信息安全组织及岗责.pdfVIP

信息安全组织及岗责 （V1.0） 目录 1. 目的3 2. 范围3 3. 安全策略要求 3 3.1. 信息安全管理组织 3 3.2. 安全职责分配 4 第 2页 /共12页 1. 目的 本规范规定了信息安全组织及岗责。 2. 范围 本规范适用于相关职能部门。 3. 安全策略要求 3.1.信息安全管理组织 建立专门的信息安全领导小组和安全工作组。 信息安全领导小组负责领导落实系统安全建设的总体规划，制定并监督安全 工作规划的制定与实施，承担如下职责： (一) 在系统网络与信息安全总体方针的指导下，负责组织制定本单位信 息系统安全策略并审批； (二) 负责组织细化上级规章制度，制定相应程序指南，并监督落实规章 制度； (三) 负责信息系统安全管理层人员权限授予工作； (四) 负责审阅信息安全工作报告；负责重大安全事故查处与汇报工作。 信息安全工作组从事具体的安全工作，建立和维持信息安全管理体系，在系 统内部开展和控制信息安全的管理实施，并承担如下职责： (一) 调整并制定所有必要的信息安全管理规程、制度以及实施指南等； (二) 配合执行信息安全相关的实施方法和程序，如风险评估、资产分级 分类方法等； (三) 主动采取部门内的信息安全措施，如安全意识培训及教育等； (四) 审批信息化建设项目规划及设计的安全部分，并监督其实施落实； (五) 审查信息安全策略的遵循性； 第 3页 /共12页 (六) 审查、监控、协调信息安全相关事件的评估和响应； (七) 辅助领导机构进行安全方面的决策； (八) 根据信息安全管理体系的要求，定期向上级主管领导和信息安全领 导小组报告。 3.2.安全职责分配 网络与信息安全责任分配的基本原则是“谁主管、谁负责；谁运维、谁负责； 谁使用、谁负责”，设置以下安全相关岗位： （一）安全管理员 职责： 1、负责对安全产品购置提供建议，负责组织制定各种安全产品策略与配置 规则，负责跟踪安全产品投产后的使用情况； 2、负责指导并监督系统管理员（包括主机系统管理员、网络管理员、数据 库管理员和应用管理员等）及普通用户与安全相关的工作； 3、负责组织信息系统的安全风险评估工作，并定期进行系统漏洞扫描，形 成安全评估报告； 4、根据本单位的信息安全需求，定期提出信息安全改进意见，并上报信息 安全管理部门主管； 5、定期查看信息安全站点的安全公告，跟踪和研究各种信息安全漏洞和攻 击手段，在发现可能影响信息安全的安全漏洞和攻击手段时，及时做出相应的对 策，通知并指导系统管理员进行安全防范； 6、负责组织审议安全方案、安全审计报告、应急计划以及整体安全管理制 度； 7、负责参与安全事故调查。 技能要求： 1、具备一定的沟通与协调能力，熟悉单位内部各项工作流程。 2、具备从事检查准备工作的能力、进行现场审核的能力、编写检查文件、 报告的能力和跟踪验证与监督检查的能力。 第 4 页 /共12页 （二）安全审计员 职责： 1、负责指导并监督系统管理员（包括主机系统管理员、网络管理员、数据 库管理员和应用管理员等）及普通用户与安全相关的工作； 2、负责定期对主机系统、网络产品、应用系统的日志文件进行分析审计， 发现问题及时上报； 3、负责组织信息系统的安全风险评估工作，并定期进行系统漏洞扫描，形 成安全评估报告； 4、根据本单位的信息安全需求，定期提出本单位的信息安全改进意见，并 上报信息安全管理部门主管； 5、定期查看信息安全站点的安全公告，跟踪和研究各种信息安全漏洞和攻 击手段，在发现可能影响信息安全的安全漏洞和攻击手段时，及时做出相应的对 策，通