信息安全系统组织及岗位职责管理系统规章制度.doc

实用文档 标准 TITLE 信息安全组织及岗位职责管理制度 二零一八年八月 版本控制 版本 修改时间 修改内容 修改人员 审核人员 标准 总则 为加强公司等级保护保障工作的组织协调，建立健全等级保护管理制度和运行机制，切实提高公司等级保护保障工作水平，全面提高信息系统信息安全管理能力,根据《国家信息化领导小组关于加强信息安全保障工作的意见》、《GB/T22239-2008信息安全等级保护基本要求》等政策要求，特制定本制度。 本规定依照信息安全管理的主要领导负责原则、全员参与原则、依法管理原则、分权和授权原则和体系化管理原则编制，具体原则为： 主要领导负责原则：确保公司主要领导参与并确立组织统一的信息系统信息安全保障宗旨和政策，组织有效的安全保障队伍，调动并优化配置必要的资源，协调安全管理工作与各部门工作的关系，并确保其落实、有效； 全员参与原则：信息系统所有相关人员普遍参与信息系统的安全管理，并与相关方面协同、协调，共同保障信息系统的安全； 依法管理原则：信息系统信息安全管理工作应保证管理主体合法、管理行为合法、管理内容合法、管理程序合法； 分权和授权原则：对特定职能或责任领域的管理功能实施分离、独立审计等实行分权，避免权力过分集中所带来的隐患，以减小未授权的修改或滥用系统资源的机会。任何实体（如用户、管理员、进程、应用或系统）仅享有该实体需要完成其任务所必须的权限，不应享有任何多余权限。 体系化管理原则:信息系统应符合信息安全相关政策的体系化管理目标和要求。 本规定适用于公司。 组织目标 本制度旨在实现信息安全管理组织的以下目标： 管理组织内的信息系统安全保护工作； 管理外部组织访问组织内信息处理设施和信息资产的安全。 安全管理组织架构 为加强对公司信息安全管理工作的领导，贯彻落实监管部门的信息安全保护要求，经研究决定成立公司信息安全管理委员会。 信息安全管理委员会为公司信息安全工作的最高管理机构。 由公司副总经理担任信息安全管理委员会主席，成员包括： 生产技术部主管领导； 各部门主管领导。 生产技术部是信息安全管理工作的执行机构，负责执行信息安全管理委员会交办的各项工作，由生产技术部总经理担任负责人，成员包括： 生产技术部； 系统开发部； 运营维护部。 生产技术部应设立信息安全管理岗位，分别为安全管理员、安全审计员、网络管理员、系统管理员、数据库管理员、应用管理员，负责执行网络、系统、数据库和应用的安全管理和运维工作。 信息安全组织职责 信息安全管理委员会负责领导信息系统安全工作，组织职责为： 根据国家和行业有关信息安全的政策、法律和法规，确定信息安全工作的总体方向、总体原则和安全工作方法； 根据国家和行业有关信息安全的政策、法律和法规，批准信息系统的安全策略和发展规划； 确定各有关部门在信息系统安全工作中的职责，领导安全工作的实施； 监督安全措施的执行，并对重要安全事件的处理进行决策； 指导和检查信息安全职能部门的各项工作； 建设和完善信息系统安全组织体系和管理机制。 生产技术部负责贯彻、落实和执行信息安全管理委员会下达的各项工作，组织职责为： 贯彻、落实和解释国家及行业有关信息安全的政策、法律、法规和信息安全工作要求，起草信息系统的安全策略和发展规划； 落实和执行信息系统信息安全工作的日常事务，对具体落实情况进行总结和汇报； 负责安全措施的实施或组织实施，组织并参加信息安全重要事件的处理； 负责内、外部组织和机构的信息安全沟通、协调和合作工作； 组织编制和落实信息安全规划工作； 指导和检查运维单位对信息系统安全工作落实情况； 监控信息系统安全总体状况，提出安全分析报告； 协同有关部门共同组成应急处理小组，组织处理信息安全应急响应工作； 负责组织信息系统安全知识的培训和宣传工作。 系统开发部负责信息系统建设开发相关工作，组织职责为： 负责信息系统开发过程中的项目管理工作； 负责信息系统运行维护过程中软件版本升级、功能定制等方面的开发工作； 配合生产技术部完成信息系统建设规划、方案设计及编写工作； 配合生产技术部完成公司管理层安排的其他相关技术工作。 运营维护部负责信息系统运行维护的相关工作，组织职责为： 负责信息系统上线后的运行维护工作，具体为机房管理、基础设施日常巡检、应用系统监控等； 负责定期维护机房环境设施及重要信息系统设备等； 负责提出应用系统非功能性需求； 负责定期分析信息系统运行过程中的日志、周报、月报，并定期汇总上报管理层； 负责协调并组织应对信息系统运行过程中的突发事件； 配合生产技术部完成其他信息科技方面的相关工作。 信息安全岗位职责 应建立信息安全岗位，明确信息安全岗位职责。 项目计划岗位职责为：起草和编制信息系统信息安全总体规划以及计划方案，收集信息系统安全需求。 项目管理岗位职责为： 负责