信息系統(tǒng)安全管理組織架構(gòu)

關(guān)于成立XXXXXXX局信息安全領(lǐng)導(dǎo)小組的通知局各處室、單位：為加強(qiáng)全局信息化安全管理工作，完善信息安全管理體系，建立規(guī)范的信息化安全管理機(jī)制，現(xiàn)我局依據(jù)國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)要求，并結(jié)合我局實(shí)際情況成立“XXXXXXX局信息安全領(lǐng)導(dǎo)小組”，小組成員如下：組長(zhǎng)：XXX副組長(zhǎng)：XXX組員：XXXXXX XXX XXX XXXXXXXXX XXX XXX XXX現(xiàn)將《XXXXXXX局信息系統(tǒng)安全管理組織架構(gòu)》印發(fā)給你們，請(qǐng)認(rèn)真遵照?qǐng)?zhí)行。二OXX年XX月XX日主題詞：信息系統(tǒng)安全架構(gòu)等級(jí)保護(hù)通知XXXXXXX局20XX年XX月XX日印發(fā)XXXXXXX局信息系統(tǒng)安全管理組織架構(gòu)第一條為了加強(qiáng)信息安全管理體系建設(shè)，有效及明確地界定體系內(nèi)的組織結(jié)構(gòu)及成員的職責(zé)和義務(wù)，確保信息安全管理體系能有效地推行，特制定本文件。第二條本文件適用于XXXXXXX局信息系統(tǒng)所有信息安全管理體系范圍的部門和個(gè)人。第三條XXXXXXX局信息系統(tǒng)信息安全管理組織結(jié)構(gòu)圖如下：第四條信息安全領(lǐng)導(dǎo)小組的工作職責(zé)為：負(fù)責(zé)協(xié)調(diào)信息安全管理體系的推行、資源分配、重要決策并維持體系的運(yùn)行，致力改善XXXXXXX局信息系統(tǒng)的安全管理流程，改進(jìn)其應(yīng)對(duì)安全事件和保持業(yè)務(wù)持續(xù)性的能力。直接參與信息安全管理、業(yè)務(wù)連續(xù)性計(jì)劃改善的決策，以保護(hù)信息安全、保證業(yè)務(wù)可持續(xù)發(fā)展為主要目標(biāo)，落實(shí)信息安全、業(yè)務(wù)連續(xù)性管理方案，貫徹信息安全策略，從而確保信息安全管理體系的有效推行。監(jiān)督信息安全管理體系的運(yùn)作，審核信息安全策略的有效性和實(shí)用性，審批安全改善計(jì)劃，提供信息安全資源保障。負(fù)責(zé)整個(gè)信息安全管理體系的制定、運(yùn)行及改善的評(píng)審工作。第五條信息安全工作小組的工作職責(zé)為：負(fù)責(zé)信息安全管理體系的具體建立、實(shí)施、維護(hù)及改善工作。對(duì)信息安全工作進(jìn)行規(guī)劃和執(zhí)行，確保信息安全風(fēng)險(xiǎn)評(píng)估和管理工作能夠落實(shí)。負(fù)責(zé)受理業(yè)務(wù)部門信息系統(tǒng)建設(shè)需求并提出安全保障方案。負(fù)責(zé)信息安全管理和技術(shù)控制的選型設(shè)計(jì)、方案評(píng)審、執(zhí)行實(shí)施。負(fù)責(zé)信息安全策略、標(biāo)準(zhǔn)、流程和制度的編寫、審核及推廣，負(fù)責(zé)具體執(zhí)行和落實(shí)各項(xiàng)策略要求和控制措施。負(fù)責(zé)按照信息系統(tǒng)既定程序來(lái)響應(yīng)并處理信息安全事件。指定專人負(fù)責(zé)內(nèi)部安全審核，實(shí)施獨(dú)立審核，協(xié)助外部第二方/第三方審核，確保信息安全管理體系各項(xiàng)控制及組成部分按照策略要求運(yùn)行良好，確保信息安全管理體系的完整性、符合性和有效性。建立與內(nèi)部/外部專家、權(quán)威機(jī)構(gòu)、合作單位之間的溝通渠道。第六條信息系統(tǒng)負(fù)責(zé)人的職責(zé)：應(yīng)定期或不定期組織對(duì)安全管理制度進(jìn)行檢查和審定，對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。按照信息安全策略協(xié)調(diào)相關(guān)人員具體實(shí)施信息安全管理工作。負(fù)責(zé)向信息安全等級(jí)保護(hù)工作小組匯報(bào)我局信息安全現(xiàn)狀及信息安全整改建議。負(fù)責(zé)組織維護(hù)和完善信息安全保障體系，并據(jù)此制定信息安全管理制度。參與我局信息系統(tǒng)建設(shè)的方案論證，并提出安全方面的相應(yīng)建議。協(xié)調(diào)組織在我局信息系統(tǒng)相關(guān)的工程驗(yàn)收時(shí)，對(duì)信息安全方面的驗(yàn)收測(cè)試方案進(jìn)行審查并參與驗(yàn)收。第七條安全管理員的職責(zé)：負(fù)責(zé)信息安全相關(guān)工作的具體實(shí)施和有關(guān)信息安全問(wèn)題的處理。根據(jù)信息安全需求，定期提出信息安全整改意見并進(jìn)行上報(bào)。根據(jù)信息安全事件的處理情況和信息安全檢測(cè)的結(jié)果，協(xié)調(diào)組織編制信息安全狀況相關(guān)報(bào)告。協(xié)調(diào)組織系統(tǒng)安全檢查，并根據(jù)檢查結(jié)果進(jìn)行改善。指導(dǎo)和監(jiān)督相關(guān)系統(tǒng)管理及普通用戶的與安全相關(guān)的工作。第八條網(wǎng)絡(luò)管理員的職責(zé)：負(fù)責(zé)維護(hù)本單位網(wǎng)絡(luò)主干通信設(shè)備，保證網(wǎng)絡(luò)通信暢通。進(jìn)行網(wǎng)絡(luò)的集中實(shí)時(shí)監(jiān)控；對(duì)網(wǎng)絡(luò)的連通性進(jìn)行檢測(cè)；對(duì)網(wǎng)絡(luò)傳輸質(zhì)量進(jìn)行監(jiān)測(cè)；對(duì)路由器的路由表進(jìn)行監(jiān)控和檢查。獨(dú)自或協(xié)同維護(hù)商，對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置，修補(bǔ)已發(fā)現(xiàn)的漏洞。負(fù)責(zé)網(wǎng)絡(luò)管理規(guī)章制度的建立，幫助用戶解決使用網(wǎng)絡(luò)的疑難問(wèn)題。負(fù)責(zé)所管理網(wǎng)絡(luò)設(shè)備的用戶賬號(hào)管理，為不同的用戶建立相應(yīng)的賬號(hào)，根據(jù)對(duì)網(wǎng)絡(luò)設(shè)備安裝、配置、升級(jí)和管理的需要為用戶設(shè)置相應(yīng)的級(jí)別，并對(duì)各個(gè)級(jí)別用戶能夠使用的命令進(jìn)行限制。對(duì)網(wǎng)絡(luò)設(shè)備的用戶、口令的安全性進(jìn)行管理，參照相應(yīng)規(guī)定；對(duì)網(wǎng)絡(luò)設(shè)備登錄用戶進(jìn)行監(jiān)測(cè)和分析。在所管理網(wǎng)絡(luò)設(shè)備上發(fā)現(xiàn)可能與網(wǎng)絡(luò)安全有關(guān)的可疑現(xiàn)象時(shí)，及時(shí)向信息安全管理員通告，并協(xié)助信息安全管理員進(jìn)行問(wèn)題的診斷。對(duì)關(guān)鍵網(wǎng)絡(luò)配置文件實(shí)施備份操作。負(fù)責(zé)網(wǎng)絡(luò)安全和保密工作，密切關(guān)注計(jì)算機(jī)病毒發(fā)展動(dòng)態(tài)，提出切實(shí)可行的預(yù)防措施，謹(jǐn)防外帶存儲(chǔ)器和網(wǎng)絡(luò)病毒侵襲；對(duì)服務(wù)器進(jìn)行定期查毒殺毒，對(duì)系統(tǒng)漏洞打安全補(bǔ)丁，采取有效措施防止網(wǎng)絡(luò)破壞和攻擊。第九條系統(tǒng)管理員的職責(zé)：協(xié)同維護(hù)商對(duì)操作系統(tǒng)依據(jù)相關(guān)安全規(guī)范進(jìn)行安全配置，修補(bǔ)已發(fā)現(xiàn)的漏洞。所有由操作系統(tǒng)廠商推薦的安全補(bǔ)丁，在確保不影響系統(tǒng)運(yùn)行后要及時(shí)安裝。負(fù)責(zé)所管理主機(jī)系統(tǒng)的用戶賬號(hào)管理，對(duì)系統(tǒng)中所有的用戶(包括超級(jí)權(quán)限用戶和普通用戶)進(jìn)行登記；對(duì)操作系統(tǒng)的用戶、口令的安全性進(jìn)行管理。監(jiān)控系統(tǒng)運(yùn)行狀況，對(duì)發(fā)現(xiàn)異常和故障情況及時(shí)上報(bào)。在所管理主機(jī)系統(tǒng)上發(fā)現(xiàn)可能與網(wǎng)絡(luò)安全有關(guān)的可疑現(xiàn)象時(shí)，及時(shí)向信息安全管理員報(bào)告，并協(xié)助信息安全管理員進(jìn)行問(wèn)題的診斷。第十條開發(fā)管理員的職責(zé)：配合安全管理部門制訂安全開發(fā)操作流程，并認(rèn)真執(zhí)行。在需求分析與設(shè)計(jì)階段要充分考慮安全需求，包括認(rèn)證、用戶權(quán)限控制、操作審計(jì)、加密等技術(shù)措施。在編碼階段，負(fù)責(zé)安全代碼的規(guī)范編寫；對(duì)外包開發(fā)軟件的源代碼進(jìn)行安全檢測(cè)。負(fù)責(zé)與所屬外包人員簽署保密協(xié)議，并定期檢查外包人員的工作情況。第十一條資產(chǎn)管理員的職責(zé)：第十一條負(fù)責(zé)信息系統(tǒng)資產(chǎn)庫(kù)的維護(hù)；負(fù)責(zé)信息系統(tǒng)設(shè)備出入庫(kù)、維修等管理；負(fù)責(zé)信息系統(tǒng)存儲(chǔ)介質(zhì)的管理。第十二條數(shù)據(jù)管理員的職責(zé):1)負(fù)責(zé)應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)的正常穩(wěn)定運(yùn)行；2)負(fù)責(zé)數(shù)據(jù)備份策略的制定和數(shù)據(jù)備份的檢查。第十三條信息安全工作小組需要定期向信息安全領(lǐng)導(dǎo)小組反映信息安全管理體系的運(yùn)作情況。第十四條信息安全領(lǐng)導(dǎo)小組審閱信息安全工作小組提交的報(bào)告，針對(duì)信息安全管理體系運(yùn)作的情況以及可能出現(xiàn)的問(wèn)題，進(jìn)行討論并做出決策第十五條信息安全工作小組根據(jù)信息安全領(lǐng)導(dǎo)小組決策的結(jié)果，進(jìn)行具體的實(shí)施計(jì)劃工作