信息安全組織及崗位職責(zé)管理制度

1、信息平安組織及崗位責(zé)任治理制度二零一八年八月版本限制版本修改時(shí)間修改內(nèi)容修改人員審核人員專業(yè)資料第一章總那么第一條為增強(qiáng)公司等級(jí)保護(hù)保證工作的組織協(xié)調(diào),建立健全等級(jí)保護(hù)治理制度和運(yùn)行機(jī)制,切實(shí)提升公司等級(jí)保護(hù)保證工作水平,全面提升信息系統(tǒng)信息平安治理水平,根據(jù)?國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于增強(qiáng)信息平安保證工作的意見(jiàn)?、?GB/T22239-2021信息平安等級(jí)保護(hù)根本要求?等政策要求,特制定本制度.第二條本規(guī)定依照信息平安治理的主要領(lǐng)導(dǎo)負(fù)責(zé)原那么、全員參與原那么、依法治理原那么、分權(quán)和授權(quán)原那么和體系化治理原那么編制,具體原那么為：一主要領(lǐng)導(dǎo)負(fù)責(zé)原那么：保證公司主要領(lǐng)導(dǎo)參與并確立組織統(tǒng)一的信息系統(tǒng)信

2、息平安保證宗旨和政策,組織有效的平安保證隊(duì)伍,調(diào)動(dòng)并優(yōu)化配置必要的資源,協(xié)調(diào)平安治理工作與各部門工作的關(guān)系,并保證其落實(shí)、有效；二全員參與原那么：信息系統(tǒng)所有相關(guān)人員普遍參與信息系統(tǒng)的平安治理,并與相關(guān)方面協(xié)同、協(xié)調(diào),共同保證信息系統(tǒng)的平安；三依法治理原那么：信息系統(tǒng)信息平安治理工作應(yīng)保證治理主體合法、治理行為合法、治理內(nèi)容合法、治理程序合法；四分權(quán)和授權(quán)原那么：對(duì)特定職能或責(zé)任領(lǐng)域的治理功能實(shí)施別離、獨(dú)立審計(jì)等實(shí)行分權(quán),防止權(quán)力過(guò)分集中所帶來(lái)的隱患,以減小未授權(quán)的修改或?yàn)E用系統(tǒng)資源的時(shí)機(jī).任何實(shí)體如用戶、治理員、進(jìn)程、應(yīng)用或系統(tǒng)僅享有該實(shí)體需要完成其任務(wù)所必須的權(quán)限,不應(yīng)享有任何多余權(quán)限.五

3、體系化治理原那么：信息系統(tǒng)應(yīng)符合信息平安相關(guān)政策的體系化治理目標(biāo)和要求.第三條本規(guī)定適用于公司.第二章組織目標(biāo)第四條本制度旨在實(shí)現(xiàn)信息平安治理組織的以下目標(biāo)：一治理組織內(nèi)的信息系統(tǒng)平安保護(hù)工作；二治理外部組織訪問(wèn)組織內(nèi)信息處理設(shè)施和信息資產(chǎn)的安全.第三章平安治理組織架構(gòu)第五條為增強(qiáng)對(duì)公司信息平安治理工作的領(lǐng)導(dǎo),貫徹落實(shí)監(jiān)管部門的信息平安保護(hù)要求,經(jīng)研究決定成立公司信息平安治理委員會(huì).第六條信息平安治理委員會(huì)為公司信息平安工作的最高治理機(jī)構(gòu).第七條由公司副總經(jīng)理?yè)?dān)任信息平安治理委員會(huì)主席,成員包括：一生產(chǎn)技術(shù)部主管領(lǐng)導(dǎo)；二各部門主管領(lǐng)導(dǎo).第八條生產(chǎn)技術(shù)部是信息平安治理工作的執(zhí)行機(jī)構(gòu),負(fù)責(zé)執(zhí)行信息

4、平安治理委員會(huì)交辦的各項(xiàng)工作,由生產(chǎn)技術(shù)部總經(jīng)理?yè)?dān)任負(fù)責(zé)人,成員包括：一生產(chǎn)技術(shù)部；二系統(tǒng)開(kāi)發(fā)部；三運(yùn)營(yíng)維護(hù)部.第九條生產(chǎn)技術(shù)部應(yīng)設(shè)立信息平安治理崗位,分別為平安治理員、平安審計(jì)員、網(wǎng)絡(luò)治理員、系統(tǒng)治理員、數(shù)據(jù)庫(kù)治理員、應(yīng)用管理員,負(fù)責(zé)執(zhí)行網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用的平安治理和運(yùn)維工作.第四章信息平安組織責(zé)任第十條信息平安治理委員會(huì)負(fù)責(zé)領(lǐng)導(dǎo)信息系統(tǒng)平安工作,組織責(zé)任為：一根據(jù)國(guó)家和行業(yè)有關(guān)信息平安的政策、法律和法規(guī),確定信息平安工作的總體方向、總體原那么和平安工作方法；二根據(jù)國(guó)家和行業(yè)有關(guān)信息平安的政策、法律和法規(guī),批準(zhǔn)信息系統(tǒng)的平安策略和開(kāi)展規(guī)劃；三確定各有關(guān)部門在信息系統(tǒng)平安工作中的責(zé)任,領(lǐng)

5、導(dǎo)平安工作的實(shí)施；四監(jiān)督平安舉措的執(zhí)行,并對(duì)重要平安事件的處理進(jìn)行決策；五指導(dǎo)和檢查信息平安職能部門的各項(xiàng)工作；六建設(shè)和完善信息系統(tǒng)平安組織體系和治理機(jī)制.第十一條生產(chǎn)技術(shù)部負(fù)責(zé)貫徹、落實(shí)和執(zhí)行信息平安治理委員會(huì)下達(dá)的各項(xiàng)工作,組織責(zé)任為：一貫徹、落實(shí)和解釋國(guó)家及行業(yè)有關(guān)信息平安的政策、法律、法規(guī)和信息平安工作要求,起草信息系統(tǒng)的平安策略和開(kāi)展規(guī)劃；二落實(shí)和執(zhí)行信息系統(tǒng)信息平安工作的日常事務(wù),對(duì)具體落實(shí)情況進(jìn)行總結(jié)和匯報(bào)；三負(fù)責(zé)平安舉措的實(shí)施或組織實(shí)施,組織并參加信息平安重要事件的處理；四負(fù)責(zé)內(nèi)、外部組織和機(jī)構(gòu)的信息平安溝通、協(xié)調(diào)和合作工作；五組織編制和落實(shí)信息平安規(guī)劃工作；六指導(dǎo)和檢查運(yùn)維單

6、位對(duì)信息系統(tǒng)平安工作落實(shí)情況；七監(jiān)控信息系統(tǒng)平安總體狀況,提出平安分析報(bào)告；八協(xié)同有關(guān)部門共同組成應(yīng)急處理小組,組織處理信息平安應(yīng)急響應(yīng)工作；九負(fù)責(zé)組織信息系統(tǒng)平安知識(shí)的培訓(xùn)和宣傳工作.第十二條系統(tǒng)開(kāi)發(fā)部負(fù)責(zé)信息系統(tǒng)建設(shè)開(kāi)發(fā)相關(guān)工作,組織責(zé)任為：一負(fù)責(zé)信息系統(tǒng)開(kāi)發(fā)過(guò)程中的工程治理工作；二負(fù)責(zé)信息系統(tǒng)運(yùn)行維護(hù)過(guò)程中軟件版本升級(jí)、功能定制等方面的開(kāi)發(fā)工作；三配合生產(chǎn)技術(shù)部完成信息系統(tǒng)建設(shè)規(guī)劃、方案設(shè)計(jì)及編寫工作；四配合生產(chǎn)技術(shù)部完成公司治理層安排的其他相關(guān)技術(shù)工作.第十三條運(yùn)營(yíng)維護(hù)部負(fù)責(zé)信息系統(tǒng)運(yùn)行維護(hù)的相關(guān)工作,組織責(zé)任為:一負(fù)責(zé)信息系統(tǒng)上線后的運(yùn)行維護(hù)工作,具體為機(jī)房治理、根底設(shè)施日常巡檢、應(yīng)

7、用系統(tǒng)監(jiān)控等；二負(fù)責(zé)定期維護(hù)機(jī)房環(huán)境設(shè)施及重要信息系統(tǒng)設(shè)備等；三負(fù)責(zé)提出應(yīng)用系統(tǒng)非功能性需求；四負(fù)責(zé)定期分析信息系統(tǒng)運(yùn)行過(guò)程中的日志、周報(bào)、月報(bào),并定期匯總上報(bào)治理層；五負(fù)責(zé)協(xié)調(diào)并組織應(yīng)對(duì)信息系統(tǒng)運(yùn)行過(guò)程中的突發(fā)事件；六配合生產(chǎn)技術(shù)部完成其他信息科技方面的相關(guān)工作.第五章信息平安崗位責(zé)任第十四條應(yīng)建立信息平安崗位,明確信息平安崗位責(zé)任.第十五條工程方案崗位責(zé)任為：起草和編制信息系統(tǒng)信息安全總體規(guī)劃以及方案方案,收集信息系統(tǒng)平安需求.第十六條工程治理崗位責(zé)任為：一負(fù)責(zé)信息系統(tǒng)工程實(shí)施的組織、協(xié)調(diào)和驗(yàn)收工作；二負(fù)責(zé)工程合同的治理及監(jiān)督.第十七條運(yùn)行維護(hù)崗位責(zé)任為：一起草和編制信息系統(tǒng)信息平安方針、

8、信息平安保證體系框架和信息平安策略、制度和技術(shù)標(biāo)準(zhǔn)；二推動(dòng)信息系統(tǒng)信息平安方針、信息平安策略、信息平安管理制度及信息平安技術(shù)標(biāo)準(zhǔn)的實(shí)施落實(shí).第十八條設(shè)備資源治理崗位責(zé)任為：負(fù)責(zé)信息系統(tǒng)設(shè)備的管理,包括設(shè)備的報(bào)廢等.第十九條平安治理員的崗位責(zé)任為：一定期組織信息系統(tǒng)漏洞掃描和信息平安風(fēng)險(xiǎn)評(píng)估工作,形成信息系統(tǒng)和整體平安現(xiàn)狀報(bào)告,并向信息平安治理委員會(huì)進(jìn)行匯報(bào)；二負(fù)責(zé)制定信息系統(tǒng)總體網(wǎng)絡(luò)訪問(wèn)限制策略和規(guī)那么,并對(duì)其進(jìn)行監(jiān)控和審計(jì)工作,定期發(fā)布策略執(zhí)行情況；三對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫(kù)治理員進(jìn)行平安指導(dǎo)；四定期收集信息平安漏洞和公告信息,告知相關(guān)平安運(yùn)維管理人員；五協(xié)調(diào)信息平安應(yīng)急響應(yīng)組織和技術(shù)支撐

9、單位.第二十條平安審計(jì)員的崗位責(zé)任為：一定期審計(jì)信息系統(tǒng)信息平安策略執(zhí)行情況,收集信息系統(tǒng)日志和審計(jì)記錄,并提供審計(jì)報(bào)告；二對(duì)平安、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫(kù)治理員的操作行為進(jìn)行監(jiān)督,平安責(zé)任落實(shí)情況進(jìn)行檢查；第二十一條系統(tǒng)治理員的平安責(zé)任為：一根據(jù)信息系統(tǒng)平安策略定期對(duì)系統(tǒng)進(jìn)行自評(píng)估；二依照平安策略對(duì)系統(tǒng)進(jìn)行平安配置和漏洞修補(bǔ),保證平安補(bǔ)丁保持2個(gè)月內(nèi)最新補(bǔ)?。蝗龑?duì)系統(tǒng)進(jìn)行日常平安運(yùn)維治理,定期更改系統(tǒng)賬號(hào),并定期提交平安運(yùn)行維護(hù)記錄或報(bào)告；四在發(fā)生系統(tǒng)異常和平安事件時(shí),應(yīng)能對(duì)系統(tǒng)進(jìn)行應(yīng)急處置.第二十二條網(wǎng)絡(luò)治理員的平安責(zé)任為：一根據(jù)信息系統(tǒng)平安策略定期對(duì)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)架構(gòu)進(jìn)行自評(píng)估；二依照平

10、安策略對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行平安配置和漏洞修補(bǔ)；三對(duì)網(wǎng)絡(luò)設(shè)備、平安設(shè)備進(jìn)行日常平安運(yùn)維治理,并定期提交平安運(yùn)行維護(hù)記錄或報(bào)告；四在發(fā)生系統(tǒng)異常和平安事件時(shí),應(yīng)能對(duì)網(wǎng)絡(luò)設(shè)備、平安設(shè)備進(jìn)行應(yīng)急處置.第六章信息平安崗位要求第二十三條生產(chǎn)技術(shù)部應(yīng)設(shè)立專職的信息平安治理崗位,并由專人負(fù)責(zé),根據(jù)信息平安治理的實(shí)際工作情況,人員編制1人.第二十四條各部門應(yīng)設(shè)立專職的平安治理員.第二十五條關(guān)鍵事務(wù)崗位應(yīng)配備多人共同治理,定期輪崗,關(guān)鍵崗位人員配備堅(jiān)持“權(quán)限分散、不得交叉覆蓋的原那么,平安治理員和平安審計(jì)員不能由一人身兼.第二十六條各部門應(yīng)根據(jù)崗位責(zé)任,確定崗位所需要的平安技能,并對(duì)所有信息平安崗位人員進(jìn)行對(duì)應(yīng)的平安技能培訓(xùn).第二十七條信息系統(tǒng)的平安技術(shù)崗位可由其他相關(guān)治理員兼任,其中網(wǎng)絡(luò)平安治理、系統(tǒng)平安治理、數(shù)據(jù)庫(kù)平安治理以及應(yīng)用安全治理工作可分別由網(wǎng)絡(luò)治理員、系統(tǒng)治理員、數(shù)據(jù)庫(kù)治理員以及應(yīng)用治理員