信息安全管理組織機構(gòu)和人員安全管理辦法

1、信息安全管理組織機構(gòu)和人員安全管理辦法第一章？總則？第1條?為加強本公司信息安全管理工作，保障網(wǎng)絡與信息系統(tǒng)的正 常運行，依據(jù)有關法律、法規(guī)及信息安全標準，特制定本辦法。？第2條?本辦法適用于本公司的信息安全組織機構(gòu)和人員職責的管理。第二章？信息安全領導小組？第1條?公司成立信息安全領導小組。領導小組是信息安全的最高決策機構(gòu)，下設辦公室掛靠在公司技術(shù)部，負責信息安全領導小組的日常事務。？第2條?信息安全領導小組下設兩個工作組：？信息安全工作組？應急處理工作組？第3條?信息安全領導小組的職責主要包括：？根據(jù)國家和行業(yè)有關信息安全的政策、 法律和法規(guī)，批準公司信息安全總體策略規(guī)劃、管理規(guī)范和技術(shù)標

2、準；？確定公司信息安全各有關部門工作職責，指導、監(jiān)督信息安全工 作。第三章？信息安全工作組？第1條?信息安全工作組組長由公司技術(shù)部的負責人擔任。？第2條?信息安全工作組的主要職責包括：？貫徹執(zhí)行公司信息安全領導小組的決議，協(xié)調(diào)和規(guī)范公司信息安 全工作；？根據(jù)信息安全領導小組的工作部署，對信息安全工作進行具體安 排、落實；？組織對重大的信息安全工作制度和技術(shù)操作策略進行審查，擬訂信息安全總體策略規(guī)劃，并監(jiān)督執(zhí)行；？負責協(xié)調(diào)、督促各職能部門和有關單位的信息安全工作， 參與信 息系統(tǒng)工程建設中的安全規(guī)劃，監(jiān)督安全措施的執(zhí)行；？組織信息安全工作檢查，分析信息安全總體狀況，提出分析報告 和安全風險的防范

3、對策；負責接受各單位的緊急信息安全事件報告，組織進行事件調(diào)查， 分析原因、涉及范圍，并評估安全事件的嚴重程度，提出信息安全事 件防范措施；？及時向信息安全工作領導小組和上級有關部門、 單位報告信息安 全事件。？跟蹤先進的信息安全技術(shù)，組織信息安全知識的培訓和宣 傳工作。第四章？應急處理工作組？第1條?應急處理工作組組長由公司技術(shù)部的主要負責人擔任。第2條?應急處理工作組的主要職責包括：？審定公司網(wǎng)絡與信息系統(tǒng)的安全應急策略及應急預案；？決定相應應急預案的啟動，負責現(xiàn)場指揮，并組織相關人員排除 故障，恢復系統(tǒng)；？每年組織對信息安全應急策略和應急預案進行測試和演練。？?第五章？信息安全人員基本要求

4、？第1條?信息安全管理人員和專（兼）職信息安全技術(shù)人員應當政治 可靠、業(yè)務素質(zhì)高、遵紀守法、恪盡職守。？第2條?信息安全管理人員及專職和兼職信息安全技術(shù)人員應有計算 機專業(yè)工作三年以上經(jīng)歷，具備?？埔陨蠈W歷。？第3條?違反國家法律、法規(guī)和行業(yè)規(guī)章受到處罰的人員，不得從事 信息安全管理與技術(shù)工作。？第六章？信息安全人員管理？第1條?信息安全人員的配備和變更情況，應向總經(jīng)理報告、備案。第2條?信息安全人員調(diào)離崗位，必須嚴格辦理調(diào)離手續(xù)，承諾其調(diào) 離后的保密義務。？ 第七章？信息安全人員職責范圍？ 第1條?信息安全人員應履行以下職責：？負責信息安全管理的日常工作；？開展信息安全檢查工作，對要害崗位人

5、員安全工作進行指導和監(jiān) 督；負責維護和審查有關安全審計記錄， 及時發(fā)現(xiàn)存在問題，提出安 全風險防范對策；？開展信息安全知識的培訓和宣傳工作；？監(jiān)控信息安全總體狀況，提出信息安全分析報告；？及時向信息安全工作領導小組和有關部門、 單位報告信息安全事 件。？第2條?信息安全人員在行使職責時，確因工作需要，經(jīng)批準，可了 解涉及經(jīng)營與管理有關的信息系統(tǒng)的機密信息。？第3條?信息安全人員發(fā)現(xiàn)本單位重大信息安全隱患，有權(quán)向公司總 經(jīng)理報告。？第4條?信息安全人員發(fā)現(xiàn)信息系統(tǒng)要害崗位人員使用不當，應及時 建議公司進行調(diào)整。？第5條?信息安全人員必須嚴格遵守國家有關法律、法規(guī)和公司有關 規(guī)章制度，嚴守公司商業(yè)

6、秘密。？ 第八章？要害崗位人員管理？ 第1條?信息系統(tǒng)要害崗位人員，是指與重要信息系統(tǒng)直接相關的系 統(tǒng)管理人員、網(wǎng)絡管理人員、重要應用開發(fā)人員、系統(tǒng)維護人員、重 要業(yè)務操作人員等崗位人員。？第2條?重要信息系統(tǒng)，是指涉及公司生產(chǎn)、建設與經(jīng)營、管理等核 心業(yè)務且有保密要求的信息系統(tǒng)。？第3條?要害崗位人員上崗前必須經(jīng)單位人事部門進行政治素質(zhì)審查，技術(shù)部門進行業(yè)務技能考核，工作經(jīng)歷和工作經(jīng)驗考查等，合格者方 可上崗。？第4條?要害崗位人員有責任保護信息系統(tǒng)的秘密，并以簽署保密協(xié) 議的方式作出安全承諾。？第5條?要害崗位人員上崗必須實行“權(quán)限分散、不得交叉覆蓋”的 原則。系統(tǒng)管理人員、網(wǎng)絡管理人員、

7、系統(tǒng)開發(fā)人員、系統(tǒng)維護人員 不得兼任業(yè)務操作員；系統(tǒng)開發(fā)人員原則上不應兼任系統(tǒng)管理員。?第6條?對要害崗位人員應實行定期考查制度，要害崗位人員應定期接受安全培訓，加強自身安全意識和風險防范意識。？第7條?要害崗位人員調(diào)離崗位，必須嚴格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務？。涉及公司業(yè)務保密信息的要害崗位人員調(diào)離單位，必須進行離崗審計，在規(guī)定的脫密期后，方可調(diào)離。？第8條?要害崗位人員離崗后，必須即刻更換操作密碼或注銷用戶。第九章？要害崗位安全責任？第1條?系統(tǒng)管理員安全責任？負責系統(tǒng)的運行管理，實施系統(tǒng)安全運行細則；？嚴格用戶權(quán)限管理，維護系統(tǒng)安全正常運行；？認真記錄系統(tǒng)安全事項，及時向信息安

8、全人員報告安全事件；對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。 ？第2條？網(wǎng)絡管理員安全責任？負責網(wǎng)絡的運行管理，實施網(wǎng)絡安全策略和安全運行細則；？安全配置網(wǎng)絡參數(shù)，嚴格控制網(wǎng)絡用戶訪問權(quán)限，維護網(wǎng)絡安全正常運行；？監(jiān)控網(wǎng)絡關鍵設備、網(wǎng)絡端口、網(wǎng)絡物理線路，防范黑客入侵，及時向信息安全人員報告安全事件；？對操作網(wǎng)絡管理功能的其他人員進行安全監(jiān)督。？第3條?系統(tǒng)開發(fā)員安全責任？系統(tǒng)開發(fā)建設中，應嚴格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準確實現(xiàn)；？系統(tǒng)投產(chǎn)運行前，應完整移交系統(tǒng)源代碼和相關涉密資料；？不得對系統(tǒng)設置“后門”；？對系統(tǒng)核心技術(shù)保密第4條?系統(tǒng)維護員安全責任？負責系統(tǒng)維護，及時解除系統(tǒng)故障

9、，確保系統(tǒng)正常運行；？不得擅自改變系統(tǒng)功能；？不得安裝與系統(tǒng)無關的其他計算機程序；？維護過程中，發(fā)現(xiàn)安全漏洞應及時報告信息安全人員。？第5條?業(yè)務操作員安全責任？嚴格執(zhí)行系統(tǒng)操作規(guī)程和運行安全管理制度；？不得向他人提供自己的操作密碼；？及時向系統(tǒng)管理員報告系統(tǒng)各種異常事件。？第6條?各要害崗位人員必須嚴格遵守保密法規(guī)和有關信息安全管理 規(guī)定。？第十章？第三方人員管理？第1條?第三方人員包括軟件開發(fā)商，硬件供應商，系統(tǒng)集成商，設 備維護商和服務提供商，以及實習學生和臨時工作人員。？第2條?應對第三方人員的物理訪問和邏輯訪問實施訪問控制，根據(jù) 其在系統(tǒng)中完成工作的時間、性質(zhì)、范圍、內(nèi)容等方面的需要

10、給予最 低授權(quán)。？第3條?第三方人員的現(xiàn)場工作或遠程維護工作內(nèi)容應在合同中明確 規(guī)定，如工作涉及機密或秘密信息內(nèi)容，應要求其簽署保密協(xié)議。第4條?一般情況下第三方人員的現(xiàn)場工作，如數(shù)據(jù)庫、系統(tǒng)、漏洞 掃描、入侵檢測、白客滲透以及其他軟件的安裝等，不許接入自帶的 設備。？第5條?第三方人員的現(xiàn)場工作應在本單位信息部門有關人員的陪同 和監(jiān)督下完成。第三方人員自帶設備接入信息系統(tǒng)應得到特別授權(quán)， 其操作應受到審計。？第6條?第三方人員工作結(jié)束后，應及時清除有關賬戶、過程記錄等 信息。？第十一章？培訓與教育？第1條?信息安全人員應定期參加下列信息安全知識和技能的培訓：信息安全法律法規(guī)及行業(yè)規(guī)章制度的培訓；？信息安全基本知識的培訓；？信息安全專門技能