信息安全管理機(jī)構(gòu)[行業(yè)一類]

1、信息安全管理機(jī)構(gòu)1. 組織架構(gòu)中國文聯(lián)文藝資源中心為適應(yīng)單位發(fā)展，促進(jìn)和加強(qiáng)信息化建設(shè)，確保信息化網(wǎng)絡(luò)和設(shè)備安全、穩(wěn)定運(yùn)行，組織成立了信息化領(lǐng)導(dǎo)小組，信息化領(lǐng)導(dǎo)小組是信息安全管理的最高管理層，單位各相關(guān)部門負(fù)責(zé)日常管理工作。中國文聯(lián)文藝資源中心員工需遵守相關(guān)的管理制度，配合信息安全檢查工作。2. 信息安全管理組織結(jié)構(gòu)圖信息化領(lǐng)導(dǎo)小組各部門應(yīng)用系統(tǒng)管理員安全管理員系統(tǒng)管理員網(wǎng)絡(luò)管理員安全審計員應(yīng)急領(lǐng)導(dǎo)小組資產(chǎn)管理員資料管理員機(jī)房管理員密碼管理人數(shù)據(jù)庫管理員3. 信息安全機(jī)構(gòu)管理職責(zé)3.1. 信息化領(lǐng)導(dǎo)小組信息化領(lǐng)導(dǎo)小組的最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)。成員有：委員會主任：向云駒委員會副主任：冉

2、茂金、彭寬信息化領(lǐng)導(dǎo)小組職責(zé)（信息安全領(lǐng)導(dǎo)小組/信息安全工作委員會）：（1） 負(fù)責(zé)指導(dǎo)和管理信息化建設(shè)和信息安全工作。（2） 負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進(jìn)行審定。3.2. 應(yīng)急領(lǐng)導(dǎo)小組信息化領(lǐng)導(dǎo)小組下設(shè)應(yīng)急領(lǐng)導(dǎo)小組。其成員包括：組長：向云駒副組長：冉茂金、彭寬下設(shè)領(lǐng)導(dǎo)小組辦公室：下設(shè)領(lǐng)導(dǎo)小組辦公室：由中國文聯(lián)文藝資源中心綜合部和各業(yè)務(wù)部門負(fù)責(zé)人組成。應(yīng)急領(lǐng)導(dǎo)小組職責(zé)：（1） 擬訂或者組織擬訂中國文聯(lián)文藝資源中心應(yīng)對信息安全突發(fā)事件的工作規(guī)劃和應(yīng)急預(yù)案并組織實(shí)施。（2） 督促檢查各處室應(yīng)急預(yù)案的執(zhí)行情況，并給予指導(dǎo)。（3） 督促技術(shù)部信息安全突發(fā)事件監(jiān)測、預(yù)

3、警工作情況，并給予指導(dǎo)。（4） 匯總有關(guān)信息安全突發(fā)事件的各種重要信息，進(jìn)行綜合分析，并提出建議。（5） 監(jiān)督檢查、協(xié)調(diào)指導(dǎo)技術(shù)部及各部門信息安全突發(fā)事件預(yù)防、應(yīng)急準(zhǔn)備、應(yīng)急處置和事后恢復(fù)與重建工作。（6） 組織制訂信息安全常識、應(yīng)急知識的宣傳培訓(xùn)計劃和應(yīng)急救援隊(duì)伍的業(yè)務(wù)培訓(xùn)、演練計劃，并督促落實(shí)。4. 信息安全崗位管理職責(zé)4.1. 安全管理員安全管理員職責(zé)：負(fù)責(zé)定期進(jìn)行安全檢查，組織全面安全檢查。4.2. 安全審計員安全審計員職責(zé)：負(fù)責(zé)定期進(jìn)行安全審計，組織全面安全審核。技能要求：具備監(jiān)督審查的能力。4.3. 系統(tǒng)管理員系統(tǒng)管理員職責(zé)：（1） 負(fù)責(zé)系統(tǒng)程序的安裝和日常維護(hù)。（2） 負(fù)責(zé)根據(jù)業(yè)

4、務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略；（3） 負(fù)責(zé)定期進(jìn)行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進(jìn)行修補(bǔ)。（4） 負(fù)責(zé)安裝系統(tǒng)的最新補(bǔ)丁程序，以及系統(tǒng)的備份和恢復(fù)工作。（5） 負(fù)責(zé)對系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容。（6） 負(fù)責(zé)定期對運(yùn)行日志和審計數(shù)據(jù)進(jìn)行分析，以便及時發(fā)現(xiàn)異常行為。（7） 負(fù)責(zé)對主機(jī)進(jìn)行惡意代碼檢測并保存檢測記錄。（8） 負(fù)責(zé)對系統(tǒng)安全事件進(jìn)行處理。（9） 負(fù)責(zé)服務(wù)器管理。技能要求：計算機(jī)或相關(guān)專業(yè)本科或以上學(xué)歷，具備操作系統(tǒng)操作和管理能力。4.4. 數(shù)據(jù)庫管理員數(shù)據(jù)庫管理員職責(zé)：負(fù)責(zé)數(shù)據(jù)庫管理。技能要求：計算機(jī)或相關(guān)

5、專業(yè)本科或以上學(xué)歷，具備數(shù)據(jù)庫操作和管理能力。4.5. 應(yīng)用系統(tǒng)管理員應(yīng)用系統(tǒng)管理員職責(zé)：負(fù)責(zé)應(yīng)用系統(tǒng)管理。技能要求：計算機(jī)或相關(guān)專業(yè)本科或以上學(xué)歷，具備所管轄?wèi)?yīng)用系統(tǒng)的操作和管理能力。4.6. 網(wǎng)絡(luò)管理員網(wǎng)絡(luò)管理員職責(zé)：（1） 負(fù)責(zé)對網(wǎng)絡(luò)進(jìn)行管理，主要負(fù)責(zé)網(wǎng)絡(luò)設(shè)備的運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報警信息分析和處理工作。（2） 負(fù)責(zé)對網(wǎng)絡(luò)安全配置、日志保存時間、安全策略、升級與打補(bǔ)丁、口令更新周期等方面進(jìn)行管理。（3） 負(fù)責(zé)定期對網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)設(shè)備安全漏洞進(jìn)行及時的修補(bǔ)。（4） 負(fù)責(zé)對網(wǎng)絡(luò)設(shè)備進(jìn)行備份、恢復(fù)管理。（5） 負(fù)責(zé)依據(jù)安全策略管理便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入。

6、（6） 負(fù)責(zé)定期檢查違反規(guī)定撥號上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為。（7） 負(fù)責(zé)防病毒網(wǎng)關(guān)的管理，對網(wǎng)絡(luò)進(jìn)行惡意代碼檢測并保存檢測記錄。（8） 負(fù)責(zé)對網(wǎng)絡(luò)安全事件的處理。技能要求：計算機(jī)或相關(guān)專業(yè)本科或以上學(xué)歷，具備常用網(wǎng)絡(luò)設(shè)備的操作和管理能力。4.7. 資產(chǎn)管理員資產(chǎn)管理員負(fù)責(zé)對資產(chǎn)進(jìn)行日常管理。除設(shè)置專門的資產(chǎn)管理外，另外還設(shè)置專門管理信息資產(chǎn)的信息資產(chǎn)管理員，信息資產(chǎn)管理員也是資料管理員。資產(chǎn)管理員職責(zé)：1) 信息系統(tǒng)資產(chǎn)管理的責(zé)任人，負(fù)責(zé)資產(chǎn)清單的維護(hù)。2) 負(fù)責(zé)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進(jìn)行登記標(biāo)識，對資產(chǎn)的內(nèi)部流動、出租或外調(diào)、報廢進(jìn)行管理。3) 負(fù)責(zé)對資產(chǎn)進(jìn)行定期清查。4) 各種軟硬

7、件設(shè)備的采購、發(fā)放和領(lǐng)用等管理。技能要求：具備資產(chǎn)管理能力，工作認(rèn)真。4.8. 信息資產(chǎn)管理員信息資產(chǎn)管理員職責(zé)：（1） 負(fù)責(zé)對信息資產(chǎn)進(jìn)行標(biāo)識，包括對存儲信息資產(chǎn)的各類移動介質(zhì)、服務(wù)器等加貼信息資產(chǎn)標(biāo)識。（2） 負(fù)責(zé)統(tǒng)一管理的信息資產(chǎn)（不包含存儲于信息系統(tǒng)內(nèi)的信息資產(chǎn)）進(jìn)行管理。技能要求：需要嚴(yán)格遵守保密協(xié)議，具備一定的文檔處理能力，具備信息資產(chǎn)管理能力。4.9. 資料管理員資料管理員職責(zé)：（1） 負(fù)責(zé)管理系統(tǒng)定級的相關(guān)材料，并控制這些材料的使用。（2） 負(fù)責(zé)系統(tǒng)建設(shè)文檔的管理工作，并按照管理規(guī)定控制這些材料的使用。（3） 負(fù)責(zé)對軟件的原件（盤）（包括新舊版本）進(jìn)行登記造冊，并保管。（4）

8、負(fù)責(zé)對通過移動介質(zhì)進(jìn)行導(dǎo)入電子資料進(jìn)行病毒查殺和記錄。（5） 負(fù)責(zé)殺毒記錄的保管和整理。（6） 負(fù)責(zé)介質(zhì)的保管、發(fā)放和登記。技能要求：需要嚴(yán)格遵守保密協(xié)議，不該看的不看；具備一定的文檔處理能力和移動介質(zhì)知識，具備資料管理能力。4.10. 機(jī)房管理員機(jī)房管理員職責(zé)：（1） 負(fù)責(zé)定期檢查和維護(hù)UPS、空調(diào)、消防、通風(fēng)等設(shè)備設(shè)施。（2） 負(fù)責(zé)定期對機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行檢查和維護(hù)。（3） 負(fù)責(zé)機(jī)房安全，對機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理。技能要求：具備機(jī)房常用設(shè)備的操作和管理能力。（1） 負(fù)責(zé)對信息系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè)備）、線路等定期進(jìn)行維護(hù)管理。4.11

9、. 密碼管理員密碼管理員分為密碼管理人員和密碼副本管理人員。密碼管理人員為管理系統(tǒng)級密碼的管理人員，是各類系統(tǒng)的系統(tǒng)管理員自己；密碼副本管理人員為保管系統(tǒng)級密碼副本的管理人員，由資料管理員（或者各系統(tǒng)管理員相互備份）擔(dān)任。4.11.1. 密碼管理人員密碼管理人員職責(zé)：（1） 負(fù)責(zé)密碼的日常維護(hù)、定期修改（2） 制作密碼副本（3） 負(fù)責(zé)陪同、監(jiān)管其他需要該密碼登陸系統(tǒng)的維護(hù)人員（4） 負(fù)責(zé)定期檢查密碼副本的封存情況（5） 填寫相關(guān)密碼管理文檔4.11.2. 密碼副本管理人員密碼副本管理人員：負(fù)責(zé)。（1） 保存密碼副本（2） 在特殊情況下開啟密碼副本（3） 密碼副本開啟后及時通知系統(tǒng)密碼管理人員（

10、4） 協(xié)助系統(tǒng)級密碼管理人員檢查密碼副本封存情況（5） 協(xié)助系統(tǒng)級密碼管理人員填寫相關(guān)密碼管理文檔5. 授權(quán)和審批5.1. 需要審批的事項(xiàng)n 安全策略的制定與發(fā)布；n 制度的制定與發(fā)布；n 人員配備和培訓(xùn)；n 網(wǎng)絡(luò)和系統(tǒng)資源的訪問授權(quán)；n 外部人員訪問；n 與外單位合作；n 系統(tǒng)變更；n 網(wǎng)絡(luò)和系統(tǒng)資源的訪問授權(quán)n 產(chǎn)品采購5.2. 審批審查定期審查審批事項(xiàng)，及時更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息，審查要求記錄。6. 溝通和合作n 加強(qiáng)各類信息安全管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及文聯(lián)系統(tǒng)內(nèi)部的合作與溝通，定期或不定期召開協(xié)調(diào)會議，共同協(xié)作處理信息安全問題。 n 技術(shù)部定期或不定期

11、召集相關(guān)部門和人員召開信息安全工作會議，協(xié)調(diào)信息安全工作的實(shí)施。n 技術(shù)部定期召開例會，對信息安全工作進(jìn)行討論和執(zhí)行。n 加強(qiáng)與有關(guān)部門和機(jī)構(gòu)的合作與溝通，以便在發(fā)生安全事件時能夠得到及時的支持。建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息。n 加強(qiáng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通，獲取信息安全的最新發(fā)展動態(tài)，當(dāng)發(fā)生緊急事件的時候能夠及時得到支持和幫助。聘請信息安全專家作為常年的安全顧問，指導(dǎo)信息安全建設(shè)，參與安全規(guī)劃和安全評審等。7. 審核和檢查n 信息安全檢查是技術(shù)部以信息安全法規(guī)、標(biāo)準(zhǔn)和相關(guān)管理制定為依據(jù)，對信息系統(tǒng)進(jìn)行的信息安全檢查。

12、n 信息安全檢查分以下幾種方式：自查、常規(guī)檢查和年度信息安全大檢查和系統(tǒng)變更后的自查。n 信息安全自查1) 技術(shù)部對負(fù)責(zé)運(yùn)行和維護(hù)管理的信息系統(tǒng)的安全狀況、安全保護(hù)制度及措施的落實(shí)情況定期（每年）進(jìn)行監(jiān)督檢查，發(fā)現(xiàn)問題及時糾正；2) 授權(quán)對其他機(jī)構(gòu)運(yùn)行和維護(hù)管理的信息系統(tǒng)的安全狀況、安全保護(hù)制度及措施的落實(shí)情況定期（每年）進(jìn)行監(jiān)督檢查，發(fā)現(xiàn)問題及時糾正。3) 接受中國文聯(lián)辦公廳網(wǎng)絡(luò)信息處和國家有關(guān)部門對信息系統(tǒng)安全工作的監(jiān)督和檢查。n 信息安全常規(guī)檢查1) 安全管理員負(fù)責(zé)對系統(tǒng)進(jìn)行日常的安全檢查。包括系統(tǒng)日常運(yùn)行、用戶帳號、系統(tǒng)漏洞、數(shù)據(jù)備份和系統(tǒng)審計等情況；2) 技術(shù)部組織相關(guān)人員定期分析、評審異常行為的審計記錄，發(fā)現(xiàn)可疑行為形成審計分析報告，并采取必要的應(yīng)對措施。n 年度信息安全大檢查1) 中國文聯(lián)文藝資源中心根據(jù)國家信息安全主管部門每年發(fā)布的政府信息系統(tǒng)安全檢查指南，制定系統(tǒng)安全檢查方案，組織實(shí)施做好信息系統(tǒng)安全檢查工作；技術(shù)部負(fù)