ISO27001信息安全组织机构与部门职能分配表.docx

市 场 部实 市 场 部 实 施 部 拓 展 部 开 发 部 测 试 部 行 政 部 XXX有限公司新点 2008 年 12 月组织机构图 董事会 总经理 市场总监 开发总监 表 A.4 信息安全职责说明 序号 1 单位 / 部门 信息安全委员 会 信息安全职责 1) 负责公司的整体信息安全管理工作，负责公司信息资产的安全； 2) 负责与国家信息安全主管机构、 上级主管部门的沟通和交流， 负责有关 信息安全工作的落实和推行， 并负责报告本公司有关信息安全状况和重 要事件； 3) 负责协调公司内部信息安全工作， 分配信息安全管理目标、 职责， 并支 持和推动信息安全工作在公司范围内的实施； 4) 负责对与信息安全管理有关的重大事项进行决策， 包括安全组织机构调 整、 信息安全关键人事变动、 以及信息安全管理重大策略变更、 确认可 接受的风险和风险水平等； 5) 负责对信息安全管理体系进行内部评审和管理评审， 审批和发布信息安 全方针、信息安全规范及管理办法以及与信息安全管理相关的重大事 项； 6) 负责制定和实施与信息安全相关的奖惩措施和安全绩效考核体系； 7) 评审与监督重大信息安全事故的处理； 8) 对内部评审整改意见负最终责任。 2 3 信息安全工作 小组 总经理 1) 直接对信息安全管理委员会负责，承担信息安全管理委员会的具体工 作，协助在信息安全事务上的决策； 2) 负责信息安全管理体系的建立、实施和日常运行，起草信息安全政策， 确定信息安全管理标准，督促各信息安全执行单位对于信息安全政策、 措施的实施； 3) 负责定期召开信息安全管理工作会议， 定期总结运行情况以及安全事件 记录，并向信息安全管理委员会汇报； 4) 协助行政部对员工进行信息安全意识教育和安全技能培训； 5) 协助行政部和各业务部门对员工的聘前、 聘中及解聘过程中涉及的人员 信息安全进行有效管理； 6) 协调各部门以及与外部组织间有关的信息安全工作，负责建立各部门、 关联公司、外部安全管理主管机构之间的定期联系和沟通机制； 7) 负责对 ISMS体系进行审核，以验证体系的健全性和有效性，并对发现 的问题提出内部审核建议； 8) 负责对 ISMS体系的具体实施、各部门的信息安全运行状况进行定期审 计或专项审计； 9) 负责汇报审计结果，并督促审计整改工作的进行，落实纠正措施 ( 包括 内部审核整改意见 )和预防措施。 10) 负责制定违反安全政策行为的标准， 并对违反安全政策的人员和事件进 行确认； 11) 负责调查安全事件，并维护安全事件的记录报告 ( 包括调查结果和解决 方法) ，定期总结安全事件记录报告； 12) 识别适用于公司的所有法律、 法规， 行业主管部门颁布的规章制度， 审 核 ISMS 体系文档的合规性 1) 任命管理者代表，明确管理者代表的职责和权限； 2) 确保在内部传达满足客户和法律法规的重要性； 3) 为信息安全管理体系配备必要的资源； 4) 主持管理评审； 5) 负责公司信息安全管理和企业管理的计划、组织、协调、监督、控 6) 制和考核工作。 7) 遵守公司信息安全的相关规定以及本岗位相关的保密要求 4 管理者代表 1) 负责建立、实施、保持和改进信息安全管理体系，保证信息安全体 2) 系的有效运行； 3) 负责公司信息安全管理手册的审核，程序文件的批准，组织并领导 4) 公司内部审核工作； 5) 负责向总经理报告信息安全体系运行的业绩和任何改进的 6) 需求； 7) 负责就信息安全管理体系有关事宜的对外联络。 8) 遵守公司信息安全的相关规定以及本岗位相关的保密要求 5 6 7 8 9 各部门的信息 安全主管领导 部门信息安全 工作小组成员 内部员工 信息安全员 行政部 1) 部门的信息安全主管领导由本部门部门长担任； 2) 负责协助信息安全工作小组建立本部门信息安全管理制度和流程； 3) 部门的信息安全主管