理员和安全保密员的操作行为进行审计、分析和监督检查，及时发现违规行为并定期向系统安全保密管理机构汇报情况。

1、系统管理员、安全保密管理员和安全审计员不能以其他用户身份登陆系统，不能查看和修改任何业务数据库中的信息，不能删改日志内容。

2、涉密信息系统应由办单位内部人员担任，要求政治上可靠，熟悉涉密信息系统管理操作流程，具有较强的责任意识和风险防控意识，并签署保密承诺书。

3、系统管理员和安全保密管理员可由信息化部门专业技术人员担任，对于业务性较强的涉密信息系统可由相关业务部门担任，安全审计员根据工作需要由保密部门或其他能胜任安全审计员工作的人员担任。

4、同一设备或系统的系统管理员和安全审计员不能由同一人兼任，安全保密管理员和安全审计员不得由同一人兼任。