信息安全組織及崗位職責(zé)管理制度

1、信息安全組織及崗位職責(zé)管理制度二零一八年八月版本控制版本修改時(shí)間修改內(nèi)容修改人員審核人員專業(yè)資料專業(yè)資料第一章總則第一條為加強(qiáng)公司等級(jí)保護(hù)保障工作的組織協(xié)調(diào)，建立健全等級(jí)保護(hù)管理制度和運(yùn)行機(jī)制，切實(shí)提高公司等級(jí)保護(hù)保障工作水平，全面提高信息系統(tǒng)信息安全管理能力,根據(jù)國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)、 GB/T22239-2008 信息安全等級(jí)保護(hù)基本要求等政策要求，特制定本制度。第二條本規(guī)定依照信息安全管理的主要領(lǐng)導(dǎo)負(fù)責(zé)原則、全員參與原則、依法管理原則、分權(quán)和授權(quán)原則和體系化管理原則編制，具體原則為：（ 一 ） 主要領(lǐng)導(dǎo)負(fù)責(zé)原則：確保公司主要領(lǐng)導(dǎo)參與并確立組織統(tǒng)一的信息系統(tǒng)信息

2、安全保障宗旨和政策，組織有效的安全保障隊(duì)伍，調(diào)動(dòng)并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理工作與各部門(mén)工作的關(guān)系，并確保其落實(shí)、有效；（ 二 ） 全員參與原則：信息系統(tǒng)所有相關(guān)人員普遍參與信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)的安全；（ 三 ） 依法管理原則：信息系統(tǒng)信息安全管理工作應(yīng)保證管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法；（ 四 ） 分權(quán)和授權(quán)原則：對(duì)特定職能或責(zé)任領(lǐng)域的管理功能實(shí)施分離、獨(dú)立審計(jì)等實(shí)行分權(quán)，避免權(quán)力過(guò)分集中所帶來(lái)的隱患，以減小未授權(quán)的修改或?yàn)E用系統(tǒng)資源的機(jī)會(huì)。任何實(shí)體 （如用戶、管理員、進(jìn)程、應(yīng)用或系統(tǒng)）僅享有該實(shí)體需要完成其任務(wù)所必須的權(quán)

3、限，不應(yīng)享有任何多余權(quán)限。（ 五 ） 體系化管理原則: 信息系統(tǒng)應(yīng)符合信息安全相關(guān)政策的體系化管理目標(biāo)和要求。第三條本規(guī)定適用于公司。第二章組織目標(biāo)第四條本制度旨在實(shí)現(xiàn)信息安全管理組織的以下目標(biāo)：（一 ） 管理組織內(nèi)的信息系統(tǒng)安全保護(hù)工作；（二 ） 管理外部組織訪問(wèn)組織內(nèi)信息處理設(shè)施和信息資產(chǎn)的安全。第三章安全管理組織架構(gòu)第五條為加強(qiáng)對(duì)公司信息安全管理工作的領(lǐng)導(dǎo)，貫徹落實(shí)監(jiān)管部門(mén)的信息安全保護(hù)要求，經(jīng)研究決定成立公司信息安全管理委員會(huì)。第六條信息安全管理委員會(huì)為公司信息安全工作的最高管理機(jī)構(gòu)。第七條由公司副總經(jīng)理?yè)?dān)任信息安全管理委員會(huì)主席，成員包括：（ 一 ） 生產(chǎn)技術(shù)部主管領(lǐng)導(dǎo)；（ 二 ）

4、各部門(mén)主管領(lǐng)導(dǎo)。第八條生產(chǎn)技術(shù)部是信息安全管理工作的執(zhí)行機(jī)構(gòu)，負(fù)責(zé)執(zhí)行信息安全管理委員會(huì)交辦的各項(xiàng)工作，由生產(chǎn)技術(shù)部總經(jīng)理?yè)?dān)任負(fù)責(zé)人，成員包括：（ 一 ） 生產(chǎn)技術(shù)部；（ 二 ） 系統(tǒng)開(kāi)發(fā)部；（ 三 ） 運(yùn)營(yíng)維護(hù)部。第九條生產(chǎn)技術(shù)部應(yīng)設(shè)立信息安全管理崗位，分別為安全管理員、安全審計(jì)員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、應(yīng)用管理員，負(fù)責(zé)執(zhí)行網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用的安全管理和運(yùn)維工作。第四章信息安全組織職責(zé)第十條信息安全管理委員會(huì)負(fù)責(zé)領(lǐng)導(dǎo)信息系統(tǒng)安全工作，組織職責(zé)為：（ 一 ） 根據(jù)國(guó)家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī)，確定信息安全工作的總體方向、總體原則和安全工作方法；（ 二 ） 根據(jù)

5、國(guó)家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī)，批準(zhǔn)信息系統(tǒng)的安全策略和發(fā)展規(guī)劃；（ 三 ） 確定各有關(guān)部門(mén)在信息系統(tǒng)安全工作中的職責(zé)，領(lǐng)導(dǎo)安全工作的實(shí)施；（ 四 ） 監(jiān)督安全措施的執(zhí)行，并對(duì)重要安全事件的處理進(jìn)行決策；（ 五 ） 指導(dǎo)和檢查信息安全職能部門(mén)的各項(xiàng)工作；（ 六 ） 建設(shè)和完善信息系統(tǒng)安全組織體系和管理機(jī)制。第十一條生產(chǎn)技術(shù)部負(fù)責(zé)貫徹、落實(shí)和執(zhí)行信息安全管理委員會(huì)下達(dá)的各項(xiàng)工作，組織職責(zé)為：（ 一 ） 貫徹、 落實(shí)和解釋國(guó)家及行業(yè)有關(guān)信息安全的政策、法律、法規(guī)和信息安全工作要求，起草信息系統(tǒng)的安全策略和發(fā)展規(guī)劃；（ 二 ） 落實(shí)和執(zhí)行信息系統(tǒng)信息安全工作的日常事務(wù)，對(duì)具體落實(shí)情況進(jìn)行總

6、結(jié)和匯報(bào)；（ 三 ） 負(fù)責(zé)安全措施的實(shí)施或組織實(shí)施，組織并參加信息安全重要事件的處理；（ 四 ） 負(fù)責(zé)內(nèi)、外部組織和機(jī)構(gòu)的信息安全溝通、協(xié)調(diào)和合作工作；（ 五 ） 組織編制和落實(shí)信息安全規(guī)劃工作；（ 六 ） 指導(dǎo)和檢查運(yùn)維單位對(duì)信息系統(tǒng)安全工作落實(shí)情況；（ 七 ） 監(jiān)控信息系統(tǒng)安全總體狀況，提出安全分析報(bào)告；（ 八 ） 協(xié)同有關(guān)部門(mén)共同組成應(yīng)急處理小組，組織處理信息安全應(yīng)急響應(yīng)工作；（ 九 ） 負(fù)責(zé)組織信息系統(tǒng)安全知識(shí)的培訓(xùn)和宣傳工作。第十二條系統(tǒng)開(kāi)發(fā)部負(fù)責(zé)信息系統(tǒng)建設(shè)開(kāi)發(fā)相關(guān)工作，組織職責(zé)為：（ 一 ） 負(fù)責(zé)信息系統(tǒng)開(kāi)發(fā)過(guò)程中的項(xiàng)目管理工作；（ 二 ） 負(fù)責(zé)信息系統(tǒng)運(yùn)行維護(hù)過(guò)程中軟件版本升級(jí)

7、、功能定制等方面的開(kāi)發(fā)工作；（ 三 ） 配合生產(chǎn)技術(shù)部完成信息系統(tǒng)建設(shè)規(guī)劃、方案設(shè)計(jì)及編寫(xiě)工作；（ 四 ） 配合生產(chǎn)技術(shù)部完成公司管理層安排的其他相關(guān)技術(shù)工作。第十三條運(yùn)營(yíng)維護(hù)部負(fù)責(zé)信息系統(tǒng)運(yùn)行維護(hù)的相關(guān)工作，組織職責(zé)為：（ 一 ） 負(fù)責(zé)信息系統(tǒng)上線后的運(yùn)行維護(hù)工作，具體為機(jī)房管理、基礎(chǔ)設(shè)施日常巡檢、應(yīng)用系統(tǒng)監(jiān)控等；（ 二 ） 負(fù)責(zé)定期維護(hù)機(jī)房環(huán)境設(shè)施及重要信息系統(tǒng)設(shè)備等；（ 三 ） 負(fù)責(zé)提出應(yīng)用系統(tǒng)非功能性需求；（ 四 ） 負(fù)責(zé)定期分析信息系統(tǒng)運(yùn)行過(guò)程中的日志、周報(bào)、月報(bào)，并定期匯總上報(bào)管理層；（ 五 ） 負(fù)責(zé)協(xié)調(diào)并組織應(yīng)對(duì)信息系統(tǒng)運(yùn)行過(guò)程中的突發(fā)事件；（ 六 ） 配合生產(chǎn)技術(shù)部完成其他信息

8、科技方面的相關(guān)工作。第五章信息安全崗位職責(zé)第十四條應(yīng)建立信息安全崗位，明確信息安全崗位職責(zé)。第十五條項(xiàng)目計(jì)劃崗位職責(zé)為：起草和編制信息系統(tǒng)信息安全總體規(guī)劃以及計(jì)劃方案，收集信息系統(tǒng)安全需求。第十六條項(xiàng)目管理崗位職責(zé)為：（ 一 ） 負(fù)責(zé)信息系統(tǒng)項(xiàng)目實(shí)施的組織、協(xié)調(diào)和驗(yàn)收工作；（ 二 ） 負(fù)責(zé)項(xiàng)目合同的管理及監(jiān)督。第十七條運(yùn)行維護(hù)崗位職責(zé)為：（ 一 ） 起草和編制信息系統(tǒng)信息安全方針、信息安全保障體系框架和信息安全策略、制度和技術(shù)規(guī)范；（ 二 ） 推動(dòng)信息系統(tǒng)信息安全方針、信息安全策略、信息安全管理制度及信息安全技術(shù)規(guī)范的實(shí)施落實(shí)。第十八條設(shè)備資源管理崗位職責(zé)為：負(fù)責(zé)信息系統(tǒng)設(shè)備的管理，包括設(shè)備的

9、報(bào)廢等。第十九條安全管理員的崗位職責(zé)為：（ 一 ） 定期組織信息系統(tǒng)漏洞掃描和信息安全風(fēng)險(xiǎn)評(píng)估工作，形成信息系統(tǒng)和整體安全現(xiàn)狀報(bào)告，并向信息安全管理委員會(huì)進(jìn)行匯報(bào)；（ 二 ） 負(fù)責(zé)制定信息系統(tǒng)總體網(wǎng)絡(luò)訪問(wèn)控制策略和規(guī)則，并對(duì)其進(jìn)行監(jiān)控和審計(jì)工作，定期發(fā)布策略執(zhí)行情況；（ 三 ） 對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫(kù)管理員進(jìn)行安全指導(dǎo)；（ 四 ） 定期收集信息安全漏洞和公告信息，告知相關(guān)安全運(yùn)維管理人員；（ 五 ） 協(xié)調(diào)信息安全應(yīng)急響應(yīng)組織和技術(shù)支撐單位。第二十條安全審計(jì)員的崗位職責(zé)為：（ 一 ） 定期審計(jì)信息系統(tǒng)信息安全策略執(zhí)行情況，收集信息系統(tǒng)日志和審計(jì)記錄，并提供審計(jì)報(bào)告；（ 二 ） 對(duì)安全、網(wǎng)絡(luò)、

10、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫(kù)管理員的操作行為進(jìn)行監(jiān)督，安全職責(zé)落實(shí)情況進(jìn)行檢查；第二十一條系統(tǒng)管理員的安全職責(zé)為：（ 一 ） 根據(jù)信息系統(tǒng)安全策略定期對(duì)系統(tǒng)進(jìn)行自評(píng)估；（ 二 ） 依照安全策略對(duì)系統(tǒng)進(jìn)行安全配置和漏洞修補(bǔ)，確保安全補(bǔ)丁保持2 個(gè)月內(nèi)最新補(bǔ)?。唬?三 ） 對(duì)系統(tǒng)進(jìn)行日常安全運(yùn)維管理，定期更改系統(tǒng)賬號(hào)，并定期提交安全運(yùn)行維護(hù)記錄或報(bào)告；（ 四）在發(fā)生系統(tǒng)異常和安全事件時(shí)，應(yīng)能對(duì)系統(tǒng)進(jìn)行應(yīng)急處置。第二十二條網(wǎng)絡(luò)管理員的安全職責(zé)為：（ 一）根據(jù)信息系統(tǒng)安全策略定期對(duì)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)架構(gòu)進(jìn)行自評(píng)估；（ 二）依照安全策略對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置和漏洞修補(bǔ)；（ 三）對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行日常安全運(yùn)維管理

11、，并定期提交安全運(yùn)行維護(hù)記錄或報(bào)告；（ 四）在發(fā)生系統(tǒng)異常和安全事件時(shí)，應(yīng)能對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行應(yīng)急處置。第六章信息安全崗位要求第二十三條生產(chǎn)技術(shù)部應(yīng)設(shè)立專職的信息安全管理崗位，并由專人負(fù)責(zé)，根據(jù)信息安全管理的實(shí)際工作情況，人員編制1 人。第二十四條各部門(mén)應(yīng)設(shè)立專職的安全管理員。第二十五條關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理，定期輪崗，關(guān)鍵崗位人員配備堅(jiān)持“權(quán)限分散、不得交叉覆蓋”的原則，安全管理員和安全審計(jì)員不能由一人身兼。第二十六條各部門(mén)應(yīng)根據(jù)崗位職責(zé)，確定崗位所需要的安全技能，并對(duì)所有信息安全崗位人員進(jìn)行對(duì)應(yīng)的安全技能培訓(xùn)。第二十七條信息系統(tǒng)的安全技術(shù)崗位可由其他相關(guān)管理員兼任，其中網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、數(shù)據(jù)庫(kù)安全管理以及應(yīng)用安全管理工作可分別由網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員以及應(yīng)用管理員執(zhí)行。第二十八條重要業(yè)務(wù)