信息安全管理機構(gòu)

1、信息安全管理機構(gòu)1. 組織架構(gòu)中國文聯(lián)文藝資源中心為適應單位發(fā)展， 促進和加強信息化建設(shè)，確保信息 化網(wǎng)絡(luò)和設(shè)備安全、穩(wěn)定運行，組織成立了信息化領(lǐng)導小組，信息化領(lǐng)導小組是 信息安全管理的最高管理層，單位各相關(guān)部門負責日常管理工作。中國文聯(lián)文藝 資源中心員工需遵守相關(guān)的管理制度，配合信息安全檢查工作。2. 信息安全管理組織結(jié)構(gòu)圖3. 信息安全機構(gòu)管理職責3.1. 信息化領(lǐng)導小組信息化領(lǐng)導小組的最高領(lǐng)導由單位主管領(lǐng)導委任或授權(quán)。成員有:委員會主任：向云駒委員會副主任：冉茂金、彭寬信息化領(lǐng)導小組職責（信息安全領(lǐng)導小組 / 信息安全工作委員會）：1）負責指導和管理信息化建設(shè)和信息安全工作。2）負責定期

2、組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用 性進行審定。3.2. 應急領(lǐng)導小組信息化領(lǐng)導小組下設(shè)應急領(lǐng)導小組。其成員包括： 組長：向云駒副組長：冉茂金、彭寬下設(shè)領(lǐng)導小組辦公室：下設(shè)領(lǐng)導小組辦公室： 由中國文聯(lián)文藝資源中心 綜合部和各業(yè)務(wù)部門負責人組 成。應急領(lǐng)導小組職責：（ 1） 擬訂或者組織擬訂中國文聯(lián)文藝資源中心應對信息安全突發(fā)事件的工作 規(guī)劃和應急預案并組織實施。（ 2） 督促檢查各處室應急預案的執(zhí)行情況，并給予指導。（ 3） 督促技術(shù)部信息安全突發(fā)事件監(jiān)測、預警工作情況，并給予指導。（ 4） 匯總有關(guān)信息安全突發(fā)事件的各種重要信息， 進行綜合分析，并提出建議。（ 5） 監(jiān)督

3、檢查、協(xié)調(diào)指導技術(shù)部及各部門信息安全突發(fā)事件預防、應急準備、 應急處置和事后恢復與重建工作。（ 6） 組織制訂信息安全常識、 應急知識的宣傳培訓計劃和應急救援隊伍的業(yè)務(wù) 培訓、演練計劃，并督促落實。4. 信息安全崗位管理職責4.1. 安全管理員安全管理員職責：負責定期進行安全檢查，組織全面安全檢查。4.2. 安全審計員安全審計員職責：負責定期進行安全審計，組織全面安全審核。技能要求：具備監(jiān)督審查的能力。4.3. 系統(tǒng)管理員系統(tǒng)管理員職責：（ 1） 負責系統(tǒng)程序的安裝和日常維護。（ 2） 負責根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略；（ 3） 負責定期進行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及

4、時進行修補。（ 4） 負責安裝系統(tǒng)的最新補丁程序，以及系統(tǒng)的備份和恢復工作。（ 5） 負責對系統(tǒng)進行維護， 詳細記錄操作日志，包括重要的日常操作、 運行維 護記錄、參數(shù)的設(shè)置和修改等內(nèi)容。（ 6） 負責定期對運行日志和審計數(shù)據(jù)進行分析，以便及時發(fā)現(xiàn)異常行為。（ 7） 負責對主機進行惡意代碼檢測并保存檢測記錄。（ 8） 負責對系統(tǒng)安全事件進行處理。（ 9） 負責服務(wù)器管理。 技能要求：計算機或相關(guān)專業(yè)本科或以上學歷，具備操作系統(tǒng)操作和管理能力。4.4. 數(shù)據(jù)庫管理員數(shù)據(jù)庫管理員職責：負責數(shù)據(jù)庫管理 技能要求：計算機或相關(guān)專業(yè)本科或以上學歷，具備數(shù)據(jù)庫操作和管理能力4.5. 應用系統(tǒng)管理員應用系統(tǒng)

5、管理員職責：負責應用系統(tǒng)管理。技能要求： 計算機或相關(guān)專業(yè)本科或以上學歷， 具備所管轄應用系統(tǒng)的操作和管 理能力。4.6. 網(wǎng)絡(luò)管理員網(wǎng)絡(luò)管理員職責：（ 1） 負責對網(wǎng)絡(luò)進行管理， 主要負責網(wǎng)絡(luò)設(shè)備的運行日志、 網(wǎng)絡(luò)監(jiān)控記錄的日 常維護和報警信息分析和處理工作。（ 2） 負責對網(wǎng)絡(luò)安全配置、日志保存時間、安全策略、升級與打補丁、口令更 新周期等方面進行管理。（ 3） 負責定期對網(wǎng)絡(luò)設(shè)備進行漏洞掃描， 對發(fā)現(xiàn)的網(wǎng)絡(luò)設(shè)備安全漏洞進行及時 的修補。（ 4） 負責對網(wǎng)絡(luò)設(shè)備進行備份、恢復管理。（ 5） 負責依據(jù)安全策略管理便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入。（ 6） 負責定期檢查違反規(guī)定撥號上網(wǎng)或其他違反網(wǎng)

6、絡(luò)安全策略的行為。（ 7） 負責防病毒網(wǎng)關(guān)的管理，對網(wǎng)絡(luò)進行惡意代碼檢測并保存檢測記錄。（ 8） 負責對網(wǎng)絡(luò)安全事件的處理。技能要求： 計算機或相關(guān)專業(yè)本科或以上學歷， 具備常用網(wǎng)絡(luò)設(shè)備的操作和管理 能力。4.7. 資產(chǎn)管理員資產(chǎn)管理員負責對資產(chǎn)進行日常管理。 除設(shè)置專門的資產(chǎn)管理外， 另外還設(shè) 置專門管理信息資產(chǎn)的信息資產(chǎn)管理員，信息資產(chǎn)管理員也是資料管理員。 資產(chǎn)管理員職責：1）信息系統(tǒng)資產(chǎn)管理的責任人，負責資產(chǎn)清單的維護。2）負責根據(jù)資產(chǎn)的重要程度對資產(chǎn)進行登記標識，對資產(chǎn)的內(nèi)部流動、 出租或外調(diào)、報廢進行管理。3）負責對資產(chǎn)進行定期清查。4）各種軟硬件設(shè)備的采購、發(fā)放和領(lǐng)用等管理技能要

7、求：具備資產(chǎn)管理能力，工作認真。4.8. 信息資產(chǎn)管理員信息資產(chǎn)管理員職責：（ 1） 負責對信息資產(chǎn)進行標識， 包括對存儲信息資產(chǎn)的各類移動介質(zhì)、 服務(wù)器 等加貼信息資產(chǎn)標識。（ 2） 負責統(tǒng)一管理的信息資產(chǎn) （不包含存儲于信息系統(tǒng)內(nèi)的信息資產(chǎn)） 進行管 理。技能要求： 需要嚴格遵守保密協(xié)議， 具備一定的文檔處理能力， 具備信息資產(chǎn)管 理能力。4.9. 資料管理員資料管理員職責：（ 1） 負責管理系統(tǒng)定級的相關(guān)材料，并控制這些材料的使用。（ 2） 負責系統(tǒng)建設(shè)文檔的管理工作，并按照管理規(guī)定控制這些材料的使用。（ 3） 負責對軟件的原件（盤）（包括新舊版本）進行登記造冊，并保管。（ 4） 負責對

8、通過移動介質(zhì)進行導入電子資料進行病毒查殺和記錄。（ 5） 負責殺毒記錄的保管和整理。（ 6） 負責介質(zhì)的保管、發(fā)放和登記。技能要求：需要嚴格遵守保密協(xié)議， 不該看的不看； 具備一定的文檔處理能力和 移動介質(zhì)知識，具備資料管理能力。4.10. 機房管理員機房管理員職責：（1）負責定期檢查和維護UPS空調(diào)、消防、通風等設(shè)備設(shè)施。（ 2） 負責定期對機房供配電、空調(diào)、溫濕度控制等設(shè)施進行檢查和維護。（ 3） 負責機房安全，對機房的出入、服務(wù)器的開機或關(guān)機等工作進行管理。 技能要求：具備機房常用設(shè)備的操作和管理能力。（ 1 ） 負責對信息系統(tǒng)相關(guān)的各種設(shè)備 （包括備份和冗余設(shè)備）、線路等定期進 行維護

9、管理。4.11. 密碼管理員密碼管理員分為密碼管理人員和密碼副本管理人員。密碼管理人員為管理 系統(tǒng)級密碼的管理人員， 是各類系統(tǒng)的系統(tǒng)管理員自己； 密碼副本管理人員為保 管系統(tǒng)級密碼副本的管理人員， 由資料管理員 （或者各系統(tǒng)管理員相互備份） 擔 任。4.11.1. 密碼管理人員密碼管理人員職責：1 ） 負責密碼的日常維護、定期修改2）制作密碼副本3）負責陪同、監(jiān)管其他需要該密碼登陸系統(tǒng)的維護人員4）負責定期檢查密碼副本的封存情況5）填寫相關(guān)密碼管理文檔4.11.2. 密碼副本管理人員密碼副本管理人員：負責。1 ） 保存密碼副本2） 在特殊情況下開啟密碼副本3）密碼副本開啟后及時通知系統(tǒng)密碼管

10、理人員4）協(xié)助系統(tǒng)級密碼管理人員檢查密碼副本封存情況5）協(xié)助系統(tǒng)級密碼管理人員填寫相關(guān)密碼管理文檔5.授權(quán)和審批5.1. 需要審批的事項安全策略的制定與發(fā)布；制度的制定與發(fā)布；人員配備和培訓；網(wǎng)絡(luò)和系統(tǒng)資源的訪問授權(quán)；外部人員訪問；與外單位合作；系統(tǒng)變更；網(wǎng)絡(luò)和系統(tǒng)資源的訪問授權(quán)產(chǎn)品采購5.2. 審批審查定期審查審批事項，及時更新需授權(quán)和審批的項目、審批部門和審批人等 信息，審查要求記錄。6. 溝通和合作加強各類信息安全管理人員之間、 組織內(nèi)部機構(gòu)之間以及文聯(lián)系統(tǒng)內(nèi)部 的合作與溝通， 定期或不定期召開協(xié)調(diào)會議， 共同協(xié)作處理信息安全問 題。技術(shù)部定期或不定期召集相關(guān)部門和人員召開信息安全工作會

11、議， 協(xié)調(diào) 信息安全工作的實施。技術(shù)部定期召開例會，對信息安全工作進行討論和執(zhí)行。 加強與有關(guān)部門和機構(gòu)的合作與溝通， 以便在發(fā)生安全事件時能夠得到 及時的支持。建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、 聯(lián)系人和聯(lián)系方式等信息。加強與供應商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通， 獲取信息安全的最新發(fā)展動態(tài)， 當發(fā)生緊急事件的時候能夠及時得到支 持和幫助。聘請信息安全專家作為常年的安全顧問， 指導信息安全建設(shè)， 參與安全規(guī)劃和安全評審等。7. 審核和檢查信息安全檢查是技術(shù)部以信息安全法規(guī)、標準和相關(guān)管理制定為依據(jù)， 對信息系統(tǒng)進行的信息安全檢查。信息安全檢查分以下幾種方式：

12、 自查、常規(guī)檢查和年度信息安全大檢查 和系統(tǒng)變更后的自查。信息安全自查1) 技術(shù)部對負責運行和維護管理的信息系統(tǒng)的安全狀況、 安全保護制度及 措施的落實情況定期(每年)進行監(jiān)督檢查，發(fā)現(xiàn)問題及時糾正；2) 授權(quán)對其他機構(gòu)運行和維護管理的信息系統(tǒng)的安全狀況、 安全保護制度 及措施的落實情況定期(每年)進行監(jiān)督檢查，發(fā)現(xiàn)問題及時糾正。3) 接受中國文聯(lián)辦公廳網(wǎng)絡(luò)信息處和國家有關(guān)部門對信息系統(tǒng)安全工作 的監(jiān)督和檢查。信息安全常規(guī)檢查1) 安全管理員負責對系統(tǒng)進行日常的安全檢查。 包括系統(tǒng)日常運行、 用戶 帳號、系統(tǒng)漏洞、數(shù)據(jù)備份和系統(tǒng)審計等情況；2) 技術(shù)部組織相關(guān)人員定期分析、 評審異常行為的審計記錄， 發(fā)現(xiàn)可疑行 為形成審計分析報告，并采取必要的應對措施。年度信息安全大檢查1) 中國文聯(lián)文藝資源中心根據(jù)國家信息安全主管部門每年發(fā)布的政府信 息系統(tǒng)安全檢查指南， 制定系統(tǒng)安全檢查方案， 組織實施做好信息系統(tǒng) 安全檢查工作；技術(shù)部負責