信息安全組織及崗位職責(zé)管理規(guī)定

信息安全組織及崗位職責(zé)管理規(guī)定第一章總則第一條為了加強XXX對信息系統(tǒng)（以下簡稱“信息系統(tǒng)”）信息安全工作的領(lǐng)導(dǎo)和管理，全面提高信息系統(tǒng)信息安全管理能力，規(guī)范和指導(dǎo)信息系統(tǒng)信息安全管理組織體系，建立健全信息安全機構(gòu)職責(zé)，特制定本規(guī)定。第二條本規(guī)定依照信息安全管理的主要領(lǐng)導(dǎo)負責(zé)原則、全員參與原則、依法管理原則、分權(quán)和授權(quán)原則和體系化管理原則編制，具體原則如下：（一）主要領(lǐng)導(dǎo)負責(zé)原則：XXX應(yīng)確保主要領(lǐng)導(dǎo)參與并確立組織統(tǒng)一的信息系統(tǒng)信息安全保障宗旨和政策，組織有效的安全保障隊伍，調(diào)動并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理工作與各部門工作的關(guān)系，并確保其落實、有效；（二）全員參與原則：信息系統(tǒng)所有相關(guān)人員普遍參與信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)的安全；（三）依法管理原則：信息系統(tǒng)信息安全管理工作應(yīng)保證管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法；（四）分權(quán)和授權(quán)原則：對特定職能或責(zé)任領(lǐng)域的管理功能實施分離、獨立審計等實行分權(quán)，避免權(quán)力過分集中所帶來的隱患，以減小未授權(quán)的修改或濫用系統(tǒng)資源的機會。任何實體（如用戶、管理員、進程、應(yīng)用或系統(tǒng)）僅享有該實體需要完成其任務(wù)所必須的權(quán)限，不應(yīng)享有任何多余權(quán)限。（五）體系化管理原則:信息系統(tǒng)應(yīng)符合信息系統(tǒng)等級保護三級的體系化管理目標(biāo)和要求。第三條本規(guī)定適用于XXX。第二章信息安全組織機構(gòu)第四條XXX應(yīng)建立由信息安全領(lǐng)導(dǎo)小組和信息安全工作小組共同構(gòu)建的信息安全組織機構(gòu)。第五條信息安全組織的管理層由信息安全領(lǐng)導(dǎo)小組承擔(dān)，是XXX信息安全管理體系管理機構(gòu)。信息安全領(lǐng)導(dǎo)小組由XXX領(lǐng)導(dǎo)牽頭其他部門領(lǐng)導(dǎo)組成，由XXX領(lǐng)導(dǎo)擔(dān)任組長，信息安全部門總監(jiān)擔(dān)任副組長。小組成員包括：（一） XXX主管領(lǐng)導(dǎo)；（二）信息安全部總監(jiān)（三） XXX各業(yè)務(wù)部門的主管領(lǐng)導(dǎo)；第六條信息安全工作小組是是信息安全工作的執(zhí)行機構(gòu)，負責(zé)執(zhí)行信息安全領(lǐng)導(dǎo)小組交辦的各項工作，信息安全工作小組由信息系統(tǒng)建設(shè)、維護的參與部門組成，由信息安全部總監(jiān)擔(dān)任組長，信息安全部安全管理員擔(dān)任副組長，成員包括XXX其他部門領(lǐng)導(dǎo)或部門領(lǐng)導(dǎo)授權(quán)的安全負責(zé)人及安全接口人組成、信息系統(tǒng)的網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、系統(tǒng)管理員等人員組成。

第七條XXX應(yīng)設(shè)立信息安全管理崗位，分別為安全管理員、安全審計員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、應(yīng)用管理員，負責(zé)執(zhí)行網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫和應(yīng)用的安全管理和運維工作。第三章信息安全組織職責(zé)第八條信息安全領(lǐng)導(dǎo)小組負責(zé)領(lǐng)導(dǎo)信息系統(tǒng)安全工作，組織職責(zé)如下：（一）根據(jù)國家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī)，確定信息安全工作的總體方向、總體原則和安全工作方法；（二）根據(jù)國家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī)，批準(zhǔn)信息系統(tǒng)的安全策略和發(fā)展規(guī)劃；（三）確定各有關(guān)部門在信息系統(tǒng)安全工作中的職責(zé)，領(lǐng)導(dǎo)安全工作的實施；四）策；監(jiān)督安全措施的執(zhí)行，并對重要安全事件的處理進行決四）策；五）指導(dǎo)和檢查信息安全工作小組的各項工作；五）建設(shè)和完善信息系統(tǒng)安全組織體系和管理機制;八）負責(zé)跨部門的重大信息安全工作的協(xié)調(diào)和溝通；負責(zé)信息安全規(guī)劃和建設(shè)的資源保障；信息安全領(lǐng)導(dǎo)小組組長負責(zé)領(lǐng)導(dǎo)和督促信息系統(tǒng)安全工作，對信息系統(tǒng)重大事項進行審批。八）第九條信息安全工作小組負責(zé)貫徹、落實和執(zhí)行信息安全領(lǐng)導(dǎo)小組下達的各項工作，組織職責(zé)如下：（一） 貫徹、落實和解釋國家及行業(yè)有關(guān)信息安全的政策、法律、法規(guī)和信息安全工作要求，起草信息系統(tǒng)的安全策略和發(fā)展規(guī)劃；（二） 落實和執(zhí)行信息系統(tǒng)信息安全工作的日常事務(wù)，對具體落實情況進行總結(jié)和匯報；（三） 負責(zé)安全措施的實施或組織實施，組織并參加信息安全重要事件的處理；（四） 負責(zé)內(nèi)、外部組織和機構(gòu)的信息安全溝通、協(xié)調(diào)和合作工作；（五） 組織編制和落實信息安全規(guī)劃工作；（六） 指導(dǎo)和檢查運維單位對信息系統(tǒng)安全工作落實情況；（七） 監(jiān)控信息系統(tǒng)安全總體狀況，提出安全分析報告；（九）協(xié)同有關(guān)部門共同組成應(yīng)急處理小組，組織處理信息安全應(yīng)急響應(yīng)工作；（十）負責(zé)組織信息系統(tǒng)安全知識的培訓(xùn)和宣傳工作；（十一）制定和修訂各種安全管理制度，包括機房、環(huán)境、人員、系統(tǒng)建設(shè)及運行維護等方面，并提交發(fā)布。（十二）負責(zé)機房及其環(huán)境的日常管理和維護，人員、設(shè)備等進出機房的權(quán)限審批；（十三）指定或授權(quán)專門的人員負責(zé)安全管理制度的日常管理工作，包括制度存檔、制度維護、制度傳閱和制度銷毀工作第四章信息安全崗位職責(zé)第十條信息系統(tǒng)安全組織中應(yīng)建立信息安全崗位，明確信息安全崗位職責(zé)。第十一條 信息安全部安全管理員的崗位職責(zé)如下：（一） 負責(zé)協(xié)助主管安全的領(lǐng)導(dǎo)開展信息安全相關(guān)工作；（二） 負責(zé)組織實施本單位的信息安全教育和培訓(xùn)；（三） 負責(zé)指導(dǎo)協(xié)調(diào)本單位的信息安全工作，督促各部門開展信息安全工作。（四） 負責(zé)信息安全事件的及時上報，并協(xié)助相關(guān)部門做好安全事件的調(diào)查、響應(yīng)和處理。（五） 負責(zé)配合實施內(nèi)部或外部組織的信息安全檢查。（六） 協(xié)調(diào)信息安全應(yīng)急響應(yīng)組織和技術(shù)支撐單位；（七） 負責(zé)制定信息系統(tǒng)總體網(wǎng)絡(luò)訪問控制策略和規(guī)則，并對其進行監(jiān)控和審計工作，定期發(fā)布策略執(zhí)行情況；（八） 對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫管理員進行安全指導(dǎo)；（九） 定期收集信息安全漏洞和公告信息，告知相關(guān)安全運維管理人員；第十二條 安全審計員的崗位職責(zé)如下：（一） 負責(zé)依據(jù)相關(guān)要求制定信息安全檢查計劃，實施各類信息安全檢查。（二） 負責(zé)針對檢查過程發(fā)現(xiàn)的問題，督促責(zé)任部門進行整改并驗證整改結(jié)果。（三）負責(zé)對各類信息安全事件進行獨立審核，確保符合信息安全體系方針與策略要求。（四）定期審計信息系統(tǒng)信息安全策略執(zhí)行情況，收集信息系統(tǒng)日志和審計記錄，并提供審計報告；（五）對安全、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫管理員的操作行為進行監(jiān)督，安全職責(zé)落實情況進行檢查；第十三條系統(tǒng)管理員的安全職責(zé)如下：（一）根據(jù)信息系統(tǒng)安全策略定期對系統(tǒng)進行自評估；（二）依照安全策略對系統(tǒng)進行安全配置和漏洞修補，確保安全補丁保持2個月內(nèi)最新補?。唬ㄈο到y(tǒng)進行日常安全運維管理，定期更改系統(tǒng)賬號，并定期提交安全運行維護記錄或報告；（四）在發(fā)生系統(tǒng)異常和安全事件時，應(yīng)能對系統(tǒng)進行應(yīng)急處置。第十四條網(wǎng)絡(luò)管理員的安全職責(zé)如下：（一）根據(jù)信息系統(tǒng)安全策略定期對網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)架構(gòu)進行自評估；（二）依照安全策略對網(wǎng)絡(luò)設(shè)備進行安全配置和漏洞修補；（三）對網(wǎng)絡(luò)設(shè)備、安全設(shè)備進行日常安全運維管理，并定期提交安全運行維護記錄或報告；（四）在發(fā)生系統(tǒng)異常和安全事件時，應(yīng)能對網(wǎng)絡(luò)設(shè)備、安全設(shè)備進行應(yīng)急處置。第五章信息安全崗位要求第十五條XXX應(yīng)設(shè)立專職的信息安全管理崗位，并由專人負責(zé)，根據(jù)信息安全管理的實際工作情況，人員編制3-10人。第十六條安全管理員、安全審計員和數(shù)據(jù)庫管理員等關(guān)鍵崗位，互為備份，定期輪崗，關(guān)鍵崗位人員配備堅持“權(quán)限分散、不得交叉覆蓋”的原則，安全管理員和安全審計員不能由一人身兼。第十七條信息安全管理部門應(yīng)根據(jù)崗位職責(zé)，確定崗位所需要的安全技能，并對所有信息安全崗位人員進行對應(yīng)的安全技能培訓(xùn)。第十八條信息系統(tǒng)的安全技術(shù)崗位可由其他相關(guān)管理員兼任，其中網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、數(shù)據(jù)庫安全管理以及