信息安全组织及岗位职责管理制度

I信息安全组织及岗位职责管理制度二零一八年八月版本控制版本修改时间修改内容修改人员审核人员II1第一章总则第一条为加强公司等级保护保障工作的组织协调，建立健全等级保护管理制度和运行机制，切实提高公司等级保护保障工作水平，全面提高信息系统信息安全管理能力,根据《国家信息化领导小组关于加强信息安全保障工作的意见》、《GB/T22239-2008信息安全等级保护基本要求》等政策要求，特制定本制度。第二条本规定依照信息安全管理的主要领导负责原则、全员参与原则、依法管理原则、分权和授权原则和体系化管理原则编制，具体原则为：(一)主要领导负责原则：确保公司主要领导参与并确立组织统一的信息系统信息安全保障宗旨和政策，组织有效的安全保障队伍，调动并优化配置必要的资源，协调安全管理工作与各部门工作的关系，并确保其落实、有效；(二)全员参与原则：信息系统所有相关人员普遍参与信息系统的安全管理，并与相关方面协同、协调，共同保障信息系统的安全；(三)依法管理原则：信息系统信息安全管理工作应保证管理主体合法、管理行为合法、管理内容合法、管理程序合法；(四)分权和授权原则：对特定职能或责任领域的管理功能实施分离、独立审计等实行分权，避免权力过分集中所带来的隐患，以减小未授权的修改或滥用系统资源的机会。任何实体（如用户、管理员、进程、应用或系统）仅享有该实体需要完成其任务所必须的权限，不应享有任何多余权限。2(五)体系化管理原则:信息系统应符合信息安全相关政策的体系化管理目标和要求。第三条本规定适用于公司。第二章组织目标第四条本制度旨在实现信息安全管理组织的以下目标：(一)管理组织内的信息系统安全保护工作；(二)管理外部组织访问组织内信息处理设施和信息资产的安全。第三章安全管理组织架构第五条为加强对公司信息安全管理工作的领导，贯彻落实监管部门的信息安全保护要求，经研究决定成立公司信息安全管理委员会。第六条信息安全管理委员会为公司信息安全工作的最高管理机构。第七条由公司副总经理担任信息安全管理委员会主席，成员包括：(一)生产技术部主管领导；(二)各部门主管领导。第八条生产技术部是信息安全管理工作的执行机构，负责执行信息安全管理委员会交办的各项工作，由生产技术部总经理担任负责人，成员包括：3(一)生产技术部；(二)系统开发部；(三)运营维护部。第九条生产技术部应设立信息安全管理岗位，分别为安全管理员、安全审计员、网络管理员、系统管理员、数据库管理员、应用管理员，负责执行网络、系统、数据库和应用的安全管理和运维工作。第四章信息安全组织职责第十条信息安全管理委员会负责领导信息系统安全工作，组织职责为：(一)根据国家和行业有关信息安全的政策、法律和法规，确定信息安全工作的总体方向、总体原则和安全工作方法；(二)根据国家和行业有关信息安全的政策、法律和法规，批准信息系统的安全策略和发展规划；(三)确定各有关部门在信息系统安全工作中的职责，领导安全工作的实施；(四)监督安全措施的执行，并对重要安全事件的处理进行决策；(五)指导和检查信息安全职能部门的各项工作；(六)建设和完善信息系统安全组织体系和管理机制。第十一条生产技术部负责贯彻、落实和执行信息安全管理委员会下达的各项工作，组织职责为：(一)贯彻、落实和解释国家及行业有关信息安全的政策、法律、法规和信息安全工作要求，起草信息系统的安全策略和发展规划；4(二)落实和执行信息系统信息安全工作的日常事务，对具体落实情况进行总结和汇报；(三)负责安全措施的实施或组织实施，组织并参加信息安全重要事件的处理；(四)负责内、外部组织和机构的信息安全沟通、协调和合作工作；(五)组织编制和落实信息安全规划工作；(六)指导和检查运维单位对信息系统安全工作落实情况；(七)监控信息系统安全总体状况，提出安全分析报告；(八)协同有关部门共同组成应急处理小组，组织处理信息安全应急响应工作；(九)负责组织信息系统安全知识的培训和宣传工作。第十二条系统开发部负责信息系统建设开发相关工作，组织职责为：(一)负责信息系统开发过程中的项目管理工作；(二)负责信息系统运行维护过程中软件版本升级、功能定制等方面的开发工作；(三)配合生产技术部完成信息系统建设规划、方案设计及编写工作；(四)配合生产技术部完成公司管理层安排的其他相关技术工作。第十三条运营维护部负责信息系统运行维护的相关工作，组5织职责为：(一)负责信息系统上线后的运行维护工作，具体为机房管理、基础设施日常巡检、应用系统监控等；(二)负责定期维护机房环境设施及重要信息系统设备等；(三)负责提出应用系统非功能性需求；(四)负责定期分析信息系统运行过程中的日志、周报、月报，并定期汇总上报管理层；(五)负责协调并组织应对信息系统运行过程中的突发事件；(六)配合生产技术部完成其他信息科技方面的相关工作。第五章信息安全岗位职责第十四条应建立信息安全岗位，明确信息安全岗位职责。第十五条项目计划岗位职责为：起草和编制信息系统信息安全总体规划以及计划方案，收集信息系统安全需求。第十六条项目管理岗位职责为：(一)负责信息系统项目实施的组织、协调和验收工作；(二)负责项目合同的管理及监督。第十七条运行维护岗位职责为：(一)起草和编制信息系统信息安全方针、信息安全保障体系框架和信息安全策略、制度和技术规范；(二)推动信息系统信息安全方针、信息安全策略、信息安全管理制度及信息安全技术规范的实施落实。第十八条设备资源管理岗位职责为：负责信息系统设备的管6理，包括设备的报废等。第十九条安全管理员的岗位职责为：(一)定期组织信息系统漏洞扫描和信息安全风险评估工作，形成信息系统和整体安全现状报告，并向信息安全管理委员会进行汇报；(二)负责制定信息系统总体网络访问控制策略和规则，并对其进行监控和审计工作，定期发布策略执行情况；(三)对网络、系统、应用、数据库管理员进行安全指导；(四)定期收集信息安全漏洞和公告信息，告知相关安全运维管理人员；(五)协调信息安全应急响应组织和技术支撑单位。第二十条安全审计员的岗位职责为：(一)定期审计信息系统信息安全策略执行情况，收集信息系统日志和审计记录，并提供审计报告；(二)对安全、网络、系统、应用、数据库管理员的操作行为进行监督，安全职责落实情况进行检查；第二十一条系统管理员的安全职责为：(一)根据信息系统安全策略定期对系统进行自评估；(二)依照安全策略对系统进行安全配置和漏洞修补，确保安全补丁保持2个月内最新补丁；(三)对系统进行日常安全运维管理，定期更改系统账号，并定期提交安全运行维护记录或报告；7(四)在发生系统异常和安全事件时，应能对系统进行应急处置。第二十二条网络管理员的安全职责为：(一)根据信息系统安全策略定期对网络设备、网络架构进行自评估；(二)依照安全策略对网络设备进行安全配置和漏洞修补；(三)对网络设备、安全设备进行日常安全运维管理，并定期提交安全运行维护记录或报告；(四)在发生系统异常和安全事件时，应能对网络设备、安全设备进行应急处置。第六章信息安全岗位要求第二十三条生产技术部应设立专职的信息安全管理岗位，并由专人负责，根据信息安全管理的实际工作情况，人员编制1人。第二十四条各部门应设立专职的安全管理员。第二十五条关键事务岗位应配备多人共同管理，定期轮岗，关键岗位人员配备坚持“权限分散、不得交叉覆盖”的原则，安全管理员和安全审计员不能由一人身兼。第二十六条各部门应根据岗位职责，确定岗位所需要的安全技能，并对所有信息安全岗位人员进行对应的安全技能培训。第二十七条信息系统的安全技术岗位可由其他相关管理员兼任，其中网络安全管理、系统安全管理、数据库安全管理以及应用安全管理工作可分别由网络管理员、系统管理员、数据库管理员以及应用管理员执行。8第二十八条重要业务系统操作人员应在日常工作中认真执行信息系统安全策略和技术安全规范中的各项要求。第七章持续改进第二十九条为了保证本策略文件的时效性、可有性，必须根据相关审核规定进行评审和修订，修订后重新发布。第八章附则第三十条本规定的解释权归公司生产技术部。第三十一条本规定自发布之日起生效。