安全管理组织机构及岗位职责
- 格式:docx
- 大小:35.50 KB
- 文档页数:15
(版本 1.0)
为规范 XYZ (以下简称“中心”)信息安全管理工作, 建立自上而下的信息安全工作管理体系,需建立健全相应的 组织管理体系,以推动信息安全工作的开展。
本文档合用于中心的信息安全组织机构和重要岗位的
管理。用于指导信息系统安全策略的制定、安全方案的规划
和安全建设的实施,合用于安全管理体系中安全管理措施的
选择。
本文档的编制参照了以下国家的标准和文件:
(一)《信息安全技术 信息系统安全保障评估框架》
(GB/T 20274.1-2022)
(二) 《信息安全技术 信息系统安全管理要求》 (GB/T
20269-2022 )
(三)《信息安全技术 信息系统安全等级保护基本要
求》(GB/T 22239-2022)
标准未涉及的管理内容, 参照国家、 中心的有关标准和
规定执行。
由中心主管领导牵头,组织与信息安全相关的各分管领
导,成立信息安全领导机构,统筹管理信息安全相关工作。
中心成立信息安全领导小组,是信息安全的最高决策机
构,下设办公室,负责信息安全领导小组的日常事务。
信息安全领导小组下设信息安全工作组、应急处理工作
组等 2 个专项工作小组,分别负责信息安全各领域相关工作。
信息安全领导小组负责研究重大事件,落实方针政策,
制定实施策略和原则, 开展安全普及教育等。 职责主要包括:
(一)批准中心信息安全工作的规划、建设和管理;
(二)确定中心信息安全各有关科室工作职责,指导、
监督信息安全工作。
(三)协调处理信息安全工作中产生的重大问题,建设
和完善信息安全组织体系。
成立信息安全领导小组,完成以下岗位和成员的设置。
信息安全领导小组:组长、副组长、成员。
信息安全工作组工作职责包括:
(一)贯彻执行信息安全领导小组的决议;
(二)根据信息安全领导小组的工作部署,对信息安全
工作进行具体安排、落实;
(三)组织对重大的信息安全工作制度和技术操作策略
进行审查,拟订信息安全总体策略规划,并监督执行;
(四) 组织信息安全工作检查, 分析信息安全总体状况,
提出分析报告和安全风险的防范对策;
(五)及时向信息安全工作领导小组和上级有关部门、
单位报告信息安全事件。
成立信息安全工作组,完成以下岗位和成员的设置。
信息安全工作组:组长、副组长、成员。
应急处理工作组的主要职责包括:
(一)审定中心网络与信息系统的安全应急策略及应急
预案,并组织相关技术队伍的建设;
(二)决定相应应急预案的启动;
(三)负责预案的演练落实;
(四)负责应急预案的修订;
(五)负责日常安全事件的监控和处理。
成立信息安全应急处理工作小组, 完成以下岗位和成员
的设置。
信息安全应急处理工作小组:组长、副组长、成员。
(一) 信息安全管理人员和专(兼)职信息安全技术
人员应当政治可靠、业务素质高、遵纪守法、恪尽职守;
(二) 信息安全管理人员及专职和兼职信息安全技术 人员应有计算机专业工作三年以上经历,具备专科以上学历;
(三) 违反国家法律、 法规和行业规章受到处罚的人员,
不得从事信息安全管理与技术工作。
(一) 信息安全人员的配备和变更情况,应向上级报
告、备案;
(二) 信息安全人员调离岗位, 必须严格办理调离手续,
承诺其调离后的保密义务。涉及业务核心技术的信息安全人
员调离单位,必须进行离岗审计,并在规定的脱密期后,方
可调离。
(一)信息安全人员应履行以下职责:
a) 负责信息安全管理的日常工作;
b) 开展信息安全检查工作,对要害岗位人员安全
工作进行指导和监督;
c) 负责维护和审查有关安全审计记录,及时发现
存在问题,提出安全风险防范对策;
d) 开展信息安全知识的培训和宣传工作;
e) 监控信息安全总体状况,提出信息安全分析报
告;
f) 及时向信息安全工作小组和有关科室报告信
息安全事件。
(二)信息安全人员在行使职责时,确因工作需要,经
批准,可了解有关的信息系统的机密信息。
(三)信息安全人员发现本单位重大信息安全隐患,有
权向上级主管部门报告。
(四)信息安全人员发现信息系统要害岗位人员使用不
当,应及时建议单位进行调整。
(五)信息安全人员必须严格遵守国家有关法律、法规
和中心有关规章标准,严守中心秘密。
设置信息系统的要害岗位并加强管理,配备系统管理员、
网络管理员、机房管理员、安全审计员、安全管理员、数据
库管理员,要求六人各自独立。要害岗位人员必须严格遵守
保密法规和有关信息安全管理规定。
数据库管理员主要职责有:
(一)负责对数据库系统进行合理配置、测试、调整,
最大限度地发挥设备资源优势。负责数据库的安全运行。
(二)负责定期对所管辖的数据库系统的配置进行可用
性,可靠性,性能以及安全检查。
(三)负责定期对所管辖的数据库系统的可用性,可靠
性,性能以及安全的配置方法进行修订和完善。
(四)负责对所管辖的数据库系统运行过程中浮现的问
题及时处理解决。
(五)负责对所管辖数据库系统的数据一致性和完整性,
并协助应用开辟人员、使用操作等相关人员做好相关的配置、
检查等工作。
(六)负责做好数据库系统及数据的备份和恢复工作。
信息系统的基础运维与业务系统的日常管理和运维,与
其他岗位人员共同保障信息系统的稳定、安全运行。
系统管理员主要职责有:
(一)负责主机操作系统的安全配置和日常审计,系统应
用软件的安装,从系统层面实现对用户与资源的访问控制。
(二)协助安全管理员制定主机操作系统的安全配置规
则,并落实执行。
(三)负责主机设备的日常管理与维护,保持系统处于
良好的运行状态。
(四)为安全审计员提供完整、准确的主机系统运行活
动日志记录。
(五)在主机系统异常或者故障发生时,详细记载发生异 常时的现象、时间和处理方式,并及时上报。
(六)编制主机设备的维修、报损、报废计划,报主管
领导审核。
(七)若由于系统管理员工作疏忽或者失误而导致安全事 故发生,系统管理员应承担相应责任。
网络管理员负责基础网络设施和网络设备的日常管理
和运维。
网络管理员主要职责有:
(一)负责网络的部署以及网络产品、相关安全产品的配
置、管理与监控,并对关键网络配置文件进行备份,及时修
补网络设备的漏洞。
(二)协助安全管理员制定网络设备安全配置规则,并落
实执行。
(三)为安全审计员提供完整、准确的重要网络设备和网
站运行活动日志。
(四)在网络及设备异常或者故障发生时,详细记载发生异 常时的现象、时间和处理方式,并及时上报。
(五)编制网络设备的维修、报损、报废等计划,报主管
领导审核。
(六)若由于网络管理员工作疏忽或者失误而导致安全事故 发生,网络管理员应承担相应责任。
机房管理员负责机房基础设施和机房内各种设备的日
常管理和运维。
机房管理员主要职责有:
(一)负责机房所有设备的台帐和实物管理,固定资产
帐、物相符应达到百分之百, 设备完好率不低于百分之九十。
(二)要定期或者不定期检查机房内的空调、电源等电器 设备,发现安全隐患要及时整改和上报,重要设备故障应做 好维修记录。