ISO27001信息安全组织机构与部门职能分配表

信息安全管理体系规范（Part I）（信息安全管理实施细则）目录前言一、信息安全范围二、术语与定义三、安全政策3.1 信息安全政策四、安全组织4.1信息安全基础架构4.2外部存取的安全管理4.3委外资源管理五、资产分类与管理5.1资产管理权责5.2信息分类六、个人信息安全守则6.1工作执掌及资源的安全管理6.2教育培训6.3易发事件及故障处理七、使用环境的信息安全管理7.1信息安全区7.2设备安全7.3日常管制八、通讯和操作过程管理8.1操作程序书及权责8.2系统规划及可行性8.3侵略性软件防护8.4储存管理8.5网络管理8.6媒体存取及安全性8.7信息及软件交换九、存取管理9.1存取管制的工作要求9.2使用者存取管理9.3使用者权责9.4网络存取管制9.5操作系统存取管理9.6应用软件存取管理9.7监控系统的存取及使用9.8移动计算机及拨接服务管理十、信息系统的开发和维护10.1信息系统的安全要求10.2应用软件的安全要求10.3资料加密技术管制10.4系统档案的安全性10.5开发和支持系统的安全性十一、维持运营管理11.1持续运营的方面十二、合法性12.1合乎法律要求12.2对信息安全政策和技术应用的审查12.3系统稽核的考虑前言何谓信息安全？对一个单位或组织来说，信息和其它商业资产一样有价值，因此要加以适当的保护。

信息安全就是保护信息免受来自各方面的众多威胁，从而使单位能够进行持续经营，使其对经营的危害降至最小程度，并将投资和商业机会得以最大化。

信息可以许多形式存在－可以印在或写在纸上，以电子方式进行储存，通过邮寄或电子方式传播，用影片显示或通过口头转述。

无论信息以何种方式存在，或以何种形式分享或储存，都要对其进行恰当保护。

信息安全的主要特征在于保护其－保密性：确保只有那些经过授权的人员可以接触信息－完整性：保护信息和信息处理办法的准确性和完整性－可得性：确保在需要时，经过授权的使用者可接触信息和相关的资产信息安全可通过一套管制手段得以实现；此管制手段可为政策、行为规范、流程、组织结构和软件功能。

一.组织机构公司成立信息安全领导小组，是信息安全的最高决策机构，下设办公室，负责信息安全领导小组的日常事务。

信息安全领导小组负责研究重大事件，落实方针政策和制定总体策略等。

职责主要包括：根据国家和行业有关信息安全的政策、法律和法规，批准公司信息安全总体策略规划、管理规范和技术标准；确定公司信息安全各有关部门工作职责，指导、监督信息安全工作。

信息安全领导小组下设两个工作组：信息安全工作组、应急处理工作组。

组长均由公司负责人担任。

信息安全工作组的主要职责包括：1.4.1贯彻执行公司信息安全领导小组的决议，协调和规范公司信息安全工作；1.4.2根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落实；1.4.3组织对重大的信息安全工作制度和技术操作策略进行审查，拟订信息安全总体策略规划，并监督执行；1.4.4负责协调、督促各职能部门和有关单位的信息安全工作，参与信息系统工程建设中的安全规划，监督安全措施的执行；1.4.5组织信息安全工作检查，分析信息安全总体状况，提出分析报告和安全风险的防范对策；1.4.6负责接受各单位的紧急信息安全事件报告，组织进行事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施；1.4.7及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。

1.4.8跟踪先进的信息安全技术，组织信息安全知识的培训和宣传工作。

应急处理工作组的主要职责包括：1.5.1审定公司网络与信息系统的安全应急策略及应急预案；1.5.2决定相应应急预案的启动，负责现场指挥，并组织相关人员排除故障，恢复系统；1.5.3每年组织对信息安全应急策略和应急预案进行测试和演练。

公司应指定分管信息的领导负责本单位信息安全管理，并配备信息安全技术人员，有条件的应设置信息安全工作小组或办公室，对公司信息安全领导小组和工作小组负责，落实本单位信息安全工作和应急处理工作。

二.关键岗位设置信息系统的关键岗位并加强管理，配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员，要求五人各自独立。

xx电子商务技术有限公司版本：A各部门信息安全管理职责JSWLS/IP-40-2009编制：xx审核：xx批准：xx2009-6-28发布2009-7-1实施xx电子商务技术有限公司发布xx电子商务技术编号：JSWLS/IP-40-2009有限公司程序文件版次：A/0程序文件修改控制序号版次修改章节修改人审核人批准人修改日期程序文件版次：A/0各部门信息安全管理职责1 总经理（1）负责组织建立公司信息安全管理体系。

（2）负责制定、发布公司信息安全方针。

（3）负责组织各部门定期评审、更新公司信息安全方针。

（4）负责向公司员工和外部提出信息安全管理承诺。

（5）负责实施公司信息安全资源的配置。

（6）负责公司信息安全管理体系评审工作。

（7）负责组织公司信息安全管理体系持续改进工作。

（8）负责公司信息安全管理体系内部协调工作。

（9）负责公司各部门信息安全管理职责的审批工作。

（10）负责组织公司信息安全管理体系符合安全策略和标准。

（11）负责组建公司信息安全管理委员会。

（12）负责任命公司信息安全管理者代表。

2 管理者代表（1）协助总经理建立公司信息安全管理体系。

（2）协助总经理制定、发布公司信息安全方针。

（3）协助总经理组织各部门定期评审、更新公司信息安全方针。

（4）协助总经理向公司员工和外部提出信息安全管理承诺。

（5）协助总经理实施公司信息安全资源的配置。

（6）协助总经理公司信息安全管理体系评审工作。

（7）协助总经理组织公司信息安全管理体系持续改进工作。

（8）协助总经理公司信息安全管理体系内部协调工作。

（9）协助总经理公司各部门信息安全管理职责的审批工作。

（10）协助总经理组织公司信息安全管理体系符合安全策略和标准。

程序文件版次：A/0（11）负责主持公司信息安全管理体系内部审核工作。

3 信息安全管理委员会（1）负责实施公司信息安全管理体系风险评估。

（2）负责根据风险评估制定相关措施。

（3）负责建立公司适用性声明。

信息安全管理组织机构设置及工作职责一.组织机构1.1公司成立信息安全领导小组，是信息安全的最高决策机构，下设办公室，负责信息安全领导小组的日常事务。

1.2信息安全领导小组负责研究重大事件，落实方针政策和制定总体策略等。

职责主要包括：根据国家和行业有关信息安全的政策、法律和法规，批准公司信息安全总体策略规划、管理规范和技术标准；确定公司信息安全各有关部门工作职责，指导、监督信息安全工作。

1.3信息安全领导小组下设两个工作组：信息安全工作组、应急处理工作组。

组长均由公司负责人担任。

1.4信息安全工作组的主要职责包括：1.4.1贯彻执行公司信息安全领导小组的决议，协调和规范公司信息安全工作；1.4.2根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落实；1.4.3组织对重大的信息安全工作制度和技术操作策略进行审查，拟订信息安全总体策略规划，并监督执行；1.4.4负责协调、督促各职能部门和有关单位的信息安全工作，参与信息系统工程建设中的安全规划，监督安全措施的执行；1.4.5组织信息安全工作检查，分析信息安全总体状况，提出分析报告和安全风险的防范对策；1.4.6负责接受各单位的紧急信息安全事件报告，组织进行事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施；1.4.7及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。

1.4.8跟踪先进的信息安全技术，组织信息安全知识的培训和宣传工作。

1.5应急处理工作组的主要职责包括：1.5.1审定公司网络与信息系统的安全应急策略及应急预案；1.5.2决定相应应急预案的启动，负责现场指挥，并组织相关人员排除故障，恢复系统；1.5.3每年组织对信息安全应急策略和应急预案进行测试和演练。

1.6公司应指定分管信息的领导负责本单位信息安全管理，并配备信息安全技术人员，有条件的应设置信息安全工作小组或办公室，对公司信息安全领导小组和工作小组负责，落实本单位信息安全工作和应急处理工作。

信息安全组织架构与职责版本：V2.2目录1目的 (5)2适用范围 (5)3术语与定义 (5)4角色与职责 (5)5内容 (6)5.1信息安全组织架构图 (6)5.2最高管理者 (6)5.3管理者代表 (6)5.4信息安全管理委员会（RMD） (7)5.5信息安全执行组 (7)5.6信息安全审核组 (8)5.7应急响应小组 (8)6附录 (9)1目的为了实施有效的信息安全管理，在****内部建立完善的信息安全组织是最基本的措施。

在此基础上，信息中心能够将各项信息安全工作落到实处，包括加强信息安全规范建设、建立持续改进的信息安全管理体系、实施监督检查、降低企业面临的信息安全风险、保护并提升信息中心的核心竞争力、保障信息中心的业务正常有序的运作。

2适用范围针对信息中心信息安全组织建设相关事务，规定了组织框架和角色责任，适用于信息中心所有纳入到信息安全管理体系范围的部门和个人。

3术语与定义1.RMD：Risk Management Department，信息安全管理委员会2.ISEG：Information Security Executive Group，信息安全执行组3.ISAG：Information Security Audit Group，信息安全审核组4.IRT：Incident Response Team，信息安全事件应急响应小组4角色与职责1.最高管理者：批准并正式发布本规定，建立相关组织，任命相关角色。

2.信息安全管理委员会：承担本规定定义的相关角色，履行相应的信息安全管理职责。

3.全体信息中心员工：理解并遵守本规定定义的内容。

5内容5.1信息安全组织架构图信息安全是全体信息中心员工共同承担的责任，为了更清晰地定义具体的责任归属，对信息中心信息安全组织架构和相关角色做出如下图所示的定义。

5.2最高管理者是信息中心在信息安全管理方面的最高决策者。

主要责任包括：1.审批发布IT服务质量管理目标与方针和管理体系；2.审批风险评估的风险处置计划和残余风险；3.任命信息安全管理委员会负责人；4.授权管理者代表行使其它职责。

编号：ISMS-M01-2023版本号：V1.0受控状态：受控密级：内部公开【组织名称】信息安全管理手册(依据ISO/IEC FDIS 27001:2022)版权声明和保密须知本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属【组织名称】所有，受到有关产权及版权法保护。

任何单位和个人未经【组织名称】的书面授权许可，不得复制或引用本文件的任何片断，无论通过电子形式或非电子形式。

Copyright © 2022【组织名称】版权所有文档信息版本记录目录0.1 信息安全管理手册发布令 (5)0.2 管理者代表委任书 (6)1、范围 (7)2、规范性引用文件 (7)3、定义和术语 (7)3.1 信息安全定义 (7)3.2 术语 (8)3.3 缩写 (8)4、组织环境 (9)4.1 理解组织及其环境 (9)4.2 理解相关方的需求和期望 (9)4.3 确定信息安全管理体系范围 (9)4.4 信息安全管理体系 (10)5、领导 (10)5.1 领导和承诺 (10)5.2 方针 (10)5.3 组织的角色，责任和权限 (11)6、规划 (11)6.1 应对风险和机会的措施 (11)6.2 信息安全目标和实现规划 (13)6.3 变更管理 (14)7、支持 (14)7.1 资源 (14)7.2 能力 (14)7.3 意识 (14)7.4 沟通 (14)7.5 文件化信息 (15)8、运行 (16)8.1 运行规划和控制 (16)8.2 信息安全风险评估 (17)8.3 信息安全风险处置 (17)9、绩效评价 (17)9.1 监视、测量、分析和评价 (17)9.2 内部审核 (18)9.3 管理评审 (19)9.3.1 总则 (19)10、改进 (20)10.1 不符合和纠正措施 (20)10.2 持续改进 (20)附件 1 组织结构图 (22)附录 2 职能分配表 (23)附件 3 部门职责 (30)附件 4 信息安全职责说明书 (32)0.1信息安全管理手册发布令公司依据ISO/IEC FDIS 27001:2022《信息安全、网络安全和隐私保护信息安全管理体系要求》(以下简称信息安全管理体系)标准的要求，结合公司的实际情况，在公司内部建立信息安全管理体系,组织编写了《信息安全管理手册》，经审定符合国家、地方及行业的有关法律法规和本公司的实际情况，现予以发布。

2020年度ISO 27001:2013信息安全管理体系内部审核资料汇编编制：XXX审核：XXX批准：XXXXXX网络科技有限公司2020年5月目录信息安全管理体系内审年度计划 (2)内部审核实施计划 (2)关于开展管理体系内部审核通知 (4)内审员委派通知书 (5)内部审核首次会议记录 (6)首次会议签到表 (7)内部审核检查表 (8)不符合报告 (12)内部审核末次会议记录 (13)末次会议签到表 (14)内审报告 (15)不符合工作及纠正措施跟踪表 (16)信息安全管理体系内审年度计划内审实施计划编制：综合部XXX网络科技有限公司文件XX发[2020]14号关于开展管理体系内部审核通知公司各部门：为确保本公司建立的信息安全管理体系能够持续有效的运行，经公司会议研究，总经理批准，公司决定于2020年5月11日对公司的信息安全管理体系开展一次年度内审活动，以便及时查找出在信息安全管理体系运行中的不符合工作情况。

请各部门接到通知后做好准备工作，确保通过内部审核的检查工作，争取取得良好的效果。

XXX网络科技有限公司2020年4月20日内审员委派通知书根据公司本年度的内部审核计划，现委派XXX为内审组组长，成员XX、XXX、XXX、XX。

内审组按照GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》中要素要求对公司信息安全管理体系进行审核。

内审时间：2020年5月11日管理者代表：XX 2020年4月20日内部审核首次会议记录记录人： XXXX 时间：2020年5月11日首次会议签到表内部审核检查表不符合报告内部审核末次会议记录记录人：时间：年月日末次会议签到表内审报告不符合工作及纠正措施跟踪表。

XXXX医院信息安全管理组织机构及岗位职责为规范我院信息安全管理工作，建立信息安全工作管理体系，需建立健全相应的组织管理体系，以推动医院信息安全工作的开展。

1、我院的医院信息化工作领导小组，是信息安全的最高决策机构，日常机构设立在医院微机中心，负责信息安全的日常事务。

2、信息化工作领导小组负责研究重大事件，落实方针政策和制定总体策略等。

主要职责：根据国家和行业有关信息安全的政策、法律和法规，批准医院信息化安全总体策略规划、管理规范和技术标准；确定医院信息安全各有关部门工作职责，指导、监督信息安全工作。

3、微机中心具体负责医院信息安全工作和应急处理工作，主要工作包括：执行医院信息化工作领导小组的决议，协调和规范医院信息安全工作；根据信息化工作领导小组的工作部署，对信息安全工作进行具体安排、落实；组织对重大的信息安全工作制度和技术操作策略进行审查，拟订信息安全总体策略规划，并监督执行；负责协调、督促各职能部门和相关科室的信息安全工作，参与信息系统工程建设中的安全规划，监督安全措施的执行；组织信息安全工作检查，分析信息安全总体状况，提出分析报告和安全风险的防范对策；负责接受各部门的紧急信息安全事件报告，组织进行事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施；及时向信息安全工作领导小组和上级有关部门报告信息安全事件。

组织信息安全知识的培训和宣传工作。

决定相应应急预案的启动，负责现场指挥，并组织相关人员排除故障，恢复系统；定期组织对信息安全应急策略和应急预案进行测试和演练。

4、设置信息系统的关键岗位并加强管理。

要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。

系统管理员主要职责有：负责系统的运行管理，实施系统安全运行细则；严格用户权限管理，维护系统安全正常运行；认真记录系统安全事项，及时向信息安全人员报告安全事件；对进行系统操作的其他人员予以安全监督。

网络管理员主要职责有：负责网络的运行管理，实施网络安全策略和安全运行细则；安全配置网络参数，严格控制网络用户访问权限，维护网络安全正常运行；监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向信息安全人员报告安全事件；对操作网络管理功能的其他人员进行安全监督。

管理程序名称涉及部门及角色相关文件[RC-IS-C-01]管理评审程序总经理、综合管理部《信息安全管理手册》《文件控制程序》《记录控制程序》[RC-IS-C-02]内部审核管理程序综合管理部、信息安全管理小组、其他各部门《信息安全管理手册》[RC-IS-C-03]纠正措施控制程序综合管理部、信息安全管理小组《信息安全管理手册》《文件控制程序》[RC-IS-C-04]预防措施控制程序综合管理部、信息安全管理小组《信息安全管理手册》《文件控制程序》[RC-IS-C-05]文件控制程序总经理、信息安全管理小组负责人、信息安全管理小组《信息安全管理手册》《信息安全适用性声明》《商业秘密管理程序》《信息安全法律法规[RC-IS-C-06]记录控制程序安全管理小组《信息安全管理手册》《信息安全管理文件标识规范》《商业秘密管理程序》《重要信息备份管理程序》《信息安全记录分类[RC-IS-C-07]信息安全法律法规管理程序综合管理部、各部门《信息安全管理手册》《文件控制程序》[RC-IS-C-08]信息分类管理程序综合管理部《中华人民共和国保守国家秘密法》《信息安全管理手册》[RC-IS-C-09]信息安全风险管理程序信息安全管理小组、风险评估小组、各部门《信息安全管理手册》《商业秘密管理程序》[RC-IS-C-10]安全区域管理程序综合管理部、其他部门《信息安全管理手册》《安全区域管理程序》[RC-IS-C-11]信息安全事件管理程序技术服务部、各系统使用人员《信息安全管理手册》《信息安全奖惩管理程序》[RC-IS-C-12]信息安全沟通协调管理程序信息安全管理小组、其他部门《信息安全管理手册》《组织管理》《职责权限》《信息安全法律法规管理程序》[RC-IS-C-13]网络设备安全配置管理程序技术服务部《信息安全管理手册》《信息系统访问与使用监控管理程序》[RC-IS-C-14]信息处理设施安装使用管理程序综合管理部《信息安全管理手册》《产品开发管理规范》《项目开发管理规范[RC-IS-C-15]信息处理设施维护管理程序综合管理部《信息安全管理手册》[RC-IS-C-16]用户访问管理程序综合管理部、技术服务部《信息安全管理手册》《口令策略》[RC-IS-C-17]第三方服务管理程序综合管理部、商务拓展部、其他相关部门《信息安全管理手册》《相关方信息安全管理程序》《安全区域管理程序》《信息系统访问与使[RC-IS-C-18]相关方信息安全管理程序综合管理部、各相关部门《安全区域管理程序》《物理访问策略》《用户访问管理程序[RC-IS-C-19]业务持续性管理程序综合管理部、各相关部门《信息安全事件管理程序》[RC-IS-C-20]可移动介质管理程序综合管理部、可移动介质使用部门《信息安全管理手册》[RC-IS-C-21]商业秘密管理程序母公司、全体员工《中华人民共和国保守国家秘密法》《信息安全管理手册》《保密协议》《安全区域管理程序》《物理访问策略》《信息安全事件管理[RC-IS-C-22]知识产权管理程序商务拓展部、各部门《商业秘密管理程序》[RC-IS-C-23]变更管理程序IT技术服务部、其它部门《信息安全管理手册》《变更管理安全策略[RC-IS-C-25]恶意软件管理程序 IT技术服务部、其他各部门《信息安全管理手册》《重要信息备份管理程序》《计算机管理程序》[RC-IS-C-26]电子邮件管理程序 IT技术服务部、综合管理部《信息安全管理手册》《信息系统访问与使用监控管理程序》《电子邮件使用准则[RC-IS-C-28]计算机管理程序IT技术服务部无[RC-IS-C-32]人事管理流程综合管理部[RC-IS-C-33]信息系统开发管理程序产品研发部、技术服务部《信息安全管理手册》《软件变更管理程序》《第三方服务管理程序》《恶意软件管理程序》[RC-IS-C-39]信息安全奖惩管理程序各部门、综合管理部、总经理办《员工行为规范》《信息安全管理手册》《信息安全事件管理程序》[RC-IS-C-41]信息系统访问与使用监控管理程序IT技术服务部《信息安全管理手册》《信息安全事件管理程序》[RC-IS-C-42]信息系统验收管理程序信息安全管理小组《信息安全管理手册》《软件开发管理程序》《变更管理程序》[RC-IS-C-44]重要信息备份管理程序 IT部、各部门《信息安全管理手册》《可移动介质管理程序》《信息处理设施维护管理程序》《信息备份安全策略[RC-IS-C-50]办公环境维护管理规定[RC-IS-C-51]固定资产管理办法[RC-IS-C-53]测试管理工作规范[RC-IS-C-54]机房管理规范技术服务部《设备管理规定》记录文件《管理评审计划》《信息安全管理体系运行情况报告》《管理评审通知单》《管理评审会议签到表》《管理评审会议记录》《管理评审报告》《年度内审计划》《内部审核计划》《内部审核方案》《审核组长（成员）任命书》《内部审核员评定表》《信息安全重要岗位评定表》《不符合项报告及纠正报告单分布表》《不符合项报告及纠正报告单》《内部审核报告》《内部审核报告发放记录》《不符合项报告及纠正报告单》《不符合项报告及纠正报告单分布表》《纠正与预防措施报告》《信息安全文件一览表》《文件发放/回收一览表》《文件修改通知单》《外来文件清单》《信息安全记录一览表》《记录借阅登记表》《记录销毁记录表》《信息安全法律法规及要求清单》《资产清单》《信息安全风险评估计划》《资产清单》（含《重要资产清单》）《信息安全风险评估表》（含《风险处理计划》）《信息安全风险评估报告》《剩余风险评估报告》《机房进出登记表》《员工外出登记》《应聘登记表》《外来人员登记表》《信息安全事件调查处理报告》《信息安全专家名单》无《采购计划书》《采购合同》《验收报告》《重要资产清单》《设施报废记录》《访问权限复核记录》《进出登记表》《第三方服务合同》《第三方服务保密协议》《知识产权声明书》《第三方变更报告》《相关方保密协议》《相关方一览表》(主要是供方一览表)《业务风险分析报告》《业务持续性管理计划》《演练报告以及改进》《可移动介质使用登记表》《可移动介质使用清单》《项目资料复印登记表》《项目资料借阅登记表》《涉密文件借阅/复印登记表》《变更跟踪表》《设施报废记录》《个人计算机日常检查表》《电子邮箱一览表》无《系统访问权限说明书》《重要信息备份周期一览表》《软件使用手册》《惩戒申报单》《奖励建议书》《日志审核记录》《用户手册》《验收报告》《测试报告》《缺陷记录》《重要信息备份周期一览表》《重要信息备份记录》《机房进出登记表》。