信息安全组织及岗责.docxVIP

XXXX集团 信息安全组织及岗责 版本：1.0 XXXX信息技术部门 第一章 总则 为了规范XXXX集团在信息安全组织的管理中可以更加完善的进行定岗定责，可以参考相关岗位进行划分，特制订本制度。 本制度适用于XXXX集团的相关职能部门和集团内部人员。 第二章 信息安全管理组织 XXXX集团信息安全领导小组负责领导落实集团系统安全建设的总体规划，制定集团及各二级单位安全工作规划，承担如下职责： （一）在集团网络与信息安全总体方针的指导下，负责组织制定集团的信息系统安全策略并审批各二级单位上报的信息系统安全策略； （二）负责组织细化上级规章制度，制定相应程序指南，并监督落实规章制度； （三）负责集团信息系统安全管理层人员权限授予工作； （四）负责审阅集团及各二级单位信息安全工作报告；负责重大安全事故查处工作。 XXXX集团信息安全工作组从事具体的安全工作，建立和维持信息安全管理体系，在集团内部开展和控制信息安全的管理实施，并承担如下职责： （一）调整并制定所有必要的信息安全管理规程、制度以及实施指南等； （二）配合执行信息安全相关的实施方法和程序，如风险评估、资产分级分类方法等； （三）主动采取部门内的信息安全措施，如安全意识培训及教育等； （四）审批信息化建设项目规划及设计的安全部分，并监督其实施落实； （五）审查信息安全策略的遵循性； （六）审查、监控、协调信息安全相关事件的评估和响应； （七）辅助领导机构进行安全方面的决策； （八）根据信息安全管理体系的要求，定期向集团上级主管领导和信息安全领导小组报告。 第三章 安全职责分配 XXXX集团网络与信息安全责任分配的基本原则是“谁主管、谁负责；谁运维、谁负责；谁使用、谁负责”，设置以下安全相关岗位，并对关键岗位进行填写《关键岗位安全协议》； 安全管理员 （一）负责对安全产品购置提供建议，负责组织制定各种安全产品策略与配置规则，负责跟踪安全产品投产后的使用情况； （二）负责指导并监督系统管理员（包括主机系统管理员、网络管理员、数据库管理员和应用管理员等）及普通用户安全相关的工作； （三）负责组织信息系统的安全风险评估工作，并定期进行系统漏洞扫描，形成安全评估报告； （四）根据本单位的信息安全需求，定期提出信息安全改进意见，并上报信息安全管理部门主管； （五）定期查看信息安全站点的安全公告，跟踪和研究各种信息安全漏洞和攻击手段，在发现可能影响信息安全的安全漏洞和攻击手段时，及时做出相应的对策，通知并指导系统管理员进行安全防范； （六）负责组织审议安全方案、安全审计报告、应急计划以及整体安全管理制度； （七）负责参与安全事故调查。 安全审计员 （一）负责指导并监督系统管理员（包括主机系统管理员、网络管理员、数据库管理员和应用管理员等）及普通用户与安全相关的工作； （二）负责定期对主机系统、网络产品、应用系统的日志文件进行分析审计，发现问题及时上报； （三）负责组织信息系统的安全风险评估工作，并定期进行系统漏洞扫描，形成安全评估报告； （四）根据本单位的信息安全需求，定期提出本单位的信息安全改进意见，并上报信息安全管理部门主管； （五）定期查看信息安全站点的安全公告，跟踪和研究各种信息安全漏洞和攻击手段，在发现可能影响信息安全的安全漏洞和攻击手段时，及时做出相应的对策，通知并指导系统管理员进行安全防范； （六）负责组织审议安全方案、安全审计报告、应急计划以及整体安全管理制度； （七）负责参与安全事故调查。 主机系统管理员 （一）负责主机操作系统的安全配置（包括及时修补系统漏洞）和日常审计，系统应用软件的安装，从系统层面实现对用户与资源的访问控制； （二）协助安全管理员制定主机操作系统的安全配置规则，并落实执行； （三）负责主机设备的日常管理与维护，保持系统处于良好的运行状态； （四）为安全审计员提供完整、准确的主机系统运行活动的日志记录； （五）在主机系统异常或故障发生时，详细记载发生异常时的现象、时间和处理方式，并及时上报； （六）编制主机设备的维修、报损、报废计划，报主管领导审核。 网络管理员 （一）负责网络的部署以及网络产品、网络安全产品的配置、管理与监控，并对关键网络配置文件进行备份，及时修补网络设备的漏洞； （二）协助安全管理员制定网络设备安全配置规则，并落实执行； （三）为安全审计员提供完整、准确地记录重要网络设备和网站运行活动的运行日志； （四）在网络及设备异常或故障发生时，详细记载发生异常时的现象、时间和处理方式，并及时上报； （五）编制网络设备的维修、报损、报废等计划，报主管领导审核。 数据库管理员 （一）对数据库系统进行安全配置，修补已发现的漏洞； （二）负责数据库系统的用户账号管理，对系统中所有的用户进行登记备案；对数据库系统的用户、口令的安全性进行管理；