公司信息安全管理机构.docx

1、目录 第一章岗位设置3 1. 组织机构3 2. 关键岗位3 第二章人员配备7 第三章授权和审批8 第四章沟通和合作10 第五章审核和检查11 信息安全管理机构 第一章岗位设置 健全的岗位设置、职责分配及技能要求等是安全组织建设的重点内容，对于以后安全管理工作的顺利开展具有巨大的意义。 缺乏健全的岗位设置、职责分配及技能要求将导致无人负责、难以落实责权利，难以胜任安全管理工作等严重问题。 1. 组织机构 1）XXXXXXXXXX成立信息安全领导小组，是信息安全的 最高决策机构，下设办公室，负责信息安全领导小组的日常事务。 2）信息安全工作领导小组，其最高领导由单位主

2、管领导委任或授权。 3）信息安全领导小组负责研究重大事件，落实方针政策和制定总体策略等。职责主要包括： a）根据国家和行业有关信息安全的政策、法律和法规，批准公司信息安全总体策略规划、管理规范和技术标准； b）确定公司信息安全各有关部门工作职责，指导、监督信息安全工作。 c）信息安全领导小组下设两个工作组：信息安全工作组、应急处理工作组。组长均由公司负责人担任。 4）信息安全工作组的主要职责包括: a）贯彻执行公司信息安全领导小组的决议，协调和规范公司信息安全工作； b）根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落实； c）组织对重大的信息安全工作制度和技术操

3、作策略进行审查，拟订信息安全总体策略规划，并监督执行； d）负责协调、督促各职能部门和有关单位的信息安全工作，参与信息系统工程建设中的安全规划，监督安全措施的执行； e）组织信息安全工作检查，分析信息安全总体状况，提出分析报告和安全风险的防范对策； f）负责接受各单位的紧急信息安全事件报告，组织进行事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施； g）及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 h）跟踪先进的信息安全技术，组织信息安全知识的培训和宣传工作。 5）应急处理工作组的主要职责包括： a）审定公司网络与信息系统的安全

4、应急策略及应急预案； b）决定相应应急预案的启动，负责现场指挥，并组织相关人员排除故障，恢复系统； c）每年组织对信息安全应急策略和应急预案进行测试和演练。 6）公司应指定分管信息的领导负责本单位信息安全管理，并配备信息安全技术人员，有条件的应设置信息安全工作小组或办公室，对公司信息安全领导小组和工作小组负责，落实本单位信息安全工作和应急处理工作。 2. 关键岗位 设置信息系统的关键岗位并加强管理，配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员，要求五人各自独立。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。 1）系统管理员主要职责有： a）负责

5、系统的运行管理，实施系统安全运行细则； b）严格用户权限管理，维护系统安全正常运行； c）认真记录系统安全事项，及时向信息安全人员报告安全事件； d）对进行系统操作的其他人员予以安全监督。 2）网络管理员主要职责有： a）负责网络的运行管理，实施网络安全策略和安全运行细则； b）安全配置网络参数，严格控制网络用户访问权限，维护网络安全正常运行； c）监控网络关键设备、网络端、网络物理线路，防范黑客入侵，及时向信息安全人员报告安全事件； d）对操作网络管理功能的其他人员进行安全监督。 3）应用开发管理员主要职责有： a）负责在系统开发建设中，严格执行系统安全策略，保证系统安全

6、功能的准确实现； b）系统投产运行前，完整移交系统相关的安全策略等资料； c）不得对系统设置“后门”； d）对系统核心技术保密等。 4）安全审计员负责对涉及系统安全的事件和各类操作人员 的行为进行审计和监督，主要职能包括： a）按操作员证书号进行审计； b）按操作时间审计； c）按操作类型审计； d）事件类型进行审计； e）日志管理等。 5）安全保密管理员负责日常安全保密管理活动，主要职责有: a）监视全网运行和安全告警信息 b）网络审计信息的常规分析 c）安全设备的常规设置和维护 d）执行应急中心制定的具体安全策略 e）向应急管理机构和领导机构报告重大的网络安

7、全事件等。 第二章人员配备 配备足够数量的系统管理员、网络管理员、安全管理员对顺利完成安全管理工作是非常重要的，可以有效避免人力不足带来的问题。配备专职的安全管理员可以让管理工作落实到专人上，可以更高效的开展安全管理工作。关键事务岗位配备多人进行共同管理可以防止出现疏忽，并且有利于互相约束和监督机制的建立。 如果没有配备足够数量的系统管理员、网络管理员、安全管理员，则可能由于工作过度繁忙而出现安全事件。如果安全管理人员都是兼职，则很可能出现只顾其他业务而忽视安全的情况。关键事务岗位人员不足会导致疏忽大意。 1. 按照实际工作需要配备足够数量的系统管理员、网络管理员、安全管理员； 2.

8、 在安全管理部配备专职的安全管理员； 3. 识别出关键事务岗位，对这些关键岗位配备多人进行共同管理，以防止疏忽，并且建立起约束和监督机制。 岗位名称 人员数量 人员名称 系统管理员 网络管理员 应用开发管理员 安全审计员 安全保密管理员 第三章授权和审批 授权和审批可以保证安全有关工作得到认可和控制，排除盲目性和不一致性，使安全工作更加权威和科学，有利于增强责任感。 如果授权和审批工作做得不够完善，可能会带来执行难等问题，安全工作得不到控制，因安全带来的问题长期得不到解决，安全问题日积月累，最终导致严重安全事件的发生。

9、应按照以下规范进行授权和审批流程建设： 1. 明确审批授权事项、审批授权部门； 2. 建立系统变更、重要操作、物理访问和系统接入等事项的审批程序，对重要活动实施逐级审批； 3. 按照审批程序执行审批过程，记入文档并进行审计； 4. 定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息； 受控状态 制度名称 信息系统管理授权审批制度 文件编号 执行部门 监督部门 考证部门 第1条 为了提高企业信息系统的可靠性、稳定性、安全性，特制定本制度。 第2条 本制度适用于信息部与各用户部门使用企业信息系统的相关人员。 第3条企业中涉及到信息系统方

10、面的工作统一由信息部负责。 第4条信息系统管理授权的方式。 企业信息系统的授权以职位说明书和授权书为基准，逐级授权，其他授权方式或越级授权视为无效。 第5条 企业信息系统管理授权程序。 1. 总裁授权运营总监全面负责企业信息系统的开发、管理、修改等工作。 2. 运营总裁授权信息部经理负责信息系统的开发、管理、修改等具体工作。 3. 信息部经理授权给下属员工，完成相应工作。 第6条 企业信息系统管理中的文件审批程序，如下图所示。 信息部员工信息部经理运营总监最高领导 信息系统管理的文件审批程序示意图 第7条 企业中的各用户部门对信息系统只有根据其职级的使用权与建议权，而无修改

11、权，否则造 成的全部后果由当事人承担。 第8条 本制度由信息部制定，解释权、修改权归属信息部。 第9条 本制度自总裁审批之日起实施，修订时亦同。 编制日期 审核日期 批准日期 修改标记 修改处数 修改日期 第四章沟通和合作 安全管理问题涉及到各个层次的人员及技术，需要大家密切配合才能做好，任何一方出现问题都会影响整个安全管理工作的顺利开展，因此对各种安全问题进行定期沟通和合作是非常必要的。 如果与安全管理有关的沟通和合作推进不顺利，出现的安全问题得不到反馈和支持，则安全问题会变得越来越严重，直到出现严重安全事件。 应按照以下规范进行沟通

12、与合作： 1. 由安全管理部提出，每半年召开一次安全协调专题会议，为期一天，各有关部门包括外部顾问机构及人员都要参加，及时提出问题和解决问题； 会议记录 时间 地点 主持人 记录员 时间调度 参加人员： 会议议题 发言人 会议内容 执行人 监督人 完成时间 2. 每年与与兄弟单位、公安机关、电信公司等召开一次安全总结会，平时则通过邮件等及时合作与沟通； 3. 通过邮件、电话等与供应商、业界专家、专业的安全公司、安全组织进行及时合作与沟通； 4. 建立外联单位联系列表，包括外联单位名称、合作内容、联

13、系人和联系方式等信息； 5. 聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等。 第五章审核和检查 对安全工作的开展情况进行定级审核和检查可以及时、有效的督促安全制度和安全技术的执行、运作情况，减少安全疏忽，及时发现并解决问题，使安全工作日常化、制度化。 安全工作如果不能保证及时的审核和检查，则容易导致各项工作大打折扣，并且由此带来的问题会积累起来最终导致严重安全事件发生，如补丁长期得不到更新使系统长期暴露于黑客攻击威胁之下。 1. 由安全管理员每周进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况； 2. 由内部人员或上级单位每季度进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等； 3. 每次检查都要制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报； 4. 将上述工作要求写入《安全审核和检查管理制度》，用以规范安全审核和安全检查工作的频率等重要内容。 安全检查记录表 检查类型：定期安全检查 单位名称 XXXXXXXXXX 工程名称 检查时间 检查单位 检查项目或部位 参见检察人员 检查记录 检查结论及意见 填表人: