ISMS岗位信息安全职责.docVIP

ISMS岗位信息安全职责 目的和适用范围 为使信息安全管理体系更加有序有效的实施，需规定在信息安全方面的所有职责，特制定本程序。 本文件适用于公司信息安全管理体系涉及的所有人员和过程。 职责 信息安全管理机构机制及职责参见《信息安全管理体系方针》。 公司领导职责 公司领导（包括总裁和信息安全管理委员会主任）应具有以下方面的职责： 制定信息安全方针； 向公司员工传达（或宣传）满足信息安全目标和符合信息安全方针、法律法规要求的重要性; 主持ISMS的管理评审； 提供开发、实施、运行和维护ISMS所需的足够资源（包括人员、时间、设备、软件和资金等）； 决定可接受的风险水准。 部门领导职责 部门领导(主要是部门总经理，或部长）必须： 明确本部门所管理的（包括本公司的和相关方提供的）信息资产的类型，并进行资产登记和指定负责人。 对本部门所管理的关键信息资产进行风险评估，识别其所受的威胁、风险级别、脆弱性和潜在的影响，并制定与其相适应的控制措施。 编制支持达到信息机密性、完整性和可用性目标的控制程序，并确保这些控制程序获得遵照执行。 有效地把相关信息的限制及其相应的安全控制措施传达给该信息管理、处理、使用、保管的有关人员。 对管理和处理高敏感信息的人员，进行信用检查。 确保其所属的每一位员工都了解和履行其所负责的信息资产的安全职责。 积极地指导其所属人员执行本公司的信息安全管理规定。 向信息安全委员会报告信息被危及的任何迹象，或信息可能被泄露或损毁的任何可疑活动和行为。 主管职责 这里所说的主管是指在部长领导下主持某些领域工作的人员。他们必须： 向部长说明本领域特殊的信息安全要求； 按本领域特殊的信息安全要求，保护本领域的信息资产的安全。 联系相关技术支持人员（包括网络维护员、网络管理员和系统管理员等），确保其所属的每一位员工的机器都安装和定期更新可靠的防病毒软件，并及时安装系统补丁软件包。 员工职责 每一位员工或使用本公司信息的人员都要遵守本方针，都有保护公司信息资产、系统和基础设施安全的职责。 每一位员工都应采取适当的措施（包括设置密码），保护其所负责的所有形式的机密信息在管理、使用、储存、处理和传输中的安全。 所有员工在上岗前都必须与本公司签署《保密协议书》,承诺对信息安全的责任，不以任何形式泄露、改变或毁坏公司的密级信息，除非其获得有关方面的授权。 员工外出工作需要携带设备时，必须获得相关领导者的批准，并应采取相应的保护措施，防止丢失，防止损毁，确保信息安全。如:设备必须设置密码、不留在公共场所无人看管、不暴露于强电磁场等。 员工必须保管好允许其访问机密信息的物理钥匙、ID卡和计算机（或网络）密码。 员工发现自己所使用的储存设备被损坏而自己又不能修复时，应及时反映到有关的技术支持人员，个人不得随意处置。 员工必须归还被认定为要销毁的不可用的机密信息资产，本人不允许保留备份，包括物理文件和电子文件等。 员工在工作期间不得打听和获取与其工作无关的其他项目的密级信息。 员工在下班前，若无特殊工作需要，必须关闭自己的PC机，清空自己办公桌面上的密级资料，把自己保管的内部资料锁于柜子，避免资料外泄。 每一位员工任何时候都要有安全意识，离开计算机前，要将机器设置为不可操作状态（如：注销或锁定计算机）。打印（或复印）文件后必须立即取出所有文件（包括残缺文件）。 任何员工都有义务向其直接领导或信息安全委员会报告可能会危及密级信息安全的任何活动、行为和提出改进建议。 使用者职责 这里所说的使用者是指访问本公司密级信息的人员。 使用者必须获得授权、了解该信息的安全要求，并采取相应的安全保护措施。 如果已授权的使用者不了解其所要访问的信息的安全要求，那么他必须对该信息提供最高级限的保护。 使用者应小心保护其访问信息的密码、物理钥匙和ID卡，一旦发生密码泄露或钥匙、ID卡丢失，应立即向其直接领导报告并承担相应责任。 不鼓励一组人共享一个系统账号，同一密码。 相关文件 《信息安全管理体系方针》 中国3000万经理人首选培训网站 更多免费资料下载请进： 好好学习社区