安全管理体系总体设计方案.docx

安全管理体系总体设计案 安全组织结构 省农垦总局总医院安全管理组织应形成由主管领导牵头的信息安全领导小组、具体信息安全职能部门负责日常工作的组织模式，组织结构图如下所示： 主管领导信息安全领导小组组长 主管领导 信息安全领导小组组长 信息安全领导小组成员 信息安全工作组领导 信息安全领导小组成员 信息安全领导小组 安全职能部门 信息安全工作组 网络管理员 信息安全工作组 安全管理员 信息安全工作组成员 系统管理员 信息安全工作组 应用、数据库管理员 安全审计员 信息安全工作组 信息安全工作组成员 物理管理员信息安全工作组 图 8-1 安全组织结构图 信息安全领导小组职责 信息安全领导小组是由省农垦总局总医院主管领导牵头， 各部门的负责人为组成成员的组织机构， 主要负责批准省农垦总局总医院安全策略、 分配安全责任并协调安全策略能够实施， 确保安全管理工作有一个明确的向， 从管理和决策层角度对信息安全管理提供支持。信息安全领导小组的主要责任如下： (一) 确定网络与信息安全工作的总体向、目标、总体原则和安全工作法； (二) 审查并批准政府的信息安全策略和安全责任； (三) 分配和指导安全管理总体职责与工作； (四) 在网络与信息面临重大安全风险时，监督控制可能发生的重大变化； (五) 对安全管理的重大更改事项（例如：组织机构调整、关键人事变动、信 息系统更改等）进行决策； (六) 指挥、协调、督促并审查重大安全事件的处理，并协调改进措施； (七) 审核网络安全建设和管理的重要活动，如重要安全项目建设、重要的安全管理措施出台等； (八) 定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。 信息安全工作组职责 信息安全工作组是信息安全工作的日常执行机构，设专职的安全管理组织和岗位，负责日常具体安全工作的落实、组织和协调。信息安全工作组的主要职责如下： （一） 贯彻执行和解释信息安全领导小组的决议； （二） 贯彻执行和解释主管机构下发的信息安全策略； （三） 负责组织和协调各类信息安全规划、案、实施、测试和验收评审会议； （四） 负责落实和执行各类信息安全具体工作，并对具体落实情况进行总结和汇报； （五） 负责外部组织和机构的沟通、协调和合作工作； （六） 负责制定所有信息安全相关的管理制度和规； （七） 负责针对信息安全相关的管理制度和规具体落实工作进行监督、检查、考核、指导及审批，例如现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。 以上组织结构和职责通过《信息安全组织职责体系》加以说明。 信息安全岗位 为了有效落实信息安全各项工作， 省农垦总局总医院应设立以下专职的安全岗位，负责安全工作的落实和执行： (一) 信息安全工作组主管 负责网络与信息安全的日常整体协调、管理工作； 负责组织人员制定信息安全管理制度，并对管理制度进行推广、培训和指导； 负责重大安全事件的具体协调和沟通工作。 (二) 安全管理员岗位 负责执行网络与信息安全工作的日常协调、管理工作； 负责日常的安全监控管理，并对上报和发现的各类安全事件进行响应； 负责系统、网络和应用安全管理的协调和技术指导； 负责安全管理平台安全策略制定，访问控制策略审核； 负责组织安全管理制度的推广和培训工作； 负责定期进行安全检查，检查容包括系统日常运行、系统漏洞和数据备 份等情况。 (三) 安全审计员岗位 负责安全管理制度落实情况的检查、监督和指导； 负责安全策略执行情况的审核。 (四) 系统管理员 负责系统安全稳定运行的日常管理工作； 负责保持系统的防病毒系统、补丁等保持最新，定期对系统进行安全加固，保持系统漏洞最小化。 (五) 网络管理员 负责网络设备安全稳定运行的日常管理工作； 负责保持网络设备的漏洞最小化，定期对系统进行安全加固； 负责保持网络路由和交换策略与业务需求保护一致。 省农垦总局总医院应根据日常的运行维护和管理工作，设置物理环境管理 、数据库管理、 应用管理以及资产管理等岗位， 这些岗位也应当包括安全职责， 这些安全职责的具体容通过《信息安全管理岗位说明书》落实。 专家顾问与外部协作 省农垦总局总医院应聘请专家和外部顾问成员， 这些成员需要对信息安全或相关领域有丰富地知识和经验， 如安全技术、电子政务、等级保护或质量管理等。专家和外部顾问负责对信息安全重要问题的决策提供咨询和建议。 同时应加强与供应商、业界专家、专业的安全公司等安全组织的合作和沟通。 安全管理制度 安全管理制度体系 省农垦总局总医院安全管理制度应建立信息安全针、 安全策略、安全管理制度、安全技术规以及流程的一套信息安全管理制度体系。 信息安全方针 信息安全方针 信息安全主策略 信息安全管理 制度和规定 信息安全技术 规范和标准 安全工作流程