信息安全組織及崗位職責(zé)管理制度

1、信息安全組織及崗位職責(zé)管理制度二零一八年八月版本控制版本修改時間修改內(nèi)容修改人員審核人員第一章 總則第一條 為加強公司等級保護保障工作的組織協(xié)調(diào)，建立健全等級保護管理制度和運行機制，切實提高公司等級保護保障工作水平，全面提高信息系統(tǒng)信息安全管理能力,根據(jù)國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見、GB/T22239-2008信息安全等級保護基本要求等政策要求，特制定本制度。第二條 本規(guī)定依照信息安全管理的主要領(lǐng)導(dǎo)負責(zé)原則、全員參與原則、依法管理原則、分權(quán)和授權(quán)原則和體系化管理原則編制，具體原則為：(一) 主要領(lǐng)導(dǎo)負責(zé)原則：確保公司主要領(lǐng)導(dǎo)參與并確立組織統(tǒng)一的信息系統(tǒng)信息安全保障宗旨和政策

2、，組織有效的安全保障隊伍，調(diào)動并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理工作與各部門工作的關(guān)系，并確保其落實、有效；(二) 全員參與原則：信息系統(tǒng)所有相關(guān)人員普遍參與信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)的安全；(三) 依法管理原則：信息系統(tǒng)信息安全管理工作應(yīng)保證管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法；(四) 分權(quán)和授權(quán)原則：對特定職能或責(zé)任領(lǐng)域的管理功能實施分離、獨立審計等實行分權(quán)，避免權(quán)力過分集中所帶來的隱患，以減小未授權(quán)的修改或濫用系統(tǒng)資源的機會。任何實體（如用戶、管理員、進程、應(yīng)用或系統(tǒng)）僅享有該實體需要完成其任務(wù)所必須的權(quán)限，不應(yīng)享有任何多余權(quán)限。(五)

3、 體系化管理原則:信息系統(tǒng)應(yīng)符合信息安全相關(guān)政策的體系化管理目標和要求。第三條 本規(guī)定適用于公司。第二章 組織目標第四條 本制度旨在實現(xiàn)信息安全管理組織的以下目標：(一) 管理組織內(nèi)的信息系統(tǒng)安全保護工作；(二) 管理外部組織訪問組織內(nèi)信息處理設(shè)施和信息資產(chǎn)的安全。第三章 安全管理組織架構(gòu)第五條 為加強對公司信息安全管理工作的領(lǐng)導(dǎo)，貫徹落實監(jiān)管部門的信息安全保護要求，經(jīng)研究決定成立公司信息安全管理委員會。第六條 信息安全管理委員會為公司信息安全工作的最高管理機構(gòu)。第七條 由公司副總經(jīng)理擔(dān)任信息安全管理委員會主席，成員包括：(一) 生產(chǎn)技術(shù)部主管領(lǐng)導(dǎo)；(二) 各部門主管領(lǐng)導(dǎo)。第八條 生產(chǎn)技術(shù)部是

4、信息安全管理工作的執(zhí)行機構(gòu)，負責(zé)執(zhí)行信息安全管理委員會交辦的各項工作，由生產(chǎn)技術(shù)部總經(jīng)理擔(dān)任負責(zé)人，成員包括：(一) 生產(chǎn)技術(shù)部；(二) 系統(tǒng)開發(fā)部；(三) 運營維護部。第九條 生產(chǎn)技術(shù)部應(yīng)設(shè)立信息安全管理崗位，分別為安全管理員、安全審計員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、應(yīng)用管理員，負責(zé)執(zhí)行網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫和應(yīng)用的安全管理和運維工作。第四章 信息安全組織職責(zé)第十條 信息安全管理委員會負責(zé)領(lǐng)導(dǎo)信息系統(tǒng)安全工作，組織職責(zé)為：(一) 根據(jù)國家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī)，確定信息安全工作的總體方向、總體原則和安全工作方法；(二) 根據(jù)國家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī)，批準信

5、息系統(tǒng)的安全策略和發(fā)展規(guī)劃；(三) 確定各有關(guān)部門在信息系統(tǒng)安全工作中的職責(zé)，領(lǐng)導(dǎo)安全工作的實施；(四) 監(jiān)督安全措施的執(zhí)行，并對重要安全事件的處理進行決策；(五) 指導(dǎo)和檢查信息安全職能部門的各項工作；(六) 建設(shè)和完善信息系統(tǒng)安全組織體系和管理機制。第十一條 生產(chǎn)技術(shù)部負責(zé)貫徹、落實和執(zhí)行信息安全管理委員會下達的各項工作，組織職責(zé)為：(一) 貫徹、落實和解釋國家及行業(yè)有關(guān)信息安全的政策、法律、法規(guī)和信息安全工作要求，起草信息系統(tǒng)的安全策略和發(fā)展規(guī)劃；(二) 落實和執(zhí)行信息系統(tǒng)信息安全工作的日常事務(wù)，對具體落實情況進行總結(jié)和匯報；(三) 負責(zé)安全措施的實施或組織實施，組織并參加信息安全重要事

6、件的處理；(四) 負責(zé)內(nèi)、外部組織和機構(gòu)的信息安全溝通、協(xié)調(diào)和合作工作；(五) 組織編制和落實信息安全規(guī)劃工作；(六) 指導(dǎo)和檢查運維單位對信息系統(tǒng)安全工作落實情況；(七) 監(jiān)控信息系統(tǒng)安全總體狀況，提出安全分析報告；(八) 協(xié)同有關(guān)部門共同組成應(yīng)急處理小組，組織處理信息安全應(yīng)急響應(yīng)工作；(九) 負責(zé)組織信息系統(tǒng)安全知識的培訓(xùn)和宣傳工作。第十二條 系統(tǒng)開發(fā)部負責(zé)信息系統(tǒng)建設(shè)開發(fā)相關(guān)工作，組織職責(zé)為：(一) 負責(zé)信息系統(tǒng)開發(fā)過程中的項目管理工作；(二) 負責(zé)信息系統(tǒng)運行維護過程中軟件版本升級、功能定制等方面的開發(fā)工作；(三) 配合生產(chǎn)技術(shù)部完成信息系統(tǒng)建設(shè)規(guī)劃、方案設(shè)計及編寫工作；(四) 配合生

7、產(chǎn)技術(shù)部完成公司管理層安排的其他相關(guān)技術(shù)工作。第十三條 運營維護部負責(zé)信息系統(tǒng)運行維護的相關(guān)工作，組織職責(zé)為：(一) 負責(zé)信息系統(tǒng)上線后的運行維護工作，具體為機房管理、基礎(chǔ)設(shè)施日常巡檢、應(yīng)用系統(tǒng)監(jiān)控等；(二) 負責(zé)定期維護機房環(huán)境設(shè)施及重要信息系統(tǒng)設(shè)備等；(三) 負責(zé)提出應(yīng)用系統(tǒng)非功能性需求；(四) 負責(zé)定期分析信息系統(tǒng)運行過程中的日志、周報、月報，并定期匯總上報管理層；(五) 負責(zé)協(xié)調(diào)并組織應(yīng)對信息系統(tǒng)運行過程中的突發(fā)事件；(六) 配合生產(chǎn)技術(shù)部完成其他信息科技方面的相關(guān)工作。第五章 信息安全崗位職責(zé)第十四條 應(yīng)建立信息安全崗位，明確信息安全崗位職責(zé)。第十五條 項目計劃崗位職責(zé)為：起草和編制

8、信息系統(tǒng)信息安全總體規(guī)劃以及計劃方案，收集信息系統(tǒng)安全需求。第十六條 項目管理崗位職責(zé)為：(一) 負責(zé)信息系統(tǒng)項目實施的組織、協(xié)調(diào)和驗收工作；(二) 負責(zé)項目合同的管理及監(jiān)督。第十七條 運行維護崗位職責(zé)為：(一) 起草和編制信息系統(tǒng)信息安全方針、信息安全保障體系框架和信息安全策略、制度和技術(shù)規(guī)范；(二) 推動信息系統(tǒng)信息安全方針、信息安全策略、信息安全管理制度及信息安全技術(shù)規(guī)范的實施落實。第十八條 設(shè)備資源管理崗位職責(zé)為：負責(zé)信息系統(tǒng)設(shè)備的管理，包括設(shè)備的報廢等。第十九條 安全管理員的崗位職責(zé)為：(一) 定期組織信息系統(tǒng)漏洞掃描和信息安全風(fēng)險評估工作，形成信息系統(tǒng)和整體安全現(xiàn)狀報告，并向信息安

9、全管理委員會進行匯報；(二) 負責(zé)制定信息系統(tǒng)總體網(wǎng)絡(luò)訪問控制策略和規(guī)則，并對其進行監(jiān)控和審計工作，定期發(fā)布策略執(zhí)行情況；(三) 對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫管理員進行安全指導(dǎo)；(四) 定期收集信息安全漏洞和公告信息，告知相關(guān)安全運維管理人員；(五) 協(xié)調(diào)信息安全應(yīng)急響應(yīng)組織和技術(shù)支撐單位。第二十條 安全審計員的崗位職責(zé)為：(一) 定期審計信息系統(tǒng)信息安全策略執(zhí)行情況，收集信息系統(tǒng)日志和審計記錄，并提供審計報告；(二) 對安全、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫管理員的操作行為進行監(jiān)督，安全職責(zé)落實情況進行檢查；第二十一條 系統(tǒng)管理員的安全職責(zé)為：(一) 根據(jù)信息系統(tǒng)安全策略定期對系統(tǒng)進行自評估；(二)

10、依照安全策略對系統(tǒng)進行安全配置和漏洞修補，確保安全補丁保持2個月內(nèi)最新補?。?三) 對系統(tǒng)進行日常安全運維管理，定期更改系統(tǒng)賬號，并定期提交安全運行維護記錄或報告；(四) 在發(fā)生系統(tǒng)異常和安全事件時，應(yīng)能對系統(tǒng)進行應(yīng)急處置。第二十二條 網(wǎng)絡(luò)管理員的安全職責(zé)為：(一) 根據(jù)信息系統(tǒng)安全策略定期對網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)架構(gòu)進行自評估；(二) 依照安全策略對網(wǎng)絡(luò)設(shè)備進行安全配置和漏洞修補；(三) 對網(wǎng)絡(luò)設(shè)備、安全設(shè)備進行日常安全運維管理，并定期提交安全運行維護記錄或報告；(四) 在發(fā)生系統(tǒng)異常和安全事件時，應(yīng)能對網(wǎng)絡(luò)設(shè)備、安全設(shè)備進行應(yīng)急處置。第六章 信息安全崗位要求第二十三條 生產(chǎn)技術(shù)部應(yīng)設(shè)立專職的信息安全管理崗位，并由專人負責(zé)，根據(jù)信息安全管理的實際工作情況，人員編制1人。第二十四條 各部門應(yīng)設(shè)立專職的安全管理員。第二十五條 關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理，定期輪崗，關(guān)鍵崗位人員配備堅持“權(quán)限分散、不得交叉覆蓋”的原則，安全管理員和安全審計員不能由一人身兼。第二十六條 各部門應(yīng)根據(jù)崗位職責(zé)，確定崗位所需要的安全技能，并對所有信息安全崗位人員進行對應(yīng)的安全技能培訓(xùn)。第二十七條 信息系統(tǒng)的安全技術(shù)崗位可由其他相關(guān)管理員兼任，其中網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、數(shù)據(jù)庫安全管理以及應(yīng)用安全管理工作可分別由網(wǎng)絡(luò)管理員、系統(tǒng)管