信息安全组织与岗位职责管理制度.pdf

信息安全组织及岗位职责管理制度 二零一八年八月 版本控制 版本 修改时间 修改内容 修改人员 审核人员 I II 第一章 总则 第一条 为加强公司等级保护保障工作的组织协调， 建立健全等 级保护管理制度和运行机制，切实提高公司等级保护保障工作水平， 全面提高信息系统信息安全管理能力 , 根据《国家信息化领导小组关 于加强信息安全保障工作的意见》 、《GB/T22239-2008 信息安全等级 保护基本要求》等政策要求，特制定本制度。 第二条 本规定依照信息安全管理的主要领导负责原则、 全员参 与原则、依法管理原则、分权和授权原则和体系化管理原则编制，具 体原则为： ( 一) 主要领导负责原则：确保公司主要领导参与并确立组织统 一的信息系统信息安全保障宗旨和政策，组织有效的安全保障队伍， 调动并优化配置必要的资源，协调安全管理工作与各部门工作的关 系，并确保其落实、有效； ( 二) 全员参与原则：信息系统所有相关人员普遍参与信息系统 的安全管理，并与相关方面协同、协调，共同保障信息系统的安全； ( 三 ) 依法管理原则：信息系统信息安全管理工作应保证管理主 体合法、管理行为合法、管理内容合法、管理程序合法； ( 四) 分权和授权原则：对特定职能或责任领域的管理功能实施 分离、独立审计等实行分权，避免权力过分集中所带来的隐患，以减 小未授权的修改或滥用系统资源的机会。 任何实体 （如用户、管理员、 进程、应用或系统）仅享有该实体需要完成其任务所必须的权限，不 应享有任何多余权限。 1 ( 五) 体系化管理原则 : 信息系统应符合信息安全相关政策的体 系化管理目标和要求。 第三条 本规定适用于公司。 第二章 组织目标 第四条 本制度旨在实现信息安全管理组织的以下目标： ( 一) 管理组织内的信息系统安全保护工作； ( 二) 管理外部组织访问组织内信息处理设施和信息资产的安 全。 第三章 安全管理组织架构 第五条 为加强对公司信息安全管理工作的领导， 贯彻落实监管 部门的信息安全保护要求，经研究决定成立公司信息安全管理委员 会。 第六条 信息安全管理委员会为公司信息安全工作的最高管理 机构。 第七条 由公司副总经理担任信息安全管理委员会主席， 成员包 括： ( 一) 生产技术部主管领导； ( 二) 各部门主管领导。 第八条 生产技术部是信息安全管理工作的执行机构， 负责执行 信息安全管理委员会交办的各项工作， 由生产技术部总经理担任负责 人，成员包括： 2 ( 一) 生产技术部； ( 二) 系统开发部； ( 三 ) 运营维护部。 第九条 生产技术部应设立信息安全管理岗位， 分别为安全管理 员、安全审计员、网络管理员、系统管理员、数据库管理员、应用管 理员，负责执行