0安全組織人員崗位職責(zé)【參考】

1、XXXXX信息安全組織及崗位職責(zé)管理規(guī)定第一章 總則第一條 為了加強(qiáng)XXXXX對(duì)信息安全工作的管理，全面提高信息安全管理能力，規(guī)范信息安全管理組織體系，建立 健全信息安全機(jī)構(gòu)職責(zé)，特制定本規(guī)定。第二條 本規(guī)定依據(jù)國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信 息安全保障工作的意見 、 GB/T20269-2006 信息安全技術(shù) 信息系統(tǒng)安全管理要求等政策標(biāo)準(zhǔn)制定。第三條 本規(guī)定依照“信息安全管理的主要領(lǐng)導(dǎo)負(fù)責(zé)、 全員參與、 依法管理、 分權(quán)和授權(quán)和體系化管理” 原則編制， 具體原則如下：（一）主要領(lǐng)導(dǎo)負(fù)責(zé)原則： XXXXX應(yīng)確保主要領(lǐng)導(dǎo)參與并確立組織統(tǒng)一的信息安全保障宗旨和政策，組織有效的安 全保障隊(duì)伍，調(diào)動(dòng)并

2、優(yōu)化配置必要的資源，協(xié)調(diào)安全管理工 作與各部門工作的關(guān)系，并確保其落實(shí)、有效；（二）全員參與原則：信息系統(tǒng)所有相關(guān)人員普遍參與 信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障 信息系統(tǒng)安全；（三）依法管理原則：信息安全管理工作應(yīng)保證管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法；（四）分權(quán)和授權(quán)原則：對(duì)特定職能或責(zé)任領(lǐng)域的管理 功能實(shí)施分離、獨(dú)立審計(jì)等實(shí)行分權(quán)，避免權(quán)力過(guò)分集中所 帶來(lái)的隱患，以減小未授權(quán)的修改或?yàn)E用系統(tǒng)資源的機(jī)會(huì)。 任何實(shí)體（如用戶、管理員、進(jìn)程、應(yīng)用或系統(tǒng)）僅享有該 實(shí)體需要完成其任務(wù)所必須的權(quán)限，不應(yīng)享有任何多余權(quán) 限。（五）體系化管理原則 : XXXXX

3、整體應(yīng)符合信息系統(tǒng)等 級(jí)保護(hù)三級(jí)的體系化管理目標(biāo)和要求。第四條 本規(guī)定適用于 XXXXX。第二章 信息安全組織機(jī)構(gòu)第五條 XXXXX應(yīng)建立由XXXXX網(wǎng)絡(luò)信息安全保密領(lǐng)導(dǎo) 小組和xxxxX網(wǎng)絡(luò)信息安全保密領(lǐng)導(dǎo)小組辦公室共同構(gòu)建的 安全管理機(jī)構(gòu)。第六條由XXXXX主管領(lǐng)導(dǎo)或主管領(lǐng)導(dǎo)授權(quán)的主管機(jī)構(gòu) 領(lǐng)導(dǎo)擔(dān)任xxxxX網(wǎng)絡(luò)信息安全保密領(lǐng)導(dǎo)小組組長(zhǎng)，小組成員 包括：（一）xxxxX言息化主管領(lǐng)導(dǎo)；（二）XXXXX各業(yè)務(wù)單位的主管領(lǐng)導(dǎo)；（三）xxxxX言息技術(shù)中心主管領(lǐng)導(dǎo)。第七條 XXXXX 網(wǎng)絡(luò)信息安全保密領(lǐng)導(dǎo)小組辦公室 是XXXXX的信息安全職能部門，是信息安全工作的執(zhí)行機(jī)構(gòu)， 負(fù)責(zé)執(zhí)行 XXXXX

4、網(wǎng)絡(luò)信息安全保密領(lǐng)導(dǎo)小組交辦的各項(xiàng)工 作，由xxxxX言息化主管領(lǐng)導(dǎo)主管領(lǐng)導(dǎo)擔(dān)任負(fù)責(zé)人，成員為 各業(yè)務(wù)單位的主管領(lǐng)導(dǎo)，信息安全執(zhí)行層包括：（一）XXXXX的網(wǎng)絡(luò)管理員、系統(tǒng)管理員、安全管理員、 安全審計(jì)員、安全策略 / 規(guī)劃員、數(shù)據(jù)庫(kù)管理員、應(yīng)用管理 員和機(jī)房管理員；（二）XXXXX各業(yè)務(wù)單位的安全員。第八條 信息技術(shù)中心應(yīng)設(shè)立信息安全管理崗位， 分別為 安全管理員、安全審計(jì)員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù) 庫(kù)管理員、 應(yīng)用管理員和機(jī)房管理員， 負(fù)責(zé)執(zhí)行網(wǎng)絡(luò)、 系統(tǒng)、 數(shù)據(jù)庫(kù)、應(yīng)用和機(jī)房的安全管理和運(yùn)維工作。第九條 其他信息化相關(guān)部門應(yīng)指派安全員，負(fù)責(zé)協(xié)調(diào)本部門信息安全工作的落實(shí)和具體執(zhí)行情況

5、。第三章 信息安全組織職責(zé)第十條 XXXXX 網(wǎng)絡(luò)信息安全保密領(lǐng)導(dǎo)小組辦公室負(fù)責(zé) 領(lǐng)導(dǎo)XXXXX的信息系統(tǒng)安全工作，組織職責(zé)如下：（一）根據(jù)國(guó)家和行業(yè)有關(guān)信息安全的政策、法律和法 規(guī)，確定信息安全工作的總體方向、總體原則和安全工作方 法；二）根據(jù)國(guó)家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī)，批準(zhǔn)xxxxX言息系統(tǒng)的安全策略和發(fā)展規(guī)劃；（三）確定各有關(guān)部門在信息系統(tǒng)安全工作中的職責(zé)， 領(lǐng)導(dǎo)安全工作的實(shí)施；（四）監(jiān)督安全措施的執(zhí)行，并對(duì)重要安全事件的處理 進(jìn)行決策；（五）指導(dǎo)和檢查信息安全職能部門的各項(xiàng)工作；（六）建設(shè)和完善信息系統(tǒng)安全組織體系和管理機(jī)制。第一條 XXXXX網(wǎng)絡(luò)信息安全保密領(lǐng)導(dǎo)小組辦公

6、室負(fù) 責(zé)貫徹、落實(shí)和執(zhí)行XXXXX網(wǎng)絡(luò)信息安全保密領(lǐng)導(dǎo)小組下達(dá) 的各項(xiàng)工作，組織職責(zé)如下：（一）貫徹、落實(shí)和解釋國(guó)家和行業(yè)有關(guān)信息安全的政 策、法律、法規(guī)和信息安全工作要求，起草xxxxX言息系統(tǒng)的安全策略和發(fā)展規(guī)劃；（二）落實(shí)和執(zhí)行 xxxxX言息安全工作的日常事務(wù)，對(duì) 具體落實(shí)情況進(jìn)行總結(jié)和匯報(bào)；（三）負(fù)責(zé)安全措施的實(shí)施或組織實(shí)施，組織并參加信 息安全重要事件的處理；（四）負(fù)責(zé)內(nèi)、外部組織和機(jī)構(gòu)的信息安全溝通、協(xié)調(diào) 和合作工作；（五）組織編制和落實(shí)信息安全規(guī)劃、方案、實(shí)施、測(cè) 試和驗(yàn)收等工作；六）指導(dǎo)和檢查相關(guān)單位信息系統(tǒng)安全工作落實(shí)情況；（七）監(jiān)控信息系統(tǒng)安全總體狀況， 提出安全分析報(bào)告

7、；（八）指導(dǎo)和檢查相關(guān)單位和下級(jí)單位信息系統(tǒng)安全人 員及要害崗位人員的信息安全工作；（九）協(xié)同有關(guān)部門共同組成應(yīng)急處理小組，組織處理 信息安全應(yīng)急響應(yīng)工作；（十）負(fù)責(zé)組織信息系統(tǒng)安全知識(shí)的培訓(xùn)和宣傳工作。第四章 信息安全崗位職責(zé)第十二條 XXXXX 信息安全組織中應(yīng)建立信息安全崗 位，明確信息安全崗位職責(zé)。第十三條 信息安全工作主管 （信息技術(shù)中心主任 ） 的 崗位職責(zé)如下：（一）組織、協(xié)調(diào)落實(shí)各項(xiàng)信息安全工作；（二）組織評(píng)審信息安全總體策略、規(guī)劃方案、管理制 度和技術(shù)規(guī)范；（三）組織評(píng)審信息安全產(chǎn)品技術(shù)規(guī)格和相關(guān)產(chǎn)品安全 規(guī)格；（四）組織監(jiān)督、檢查信息安全工作的落實(shí)情況。第十四條 安全管理員

8、 （ 專職 ） 的崗位職責(zé)如下：（一）起草和編制 xxxxX言息安全方針、信息安全保障體系框架和信息安全策略、制度和技術(shù)規(guī)范；（二）起草和編制 xxxxX言息安全總體規(guī)劃，收集信息 系統(tǒng)安全需求；（三）推動(dòng)xxxxX言息安全方針、信息安全策略、信息 安全管理制度及信息安全技術(shù)規(guī)范的實(shí)施落實(shí)。（四）定期組織信息系統(tǒng)漏洞掃描和信息安全風(fēng)險(xiǎn)評(píng)估工作，形成信息系統(tǒng)和整體安全現(xiàn)狀報(bào)告，并向xxxxx網(wǎng)絡(luò)信息安全保密領(lǐng)導(dǎo)小組辦公室進(jìn)行匯報(bào)；（五）負(fù)責(zé)制定總體網(wǎng)絡(luò)訪問(wèn)控制策略和規(guī)則，并對(duì)其進(jìn)行監(jiān)控和審計(jì)工作，定期發(fā)布策略執(zhí)行情況；（六）負(fù)責(zé)制定全員的安全培訓(xùn)計(jì)劃，組織開展安全培 訓(xùn)工作；（七）對(duì)網(wǎng)絡(luò)、系統(tǒng)、

9、應(yīng)用、數(shù)據(jù)庫(kù)管理員進(jìn)行安全指 導(dǎo)；（八）定期收集信息安全漏洞和公告信息，并告知相關(guān) 部門的信息安全運(yùn)維管理人員及安全員；（九）協(xié)調(diào)信息安全應(yīng)急響應(yīng)組織和技術(shù)支撐單位。 第十五條 安全審計(jì)員的崗位職責(zé)如下：（一）定期審計(jì)信息安全策略執(zhí)行情況，收集信息系統(tǒng) 日志和審計(jì)記錄，并提供審計(jì)報(bào)告；（二）對(duì)安全、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫(kù)、機(jī)房管理 員的操作行為進(jìn)行監(jiān)督，安全職責(zé)落實(shí)情況進(jìn)行檢查；三）組織檢查相關(guān)單位和下級(jí)單位信息系統(tǒng)安全人員及要害崗位人員的信息安全工作。第十六條 系統(tǒng)管理員的安全職責(zé)如下：（一）根據(jù)XXXXX安全策略定期對(duì)系統(tǒng)進(jìn)行自評(píng)估；（二）依照安全策略對(duì)系統(tǒng)進(jìn)行安全配置和漏洞修補(bǔ)；（三）

10、對(duì)系統(tǒng)進(jìn)行日常安全運(yùn)維管理，定期更改系統(tǒng)賬號(hào)，并定期提交安全運(yùn)行維護(hù)記錄或報(bào)告；（四）在發(fā)生系統(tǒng)異常和安全事件時(shí)對(duì)系統(tǒng)進(jìn)行應(yīng)急處 置。第十七條 網(wǎng)絡(luò)管理員的安全職責(zé)如下：（一）根據(jù)XXXXX安全策略定期對(duì)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)架構(gòu) 進(jìn)行自評(píng)估；（二）依照安全策略對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置；（三）對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行日常安全運(yùn)維管理，并定期提交安全運(yùn)行維護(hù)記錄或報(bào)告；（四）在發(fā)生系統(tǒng)異常和安全事件時(shí)，對(duì)網(wǎng)絡(luò)設(shè)備、安 全設(shè)備進(jìn)行應(yīng)急處置。第十八條 數(shù)據(jù)庫(kù)管理員的安全職責(zé)如下：（一）根據(jù)XXXXX安全策略定期對(duì)數(shù)據(jù)庫(kù)安全進(jìn)行自評(píng)估；（二）依照安全策略對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全配置和漏洞修補(bǔ)；三）對(duì)數(shù)據(jù)庫(kù)進(jìn)行日常安全運(yùn)

11、維管理，定期檢查數(shù)據(jù)庫(kù)用戶，并提交安全運(yùn)行維護(hù)記錄或報(bào)告；（四）在發(fā)生數(shù)據(jù)庫(kù)異常和安全事件時(shí)，對(duì)數(shù)據(jù)庫(kù)以及 備份數(shù)據(jù)進(jìn)行應(yīng)急處置和恢復(fù)。第十九條 應(yīng)用管理員的安全職責(zé)如下：（一）根據(jù)XXXXX安全策略定期對(duì)應(yīng)用進(jìn)行自評(píng)估；（二）依照安全策略對(duì)應(yīng)用進(jìn)行安全配置和漏洞修補(bǔ)；（三）對(duì)應(yīng)用進(jìn)行日常安全運(yùn)維管理，并提交安全運(yùn)行 維護(hù)記錄或報(bào)告；（四）在發(fā)生應(yīng)用異常和安全事件時(shí)，對(duì)應(yīng)用進(jìn)行應(yīng)急 處置和恢復(fù)。第二十條 機(jī)房管理員的安全職責(zé)如下：（一）負(fù)責(zé)機(jī)房的物資管理和日常維護(hù)工作；（二）根據(jù)信息技術(shù)中心的要求，嚴(yán)格遵守工作流程， 確保日常工作的正常進(jìn)行；（三）完成信息技術(shù)中心交辦的其他工作。第二十一條 重

12、要業(yè)務(wù)系統(tǒng)操作人員的安全職責(zé)如下：（一）根據(jù)XXXXX安全策略對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行安全操作;（二）負(fù)責(zé)定期對(duì)業(yè)務(wù)系統(tǒng)操作進(jìn)行自評(píng)估，如發(fā)現(xiàn)非 法或違反安全策略的操作應(yīng)及時(shí)報(bào)告安全審計(jì)員。第二十二條 相關(guān)部門安全員的崗位職責(zé)如下：（一）負(fù)責(zé)本部門信息安全工作的開展，并配合信息技術(shù)中心的信息安全工作；（二）遵照xxxxX勺信息安全策略協(xié)調(diào)本部門的信息安全技術(shù)落實(shí)；（三）指導(dǎo)并參與信息安全相關(guān)項(xiàng)目的建設(shè)；（四）協(xié)調(diào)本部門的信息安全工作，并接受數(shù)據(jù)信息技 術(shù)中心定期和不定期的檢查。第五章 信息安全崗位要求第二十三條 XXXXX應(yīng)設(shè)立專職的信息安全管理崗位，并由專人負(fù)責(zé)，根據(jù)信息安全管理的實(shí)際工作情況，人員編 制為 3-6 人。第二十四條 XXXXX設(shè)立專職的安全管理員。第二十五條 關(guān)鍵崗位應(yīng)配備多人共同管理，定期輪 崗，關(guān)鍵崗位人員配備堅(jiān)持“權(quán)限分散、不得交叉覆蓋”的 原則，安全管理員和安全審計(jì)員不能由一人身兼。第二十六條 信息技術(shù)中心應(yīng)根據(jù)崗位職責(zé)， 確定崗位 所需要的安全技能，并對(duì)所有信息安全崗位人員進(jìn)行相應(yīng)的 安全技能培訓(xùn)。第二十七條 XXXXX 信息系統(tǒng)的安全技術(shù)崗位可由其他相關(guān)管理員兼任，其中網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、數(shù) 據(jù)庫(kù)安