xx银行安全管理组织机构和职责说明.docx

XX 银行 安全管理机构和职责 建议） 2007年 5 月 目__录 TOC \o 1-5 \h \z \o Current Document 适用范围 2.. \o Current Document 组织结构 2. \o Current Document XX银行行长 2. \o Current Document 信息安全管理委员会 3 \o Current Document 信息安全审计小组 3 \o Current Document 业务连续性保障小组 4. \o Current Document 系统管理员和信息系统用户 4 上海启明星辰信息技术有限公司 第1页 地址：上海市浦东张江高科技园区松涛路 563号海外创新楼A座6层 邮编：201203 电话：021 —传真：021 -后明星辰1www.i-enuii￡dkcomxn 后明星辰1 www.i-enuii￡dkcomxn 1适用范围 本策略适用XX银行。 2组织结构 本策略定义了 XX银行安全组织中所有成员的组成和职责，本附件是对 XX 银行安全策略框架中安全组织策略的延伸。 XX银行安全组织结构图示如下： 2.1 XX银行行长 XX银行行长对总体信息安全负责，他领导信息信息安全管理委员会，负责批准 XX银行信息安全策略。XX银行行长在安全建设工作中，负责对相关信息安全 方面的指导方向、安全建设目标等重大问题做出决策， 协调各个部门之间的安全 协同管理，支持和推动信息安全工作在整个 XX银行范围内的实施。 XX银行行长的职责包括但不局限于如下： 指导XX银行的信息安全工作，对信息安全领域的重要问题做出决策； 上海启明星辰信息技术有限公司 地址：上海市浦东张江高科技园区松涛路 563号海外创新楼A座6层 电话：021 —伽芮字艮彳亍 启胆星辰 M-.vUnu-iiKh 批准符合XX银行信息安全需求的信息安全主策略（即本文件）； 指导XX银行信息系统建设，并提出相应的安全方面的要求； 接受股东和投资人的指导和监督； 定期接受首席安全官的信息安全现状汇报; 2.2信息安全管理委员会 信息安全管理委员会由 XX银行各业务部门管理层组成，由信息安全官领 导，通过各部门的协同工作，共同建设和保障整个 XX银行的安全，并负责本部 门信息安全的执行； 信息安全委员会所有成员的职责包括： 信息安全委员会的各部门管理人员对本部门的安全负责； 制定和批准本部门特定的安全管理流程和规范，这些流程和规范也可以 是整体维护规范的一部分，但必须与本策略及支持性文档符合； 各部门负责人应该指定本部门内部了解部门安全需求、部门内部业务和 技术维护运作流程的人作为兼职信息安全岗； 各部门的信息安全岗负责部门内部信息安全工作的执行和汇报，同时该 信息安全岗应该参加本附件第四节所描述的信息安全管理中心的各项职 能工作中。 2.3信息安全审计小组 信息安全审计小组的职责包括但不局限于如下： 接受上级信息安全管理中心的领导和监督； 负责定期对信息安全工作小组和业务连续性保障的工作绩效进行监督、 审核与评估； 负责信息系统安全方案的审定； 负责XX银行内部信息系统和安全管理流程的审计； 收集、整理、制订、提交相关信息安全审计策略和规范供信息安全管理 中心米纳和推广实施； 负责定期为信息安全管理中心提供各个部门和各个业务系统的安全审计 上海启明星辰信息技术有限公司 地址：上海市浦东张江高科技园区松涛路 563号海外创新楼A座6层 电话：021 —启胆星辰 启胆星辰7 www.i-enuiL 现状并提出改进措施; 2.4 业务连续性保障小组 业务连续性保障小组的职责包括但不局限于如下： 负责收集、整理、制定和提交业务系统连续性保障计划和规划供信息安 全管理中心采纳和推广； 负责处理和响应XX银行内部信息系统的突发性安全事件，确保安全事 件在最短的时间内解决，将由此造成的不良影响减至最小； 负责对发生的安全事件进行调查分析和评估报告，并对提交类似事件的 预警和防御措施至信息安全工作小组； 非信息安全管理中心编制的安全岗的职责包括但不局限于如下： 严格遵照XX银行既定的各项安全管理规范和安全策略实现各个部门和 业务系统的安全管理； 负责管辖范围内系统（设备）的安全维护，确保业务系统的安全、连续、 稳定运行； 指导和监督系统管理人员、应用管理人员、数据库管理人员和其它系统 用户对系统的安全操作； 负责对各个业务系统的安全审计，包括但不限于操作系统日志、应用系 统日志等； 负责对各个业务系统的安全评估，评估对象包括但不限于操作系统、应 用系统、数据库系统等。 及时向上级主管部门和业务连续性保障小组报告所发生