HRBank-ISMS-02-10-V1.0 信息安全组织建设管理规定.docVIP

密级:内部公开 HRBank-ISMS-02-10-V1.0 第 PAGE 1 页 共 NUMPAGES 9 页 信息安全组织建设管理规定 总则 为在科技发展部内建立有效的信息安全组织框架，提供科技发展部信息安全管理体系组织保障，推动信息安全各项工作的开展，特制定本规定。 信息安全组织建设总体要求：遵循“操作落实到人，布置落实到组，检查落实到中心，监督落实到专业组，考核落实到科技发展部”的风险防范基本要求，设置各层组织、人员的信息安全职责，保证科技发展部信息安全工作的执行、布置、检查、监督和考核五级责任可在人、组、中心和科技发展部四个层面具体落实并有效执行。 本规定适用于科技发展部范围内的信息安全组织建设相关活动。 组织框架 科技发展部信息安全组织框架包括管理决策、监督检查、贯彻执行三个方面的职能（信息安全组织架构图详见附件二）。 管理决策职能由科技发展部信息安全工作指挥小组承担，领导科技发展部信息安全总体工作, 信息安全工作指挥小组组长由哈尔滨银行主管科技的行领导担任，副组长由科技发展部总经理担任，组员为科技发展部经管层领导及各中心负责人。设立信息安全管理者代表，由信息安全工作指挥小组副组长担任，负责信息安全工作的总体协调和推进。信息安全工作指挥小组下设办公室，办公室设在科技发展部，负责信息安全工作的具体协调和落实。 监督检查职能由科技发展部风险管理组承担，负责科技发展部信息安全各项工作的日常监督和持续检查。各部门的安全组负责本部门的信息安全各项工作的日常监督和持续检查。 贯彻执行职能由科技发展部各职能组及全体员工承担，遵循信息安全管理要求，落实各项信息安全工作，配合监督和检查。各职能组设置专职的信息安全员（或兼职信息安全员），负责各职能组信息安全工作的具体协调和落实。 管理决策 科技发展部信息安全工作指挥小组，负责制订科技发展部信息安全发展战略，审批信息安全策略文件，部署并考核信息安全工作，主要职责包括： 贯彻落实国家和上级单位关于信息安全和风险管理的方针政策，确立科技发展部信息安全方针； 组织制定科技发展部信息安全和风险管理的总体规划； 研究部署和讨论决定科技发展部信息安全和风险管理工作的重大事项； 组织制定科技发展部信息安全和风险管理的规章、制度； 对科技发展部信息安全工作进行考核，审批考核结果并做决策。 信息安全管理者代表，负责科技发展部信息安全工作的总体协调和推进，主要职责包括： 提出信息安全目标，领导信息安全管理体系的建立、运行和维护，开展资产识别和风险评估； 协调与信息安全管理体系有关的各项工作； 确保在科技发展部内提高员工信息安全意识； 督促信息安全管理体系内部审核和信息安全检查的开展； 协助最高管理者进行信息安全管理体系的管理评审； 向最高管理者报告信息安全管理体系的业绩和改进要求。 信息安全工作指挥小组办公室负责信息安全工作的具体协调和落实，主要职责包括： 负责科技发展部信息安全工作的日常事务； 向信息安全工作指挥小组汇报。 监督检查 科技发展部风险管理组负责科技发展部信息安全制度的制定、具体工作的组织协调和监督检查，主要职责包括： 组织识别安全需求，制定信息安全方针与制度； 制定风险评估计划，组织进行风险评估，制定风险处理计划； 跟踪信息安全事件处理并报告，信息安全事件统计及分析； 组织实施内部信息安全检查； 组织对员工的信息安全意识教育和基础培训； 对各中心的信息安全工作进行监督、指导； 定期向信息安全工作指挥小组提供信息安全管理报告; 组织开展科技发展部各中心信息安全职责考核； 与外部信息安全组织、机构联系和沟通。 各中心信息安全组负责本中心信息安全具体工作的组织协调和监督检查，承担以下信息安全职责： 代表本中心与科技发展部风险管理组保持联络，传达并落实科技发展部信息安全工作要求，推进本部门信息安全具体工作； 组织实施中心内部信息安全检查； 负责各职能组信息安全工作的监督和检查； 负责制定本中心风险评估计划，组织进行风险评估，制定风险处理计划； 跟踪信息安全事件处理并报告，信息安全事件统计及分析； 组织对本中心员工及相关第三方的信息安全意识教育和基础培训； 定期对本中心信息安全工作进行考核并上报科技发展部风险管理组。 贯彻执行 科技发展部信息安全各项工作，需在中心、职能组和员工三个层面予以落实。 各中心承担以下信息安全职责： 中心负责人作为本中心信息安全第一责任人； 贯彻落实科技发展部各项安全管理要求； 识别并评估本部门的信息资产和风险，落实相应的保护要求，根据风险处理计划制订风险处理方案并组织实施； 开展本部门信息安全自查工作，制订并落实本部门职责范围内的具体整改措施； 监控本部门信息安全事件并定期进行分析； 开展本部门员工的信息安全