信息安全組織及崗位職責(zé)管理制度

1、信息平安組織及崗位責(zé)任治理制度二零一八年八月版本限制版本修改時間修改內(nèi)容修改人員審核人員專業(yè)資料第一章總那么第一條為增強公司等級保護保證工作的組織協(xié)調(diào),建立健全等級保護治理制度和運行機制,切實提升公司等級保護保證工作水平,全面提升信息系統(tǒng)信息平安治理水平,根據(jù)?國家信息化領(lǐng)導(dǎo)小組關(guān)于增強信息平安保證工作的意見?、?GB/T22239-2021信息平安等級保護根本要求?等政策要求,特制定本制度.第二條本規(guī)定依照信息平安治理的主要領(lǐng)導(dǎo)負(fù)責(zé)原那么、全員參與原那么、依法治理原那么、分權(quán)和授權(quán)原那么和體系化治理原那么編制,具體原那么為：一主要領(lǐng)導(dǎo)負(fù)責(zé)原那么：保證公司主要領(lǐng)導(dǎo)參與并確立組織統(tǒng)一的信息系統(tǒng)信

2、息平安保證宗旨和政策,組織有效的平安保證隊伍,調(diào)動并優(yōu)化配置必要的資源,協(xié)調(diào)平安治理工作與各部門工作的關(guān)系,并保證其落實、有效；二全員參與原那么：信息系統(tǒng)所有相關(guān)人員普遍參與信息系統(tǒng)的平安治理,并與相關(guān)方面協(xié)同、協(xié)調(diào),共同保證信息系統(tǒng)的平安；三依法治理原那么：信息系統(tǒng)信息平安治理工作應(yīng)保證治理主體合法、治理行為合法、治理內(nèi)容合法、治理程序合法；四分權(quán)和授權(quán)原那么：對特定職能或責(zé)任領(lǐng)域的治理功能實施別離、獨立審計等實行分權(quán),防止權(quán)力過分集中所帶來的隱患,以減小未授權(quán)的修改或濫用系統(tǒng)資源的時機.任何實體如用戶、治理員、進程、應(yīng)用或系統(tǒng)僅享有該實體需要完成其任務(wù)所必須的權(quán)限,不應(yīng)享有任何多余權(quán)限.五

3、體系化治理原那么：信息系統(tǒng)應(yīng)符合信息平安相關(guān)政策的體系化治理目標(biāo)和要求.第三條本規(guī)定適用于公司.第二章組織目標(biāo)第四條本制度旨在實現(xiàn)信息平安治理組織的以下目標(biāo)：一治理組織內(nèi)的信息系統(tǒng)平安保護工作；二治理外部組織訪問組織內(nèi)信息處理設(shè)施和信息資產(chǎn)的安全.第三章平安治理組織架構(gòu)第五條為增強對公司信息平安治理工作的領(lǐng)導(dǎo),貫徹落實監(jiān)管部門的信息平安保護要求,經(jīng)研究決定成立公司信息平安治理委員會.第六條信息平安治理委員會為公司信息平安工作的最高治理機構(gòu).第七條由公司副總經(jīng)理擔(dān)任信息平安治理委員會主席,成員包括：一生產(chǎn)技術(shù)部主管領(lǐng)導(dǎo)；二各部門主管領(lǐng)導(dǎo).第八條生產(chǎn)技術(shù)部是信息平安治理工作的執(zhí)行機構(gòu),負(fù)責(zé)執(zhí)行信息

4、平安治理委員會交辦的各項工作,由生產(chǎn)技術(shù)部總經(jīng)理擔(dān)任負(fù)責(zé)人,成員包括：一生產(chǎn)技術(shù)部；二系統(tǒng)開發(fā)部；三運營維護部.第九條生產(chǎn)技術(shù)部應(yīng)設(shè)立信息平安治理崗位,分別為平安治理員、平安審計員、網(wǎng)絡(luò)治理員、系統(tǒng)治理員、數(shù)據(jù)庫治理員、應(yīng)用管理員,負(fù)責(zé)執(zhí)行網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫和應(yīng)用的平安治理和運維工作.第四章信息平安組織責(zé)任第十條信息平安治理委員會負(fù)責(zé)領(lǐng)導(dǎo)信息系統(tǒng)平安工作,組織責(zé)任為：一根據(jù)國家和行業(yè)有關(guān)信息平安的政策、法律和法規(guī),確定信息平安工作的總體方向、總體原那么和平安工作方法；二根據(jù)國家和行業(yè)有關(guān)信息平安的政策、法律和法規(guī),批準(zhǔn)信息系統(tǒng)的平安策略和開展規(guī)劃；三確定各有關(guān)部門在信息系統(tǒng)平安工作中的責(zé)任,領(lǐng)

5、導(dǎo)平安工作的實施；四監(jiān)督平安舉措的執(zhí)行,并對重要平安事件的處理進行決策；五指導(dǎo)和檢查信息平安職能部門的各項工作；六建設(shè)和完善信息系統(tǒng)平安組織體系和治理機制.第十一條生產(chǎn)技術(shù)部負(fù)責(zé)貫徹、落實和執(zhí)行信息平安治理委員會下達的各項工作,組織責(zé)任為：一貫徹、落實和解釋國家及行業(yè)有關(guān)信息平安的政策、法律、法規(guī)和信息平安工作要求,起草信息系統(tǒng)的平安策略和開展規(guī)劃；二落實和執(zhí)行信息系統(tǒng)信息平安工作的日常事務(wù),對具體落實情況進行總結(jié)和匯報；三負(fù)責(zé)平安舉措的實施或組織實施,組織并參加信息平安重要事件的處理；四負(fù)責(zé)內(nèi)、外部組織和機構(gòu)的信息平安溝通、協(xié)調(diào)和合作工作；五組織編制和落實信息平安規(guī)劃工作；六指導(dǎo)和檢查運維單

6、位對信息系統(tǒng)平安工作落實情況；七監(jiān)控信息系統(tǒng)平安總體狀況,提出平安分析報告；八協(xié)同有關(guān)部門共同組成應(yīng)急處理小組,組織處理信息平安應(yīng)急響應(yīng)工作；九負(fù)責(zé)組織信息系統(tǒng)平安知識的培訓(xùn)和宣傳工作.第十二條系統(tǒng)開發(fā)部負(fù)責(zé)信息系統(tǒng)建設(shè)開發(fā)相關(guān)工作,組織責(zé)任為：一負(fù)責(zé)信息系統(tǒng)開發(fā)過程中的工程治理工作；二負(fù)責(zé)信息系統(tǒng)運行維護過程中軟件版本升級、功能定制等方面的開發(fā)工作；三配合生產(chǎn)技術(shù)部完成信息系統(tǒng)建設(shè)規(guī)劃、方案設(shè)計及編寫工作；四配合生產(chǎn)技術(shù)部完成公司治理層安排的其他相關(guān)技術(shù)工作.第十三條運營維護部負(fù)責(zé)信息系統(tǒng)運行維護的相關(guān)工作,組織責(zé)任為:一負(fù)責(zé)信息系統(tǒng)上線后的運行維護工作,具體為機房治理、根底設(shè)施日常巡檢、應(yīng)

7、用系統(tǒng)監(jiān)控等；二負(fù)責(zé)定期維護機房環(huán)境設(shè)施及重要信息系統(tǒng)設(shè)備等；三負(fù)責(zé)提出應(yīng)用系統(tǒng)非功能性需求；四負(fù)責(zé)定期分析信息系統(tǒng)運行過程中的日志、周報、月報,并定期匯總上報治理層；五負(fù)責(zé)協(xié)調(diào)并組織應(yīng)對信息系統(tǒng)運行過程中的突發(fā)事件；六配合生產(chǎn)技術(shù)部完成其他信息科技方面的相關(guān)工作.第五章信息平安崗位責(zé)任第十四條應(yīng)建立信息平安崗位,明確信息平安崗位責(zé)任.第十五條工程方案崗位責(zé)任為：起草和編制信息系統(tǒng)信息安全總體規(guī)劃以及方案方案,收集信息系統(tǒng)平安需求.第十六條工程治理崗位責(zé)任為：一負(fù)責(zé)信息系統(tǒng)工程實施的組織、協(xié)調(diào)和驗收工作；二負(fù)責(zé)工程合同的治理及監(jiān)督.第十七條運行維護崗位責(zé)任為：一起草和編制信息系統(tǒng)信息平安方針、

8、信息平安保證體系框架和信息平安策略、制度和技術(shù)標(biāo)準(zhǔn)；二推動信息系統(tǒng)信息平安方針、信息平安策略、信息平安管理制度及信息平安技術(shù)標(biāo)準(zhǔn)的實施落實.第十八條設(shè)備資源治理崗位責(zé)任為：負(fù)責(zé)信息系統(tǒng)設(shè)備的管理,包括設(shè)備的報廢等.第十九條平安治理員的崗位責(zé)任為：一定期組織信息系統(tǒng)漏洞掃描和信息平安風(fēng)險評估工作,形成信息系統(tǒng)和整體平安現(xiàn)狀報告,并向信息平安治理委員會進行匯報；二負(fù)責(zé)制定信息系統(tǒng)總體網(wǎng)絡(luò)訪問限制策略和規(guī)那么,并對其進行監(jiān)控和審計工作,定期發(fā)布策略執(zhí)行情況；三對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫治理員進行平安指導(dǎo)；四定期收集信息平安漏洞和公告信息,告知相關(guān)平安運維管理人員；五協(xié)調(diào)信息平安應(yīng)急響應(yīng)組織和技術(shù)支撐

9、單位.第二十條平安審計員的崗位責(zé)任為：一定期審計信息系統(tǒng)信息平安策略執(zhí)行情況,收集信息系統(tǒng)日志和審計記錄,并提供審計報告；二對平安、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫治理員的操作行為進行監(jiān)督,平安責(zé)任落實情況進行檢查；第二十一條系統(tǒng)治理員的平安責(zé)任為：一根據(jù)信息系統(tǒng)平安策略定期對系統(tǒng)進行自評估；二依照平安策略對系統(tǒng)進行平安配置和漏洞修補,保證平安補丁保持2個月內(nèi)最新補??；三對系統(tǒng)進行日常平安運維治理,定期更改系統(tǒng)賬號,并定期提交平安運行維護記錄或報告；四在發(fā)生系統(tǒng)異常和平安事件時,應(yīng)能對系統(tǒng)進行應(yīng)急處置.第二十二條網(wǎng)絡(luò)治理員的平安責(zé)任為：一根據(jù)信息系統(tǒng)平安策略定期對網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)架構(gòu)進行自評估；二依照平

10、安策略對網(wǎng)絡(luò)設(shè)備進行平安配置和漏洞修補；三對網(wǎng)絡(luò)設(shè)備、平安設(shè)備進行日常平安運維治理,并定期提交平安運行維護記錄或報告；四在發(fā)生系統(tǒng)異常和平安事件時,應(yīng)能對網(wǎng)絡(luò)設(shè)備、平安設(shè)備進行應(yīng)急處置.第六章信息平安崗位要求第二十三條生產(chǎn)技術(shù)部應(yīng)設(shè)立專職的信息平安治理崗位,并由專人負(fù)責(zé),根據(jù)信息平安治理的實際工作情況,人員編制1人.第二十四條各部門應(yīng)設(shè)立專職的平安治理員.第二十五條關(guān)鍵事務(wù)崗位應(yīng)配備多人共同治理,定期輪崗,關(guān)鍵崗位人員配備堅持“權(quán)限分散、不得交叉覆蓋的原那么,平安治理員和平安審計員不能由一人身兼.第二十六條各部門應(yīng)根據(jù)崗位責(zé)任,確定崗位所需要的平安技能,并對所有信息平安崗位人員進行對應(yīng)的平安技能培訓(xùn).第二十七條信息系統(tǒng)的平安技術(shù)崗位可由其他相關(guān)治理員兼任,其中網(wǎng)絡(luò)平安治理、系統(tǒng)平安治理、數(shù)據(jù)庫平安治理以及應(yīng)用安全治理工作可分別由網(wǎng)絡(luò)治理員、系統(tǒng)治理員、數(shù)據(jù)庫治理員以及應(yīng)用治理員