信息安全组织及岗位职责管理制度.docx

信息安全组织及岗位职责管理制度文档视界信息安全组织及岗位职责管理制度信息安全组织及岗位职责管理制度文档视界信息安全组织及岗位职责管理制度信息安全组织及岗位职责管理制度第一章总则第一条为加强公司等级保护保障工作的组织协调，建立健全等级保护管理制度和运行机制，切实提高公司等级保护保障工作水平，全面提高信息系统信息安全管理能力,根据（国家信息化领导小组关于加强信息安全保障工作的意见）、（GB/T22239-2020信息安全等级保护基本要求）等政策要求，特制定本制度。第二条本规定按照信息安全管理的主要领导负责原则、全员介入原则、依法管理原则、分权和受权原则和体系化管理原则编制，详细原则为：(一)主要领导负责原则：确保公司主要领导介入并确立组织统一的信息系统信息安全保障宗旨和政策，组织有效的安全保障队伍，调动并优化配置必要的资源，协调安全管理工作与各部门工作的关系，并确保其落实、有效；(二)全员介入原则：信息系统所有相关人员普遍介入信息系统的安全管理，并与相关方面协同、协调，共同保障信息系统的安全；(三)依法管理原则：信息系统信息安全管理工作应保证管理主体合法、管理行为合法、管理内容合法、管理程序合法；(四)分权和受权原则：对特定职能或责任领域的管理功能施行分离、独立审计等实行分权，避免权利过分集中所带来的隐患，以减小未受权的修改或滥用系统资源的时机。任何实体如用户、管理员、进程、应用或系统仅享有该实体需要完成其任务所必须的权限，不应享有任何多余权限。 (五)体系化管理原则:信息系统应符合信息安全相关政策的体系化管理目的和要求。第三条本规定适用于公司。第二章组织目的第四条本制度旨在实现信息安全管理组织的下面目的：(一)管理组织内的信息系统安全保护工作；(二)管理外部组织访问组织内信息处理设施和信息资产的安全。第三章安全管理组织架构第五条为加强对公司信息安全管理工作的领导，贯彻落实监管部门的信息安全保护要求，经研究决定成立公司信息安全管理委员会。第六条信息安全管理委员会为公司信息安全工作的最高管理机构。第七条由公司副总经理担任信息安全管理委员会主席，成员包括：(一)生产技术部主管领导；(二)各部门主管领导。第八条生产技术部是信息安全管理工作的执行机构，负责执行信息安全管理委员会交办的各项工作，由生产技术部总经理担任负责人，成员包括： (一)生产技术部；(二)系统开发部；(三)运营维护部。第九条生产技术部应设立信息安全管理岗位，分别为安全管理员、安全审计员、网络管理员、系统管理员、数据库管理员、应用管理员，负责执行网络、系统、数据库和应用的安全管理和运维工作。第四章信息安全组织职责第十条信息安全管理委员会负责领导信息系统安全工作，组织职责为：(一)根据国家和行业有关信息安全的政策、法律和法规，确定信息安全工作的总体方向、总体原则和安全工作方法；(二)根据国家和行业有关信息安全的政策、法律和法规，批准信息系统的安全策略和发展规划；(三)确定各有关部门在信息系统安全工作中的职责，领导安全工作的施行；(四)监督安全措施的执行，并对重要安全事件的处理进行决策；(五)指导和检查信息安全职能部门的各项工作；(六)建设和完善信息系统安全组织体系和管理机制。第十一条生产技术部负责贯彻、落实和执行信息安全管理委员会下达的各项工作，组织职责为：(一)贯彻、落实和解释国家及行业有关信息安全的政策、法律、法规和信息安全工作要求，起草信息系统的安全策略和发展规划； (二)落实和执行信息系统信息安全工作的日常事务，对详细落实情况进行总结和汇报；(三)负责安全措施的施行或组织施行，组织并参加信息安全重要事件的处理；(四)负责内、外部组织和机构的信息安全沟通、协调和合作工作；(五)组织编制和落实信息安全规划工作；(六)指导和检查运维单位对信息系统安全工作落实情况；(七)监控信息系统安全总体状况，提出安全分析报告；(八)协同有关部门共同组成应急处理小组，组织处理信息安全应急响应工作；(九)负责组织信息系统安全知识的培训和宣传工作。第十二条系统开发部负责信息系统建设开发相关工作，组织职责为：(一)负责信息系统开发经过中的项目管理工作；(二)负责信息系统运行维护经过中软件版本升级、功能定制等方面的开发工作；(三)配合生产技术部完成信息系统建设规划、方案设计及编写工作；(四)配合生产技术部完成公司管理层安排的其他相关技术工作。第十三条运营维护部负责信息系统运行维护的相关工作，组织职责为：(一)负责信息系统上线后的运行维护工作，详细为机房管理、基础设施日常巡检、应用系统监控等；(二)负责定期维护机房环境设施及重要信息系统设备等；(三)负责提出应用系统非功能性需求；(四)负责定期分析信息系统运行经过中的日志、周报、月报，并定期汇总上报管理层；(五)负责协调并组织应对信息系统运行经过中的突发事件；(六)配合生产技术部完成其他信息科技方面的相关工作。第五章信息安全岗位职责第十四条应建立信息安全岗位，明确信息安全岗位职责。第十五条项目计划岗位职责为：起草和编制信息系统信息安全总体规划以及计划方案，采集信息系统安全需求。第十六条项目管理岗位职责为：(一)负责信息系统项目施行的组织、协调和验收工作；(二)负责项目合同的管理及监督。第十七条运行维护岗位职责为：(一)起草和编制信息系统信息安全方针、信息安全保障体系框架和信息安全策略、制度和技术规范；(二)推动信息系统信息安全方针、信息安全策略、信息安全管理制度及信息安全技术规范的施行落实。第十八条设备资源管理岗位职责为：负责信息系统设备的管理，包括设备的报废等。第十九条安全管理员的岗位职责为：(一)定期组织信息系统漏洞扫描和信息安全风险评估工作，构成信息系统和整体安全现状报告，并向信息安全管理委员会进行汇报；(二)负责制定信息系统总体网络访问控制策略和规则，并对其进行监控和审计工作，定期发布策略执行情况；(三)对网络、系统、应用、数据库管理员进行安全指导；(四)定期采集信息安全漏洞和公告信息，告知相关安全运维管理人员；(五)协调信息安全应急响应组织和技术支撑单位。第二十条安全审计员的岗位职责为：(一)定期审计信息系统信息安全策略执行情况，采集信息系统日志和审计记录，并提供审计报告；(二)对安全、网络、系统、应用、数据库管理员的操作行为进行监督，安全职责落实情况进行检查；第二十一条系统管理员的安全职责为：(一)根据信息系统安全策略定期对系统进行自评估；(二)按照安全策略对系统进行安全配置和漏洞修补，确保安全补丁保持2个月内最新补丁；(三)对系统进行日常安全运维管理，定期更改系统账号，并定期提交安全运行维护记录或报告；