ISO27001信息安全組織機構(gòu)與部門職能分配表

1、XXX有限公司新點2008年12月組織機構(gòu)圖表A.4 信息安全職責(zé)說明序號單位/部門信息安全職責(zé)1信息安全委員會1) 負責(zé)公司的整體信息安全管理工作，負責(zé)公司信息資產(chǎn)的安全；2) 負責(zé)與國家信息安全主管機構(gòu)、上級主管部門的溝通和交流，負責(zé)有關(guān)信息安全工作的落實和推行，并負責(zé)報告本公司有關(guān)信息安全狀況和重要事件；3) 負責(zé)協(xié)調(diào)公司內(nèi)部信息安全工作，分配信息安全管理目標、職責(zé)，并支持和推動信息安全工作在公司范圍內(nèi)的實施；4) 負責(zé)對與信息安全管理有關(guān)的重大事項進行決策，包括安全組織機構(gòu)調(diào)整、信息安全關(guān)鍵人事變動、以及信息安全管理重大策略變更、確認可接受的風(fēng)險和風(fēng)險水平等；5) 負責(zé)對信息安全管理體

2、系進行內(nèi)部評審和管理評審，審批和發(fā)布信息安全方針、信息安全規(guī)范及管理辦法以及與信息安全管理相關(guān)的重大事項；6) 負責(zé)制定和實施與信息安全相關(guān)的獎懲措施和安全績效考核體系；7) 評審與監(jiān)督重大信息安全事故的處理； 8) 對內(nèi)部評審整改意見負最終責(zé)任。2信息安全工作小組1) 直接對信息安全管理委員會負責(zé)，承擔(dān)信息安全管理委員會的具體工作，協(xié)助在信息安全事務(wù)上的決策；2) 負責(zé)信息安全管理體系的建立、實施和日常運行，起草信息安全政策，確定信息安全管理標準，督促各信息安全執(zhí)行單位對于信息安全政策、措施的實施；3) 負責(zé)定期召開信息安全管理工作會議，定期總結(jié)運行情況以及安全事件記錄，并向信息安全管理委員

3、會匯報；4) 協(xié)助行政部對員工進行信息安全意識教育和安全技能培訓(xùn)；5) 協(xié)助行政部和各業(yè)務(wù)部門對員工的聘前、聘中及解聘過程中涉及的人員信息安全進行有效管理；6) 協(xié)調(diào)各部門以及與外部組織間有關(guān)的信息安全工作，負責(zé)建立各部門、關(guān)聯(lián)公司、外部安全管理主管機構(gòu)之間的定期聯(lián)系和溝通機制；7) 負責(zé)對ISMS體系進行審核，以驗證體系的健全性和有效性，并對發(fā)現(xiàn)的問題提出內(nèi)部審核建議；8) 負責(zé)對ISMS體系的具體實施、各部門的信息安全運行狀況進行定期審計或?qū)ｍ棇徲嫞?) 負責(zé)匯報審計結(jié)果，并督促審計整改工作的進行，落實糾正措施(包括內(nèi)部審核整改意見)和預(yù)防措施。10) 負責(zé)制定違反安全政策行為的標準，并對

4、違反安全政策的人員和事件進行確認；11) 負責(zé)調(diào)查安全事件，并維護安全事件的記錄報告(包括調(diào)查結(jié)果和解決方法) ，定期總結(jié)安全事件記錄報告；12) 識別適用于公司的所有法律、法規(guī)，行業(yè)主管部門頒布的規(guī)章制度，審核ISMS體系文檔的合規(guī)性3總經(jīng)理1) 任命管理者代表，明確管理者代表的職責(zé)和權(quán)限；2) 確保在內(nèi)部傳達滿足客戶和法律法規(guī)的重要性；3) 為信息安全管理體系配備必要的資源；4) 主持管理評審；5) 負責(zé)公司信息安全管理和企業(yè)管理的計劃、組織、協(xié)調(diào)、監(jiān)督、控 6) 制和考核工作。7) 遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求4管理者代表1) 負責(zé)建立、實施、保持和改進信息安全管理

5、體系，保證信息安全體2) 系的有效運行；3) 負責(zé)公司信息安全管理手冊的審核，程序文件的批準，組織并領(lǐng)導(dǎo)4) 公司內(nèi)部審核工作； 5) 負責(zé)向總經(jīng)理報告信息安全體系運行的業(yè)績和任何改進的6) 需求；7) 負責(zé)就信息安全管理體系有關(guān)事宜的對外聯(lián)絡(luò)。8) 遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求5各部門的信息安全主管領(lǐng)導(dǎo)1) 部門的信息安全主管領(lǐng)導(dǎo)由本部門部門長擔(dān)任；2) 負責(zé)協(xié)助信息安全工作小組建立本部門信息安全管理制度和流程；3) 部門的信息安全主管領(lǐng)導(dǎo)系本部門信息安全管理責(zé)任人，負責(zé)本部門的信息安全管理工作，負責(zé)保護本部門所擁有和管理的信息資產(chǎn)的安全；4) 負責(zé)采取有效辦法，落實和

6、推動信息安全政策的實施；5) 負責(zé)指導(dǎo)和要求本部門員工遵守信息安全政策；6) 對違反安全政策的行為進行內(nèi)部處罰；7) 落實針對本部門的糾正措施(包括內(nèi)部審核整改意見)和預(yù)防措施。6部門信息安全工作小組成員1) 負責(zé)本部門日常的具體信息安全工作，并參加信息安全管理工作小組所要求的各項活動；2) 負責(zé)按照ISMS體系的要求，對本部門所擁有和管理的信息資產(chǎn)進行維護，包括資產(chǎn)的識別和分類、資產(chǎn)的威脅和脆弱性識別及安全需求級別確定等工作；3) 負責(zé)根據(jù)ISMS安全政策要求，在本部門提高員工安全意識，落實責(zé)任，保護信息資產(chǎn)的安全，并確保已建立的安全控制措施持續(xù)有效；4) 負責(zé)向信息安全管理工作小組組長報告

7、信息安全事件和違反信息安全政策的行為，協(xié)助對違反安全政策的行為進行調(diào)查；5) 協(xié)助信息安全管理工作小組組長和本部門信息安全主管領(lǐng)導(dǎo)落實針對本部門的糾正措施(包括內(nèi)部審核整改意見)和預(yù)防措施7內(nèi)部員工1) 嚴格遵守所有與信息安全相關(guān)的國家法律、法規(guī)和政策，遵守公司所有的信息安全政策，并簽字承諾遵守保密協(xié)議的有關(guān)規(guī)定；2) 以安全負責(zé)的方式使用公司的信息資產(chǎn)； 3) 積極參加信息安全教育與培訓(xùn)，提高信息安全意識；4) 有責(zé)任將違反信息安全政策的事件與行為及時報告給本部門信息安全管理員及其他相關(guān)人員8信息安全員1) 負責(zé)管理本部門信息資產(chǎn)識別表。2) 負責(zé)確保本部門與信息處理設(shè)施相關(guān)的信息和資產(chǎn)進行

8、適當(dāng)?shù)淖R別和分類。3) 定期向部門信息安全工作小組反饋部門信息資產(chǎn)識別表9行政部1) 負責(zé)本公司管理體系文件的控制；2) 負責(zé)保存內(nèi)部審核和管理評審的有關(guān)記錄；3) 負責(zé)監(jiān)控信息安全管理體系的日常運行4) 負責(zé)公司物理安全的管理；5) 負責(zé)公司水電空調(diào)物業(yè)等的管理；6) 本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求7) 負責(zé)人力資源管理工作，確保人員的信息安全；8) 本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求。10實施部1) 負責(zé)公司計算機及網(wǎng)絡(luò)設(shè)備的管理和維護；2) 負責(zé)了解世界計算機及網(wǎng)絡(luò)技術(shù)的發(fā)展趨勢，為公司計算機及網(wǎng)絡(luò)設(shè)備的更新和升級提出建議并

9、予以實施；3) 負責(zé)公司網(wǎng)站的管理、維護和內(nèi)容更新。4) 負責(zé)公司IT方面的信息安全建設(shè)。5) 負責(zé)公司信息安全內(nèi)部審核的管理。6) 負責(zé)公司應(yīng)用系統(tǒng)軟件的管理和維護。7) 本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求表2 信息安全體系要求與部門職能分配表ISO 27001條文要求總經(jīng)理管理者代表行政部實施部開發(fā)部信息安全工作小組4信息安全管理體系4.1總要求4.2建立并管理ISMS4.2.1 建立ISMS4.2.2 實施和運行ISMS4.2.3 監(jiān)視和評審ISMS4.2.4 保持和改進ISMS4.3文件要求4.3.1 總則4.3.2 文件控制4.3.3 記錄控制5管理職責(zé)

10、5.1管理者承諾5.2資源管理5.2.1 資源提供5.2.2 培訓(xùn)、意識和能力6ISMS內(nèi)部審核7ISMS 管理評審7.1總則7.2評審輸入7.3評審輸出8ISMS 改進8.1持續(xù)改進8.2糾正措施8.3預(yù)防措施附錄A條文要求A.5安全方針 A.5.1信息安全方針A.6信息安全組織 A.6.1內(nèi)部組織A.6.2 外部相關(guān)方A.7資產(chǎn)管理A.7.1 資產(chǎn)責(zé)任A.7.2 信息分類A.8人力資源安全A.8.1 聘用前A.8.2 聘用期間A.9物理和環(huán)境安全A.9.1 安全區(qū)域A.9.2設(shè)備安全A.10通信和操作管理 A.10.1 操作程序和職責(zé)A.10.2 第三方服務(wù)交付管理A.10.3 系統(tǒng)策劃與

11、接收A.10.4防范惡意和可移動代碼A.10.5 備份A.10.6 網(wǎng)絡(luò)安全管理A.10.7 介質(zhì)的處理A.10.8 信息交換A.10.9 電子商務(wù)服務(wù)（只包括A.10.9.3公共信息）A.10.10 監(jiān)控A.11訪問控制A.11.1 訪問控制的業(yè)務(wù)要求A.11.2 用戶訪問管理A.11.3 用戶責(zé)任A.11.4 網(wǎng)絡(luò)訪問控制A.11.5 操作系統(tǒng)訪問控制A.11.6 應(yīng)用程序及信息訪問控制A.11.7 移動PC計算和遠程工作A.12信息系統(tǒng)獲取開發(fā)和維護A.12.1 信息系統(tǒng)的安全需求A.12.2 應(yīng)用程序的正確處理A.12.3 加密控制A.12.4 系統(tǒng)文件安全A.12.5 開發(fā)和支持過程的安全A.12.6 技術(shù)薄弱點管理A.13信息安全事件管理A.13.1 報告信息安全事情和薄弱點A.13.2 信息安全事件和改進管理A.14業(yè)務(wù)連續(xù)性管理A.14.1 業(yè)務(wù)連續(xù)性管理中的信息安全事項A.15符合性A.15.1 符合法律要求A.15.2符合安全方針和標準，以及技術(shù)符合A.15.3 信息系統(tǒng)審核相關(guān)事宜*注：領(lǐng)導(dǎo)職責(zé)以“”表示；負責(zé)部門以“”表示；相關(guān)部門以“”表示。中國3000萬經(jīng)理人首選培訓(xùn)