信息安全组织与岗位职责管理制度.docx

信息安全组织及岗位职责管理制度 二零一八年八月 版本控制 版本 修改时间 修改内容 修改人员 审核人员 I II 第一章 总则 第一条 为加强公司等级保护保障工作的组织协调， 建立健全等 级保护管理制度和运行机制，切实提高公司等级保护保障工作水平， 全面提高信息系统信息安全管理能力 , 根据《国家信息化领导小组关 于加强信息安全保障工作的意见》 、《GB/T22239-2008 信息安全等级 保护基本要求》等政策要求，特制定本制度。 第二条 本规定依照信息安全管理的主要领导负责原则、 全员参 与原则、依法管理原则、分权和授权原则和体系化管理原则编制，具 体原则为： ( 一) 主要领导负责原则：确保公司主要领导参与并确立组织统 一的信息系统信息安全保障宗旨和政策，组织有效的安全保障队伍， 调动并优化配置必要的资源，协调安全管理工作与各部门工作的关 系，并确保其落实、有效； ( 二) 全员参与原则：信息系统所有相关人员普遍参与信息系统 的安全管理，并与相关方面协同、协调，共同保障信息系统的安全； ( 三) 依法管理原则：信息系统信息安全管理工作应保证管理主 体合法、管理行为合法、管理内容合法、管理程序合法； ( 四) 分权和授权原则：对特定职能或责任领域的管理功能实施 分离、独立审计等实行分权，避免权力过分集中所带来的隐患，以减 小未授权的修改或滥用系统资源的机会。 任何实体（如用户、管理员、 进程、应用或系统）仅享有该实体需要完成其任务所必须的权限，不 应享有任何多余权限。 1 ( 五) 体系化管理原则 : 信息系统应符合信息安全相关政策的体 系化管理目标和要求。 第三条 本规定适用于公司。 第二章 组织目标 第四条 本制度旨在实现信息安全管理组织的以下目标： ( 一) 管理组织内的信息系统安全保护工作； ( 二) 管理外部组织访问组织内信息处理设施和信息资产的安 全。 第三章 安全管理组织架构 第五条 为加强对公司信息安全管理工作的领导， 贯彻落实监管部门的信息安全保护要求，经研究决定成立公司信息安全管理委员会。 第六条 信息安全管理委员会为公司信息安全工作的最高管理 机构。 第七条 由公司副总经理担任信息安全管理委员会主席， 成员包 括： ( 一) 生产技术部主管领导； ( 二) 各部门主管领导。 第八条 生产技术部是信息安全管理工作的执行机构， 负责执行信息安全管理委员会交办的各项工作， 由生产技术部总经理担任负责人，成员包括： 2 ( 一) 生产技术部； ( 二) 系统开发部； ( 三) 运营维护部。 第九条 生产技术部应设立信息安全管理岗位， 分别为安全管理 员、安全审计员、网络管理员、系统管理员、数据库管理员、应用管 理员，负责执行网络、系统、数据库和应用的安全管理和运维工作。 第四章 信息安全组织职责 第十条 信息安全管理委员会负责领导信息系统安全工作， 组织 职责为： ( 一) 根据国家和行业有关信息安全的政策、法律和法规，确定 信息安全工作的总体方向、总体原则和安全工作方法； ( 二) 根据国家和行业有关信息安全的政策、法律和法规，批准 信息系统的安全策略和发展规划； ( 三) 确定各有关部门在信息系统安全工作中的职责，领导安全 工作的实施； ( 四) 监督安全措施的执行， 并对重要安全事件的处理进行决策； ( 五) 指导和检查信息安全职能部门的各项工作； ( 六) 建设和完善信息系统安全组织体系和管理机制。 第十一条 生产技术部负责贯彻、落实和执行信息安全管理委 员会下达的各项工作，组织职责为： ( 一) 贯彻、落实和解释国家及行业有关信息安全的政策、 法律、 法规和信息安全工作要求，起草信息系统的安全策略和发展规划； 3 ( 二) 落实和执行信息系统信息安全工作的日常事务，对具体落 实情况进行总结和汇报； ( 三) 负责安全措施的实施或组织实施，组织并参加信息安全重 要事件的处理； ( 四) 负责内、外部组织和机构的信息安全沟通、协调和合作工 作； ( 五) 组织编制和落实信息安全规划工作； ( 六) 指导和检查运维单位对信息系统安全工作落实情况； ( 七) 监控信息系统安全总体状况，提出安全分析报告； ( 八) 协同有关部门共同组成应急处理小组，组织处理信息安全 应急响应工作； ( 九) 负责组织信息系统安全知识的培训和宣传工作。 第十二条 系统开发部负责信息系统建设开发相关工作，组织 职责为： ( 一) 负责信息系统开发过程中的项目管理工作； ( 二) 负责信息系统运行维护过程中软件版本升级、功能定制等 方面的开发工作； ( 三) 配合生产技术部完成信息系统建设规划、方案设计及编写 工作； ( 四) 配合生产技术部完成公司管理层安排的其他相关