信息安全組織及崗責

信息安全組織及崗責（V1.0）PAGE12/12頁目錄TOC\o"1-2"\h\z\u目的 3范圍 3安全策略要求 3信息安全管理組織 3安全職責分配 4目的本規(guī)范規(guī)定了信息安全組織及崗責。范圍本規(guī)范適用于相關職能部門。安全策略要求信息安全管理組織建立專門的信息安全領導小組和安全工作組。工作規(guī)劃的制定與實施，承擔如下職責：(一)在系統(tǒng)網(wǎng)絡與信息安全總體方針的指導下，負責組織制定本單位信息系統(tǒng)安全策略并審批；(二)負責組織細化上級規(guī)章制度，制定相應程序指南，并監(jiān)督落實規(guī)章制度；(三)負責信息系統(tǒng)安全管理層人員權限授予工作；(四)負責審閱信息安全工作報告；負責重大安全事故查處與匯報工作。信息安全工作組從事具體的安全工作，建立和維持信息安全管理體系，在系統(tǒng)內(nèi)部開展和控制信息安全的管理實施，并承擔如下職責：(一)調(diào)整并制定所有必要的信息安全管理規(guī)程、制度以及實施指南等；(二)配合執(zhí)行信息安全相關的實施方法和程序，如風險評估、資產(chǎn)分級分類方法等；(三)主動采取部門內(nèi)的信息安全措施，如安全意識培訓及教育等；(四)審批信息化建設項目規(guī)劃及設計的安全部分，并監(jiān)督其實施落實；(五)審查信息安全策略的遵循性；(六)審查、監(jiān)控、協(xié)調(diào)信息安全相關事件的評估和響應；(七)輔助領導機構進行安全方面的決策；(八)根據(jù)信息安全管理體系的要求，定期向上級主管領導和信息安全領導小組報告。安全職責分配（一）安全管理員職責：1規(guī)則，負責跟蹤安全產(chǎn)品投產(chǎn)后的使用情況；2、負責指導并監(jiān)督系統(tǒng)管理員（包括主機系統(tǒng)管理員、網(wǎng)絡管理員、數(shù)據(jù)庫管理員和應用管理員等）及普通用戶與安全相關的工作；3成安全評估報告；4安全管理部門主管；5策，通知并指導系統(tǒng)管理員進行安全防范；6、負責組織審議安全方案、安全審計報告、應急計劃以及整體安全管理制度；7、負責參與安全事故調(diào)查。技能要求：1、具備一定的溝通與協(xié)調(diào)能力，熟悉單位內(nèi)部各項工作流程。2、具備從事檢查準備工作的能力、進行現(xiàn)場審核的能力、編寫檢查文件、報告的能力和跟蹤驗證與監(jiān)督檢查的能力。（二）安全審計員職責：1、負責指導并監(jiān)督系統(tǒng)管理員（包括主機系統(tǒng)管理員、網(wǎng)絡管理員、數(shù)據(jù)庫管理員和應用管理員等）及普通用戶與安全相關的工作；2、負責定期對主機系統(tǒng)、網(wǎng)絡產(chǎn)品、應用系統(tǒng)的日志文件進行分析審計，發(fā)現(xiàn)問題及時上報；3、負責組織信息系統(tǒng)的安全風險評估工作，并定期進行系統(tǒng)漏洞掃描，形成安全評估報告；4、根據(jù)本單位的信息安全需求，定期提出本單位的信息安全改進意見，并上報信息安全管理部門主管；5、定期查看信息安全站點的安全公告，跟蹤和研究各種信息安全漏洞和攻策，通知并指導系統(tǒng)管理員進行安全防范；6、負責組織審議安全方案、安全審計報告、應急計劃以及整體安全管理制度；7、負責參與安全事故調(diào)查。技能要求：1、系統(tǒng)相關知識，包括計算機軟、硬件系統(tǒng)的構成及工作原理，操作系統(tǒng)及常用軟件的安裝、使用及維護等。2Access、SqlServerdb2、Oracle等數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)操作及不同數(shù)據(jù)庫之間數(shù)據(jù)的相互轉(zhuǎn)換。3、計算機網(wǎng)絡相關知識。包括數(shù)據(jù)交換技術、TCP/IP協(xié)議、常見網(wǎng)絡互聯(lián)設備的使用、網(wǎng)絡連接與配置等。4、計算機語言相關知識。（三）主機系統(tǒng)管理員職責：1、負責主機操作系統(tǒng)的安全配置（包括及時修補系統(tǒng)漏洞）和日常審計，系統(tǒng)應用軟件的安裝，從系統(tǒng)層面實現(xiàn)對用戶與資源的訪問控制；2、協(xié)助安全管理員制定主機操作系統(tǒng)的安全配置規(guī)則，并落實執(zhí)行；3、負責主機設備的日常管理與維護，保持系統(tǒng)處于良好的運行狀態(tài)；4、為安全審計員提供完整、準確的主機系統(tǒng)運行活動的日志記錄；5、在主機系統(tǒng)異常或故障發(fā)生時，詳細記載發(fā)生異常時的現(xiàn)象、時間和處理方式，并及時上報；6、編制主機設備的維修、報損、報廢計劃，報主管領導審核。技能要求：1、在網(wǎng)絡操作系統(tǒng)、網(wǎng)絡數(shù)據(jù)庫、網(wǎng)絡設備、網(wǎng)絡管理、網(wǎng)絡安全、應用系統(tǒng)等的規(guī)劃建設及運行維護工作。（四）網(wǎng)絡管理員職責：1、負責網(wǎng)絡的部署以及網(wǎng)絡產(chǎn)品、網(wǎng)絡安全產(chǎn)品的配置、管理與監(jiān)控，并對關鍵網(wǎng)絡配置文件進行備份，及時修補網(wǎng)絡設備的漏洞；2、協(xié)助安全管理員制定網(wǎng)絡設備安全配置規(guī)則，并落實執(zhí)行；3、為安全審計員提供完整、準確地記錄重要網(wǎng)絡設備和網(wǎng)站運行活動的運行日志；4、在網(wǎng)絡及設備異?；蚬收习l(fā)生時，詳細記載發(fā)生異常時的現(xiàn)象、時間和處理方式，并及時上報；5、編制網(wǎng)絡設備的維修、報損、報廢等計劃，報主管領導審核。技能要求：1、了解網(wǎng)絡設計的局域網(wǎng)絡和廣域網(wǎng)絡，為中小型網(wǎng)絡提供完全的解決方案。2、掌握網(wǎng)絡施工掌握充分的網(wǎng)絡基本知識，深入了解TCP/IP網(wǎng)絡協(xié)議，獨立完成路由器、交換機等網(wǎng)絡設備的安裝、連接、配置和操作，搭建多層交換的企業(yè)網(wǎng)絡，實現(xiàn)網(wǎng)絡互聯(lián)和Internet連接。掌握網(wǎng)絡軟件工具的使用，迅速診斷、定位和排除網(wǎng)絡故障，正確使用、保養(yǎng)和維護硬件設備。3、熟悉網(wǎng)絡安全Internet者甚至心懷不滿的員工對信息安全、信息完整性以及日常業(yè)務操作的威脅。4、熟悉網(wǎng)絡操作系統(tǒng)WindowsLinuxWindowsLinux為企業(yè)提供成功的設計、實施和管理商業(yè)解決方案的能力。5、了解Web數(shù)據(jù)庫了解Web數(shù)據(jù)庫的基本原理，能夠圍繞Web數(shù)據(jù)庫系統(tǒng)開展實施與管理工作，實現(xiàn)對企業(yè)數(shù)據(jù)的綜合應用。（五）數(shù)據(jù)庫管理員職責：1、對數(shù)據(jù)庫系統(tǒng)進行安全配置，修補已發(fā)現(xiàn)的漏洞；2、負責數(shù)據(jù)庫系統(tǒng)的用戶賬號管理，對系統(tǒng)中所有的用戶進行登記備案；和分析；3、負責業(yè)務數(shù)據(jù)及系統(tǒng)其它重要數(shù)據(jù)的備份與備份數(shù)據(jù)管理工作；4、為安全審計員提供完整、準確的數(shù)據(jù)庫系統(tǒng)運行活動的日志記錄，詳細記載發(fā)生異常時的現(xiàn)象、時間和處理方式，并及時上報；5、在發(fā)生安全問題導致數(shù)據(jù)損壞或丟失時，進行數(shù)據(jù)的恢復；6、根據(jù)業(yè)務發(fā)展的需求，提交數(shù)據(jù)存儲介質(zhì)購買或存儲系統(tǒng)擴容計劃。技能要求：1、理解數(shù)據(jù)備份/恢復與災難恢復2、工具集的使用3、知道如何快速尋找答案4、知道如何監(jiān)控和優(yōu)化數(shù)據(jù)庫性能5、研究新版本6、理解代碼最佳實踐方法7、數(shù)據(jù)庫安全性8、數(shù)據(jù)庫設計9、索引設計10、容量監(jiān)控與規(guī)劃11、數(shù)據(jù)庫許可證12、盡可能實現(xiàn)自動化（六）職責：1的漏洞；2、對業(yè)務應用系統(tǒng)的用戶、口令的安全性進行管理；對業(yè)務應用系統(tǒng)的登錄用戶進行監(jiān)測和分析；3、負責提出數(shù)據(jù)的備份要求，制定數(shù)據(jù)備份策略，督促數(shù)據(jù)庫管理員按照備份方案按時完成，并恢復所需數(shù)據(jù)；4、實施系統(tǒng)軟件版本管理，應用軟件備份和恢復管理。技能要求：1、對系統(tǒng)架構具有一定的了解。2、熟悉編程語言。（七）病毒防護員職責：1、協(xié)助安全管理員制定病毒防范操作規(guī)程；2、負責執(zhí)行和監(jiān)督整個系統(tǒng)全面的殺毒工作；3、定時升級網(wǎng)絡殺毒軟件的病毒庫，監(jiān)督個人殺毒軟件的升級工作；4、實時監(jiān)控重要業(yè)務系統(tǒng)和數(shù)據(jù)的安全，杜絕非法開放的病毒入侵途徑，降低病毒侵害的影響；5病毒的有效解決方案。技能要求：1、精通各類防火墻以及防病毒軟件的使用。2、具備對各類病毒的分析能力。（八）資產(chǎn)管理員職責：1、負責信息技術部門全部資產(chǎn)的采購、登記、分發(fā)、回收、廢棄等管理。技能要求：1、能夠識別會給資產(chǎn)安全、完整和使用效率帶來威脅的事項2、能夠識別提高資產(chǎn)使用效率方面的機會312的風險和機會4、能夠?qū)ふ掖胧獙ι鲜鲲L險和機會5、能夠建立相應的信息反饋機制和溝通機制6、懂得實施資產(chǎn)方面的檢查監(jiān)督7、懂得改善資產(chǎn)管理的內(nèi)部環(huán)境8、懂得設置資產(chǎn)管理的相關目標，并分解落實（九）機房管理員職責：1、負責制定和執(zhí)行適當?shù)奈锢戆踩刂疲?、主要負責非技術性的、常規(guī)的安全工作，如信息處理場地的保衛(wèi)，辦公室安全，驗證出人信息中心的手續(xù)和多項規(guī)章制度的落實。技能要求：1、熟悉機房建設規(guī)范。2溫濕度控制、電力供應、電磁防護等產(chǎn)品及工作機制。3、熟悉日常運維管理流程和