安全管理组织机构及岗位职责

  • 格式:docx
  • 大小:35.50 KB
  • 文档页数:15

(版本 1.0)

为规范 XYZ (以下简称“中心”)信息安全管理工作, 建立自上而下的信息安全工作管理体系,需建立健全相应的 组织管理体系,以推动信息安全工作的开展。

本文档合用于中心的信息安全组织机构和重要岗位的

管理。用于指导信息系统安全策略的制定、安全方案的规划

和安全建设的实施,合用于安全管理体系中安全管理措施的

选择。

本文档的编制参照了以下国家的标准和文件:

(一)《信息安全技术 信息系统安全保障评估框架》

(GB/T 20274.1-2022)

(二) 《信息安全技术 信息系统安全管理要求》 (GB/T

20269-2022 )

(三)《信息安全技术 信息系统安全等级保护基本要

求》(GB/T 22239-2022)

标准未涉及的管理内容, 参照国家、 中心的有关标准和

规定执行。

由中心主管领导牵头,组织与信息安全相关的各分管领

导,成立信息安全领导机构,统筹管理信息安全相关工作。

中心成立信息安全领导小组,是信息安全的最高决策机

构,下设办公室,负责信息安全领导小组的日常事务。

信息安全领导小组下设信息安全工作组、应急处理工作

组等 2 个专项工作小组,分别负责信息安全各领域相关工作。

信息安全领导小组负责研究重大事件,落实方针政策,

制定实施策略和原则, 开展安全普及教育等。 职责主要包括:

(一)批准中心信息安全工作的规划、建设和管理;

(二)确定中心信息安全各有关科室工作职责,指导、

监督信息安全工作。

(三)协调处理信息安全工作中产生的重大问题,建设

和完善信息安全组织体系。

成立信息安全领导小组,完成以下岗位和成员的设置。

信息安全领导小组:组长、副组长、成员。

信息安全工作组工作职责包括:

(一)贯彻执行信息安全领导小组的决议;

(二)根据信息安全领导小组的工作部署,对信息安全

工作进行具体安排、落实;

(三)组织对重大的信息安全工作制度和技术操作策略

进行审查,拟订信息安全总体策略规划,并监督执行;

(四) 组织信息安全工作检查, 分析信息安全总体状况,

提出分析报告和安全风险的防范对策;

(五)及时向信息安全工作领导小组和上级有关部门、

单位报告信息安全事件。

成立信息安全工作组,完成以下岗位和成员的设置。

信息安全工作组:组长、副组长、成员。

应急处理工作组的主要职责包括:

(一)审定中心网络与信息系统的安全应急策略及应急

预案,并组织相关技术队伍的建设;

(二)决定相应应急预案的启动;

(三)负责预案的演练落实;

(四)负责应急预案的修订;

(五)负责日常安全事件的监控和处理。

成立信息安全应急处理工作小组, 完成以下岗位和成员

的设置。

信息安全应急处理工作小组:组长、副组长、成员。

(一) 信息安全管理人员和专(兼)职信息安全技术

人员应当政治可靠、业务素质高、遵纪守法、恪尽职守;

(二) 信息安全管理人员及专职和兼职信息安全技术 人员应有计算机专业工作三年以上经历,具备专科以上学历;

(三) 违反国家法律、 法规和行业规章受到处罚的人员,

不得从事信息安全管理与技术工作。

(一) 信息安全人员的配备和变更情况,应向上级报

告、备案;

(二) 信息安全人员调离岗位, 必须严格办理调离手续,

承诺其调离后的保密义务。涉及业务核心技术的信息安全人

员调离单位,必须进行离岗审计,并在规定的脱密期后,方

可调离。

(一)信息安全人员应履行以下职责:

a) 负责信息安全管理的日常工作;

b) 开展信息安全检查工作,对要害岗位人员安全

工作进行指导和监督;

c) 负责维护和审查有关安全审计记录,及时发现

存在问题,提出安全风险防范对策;

d) 开展信息安全知识的培训和宣传工作;

e) 监控信息安全总体状况,提出信息安全分析报

告;

f) 及时向信息安全工作小组和有关科室报告信

息安全事件。

(二)信息安全人员在行使职责时,确因工作需要,经

批准,可了解有关的信息系统的机密信息。

(三)信息安全人员发现本单位重大信息安全隐患,有

权向上级主管部门报告。

(四)信息安全人员发现信息系统要害岗位人员使用不

当,应及时建议单位进行调整。

(五)信息安全人员必须严格遵守国家有关法律、法规

和中心有关规章标准,严守中心秘密。

设置信息系统的要害岗位并加强管理,配备系统管理员、

网络管理员、机房管理员、安全审计员、安全管理员、数据

库管理员,要求六人各自独立。要害岗位人员必须严格遵守

保密法规和有关信息安全管理规定。

数据库管理员主要职责有:

(一)负责对数据库系统进行合理配置、测试、调整,

最大限度地发挥设备资源优势。负责数据库的安全运行。

(二)负责定期对所管辖的数据库系统的配置进行可用

性,可靠性,性能以及安全检查。

(三)负责定期对所管辖的数据库系统的可用性,可靠

性,性能以及安全的配置方法进行修订和完善。

(四)负责对所管辖的数据库系统运行过程中浮现的问

题及时处理解决。

(五)负责对所管辖数据库系统的数据一致性和完整性,

并协助应用开辟人员、使用操作等相关人员做好相关的配置、

检查等工作。

(六)负责做好数据库系统及数据的备份和恢复工作。

信息系统的基础运维与业务系统的日常管理和运维,与

其他岗位人员共同保障信息系统的稳定、安全运行。

系统管理员主要职责有:

(一)负责主机操作系统的安全配置和日常审计,系统应

用软件的安装,从系统层面实现对用户与资源的访问控制。

(二)协助安全管理员制定主机操作系统的安全配置规

则,并落实执行。

(三)负责主机设备的日常管理与维护,保持系统处于

良好的运行状态。

(四)为安全审计员提供完整、准确的主机系统运行活

动日志记录。

(五)在主机系统异常或者故障发生时,详细记载发生异 常时的现象、时间和处理方式,并及时上报。

(六)编制主机设备的维修、报损、报废计划,报主管

领导审核。

(七)若由于系统管理员工作疏忽或者失误而导致安全事 故发生,系统管理员应承担相应责任。

网络管理员负责基础网络设施和网络设备的日常管理

和运维。

网络管理员主要职责有:

(一)负责网络的部署以及网络产品、相关安全产品的配

置、管理与监控,并对关键网络配置文件进行备份,及时修

补网络设备的漏洞。

(二)协助安全管理员制定网络设备安全配置规则,并落

实执行。

(三)为安全审计员提供完整、准确的重要网络设备和网

站运行活动日志。

(四)在网络及设备异常或者故障发生时,详细记载发生异 常时的现象、时间和处理方式,并及时上报。

(五)编制网络设备的维修、报损、报废等计划,报主管

领导审核。

(六)若由于网络管理员工作疏忽或者失误而导致安全事故 发生,网络管理员应承担相应责任。

机房管理员负责机房基础设施和机房内各种设备的日

常管理和运维。

机房管理员主要职责有:

(一)负责机房所有设备的台帐和实物管理,固定资产

帐、物相符应达到百分之百, 设备完好率不低于百分之九十。

(二)要定期或者不定期检查机房内的空调、电源等电器 设备,发现安全隐患要及时整改和上报,重要设备故障应做 好维修记录。