1、信息安全管理组织及岗位职责信息安全管理组织及岗位职责*有限公司2019年9月1目的为了加强*有限公司信息安全保障能力,组织和协调各部门安全运维力量,建立*有限公司的安全管理体系,提高整体的信息安全水平,保证网络和业务系统的正常运营,本策略主要明确*有限公司安全组织体系的结构及其工作职责。2适用范围本策略适用于*有限公司安全组织体系内的所有组织和员工。3安全组织结构*有限公司信息安全组织机构包括(一)信息安全领导小组(二)信息安全工作组为确保信息安全的整体性,并为信息安全管理提供必要保证,应建立信息安全领导小组:组长:领导小组组长由*有限公司*担任。组员:领导小组的成员由*有限公司*等组成。3.
2、信息安全工作组包括的角色有:研发、网络运营、网络管理员、系统管理员、安全审计员、安全管理员;4.信息安全领导小组是信息安全工作的最高领导决策机构,负责*有限公司信息系统建设项目信息安全工作的宏观管理。4 安全组织职责4.1信息安全领导小组信息安全领导小组是信息安全工作的最高领导决策机构,负责*有限公司信息系统建设项目信息安全工作的宏观管理。职责是:(一)贯彻执行国家关于信息安全工作的方针、政策,组织落实信息安全体系建设工作的目标、方针、政策。(二)确定网络与信息安全工作的总体方向、总体原则和安全工作方法;(三)审查并批准信息安全策略和安全责任;(四)分配和指导安全管理总体职责与工作;(五)在*
3、有限公司信息系统面临重大安全风险时,监督并控制可能发生的重大变化;(六)对安全管理的重大更改事项(例如:组织机构调整、关键人事变动、信息系统更改等)进行决策;(七)指挥、协调、督促并审查重大安全事件的处理,并协调改进措施;(八)审核网络安全建设和管理的重要活动,如重要安全项目建设、重要的安全管理措施出台等;6.1.1*有限公司信息安全常设领导机构,全面负责信息安全工作。6.1.2 信息安全领导组负责指导信息安全建设工作,把握信息安全建设的方向,从管理决策层角度对信息安全管理提供支持。信息安全领导组的主要职责如下: 6.1.2.1确定信息安全工作的总体目标、总体原则和安全工作方法;6.1.2.2
4、审查并批准*有限公司的信息安全策略和安全责任;6.1.2.3分配和指导安全管理总体职责与工作;6.1.2.4在网络与信息面临重大安全风险时,监督可能发生的重大变化,并采取控制措施;6.1.2.5对安全管理的重大更改事项(例如:组织机构调整、关键人事变动、信息系统安全策略更改等)进行决策;6.1.2.6指挥、协调、督促并审查重大安全事件的处理,并协调改进措施;6.1.2.7审核网络安全建设和管理的重要活动,如重要安全项目建设、重要的安全管理措施出台等。4.2信息安全工作组信息安全工作组负责落实信息安全领导小组决策,信息安全工作组包括技术部、运营部、运维部、信息安全部,负责*有限公司信息系统安全建
5、设等安全管理工作, 信息安全部负责*有限公司信息系统安全运行、维护等安全管理工作。信息安全部的职责是:(一)贯彻执行信息安全领导小组的决议。(二)贯彻执行国家主管机构下发的信息安全策略 。(三)负责组织和协调各类信息安全规划、方案、实施、测试和验收评审会议。(四)负责落实和执行各类信息安全具体工作,并对具体落实情况进行总结和汇报。(五)加强与有关单位的沟通。(六)负责制定系统实施的信息安全相关的管理制度和规范。(七)负责针对信息安全相关的管理制度和规范具体落实工作进行监督、检查、考核及审批。运维部的职责是:(一)贯彻执行信息安全领导小组的决议。(二)贯彻执行国家主管机构下发的信息安全策略 。(
6、三)参与各类信息安全规划、方案、实施、测试和验收评审会议。(四)负责落实和执行各类信息安全具体工作,并对具体落实情况进行总结和汇报。(五)加强与有关单位的沟通。(六)负责制定所有运行维护的信息安全相关的管理制度和规范。(七)负责针对信息安全相关的管理制度和规范具体落实工作进行监督、检查、考核及审批。4.3相关岗位信息安全职责1.安全管理员不可兼职,安全管理员的职责如下:(一)执行信息系统的安全风险评估工作,并定期进行系统漏洞扫描,形成安全现状评估报告;(二)定期编制信息安全现状报告,向信息技术与数据管理处领导报告信息安全整体情况;(三)负责安全管理系统、终端管理系统和主机防病毒系统的日常运行维
7、护工作;(四)组织编制安全管理系统、终端管理系统和主机防病毒系统的安全配置标准;(五)负责沟通、协调和组织处理信息安全事件,确保信息安全事件能够及时处置和响应。2.网络管理员的安全职责如下:(一)负责*有限公司网络及网络安全设备的配置、部署、运行维护和日常管理工作;(二)负责编制网络及网络安全设备的安全配置标准;(三)能够及时发现、处理网络、网络安全设备的故障和相关安全事件,并能及时上报,减少信息安全事件的扩大和影响。3.数据管理员的安全职责如下:(一)负责*有限公司数据的备份、恢复、测试及安全存储;(二)负责数据存储、备份以及存储备份设备的日常安全运行管理工作;(三)能够及时发现、处理数据和
8、数据备份相关安全事件,并能根据流程及时上报,减少信息安全事件的扩大和影响。4.系统管理员的安全职责如下:(一)负责*有限公司服务器和终端的日常安全管理工作,确保操作系统的漏洞最小化,保障主机设备安全稳定运行;(二)负责编制*有限公司操作系统的安全配置标准;(三)能够及时发现、处理主机和操作系统相关安全事件,并能根据流程及时上报,减少信息安全事件的扩大和影响。5.应用管理员的安全职责如下:(一)负责支持和协助所管辖应用系统中涉及信息安全的相关标准、规范与管理制度建设;(二)负责对所管辖业务应用系统进行安全配置,负责应用系统设计、实施和运维的信息安全管理工作;(三)负责对所管辖业务应用系统的用户权
9、限分配和管理,对登录用户进行监测和分析;(四)负责实施系统软件版本管理,应用软件备份和恢复管理;(五)负责监督和管理第三方应用系统开发时的安全管理工作。(六)能够及时发现、处理应用系统相关的安全事件,并能根据流程及时上报,减少信息安全事件的扩大和影响。6.资产管理员的安全职责如下:负责物理资产的采购、登记、分发、回收、废弃等安全管理工作。7.安全审计员的安全职责如下:(一)参与*有限公司信息安全技术规范的制订。(二)负责实施和维护*有限公司信息安全管理制度和技术规范。(三)负责*有限公司信息安全解决方案的评估检查工作。(四)负责*有限公司信息安全审计工作。(五)监督、检查各处安全管理工作。8.应用系统用户的安全职责如下:不得将应用系统赋予该用户的权限如用户名密码等赋予其他人员,不得泄露系统信息,不得泄露机密数据。