ISO27001-2013信息安全职责
信息安全管理责任制度标准化管理处编码[BBX968T-XBB8968-NNJ668-MM9N]
信息安全管理责任制度 1.组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》,提高工作人员的维护网络安全的警惕性和自觉性。 2. 2. 负责对本网络用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。 3. 3. 加强对单位的信息发布的审核管理工作,杜绝违犯《计算机信息网络国际互联网安全保护管理办法》的内容出现。 4. 4. 一旦发现从事下列危害计算机信息网络安全的活动的: 5.(一)未经允许进入计算机信息网络或者使用计算机信息网络资源; 6.(二)未经允许对计算机信息网络功能进行删除、修改或者增加; 7.(三)未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加; 8.(四)故意制作、传播计算机病毒等破坏性程序的; 9.(五)从事其他危害计算机信息网络安全的活动。做好记录并立即向当地公安机关报告。 10. 5. 在信息发布的审核过程中,如发现有以下行为的: 11.(一)煽动抗拒、破坏宪法和法律、行政法规实施 12.(二)煽动颠覆国家政权,推翻社会主义制度 13.(三)煽动分裂国家、破坏国家统一 14.(四)煽动民族仇恨、民族歧视、破坏民族团结 15.(五)捏造或者歪曲事实、散布谣言,扰乱社会秩序
16.(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪 17.(七)公然侮辱他人或者捏造事实诽谤他人 18.(八)损害国家机关信誉 19.(九)其他违反宪法和法律、行政法规将一律不予以发布,并保留有关原始记录,在二十四小时内向当地公安机关报告。 20. 6. 接受并配合公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为.
信息安全岗位职责 1、信息安全工程师岗位职责 1、负责信息安全管理,制定信息安全标准及相关指引和流程; 2、负责网络安全防御系统的建设、维护与管理; 3、负责信息系统安全风险评估并持续跟踪管理; 4、负责安全事件的实时响应、处理及调查取证; 5、负责自动化安全工具的开发、测试和规则模型优化等工作; 6、跟踪分析国内外安全动态,研究安全攻击、防御及测试技术。 2、网络信息安全管理员岗位职责 1.负责制定和实施网络信息安全管理制度,以技术手段隔离不良信息,及时发布预知通告,发布计算机病毒、网络病毒的危害程度、防杀措施、及补救办法。教育计算机用户和网络用户树立安全意识,主动防范病毒、黑客的侵扰,抵制不良信息;建立网络信息安全监管日志。 2.负责校园门户网站管理系统用户及密码的管理、提供包括开户、修改、暂停、注销等服务,做好各部门网站信息管理员备案,协助做好上网用户的备案工作,接受用户的咨询和服务请求。 3.依据信息安全管理规定,定期检查各单位主页内容,预防不良信息发布。 4.监督检查各网络接口计算机病毒的防治工作。 5.负责中心日常办公工作,部门通知、文件、信函等的传达工作,做好部门办公电话接
听和电话记录; 6.负责我院的信息化建设相关文件资料的收集、归类与整理,做好资料收集、编目、建档工作。 7.负责网络中心负责网络中心设备、材料、软件介质等的建档、编号与借用管理。 8.参与我院网络信息资源的系统开发、设计、建设和维护。 9.开展信息安全基础培训工作,提供信息系统安全应用的技术支持。 10.及时完成主任交办的其它任务,积极主动配合、协助中心其他岗位的工作。 3、网络信息安全工程师岗位职责 1.网络信息安全工程师的工作主要是为企业量身定做合理且经济的信息网络安全解决方案,维护日常网络安全管理,预防网络安全隐患等; 2.通过运用各种安全产品和技术,设置防火墙、防病毒、IDS、PKI、攻防技术等,进行安全制度建设与安全技术规划、日常维护管理、信息安全检查与审计系统帐号管理与系统日志检查等。 4、网络信息安全工程师岗位职责 1、负责公司研发产品的安全漏洞分析与安全评测。 2、负责客户现场的安全环境的日常巡检。 3、负责收集整理公司产品相关的最新安全漏洞补丁资料,分析处理,为公司提供应用产品安全升级/加固的解决方案。 4、负责公司内部安全技术培训。 5、当发生应用安全事件时,负责构建解决方案,跟进进度,快速解决问题,保障客户
信息安全管理组织机构设置及工作职责 一.组织机构 1.1公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。 1.2信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括: 根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准; 确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。 1.3信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。组长均由公司负责人担任。 1.4信息安全工作组的主要职责包括: 1.4.1贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作; 1.4.2根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 1.4.3组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行; 1.4.4负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; 1.4.5组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策; 1.4.6负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 1.4.7及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 1.4.8跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。 1.5应急处理工作组的主要职责包括: 1.5.1审定公司网络与信息系统的安全应急策略及应急预案; 1.5.2决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统; 1.5.3每年组织对信息安全应急策略和应急预案进行测试和演练。
XXX有限公司 信息安全委员会议事规则 (XXX字〔XXXX〕XX号,2017年XX月XX日印发) 第一章总则 第一条为提高XXX(下称集团公司)信息安全管理,明确信息安全责任,推进信息安全体系建设,保障信息系统安全稳定运行,根据国家有关法律、法规,结合公司实际,特设立信息安全委员会,并制定本制度。 第二条集团公司信息安全委员会是信息安全工作的最高决策机构,负责信息安全政策、制度和体系建设规划的审批,部署并协调信息安全体系建设,领导信息系统等级保护工作。 第二章信息安全委员会组成 第三条信息安全委员会由集团领导、相关子公司和职能部门负责人组成。 第四条信息安全委员会设主任一名,根据需要可设若干名副主任。主任由集团总经理担任。 第五条信息安全委员会委员名单由总经理办公会确定。 第三章信息安全委员会主任职责 第六条信息安全委员会主任负责领导信息安全工作的
规划、建设和管理,检查指导各下属工作小组信息安全工作,协调处理信息安全工作中产生的重大问题,建设和完善信息安全组织体系。主要行使以下职责: (一)主任是信息安全管理第一责任人,对公司信息安全 管理工作负全面责任。 (二)负责审批确定公司信息安全管理方针,并确保方针 的贯彻。 (三)任命公司信息安全管理者代表。 (四)负责为体系的实施、控制和持续有效运行提供所必 要的各种资源。 (五)督促、检查公司的信息安全管理工作,及时消除隐 患。 (六)招集公司信息安全委员会成员召开信息安全会议。 第四章信息安全委员会职责 第七条集团公司信息安全委员会主要行使以下职责: (一)研究审定集团公司信息安全监督规章制度、重要 措施和应急预案; (二)完善信息安全管理体系,审议集团公司信息安全 管理制度和流程,提出信息安全管理措施和实施意见; (三)组织、指导、监督各部门履行信息安全体系规定 的各项职责,及时协调解决有关信息安全管理方面的
信息安全管理责任书 信息安全管理责任书 随着社会信息化时代的来临,信息资源对信息化社会的重要程度越来越大。下面我为大家精心整理了信息安全管理责任书,希望能给你带来帮助。 信息安全管理责任书篇一: 信息化管理处信息安全责任书 为了保证信息系统以及网络、硬件设备的正常运行,切实加强系统管理的严密性与保密性,促进系统设备管理的有效性,特下达本责任书: 第一条: 签订对象: 信息化管理处网络管理员。 第二条: 责任期限: 系统管理员任职期间。 第三条: 在责任期内,杜绝因管理不善而发生安全责任事故。具体必须做好以下工作: 一、遵守《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国电信条例》、《互联网信息服务管理办法》、《互联网安全保护技术措施》、《福建农林大学校园网络管理规定》、《福建农林大学校园网安全保护管理暂行办法》等相关法律法规的有关规定,管理机房内系统设施。 二、应有维护计算机信息系统安全运行的足够能力,设置安全可靠的防火墙,安装防病毒软件,定期进行安全风险分析与系统漏洞测试,适时对软硬件进行升级,具有防止病毒入侵以及电脑黑客攻击的能力,确保系统安全、可靠、稳定地运行。 三、定期查看设备的外观状态、Poer状态、CPU利用率、硬盘空间、进程状态日志检查、网络接口状态、安全状态,确保设备系统的正常运行。
四、根据设备的服务功能,负责整机的系统管理、主要服务进程的健康性检查以及日常的物理维护; 五、所有设备的超级用户口令需提交给安全管理员掌握,每次修改均需重新提交。 六、为每台设备建立运行登记簿,记录所有与该机器有关的信息。 七、有权在所管辖的机器上增减用户账号,但要在确保不影响系统安全的前提下进行。 八、设备配置或账号要写明用途或身份。 九、负责设备软件包的管理和维护;应对本机所安装的软件有详细的清单,包括系统软件的名称、版本,所装应用软件的名称、版本、功能及安装时间 十、系统管理员在服务器上增减软件,需要做好记录。 十一、EmailDNS服务器其他应用服务器: 每天做一次增量备份;每周做一次全备份。备份数据保存6个月以上。 十 二、用户密码的制定和维护规则: 任何账号生成后,禁止使用缺省密码作为密码使用; 长度应大于6位,且应是字母﹑符号﹑数字混合使用; 避免使用自己的姓名﹑生日等易被人猜到的信息作为密码;避免使 用与自己的用户名相关的信息作为密码; 用户要妥善管理自己的账号密码,用户的密码严禁被他人使用。 由于设备用户自己的账号密码管理不善,造成系统安全性问题,由该密码的所有者负相应的责任。 当用户登录设备的时候,应让他人回避,以避免密码泄露。 设备用户最少每月修改一次自己的密码;超级用户口令最少每月检 查一次,最少2个月修改一次; 第四条: 本责任书自签订之日生效 责任单位: 责任人:
《税务系统网络与信息安全管理岗位及其职责》 编制说明 《税务系统网络与信息安全管理岗位及其职责》是税务系统网络与信息安全管理体系框架中的文档之一,这个文档是依据《税务系统网络与信息安全总体策略》的相关要求编写,目的是为了初步建立税务系统网络与信息安全管理岗位,明确安全管理人员的职责。 但由于各级税务系统(总局、省局、地市局、区县级局)具有不同的特点,没有一种模式适用所有的组织,而且由于人员的限制,特别是地市局及区县级局中人员的限制,通常没有特定的专职人员来担任本文档中描述的众多安全管理角色。因此,本文档的适用范围确定在总局、各省局、各地市局,对区县级局不适用,各区县级局可由其上级地市局根据具体情况做相应要求。 本《税务系统网络与信息安全管理岗位及其职责》文档共包括二章内容,第一章为管理角色与职责,描述了税务系统网络与信息安全管理组织架构,以及主要的信息安全管理角色与职责;第二章为管理岗位及设置原则,示例列出信息技术部门中主要信息安全管理岗位,并描述了税务系统网络与信息安全管理岗位设置原则。
税务系统网络与信息安全管理岗位及其职 责 (试行稿) 国家税务总局信息中心 二〇〇四年十月 目录 一、税务系统网络与信息安全管理角色与职责...... 错误!未定义书签。 信息安全领导小组.......................... 错误!未定义书签。 信息安全管理部门.......................... 错误!未定义书签。 具体执行管理角色.......................... 错误!未定义书签。 安全管理员.............................. 错误!未定义书签。 主机系统管理员.......................... 错误!未定义书签。 网络管理员.............................. 错误!未定义书签。 数据库管理员............................ 错误!未定义书签。 应用管理员.............................. 错误!未定义书签。 安全审计员.............................. 错误!未定义书签。 病毒防护员.............................. 错误!未定义书签。 密钥管理员(包括证书管理员、证书操作员)错误!未定义书签。 资产管理员.............................. 错误!未定义书签。 安全保卫员(机房安全员)................ 错误!未定义书签。 安全协调人员............................ 错误!未定义书签。 人事管理人员............................ 错误!未定义书签。 安全法律顾问............................ 错误!未定义书签。 二、税务系统网络与信息安全管理岗位及设置原则.. 错误!未定义书签。 信息安全管理岗位.......................... 错误!未定义书签。 安全管理员岗位.......................... 错误!未定义书签。 网络系统管理员岗位...................... 错误!未定义书签。 应用管理员岗位.......................... 错误!未定义书签。 安全岗位设置原则.......................... 错误!未定义书签。 多人负责原则............................ 错误!未定义书签。 任期有限原则............................ 错误!未定义书签。 职责分离原则............................ 错误!未定义书签。 工作分开原则............................ 错误!未定义书签。 权限随岗原则............................ 错误!未定义书签。
网络与信息安全管理组织机构设置及工作职责示范 文本 In The Actual Work Production Management, In Order To Ensure The Smooth Progress Of The Process, And Consider The Relationship Between Each Link, The Specific Requirements Of Each Link To Achieve Risk Control And Planning 某某管理中心 XX年XX月
网络与信息安全管理组织机构设置及工 作职责示范文本 使用指引:此管理制度资料应用在实际工作生产管理中为了保障过程顺利推进,同时考虑各个环节之间的关系,每个环节实现的具体要求而进行的风险控制与规划,并将危害降低到最小,文档经过下载可进行自定义修改,请根据实际需求进行调整与使用。 1:总则 1.1为规范北京爱迪通联科技有限公司(以下简称“公 司”)信息安全管理工作,建立自上而下的信息安全工作 管理体系,需建立健全相应的组织管理体系,以推动信息 安全工作的开展。 2:范围 本管理办法适用于公司的信息安全组织机构和重要岗 位的管理。 3:规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的 条款。凡注明日期的应用文件,其随后的所有的修改单或
修订版均不适用于本标准(不包括勘误、通知单),然而,鼓励根据本标准达成协议的各方研究是否可以使用这些文件的最新版本。凡未注日期的引用文件,其最新版本适用于本标准 《信息安全技术信息系统安全保障评估框架》(GB/T 20274.1-2006) 《信息安全技术信息系统安全管理要求》(GB/T 20269-2006) 《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008) 4:组织机构 4.1 公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。 4.2 信息安全领导小组负责研究重大事件,落实方针政
信息安全工作领导小组及职责 为规范我院信息安全管理工作,建立信息安全工作领导小组,并建立信息安全工作管理体系和组织管理体系,以推动医院信息安全工作的有序开展。 一、委员会主任 主任:丁** 二、委员会成员: 全院各科室负责人、护士长及信息中心全体成员 委员会办公室设在信息中心,具体负责医院信息质量与安全管理委员会的日常工作。 委员会在信息科设办公室,唐**为办公室主任 二、委员会工作职责 (一)信息安全质量改进管理委员会是医院信息质量与安全管理的专门机构,在医院信息化工作领导小组和医院后勤保障质量与安全管理委员会的领导下进行工作。 (二)根据国家的政策、法律和法规和行业有关信息安全的规范,并结合医院信息化建设的实际情况,制订医院信息化安全总体策略规划、管理规范和技术标准。 (三)负责全院信息安全和质量管理工作的检查、指导、协调,随时对医院信息系统运行质量和安全情况进行分析,及时研究提高质量和保障安全的方法和控制手段。 (四)督促信息中心,按照医院总体信息建设规划推进医院信息建设,提高信息质量和安全管理目标,认真研讨本领域内质量相关问题,提出改进方案,推动相关领域的质量与安全工作。 (五)信息质量与安全管理委员会每年至少召开一次会议,协
调信息化建设及安全运行的工作,研究提高信息化项目建设质量和安全管理目标及计划,及时研究解决信息质量与安全管理存在的问题,推进医院信息质量提高与安全管理持续改善。 三、委员会办公室职责 (一)具体负责医院信息安全工作和应急处理工作,主要工作包括:执行医院信息化工作领导小组的决议,协调和规范医院信息安全工作;根据信息化工作领导小组的工作部署,对信息安全工作进行具体安排、落实;组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行; (二)负责协调、督促各职能部门和相关科室的信息操作,参与信息系统工程建设中的安全规划,监督安全措施的执行; (三)组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策; (四)负责接受各部门的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; (五)及时向信息安全工作领导小组和上级有关部门报告信息安全事件。组织信息安全知识的培训和宣传工作。 (六)发生信息安全事件时,负责组织相关人员排除故障,恢复系统;定期组织对信息安全应急策略和应急预案进行测试和演练。 (七)设置信息系统的关键岗位并加强管理。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
网络信息安全管理组织机构设置工作职责-制度大全 网络信息安全管理组织机构设置工作职责之相关制度和职责,1:总则1.1为规范北京爱迪通联科技有限公司(以下简称“公司”)信息安全管理工作,建立自上而下的信息安全工作管理体系,需建立健全相应的组织管理体系,以推动信息安全工作的开展。2:范围本管理... 1:总则 1.1为规范北京爱迪通联科技有限公司(以下简称“公司”)信息安全管理工作,建立自上而下的信息安全工作管理体系,需建立健全相应的组织管理体系,以推动信息安全工作的开展。 2:范围 本管理办法适用于公司的信息安全组织机构和重要岗位的管理。 3:规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的应用文件,其随后的所有的修改单或修订版均不适用于本标准(不包括勘误、通知单),然而,鼓励根据本标准达成协议的各方研究是否可以使用这些文件的最新版本。凡未注日期的引用文件,其最新版本适用于本标准 《信息安全技术信息系统安全保障评估框架》(GB/T 20274.1-2006) 《信息安全技术信息系统安全管理要求》(GB/T 20269-2006) 《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008) 4:组织机构 4.1 公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。 4.2 信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括:根据国家和行业有关信息安全的策略、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准; 确定公司信息安全各有关部门工作职责,知道、监督信息安全工作。 4.3 信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。组长均由公司负责人担任。 4.4信息安全工作组的主要职责包括: 4.4.1 贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作; 4.4.2 根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 4.4.3 组织对重大的信息安全工作制度和技术操作策略进行审查,拟定信息安全总体策略规划,并监督执行; 4.4.4 负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; 4.4.5 组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策; 4.4.6 负责接收各单位的紧急信息安全事件报告,组织进行时间调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全时间防范措施; 4.4.7 及时向信息安全工作领导小组和上级有关部门、单位报告信息安全时间。 4.4.8 跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。 4.5应急处理工作组的主要职责包括:
信息安全制度 1总则 第1条为规范信息安全管理工作,加强过程管理和基础设施管理的风险分析及防范,建立安全责任制,健全安全内控制度,保证信息系统的机密性、完整性、可用性,特制定本规定。 2适用范围 第2条本规定适用于。 3管理对象 第3条管理对象指组成计算机信息系统的系统、设备和数据等信息资产和人员的安全。主要范围包括:人员安全、物理环境安全、资产识别和分类、风险管理、物理和逻辑访问控制、系统操作与运行安全、网络通讯安全、信息加密与解密、应急与灾难恢复、软件研发与应用安全、机密资源管理、第三方与外包安全、法律和标准的符合性、项目与工程安全控制、安全检查与审计等。
4第四章术语定义 DMZ:用于隔离内网和外网的区域,此区域不属于可信任的内网,也不是完全开放给因特网。 容量:分为系统容量和环境容量两方面。系统容量包括CPU、内存、硬盘存储等。环境容量包括电力供应、湿度、温度、空气质量等。 安全制度:与信息安全相关的制度文档,包括安全管理办法、标准、指引和程序等。 安全边界:用以明确划分安全区域,如围墙、大厦接待处、网段等。 恶意软件:包括计算机病毒、网络蠕虫、木马、流氓软件、逻辑炸弹等。 备份周期:根据备份管理办法制定的备份循环的周期,一个备份周期的内容相当于一个完整的全备份。 系统工具:能够更改系统及应用配臵的程序被定义为系统工具,如系统管理、维护工具、调试程序等。 消息验证:一种检查传输的电子消息是否有非法变更或破坏的技术,它可以在硬件或软件上实施。 数字签名:一种保护电子文档真实性和完整性的方法。例如,在电子商务中可以使用它验证谁签署电子文档,并检查已签署文档的内容是否被更改。 信息处理设备:泛指处理信息的所有设备和信息系统,包括网络、
安全管理组织机构及岗位职责 1.总则 1.1为规范XXXX有限公司(以下简称“XX”)网络与信息安全管理工作,建立自上而下的信息安全工作管理体系,需建立健全相应的组织管理体系,以推动信息安全工作的开展。 2.适用范围 本管理办法适用于公司的信息安全组织机构和重要岗位的管理。 3.规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用文件,其随后所有的修改单或修订版均不适用于本标准(不包括勘误、通知单),然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未注日期的引用文件,其最新版本适用于本标准 《信息安全技术信息系统安全保障评估框架》(GB/T 20274.1-2006) 《信息安全技术信息系统安全管理要求》(GB/T 20269-2006 ) 《信息安全技术信息系统安全等级保护基本要求》(GBT 22239-2008) 4.组织机构 4.1公司成立网络与信息安全领导小组,是信息安全的最高决策机构,负责信息安全领导小组的日常事务。 4.2信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括:根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准; 确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。 4.3信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。组长均由公司
负责人担任。 4.4信息安全工作组的主要职责包括: 4.4.1贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作; 4.4.2根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 4.4.3组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行; 4.4.4负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; 4.4.5组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策; 4.4.6负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 4.4.7及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 4.4.8跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。 4.5应急处理工作组的主要职责包括: 4.5.1审定公司网络与信息系统的安全应急策略及应急预案; 4.5.2决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统; 4.5.3每年组织对信息安全应急策略和应急预案进行测试和演练。 4.6公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全技术人员,有条件的应设置信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。 5.关键岗位
信息安全组织及岗位职责管理制度 二零一八年八月 版本控制
第一章总则 第一条为加强公司等级保护保障工作的组织协调,建立健全等级保护管理制度和运行机制,切实提高公司等级保护保障工作水平,全面提高信息系统信息安全管理能力,根据《国家信息化领导小组关于加强信息安全保障工作的意见》、《GB/T22239-2008信息安全等级保护基本要求》等政策要求,特制定本制度。 第二条本规定依照信息安全管理的主要领导负责原则、全员参与原则、依法管理原则、分权和授权原则和体系化管理原则编制,具体原则为: (一)主要领导负责原则:确保公司主要领导参与并确立组织统一的信息系统信息安全保障宗旨和政策,组织有效的安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效; (二)全员参与原则:信息系统所有相关人员普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统的安全; (三)依法管理原则:信息系统信息安全管理工作应保证管理主体合法、管理行为合法、管理内容合法、管理程序合法; (四)分权和授权原则:对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限。
(五)体系化管理原则:信息系统应符合信息安全相关政策的体系化管理目标和要求。 第三条本规定适用于公司。 第二章组织目标 第四条本制度旨在实现信息安全管理组织的以下目标: (一)管理组织内的信息系统安全保护工作; (二)管理外部组织访问组织内信息处理设施和信息资产的安 全。 第三章安全管理组织架构 第五条为加强对公司信息安全管理工作的领导,贯彻落实监管部门的信息安全保护要求,经研究决定成立公司信息安全管理委员会。 第六条信息安全管理委员会为公司信息安全工作的最高管理机构。 第七条由公司副总经理担任信息安全管理委员会主席,成员包括: (一)生产技术部主管领导; (二)各部门主管领导。 第八条生产技术部是信息安全管理工作的执行机构,负责执行信息安全管理委员会交办的各项工作,由生产技术部总经理担任负责人,成员包括:
( 安全管理 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 网络与信息安全管理组织机构设置及工作职责(新编版) Safety management is an important part of production management. Safety and production are in the implementation process
网络与信息安全管理组织机构设置及工作 职责(新编版) 1:总则 1.1为规范北京爱迪通联科技有限公司(以下简称“公司”)信息安全管理工作,建立自上而下的信息安全工作管理体系,需建立健全相应的组织管理体系,以推动信息安全工作的开展。 2:范围 本管理办法适用于公司的信息安全组织机构和重要岗位的管理。 3:规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的应用文件,其随后的所有的修改单或修订版均不适用于本标准(不包括勘误、通知单),然而,鼓励根据本标准达成协议的
各方研究是否可以使用这些文件的最新版本。凡未注日期的引用文件,其最新版本适用于本标准 《信息安全技术信息系统安全保障评估框架》(GB/T20274.1-2006) 《信息安全技术信息系统安全管理要求》(GB/T20269-2006) 《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008) 4:组织机构 4.1公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。 4.2信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括: 根据国家和行业有关信息安全的策略、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准; 确定公司信息安全各有关部门工作职责,知道、监督信息安全工作。
一.组织机构 1.公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室, 负责信息安全领导小组的日常事务。 2.信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。 职责主要包括:根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。 3.信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。 组长均由公司负责人担任。 4.信息安全工作组的主要职责包括: 1)贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作; 2)根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落 实; 3)组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安 全总体策略规划,并监督执行; 4)负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统 工程建设中的安全规划,监督安全措施的执行; 5)组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全 风险的防范对策; 6)负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原 因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 7)及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 8)跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。 5.应急处理工作组的主要职责包括: 1)审定公司网络与信息系统的安全应急策略及应急预案; 2)决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障, 恢复系统;
3)每年组织对信息安全应急策略和应急预案进行测试和演练。 6.公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全 技术人员,有条件的应设置信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。 二.关键岗位 1.设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、 应用开发管理员、安全审计员、安全保密管理员,要求五人各自独立。 要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。 2.系统管理员主要职责有: 1)负责系统的运行管理,实施系统安全运行细则; 2)严格用户权限管理,维护系统安全正常运行; 3)认真记录系统安全事项,及时向信息安全人员报告安全事件; 4)对进行系统操作的其他人员予以安全监督。 3.网络管理员主要职责有: 1)负责网络的运行管理,实施网络安全策略和安全运行细则; 2)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运 行; 3)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向 信息安全人员报告安全事件; 4)对操作网络管理功能的其他人员进行安全监督。 4.应用开发管理员主要职责有: 1)负责在系统开发建设中,严格执行系统安全策略,保证系统安全功能的 准确实现; 2)系统投产运行前,完整移交系统相关的安全策略等资料; 3)不得对系统设置“后门”; 4)对系统核心技术保密等。 5.安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计 和监督,主要职能包括:
信息安全工作人员的岗位职责 一、信息安全员的职责 信息安全员主要负责信息网络系统的信息安全和保密信息的管理。其主要职责是: (1)负责涉密信息网信息安全,监督检查涉密信息的报送、接受和传输的安全性; (2)负责监督检查信息网对外发布的信息,保证符合安全保密规定; (3)负责监督检查各部门的涉密信息安全保密措施,防止泄密事件的发生; (4)负责监督检查信息网对国际互联网上国家禁止的网站的非法访问记有害信息的侵入; (5)负责协助有关部门对网络泄密事件进行调查与技术分析。 二、系统安全员的职责 系统安全员主要负责信息网操作系统及服务器操作系统的安全及管理。其主要职 责是: (1)负责信息网操作系统及服务器操作系统的安装、运行和维护、管理,保障系统的安全稳定地运行。 (2)负责对用户的身份进行验证,防止非法用户进入系统; (3)负责用户的口令管理,建立口令管理规程和检验创建账户机制,避免口令泄露; (4)负责实时监控系统,发现异常现象及时采取措施,恢复系统正常运行状态; (5)负责对系统各种硬软件资源的合理分配和科学使用,避免造成系统资源的浪费。 三、网络安全员的职责 网络安全员主要负责信息网络系统的安全保密工作。其主要职责是: (1)负责信息网络系统及其网络安全保密系统的运行于维护,发现故障及时排除,保障系统安全可靠运行; (2)负责配置和管理访问控制表,根据安全需求为各用户配置相应的访问权限; (3)负责网络审计系统的管理和维护,认真记录、检查和保管审计日志;
(4)负责检查系统的安全漏洞和隐患,发现安全隐患及时进行修复或提出改进意见; (5)负责实时对系统进行非法入侵检测,防止和阻止“黑客”入侵。 四、设备安全员的职责 设备安全员负责对专用计算机安全保密设备(防火墙、加密机、干扰仪等)的管理、使用和维护。其主要职责是: (1)负责设备的领用和保管,做好设备的领用、进出库、报废登记; (2)负责设备的正确使用和安全运行,并建立详细的运行日志; (3)负责设备的清洁和定期的保养维护,并做好维护记录; (4)负责设备的维修,制定设备的维修计划,做好设备维修记录; (5)负责对安全保密设备密钥的管理。 五、数据库安全员的职责 数据库安全员负责数据库管理系统的安全及维护管理工作。其主要管理职责是: (1)负责数据库管理系统的安装、备份与维护,保证系统安全、正常运行; (2)负责定期检查系统运行情况,检测并优化系统性能; (3)负责检查数据库系统的用户权限,防止非法用户的入侵和越权访问; (4)负责定期检查数据库数据的完整性和可用性,发现系统故障及时排除,做好系统恢复。 六、数据安全员的职责 数据安全员负责信息网络中运行数据的安全。其主要职责是: (1)负责信息网络数据的安全,保障信息的保密性、完整性和可用性; (2)负责对信息网络数据备份与灾难恢复系统的维护与管理,实时对重要数据进行安全备份; (3)负责对信息采集、传输及存储的技术手段和工作环境以及介质管理各环节的监督检查,发现问题及漏洞及时解决; (4)负责定期对重要数据存储备份介质的检查,防止数据的丢失或被破坏。
信息安全管理责任制度 组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》,提高工作人员的维护网络安全的警惕性和自觉性。 2. 负责对本网络用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。 3. 加强对单位的信息发布的审核管理工作,杜绝违犯《计算机信息网络国际互联网安全保护管理办法》的内容出现。 4. 一旦发现从事下列危害计算机信息网络安全的活动的: (一)未经允许进入计算机信息网络或者使用计算机信息网络资源;(二)未经允许对计算机信息网络功能进行删除、修改或者增加; (三)未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加; (四)故意制作、传播计算机病毒等破坏性程序的; (五)从事其他危害计算机信息网络安全的活动。做好记录并立即向当地公安机关报告。 5. 在信息发布的审核过程中,如发现有以下行为的: (一)煽动抗拒、破坏宪法和法律、行政法规实施 (二)煽动颠覆国家政权,推翻社会主义制度 (三)煽动分裂国家、破坏国家统一 (四)煽动民族仇恨、民族歧视、破坏民族团结 (五)捏造或者歪曲事实、散布谣言,扰乱社会秩序 (六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪(七)公然侮辱他人或者捏造事实诽谤他人
(八)损害国家机关信誉 (九)其他违反宪法和法律、行政法规将一律不予以发布,并保留有关原始记录,在二十四小时内向当地公安机关报告。 6. 接受并配合公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为. 1.
网络安全管理员岗位工作职责 一、组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》,提高工作人员的维护网络安全的警惕性和自觉性。 二、负责对本网络用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。 三、加强对信源单位的信息发布和BBS公告系统的信息发布的审核管理工作,杜绝违犯《计算机信息网络国际互联网安全保护管理办法》的内容出现。 四、一旦发现从事下列危害计算机信息网络安全的活动的: (1)未经允许进入计算机信息网络或者使用计算机信息网络资源; (2)未经允许对计算机信息网络功能进行删除、修改或者增加; (3)未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加; (4)故意制作、传播计算机病毒等破坏性程序的; (5)从事其他危害计算机信息网络安全的活动。做好记录并立即向当地公安机关报告。 五、在信息发布的审核过程中,如发现有以下行为的: (1)煽动抗拒、破坏宪法和法律、行政法规实施; (2)煽动颠覆国家政权,推翻社会主义制度; (3)煽动分裂国家、破坏国家统一; (4)煽动民族仇恨、民族歧视、破坏民族团结; (5)捏造或者歪曲事实、散布谣言,扰乱社会秩序; (6)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪;
(7)公然侮辱他人或者捏造事实诽谤他人; (8)损害国家机关信誉; (9)其他违反宪法和法律、行政法规;将一律不予以发布,并保留有关原始记录,在二十四小时内向当地公安机关报告。 六、接受并配合公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。 七、网络安全管理员主要负责全公司网络(包含局域网、广域网)的系统安全性。负责日常操作系统、网管系统、邮件系统的安全补丁、漏洞检测及修补、病毒防治等工作。网络安全管理员应经常保持对最新技术的掌握,实时了解INTERNET的动向,做到预防为主。在做好本职工作的同时,应协助机房管理人员进行机房管理,严格按照机房制度执行日常维护。
******************各部门信息安全管理职责和流程及岗位职责为实现平台信息化目标,规范平台信息化建设,建立和完善平台信息化管理体系,明确管理职责,保障平台公司信息系统安全、高效、稳定运行,为公司提供准确、有效的财务、生产、技术及其它相关信息,为公司高层科学决策提供依据,从而进一步增强企业的核心竞争力,特设立集团信息部,统筹管理信息化建设,向技术总监负责。一、 组织架构二、公司信息部部门及岗位职责1.信息部部门职责()负责集团信息化建设的总体规划及网络体系结构的设计,负责集团信息化系统选型工作,并负责编制集团信息化总体规划与选型报告,并报集团领导审批。()负责集团信息化系统的推进与执行,负责集团信息化项目实施工作的日常管理,并协调解决项目实施过程中碰到的问题。()负责组织调研集团各部门信息化需求并汇总,负责组织集团财务、生产、技术、办公自动化系统软 件的开发,使公司信息化系统形成一个无缝连接的整体。负责公司各种汇总报表、查询软件、分析软件的二次开发,为领导决策和各业务经营环节提供及时、准确的决策信息。()负责集团所有信息化项目的持续改进与日常维护,负责公司计算机网络及信息管理系统的安全管理、技术支持和维护工作,在保证公司的计算机网络安全运行的前提下,树立服务意识,为公司领导、各业务职能部门提供最优质服务。()负责公司人员计算机应用方面的培训,提高公司计算机应用的整体水平和办公效率。()负责公司计算机及相关设备的采购及维修计划编制。2.岗位职责 1.信息部部长()在集团常务副总裁的领导下,负责主持信息部的全面日常工作,负责制定本部门的管理制度及组织建设,并监督本部人员全面完成部门职责范围内的各项工作任务;负责本部门员工的工作检查、考核及评价。()贯彻落实本部岗位责任制和工作标准,密切各部门工作关系,加强与集团各部门的协作配合,做好衔接协调工作;()负责集团信息化系统总体构架,构建集团信息化实施组织,结合业务流程、项目管理,实施公司集成信息化系统。()负责控制信息化项目预算。负责控制本部门信息化预算,降低费用成本。()负责集团信息化项目关键控制点的监督、控制和风险评价;()负责组织集团的信息安全工作,持续加强集团的信息安全管理。()组织对集团计算机及周边设备、网络设备和办公自动化设备的维护、添置、验收以及发放登记归档;()负责组织对计算机网络及信息系统的维护,保证网络及信息系统的正常运行。()负责主持信息化新系统、新项目的开发,并对信息项目系统开发全过程负责。()负责组织集团信息化项目的持续改进与日常维护。(10)完成领导指派的其它工作;2.IT 维护主管()在信息部领导的领导下,负责IT 维护方面的日常管理工作。负责安排及监督系统管理员及系统维护员的工作。()负责主持计算机及网络系统的设计及改良工作。()负责主持对计算机网络及硬件系统的维护,保证网络及硬件系统的正常运行。()负责检测并实施适当措施保障网络及硬件系统应用安全。()负责对集团计算机及周边设备、网络设备和办公自动化设备的维护、添置、验收以及发放登记归档;()负责集团上外网权限控制()主管指派的其它工作;3.项目组组长()进行项目可行性论证;()按照计划执行项目的实施;()协调项目组内的工作;()主管指派的其它工作;4.信息管理员()依据新信息系统项目的开发计划展开开发工作;()负责集团有关信息系统的持续改进与日常维护,负责公司信息系统的安全管理、技术支持和维护工作,树立服务意识,为公司领导、各业务职能部门提供最优质服务。()负责集团的信息系统安全工作,持续加强集团的信息安全管理。()主管指派的其它工作;5.软件开发员()负责新系统、新程序的技术调研工作;()依据集团自主开发软件项目的计划进行软件开发设计,并进行推广。()负责调研集团各部门信息化需求并汇总,负责集团外购软件(财务、生产、技术、办公自动化系统软件、人事管理系统)的二次开发,负责公司各种汇总报表、查询软件、分析软件的二次开发,为领导决策和各业务经营环节提供及时、准确的决策信息。()主管指派的其它工作;6.系统管理员()负责主持计算机及网络系统的设计及改良工作。()负责检测并实施适当措施保障网络及硬件系统应用安全。()负责维持运行于网络平台上的各种服务稳定运行。()主管指派的其它工作;7.系统维护员()负责排除计算机及网络系统(包括软件)的故障。()维修或更换损坏的计算机及网络设备或部件;()协助维护计算机网络的稳定运行与安全;()主管指派的其它工作;三、公司信息安全相关实施流程