您的位置:360文档中心› 信息系统信息安全组织及岗位职责管理制度

信息系统信息安全组织及岗位职责管理制度

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息安全组织及岗位职责管理制度

第一章总则

第一条为了加强对信息安全工作的领导和管理,全面提高信息安全管理能力,规范和指导信息安全管理组织体系,建立健全信息安全机构职责,特制定本规定。

第二条本规定依据《国家信息化领导小组关于加强信息安全保障工作的意见》、《GB/T20269-2006 信息安全技术安全管理要求》等政策标准制定。

第三条本规定依照信息安全管理的主要领导负责原则、全员参与原则、依法管理原则、分权和授权原则和体系化管理原则编制,具体原则如下:

(一)主要领导负责原则:()部应确保主要领导参与并确立组织统一的信息安全保障宗旨和政策,组织有效的安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实有效;

(二)全员参与原则:所有相关人员普遍参与的安全管理,并与相关方面协同、协调,共同保障的安全;

(三)依法管理原则:信息安全管理工作应保证管理主体合法、管理行为合法、管理内容合法、管理程序合法;

(四)分权和授权原则:对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减

小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限。

第四条本规定适用于技术部。

第二章信息安全组织机构

第五条()部应建立由信息安全领导小组和信息安全工作小组共同构建的信息安全组织机构。

第六条信息安全组织的管理层由信息安全领导小组承担,是合信技术部信息安全管理体系管理机构。信息安全领导小组由合信技术部领导牵头与所有部门领导组成:合信技术部领导担任组长,安全部领导担任副组长。

小组成员包括:

(一)合信技术部主管领导;

(二)信息安全部经理;

(三)合信技术部各部门经理;

第七条信息安全工作小组是是信息安全工作的执行机构,负责执行信息安全领导小组交办的各项工作,信息安全工作小组由建设、维护的参与部门组成,由信息安全部经理担任组长,系统建设与运维部经理担任副组长,成员包括技术部信息安全部及系统建设与运维部技术人员。

第三章信息安全组织职责

第八条信息安全领导小组负责领导安全工作,组织职责如下:(一)根据国家和行业有关信息安全的政策、法律和法规,确定信息安全工作的总体方向、总体原则和安全工作方法;

(二)根据国家和行业有关信息安全的政策、法律和法规,批准的安全策略和发展规划;

(三)确定各有关部门在安全工作中的职责,领导安全工作的实施;

(四)监督安全措施的执行,并对重要安全事件的处理进行决策;

(五)指导和检查信息安全工作小组的各项工作;

(六)建设和完善安全组织体系和管理机制;

(七)负责跨部门的重大信息安全工作的协调和沟通;

(八)负责信息安全规划和建设的资源保障;

(九)信息安全领导小组组长负责领导和督促安全工作,对重大事项进行审批。

第九条信息安全工作小组负责贯彻、落实和执行信息安全领导小组下达的各项工作,组织职责如下:

(一)贯彻、落实和解释国家及行业有关信息安全的政策、法律、法规和信息安全工作要求,起草的安全策略和发展规划;

(二)落实和执行信息安全工作的日常事务,对具体落实情况进行总结和汇报;

(三)负责安全措施的实施或组织实施,组织并参加信息安全重

要事件的处理;

(四)负责内、外部组织和机构的信息安全沟通、协调和合作工作;

(五)组织编制和落实信息安全规划工作;

(六)指导和检查运维人员对安全工作落实情况;

(七)协同有关部门共同组成应急处理小组,组织处理信息安全应急响应工作;

(八)负责组织安全知识的培训和宣传工作;

(九)制定和修订各种安全管理制度,包括机房、环境、人员、系统建设及运行维护等方面,并提交发布。

(十)负责机房及其环境的日常管理和维护,人员、设备等进出机房的权限审批;

(十一)指定或授权专门的人员负责安全管理制度的日常管理工作,包括制度存档、制度维护、制度传阅和制度销毁工作。

第四章信息安全中各部门职责

第十条信息安全部的职责如下:

(一)负责协助主管安全的领导开展信息安全相关工作;

(二)负责组织实施技术部的信息安全教育和培训;

(三)负责指导协调技术部的信息安全工作,督促各部门开展信息安全工作。

(四)负责信息安全事件的及时上报,并协助相关部门做好安全

事件的调查、响应和处理。

(五)负责实施内部或外部组织的信息安全检查。

(六)负责针对检查过程发现的问题,督促责任部门进行整改并验证整改结果。

(六)协调信息安全应急响应组织和技术支撑单位;

(七)负责制定总体网络访问控制策略和规则,并对其进行监控和审计工作,定期发布策略执行情况;

(八)对网络、系统、应用、数据库等的工作进行安全指导与监督安全职责落实情况进行检查;

(九)定期收集信息安全漏洞和公告信息,告知相关安全运维管理人员。

(十)其他制度规定中应该履行的职责。

第十一条系统建设和运维部的安全职责如下:

(一)根据安全策略定期对网络设备、网络架构、主机、数据库、存储设备等进行自评估;

(二)依照安全配置基线与安全策略对网络设备、网络架构、主机、数据库、存储设备等进行安全配置和漏洞修补,确保安全补丁保持2个月内最新补丁;

(三)对系统进行日常安全运维管理,定期更改系统账号,并定期提交安全运行维护记录或报告;

(四)在发生系统异常和安全事件时,应能进行应急处置。

相关文档
最新文档