08、安全管理組織規(guī)范V1.0

XXX單位安全管理組織規(guī)范V1.020XX年XX月XX日目錄1 目的 12 適用范圍 13 安全組織 13.1 信息安全管理中心 13.2 信息安全工作組 14 審批管理 24.1 審批權限 24.2 審批內(nèi)容 24.3 審批程序 25 安全職責 25.1 安全主管 35.2 安全管理員 45.3 安全審計員 55.4 系統(tǒng)管理員 65.5 網(wǎng)絡管理員 75.6 數(shù)據(jù)庫管理員 85.7 應用管理員 95.8 機房管理員 105.9 資產(chǎn)管理員 116 附則 11PAGE1/=NUMPAGES13-211目的為加強XXX單位信息安全管理，明確信息安全責任，保障信息化建設的穩(wěn)步發(fā)展，特制定本規(guī)范。適用范圍本規(guī)范適用于XXX單位信息系統(tǒng)安全組織。安全組織建立專門的信息安全管理中心和安全工作組。信息安全管理中心信息安全管理中心負責領導落實信息系統(tǒng)安全建設的總體規(guī)劃，制定本單位安全工作規(guī)劃的制定與實施，承擔如下職責：(一) 在信息系統(tǒng)網(wǎng)絡與信息安全總體方針的指導下，負責組織制定信息系統(tǒng)安全策略并審批部門上報的信息系統(tǒng)安全策略；(二) 負責組織細化上級規(guī)章制度，制定相應程序指南，并監(jiān)督落實規(guī)章制度；(三) 負責信息系統(tǒng)安全管理層人員權限授予工作；(四) 負責審閱部門信息安全工作報告；負責信息部門重大安全事故查處與匯報工作。信息安全工作組信息安全工作組從事具體的安全工作，建立和維持信息安全管理體系，在信息系統(tǒng)內(nèi)部開展和控制信息安全的管理實施，并承擔如下職責：(一) 調整并制定所有必要的信息安全管理規(guī)程、制度以及實施指南等；(二) 配合執(zhí)行信息安全相關的實施方法和程序，如風險評估、資產(chǎn)分級分類方法等；(三) 主動采取部門內(nèi)的信息安全措施，如安全意識培訓及教育等；(四) 審批信息化建設項目規(guī)劃及設計的安全部分，并監(jiān)督其實施落實；(五) 審查信息安全策略的遵循性；(六) 審查、監(jiān)控、協(xié)調信息安全相關事件的評估和響應；(七) 輔助領導機構進行安全方面的決策；(八) 根據(jù)信息安全管理體系的要求，定期向上級主管領導和信息安全管理中心報告。審批管理審批權限對本部門或科室各項重要活動的審批。審批內(nèi)容審批內(nèi)容（重要活動）包括網(wǎng)絡系統(tǒng)、應用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、重要服務器和設備等重要資源的訪問，系統(tǒng)變更，網(wǎng)絡系統(tǒng)的接入，重要管理制度的制定和發(fā)布，人員的配備、培訓，產(chǎn)品的采購，第三方人員的訪問、管理，與合作單位的合作項目等。審批程序相關部門或科室將相關需要審批的內(nèi)容，提交信息安全管理中心審核，并填寫對應審批表，按審批權限進行逐級審批。經(jīng)相關部門或科室負責人審批通過后，方實施。安全職責網(wǎng)絡與信息安全責任分配的基本原則是“誰主管、誰負責；誰運維、誰負責；誰使用、誰負責”。信息安全相關工作應遵循職責分離的原則，以減少誤用或濫用權力帶來風險的概率，在無法實現(xiàn)職責充分分離的情況下，應采取其他補償控制措施并制定流程文檔記錄在案。

安全主管（一）崗位職責1）嚴格維護及遵守國家的一切法律、條例、帶頭遵循公司、部門各項規(guī)章制度；2）準確傳達執(zhí)行單位各項工作指令，全面主持部門安全工作；3）組織對的信息安全工作制度和技術操作策略進行審查，擬訂信息安全總體策略規(guī)劃，并監(jiān)督執(zhí)行；4）負責協(xié)調、督促各部門和有關單位的信息安全工作，參與信息系統(tǒng)工程建設中的安全規(guī)劃，監(jiān)督安全措施的執(zhí)行；5）組織信息安全工作檢查，分析信息安全總體狀況，提出分析報告和安全風險的防范對策；6）負責接受各部門的緊急信息安全事件報告，組織進行事件調查，分析原因、涉及范圍，并評估安全事件的嚴重程度，提出信息安全事件防范措施，并及時向上級有關部門、單位報告信息安全事件；7）跟蹤先進的信息安全技術，組織信息安全知識的培訓和宣傳工作；8）完成領導交辦的其它工作.（二）任職要求 1）教育背景：計算機相關專業(yè)；本科及以上學歷2）工作經(jīng)驗：3年及以上本企業(yè)工作經(jīng)驗，1年及以上基層工作經(jīng)驗3）職業(yè)資質：具備相應專業(yè)中級及以上專業(yè)技術資格，或技師及以上技能等級，具備崗位勝任能力合格證書4）崗位勝任能力：熟悉計算機、網(wǎng)絡、安全、信息系統(tǒng)專業(yè)知識，了解企業(yè)運營管理知識具備較強的計劃、組織、溝通、協(xié)調、學習、分析、團隊領導和文字表達導能力，具有較強的敬業(yè)意識和責任心

安全管理員（一）崗位職責1）貫徹和落實上級及本單位相關管理制度，開展信息安全管理；2）組織開展信息安全體系建設，組織實施信息安全管理工作，制定和落實安全策略；3）組織開展信息系統(tǒng)等級保護和安全風險管理工作，開展關鍵業(yè)務系統(tǒng)的應急演練工作；4）實施全局IP地址規(guī)劃、設置、管理工作；5）落實防病毒系統(tǒng)等信息安全措施及日常管理工作，實施防火墻、入侵檢測、審計等安全專用設備的日常維護和運行管理工作；6）完成領導交辦的其它工作。（二）任職要求 1）教育背景：計算機相關專業(yè)；大專及以上學歷2）工作經(jīng)驗：1年及以上相關工作經(jīng)驗3）職業(yè)資質：具備相應專業(yè)員級及以上專業(yè)技術資格，或中級工及以上技能等級，具備崗位勝任能力合格證書4）崗位勝任能力：了解計算機、網(wǎng)絡和信息系統(tǒng)專業(yè)知識，了解信息安全知識具備一定的學習、分析和溝通能力，具有較強的敬業(yè)意識和責任心

安全審計員（一）崗位職責1）負責指導并監(jiān)督系統(tǒng)管理員（包括主機系統(tǒng)管理員、網(wǎng)絡管理員、數(shù)據(jù)庫管理員和應用管理員等）及普通用戶與安全相關的工作；2）負責定期對主機系統(tǒng)、網(wǎng)絡產(chǎn)品、應用系統(tǒng)的日志文件進行分析審計，發(fā)現(xiàn)問題及時上報；3）負責組織信息系統(tǒng)的安全風險評估工作，并定期進行系統(tǒng)漏洞掃描，形成安全評估報告；4）根據(jù)本單位的信息安全需求，定期提出本單位的信息安全改進意見，并上報信息安全管理部門主管；5）定期查看信息安全站點的安全公告，跟蹤和研究各種信息安全漏洞和攻擊手段，在發(fā)現(xiàn)可能影響信息安全的安全漏洞和攻擊手段時，及時做出相應的對策，通知并指導系統(tǒng)管理員進行安全防范；6）負責組織審議安全方案、安全審計報告、應急計劃以及整體安全管理制度；7）完成領導交辦的其它工作。（二）任職要求 1）教育背景：計算機相關專業(yè)；大專及以上學歷2）工作經(jīng)驗：1年及以上相關工作經(jīng)驗3）職業(yè)資質：具備相應專業(yè)員級及以上專業(yè)技術資格，或中級工及以上技能等級，具備崗位勝任能力合格證書4）崗位勝任能力：了解計算機、網(wǎng)絡和信息系統(tǒng)專業(yè)知識，了解信息安全知識具備一定的學習、分析和溝通能力，具有較強的敬業(yè)意識和責任心?

系統(tǒng)管理員（一）崗位職責1）貫徹和落實上級及本單位相關管理制度，負責系統(tǒng)的運行和維護管理；2）負責主機操作系統(tǒng)的安全配置（包括及時修補系統(tǒng)漏洞）和日常審計，系統(tǒng)應用軟件的安裝，從系統(tǒng)層面實現(xiàn)對用戶與資源的訪問控制；3）負責對所管轄的服務器操作系統(tǒng)進行安全配置，并定期對所管轄的服務器操作系統(tǒng)進行安全檢查；4）在主機系統(tǒng)異?；蚬收习l(fā)生時，詳細記載發(fā)生異常時的現(xiàn)象、時間和處理方式，并及時上報；5）編制主機設備的維修、報損、報廢計劃，報主管領導審核；6）完成領導交辦的其它工作。（二）任職要求 1）教育背景：計算機相關專業(yè)；大專及以上學歷2）工作經(jīng)驗：1年及以上相關工作經(jīng)驗3）職業(yè)資質：具備相應專業(yè)員級及以上專業(yè)技術資格，或中級工及以上技能等級，具備崗位勝任能力合格證書4）崗位勝任能力：了解計算機、網(wǎng)絡和信息系統(tǒng)專業(yè)知識具備一定的學習、分析和溝通能力，具有較強的敬業(yè)意識和責任心

網(wǎng)絡管理員（一）崗位職責1）貫徹和落實上級及本單位相關管理制度，開展網(wǎng)絡管理工作；2）開展本單位網(wǎng)絡基礎設施等規(guī)劃、建設及日常運行維護工作；3）負責網(wǎng)絡的部署以及網(wǎng)絡產(chǎn)品、網(wǎng)絡安全產(chǎn)品的配置、管理與監(jiān)控，并對關鍵網(wǎng)絡配置文件進行備份，及時修補網(wǎng)絡設備的漏洞；4）在網(wǎng)絡及設備異常或故障發(fā)生時，詳細記載發(fā)生異常時的現(xiàn)象、時間和處理方式，并及時上報；5）編制網(wǎng)絡設備的維修、報損、報廢等計劃，報主管領導審核；6）完成領導交辦的其他任務。（二）任職要求 1）教育背景：計算機相關專業(yè)；大專及以上學歷2）工作經(jīng)驗：1年及以上相關工作經(jīng)驗3）職業(yè)資質：具備相應專業(yè)員級及以上專業(yè)技術資格，或中級工及以上技能等級，具備崗位勝任能力合格證書4）崗位勝任能力：了解計算機、網(wǎng)絡和信息系統(tǒng)專業(yè)知識具備一定的學習、分析和溝通能力，具有較強的敬業(yè)意識和責任心

數(shù)據(jù)庫管理員（一）崗位職責1）貫徹和落實上級及本單位相關管理制度，開展網(wǎng)絡管理工作；2）對數(shù)據(jù)庫系統(tǒng)進行安全配置，修補已發(fā)現(xiàn)的漏洞；3）負責數(shù)據(jù)庫系統(tǒng)的用戶賬號管理，對系統(tǒng)中所有的用戶進行登記備案；對數(shù)據(jù)庫系統(tǒng)的用戶、口令的安全性進行管理；對數(shù)據(jù)庫系統(tǒng)登錄用戶進行監(jiān)測和分析；4）負責業(yè)務數(shù)據(jù)及系統(tǒng)其它重要數(shù)據(jù)的備份與備份數(shù)據(jù)管理工作；5）為安全審計員提供完整、準確的數(shù)據(jù)庫系統(tǒng)運行活動的日志記錄，詳細記載發(fā)生異常時的現(xiàn)象、時間和處理方式，并及時上報；6）在發(fā)生安全問題導致數(shù)據(jù)損壞或丟失時，進行數(shù)據(jù)的恢復；7）根據(jù)業(yè)務發(fā)展的需求，提交數(shù)據(jù)存儲介質購買或存儲系統(tǒng)擴容計劃；8）完成領導交辦的其他任務。（二）任職要求 1）教育背景：計算機相關專業(yè)；大專及以上學歷2）工作經(jīng)驗：1年及以上相關工作經(jīng)驗3）職業(yè)資質：具備相應專業(yè)員級及以上專業(yè)技術資格，或中級工及以上技能等級，具備崗位勝任能力合格證書4）崗位勝任能力：了解計算機、網(wǎng)絡和信息系統(tǒng)專業(yè)知識具備一定的學習、分析和溝通能力，具有較強的敬業(yè)意識和責任心

應用管理員（一）崗位職責1）貫徹和落實上級及本單位相關管理制度，開展網(wǎng)絡管理工作；2）對業(yè)務應用系統(tǒng)進行安全配置；督促軟件開發(fā)商提供補丁來修補已發(fā)現(xiàn)的漏洞；3）對業(yè)務應用系統(tǒng)的用戶、口令的安全性進行管理；對業(yè)務應用系統(tǒng)的登錄用戶進行監(jiān)測和分析；4）負責提出數(shù)據(jù)的備份要求，制定數(shù)據(jù)備份策略，督促數(shù)據(jù)庫管理員按照備份方案按時完成，并恢復所需數(shù)據(jù)；5）實施系統(tǒng)軟件版本管理，應用軟件備份和恢復管理；6）完成領導交辦的其他任務。（二）任職要求 1）教育背景：計算機相關專業(yè)；大專及以上學歷2）工作經(jīng)驗：1年及以上相關工作經(jīng)驗3）職業(yè)資質：具備相應專業(yè)員級及以上專業(yè)技術資格，或中級工及以上技能等級，具備崗位勝任能力合格證書4）崗位勝任能力：了解計算機、網(wǎng)絡和信息系統(tǒng)專業(yè)知識具備一定的學習、分析和溝通能力，具有較強的敬業(yè)意識和責任心

機房管理員（一）崗位職責1）貫徹和落實上級及本單位相關管理制度，開展機房管理工作，其它人員未經(jīng)允許不得入內(nèi)；2）填寫機房的值班記錄和運行日志，提高設備的完好率和利用率，保證計算機運行可靠性；3）隨時監(jiān)測機器和網(wǎng)絡狀況，處理臨時出現(xiàn)的故障，確保計算機和網(wǎng)絡安全運轉；4）機房內(nèi)必須保持環(huán)境清潔，做好防潮、防塵、防水、防熱、防火、防盜等工作；并定期為服務器及交換機等設備除塵；5）完成領導交辦的其他任務。（二）任職要求 1）教育背景：計算機相關專業(yè)；大專及以上學歷2）工作經(jīng)驗：1年及以上相關工作經(jīng)驗3）職業(yè)資質：具備相應專業(yè)員級及以上專業(yè)技術資格，或中級工及以上技能等級，具備崗位勝任能力合格證書4）崗位勝任能力：了解計算機、網(wǎng)絡和信息系統(tǒng)專業(yè)知識具備一定的學習、分析和溝通能力，具有較強的敬業(yè)意識和責任心

資產(chǎn)管理員（一）崗位職責1）貫徹和落實上級及本單位相關管理制度，負責設備管理的日常事務；2）負責建立和完善設備資料檔案；3）負責信息技術部門全部資產(chǎn)的采購、登記