- 1、本文档共12页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档免费下载、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
信息安全组织及岗责
(V1.0)
目录
1. 目的3
2. 范围3
3. 安全策略要求 3
3.1. 信息安全管理组织 3
3.2. 安全职责分配 4
第 2页 /共12页
1. 目的
本规范规定了信息安全组织及岗责。
2. 范围
本规范适用于相关职能部门。
3. 安全策略要求
3.1.信息安全管理组织
建立专门的信息安全领导小组和安全工作组。
信息安全领导小组负责领导落实系统安全建设的总体规划,制定并监督安全
工作规划的制定与实施,承担如下职责:
(一) 在系统网络与信息安全总体方针的指导下,负责组织制定本单位信
息系统安全策略并审批;
(二) 负责组织细化上级规章制度,制定相应程序指南,并监督落实规章
制度;
(三) 负责信息系统安全管理层人员权限授予工作;
(四) 负责审阅信息安全工作报告;负责重大安全事故查处与汇报工作。
信息安全工作组从事具体的安全工作,建立和维持信息安全管理体系,在系
统内部开展和控制信息安全的管理实施,并承担如下职责:
(一) 调整并制定所有必要的信息安全管理规程、制度以及实施指南等;
(二) 配合执行信息安全相关的实施方法和程序,如风险评估、资产分级
分类方法等;
(三) 主动采取部门内的信息安全措施,如安全意识培训及教育等;
(四) 审批信息化建设项目规划及设计的安全部分,并监督其实施落实;
(五) 审查信息安全策略的遵循性;
第 3页 /共12页
(六) 审查、监控、协调信息安全相关事件的评估和响应;
(七) 辅助领导机构进行安全方面的决策;
(八) 根据信息安全管理体系的要求,定期向上级主管领导和信息安全领
导小组报告。
3.2.安全职责分配
网络与信息安全责任分配的基本原则是“谁主管、谁负责;谁运维、谁负责;
谁使用、谁负责”,设置以下安全相关岗位:
(一)安全管理员
职责:
1、负责对安全产品购置提供建议,负责组织制定各种安全产品策略与配置
规则,负责跟踪安全产品投产后的使用情况;
2、负责指导并监督系统管理员(包括主机系统管理员、网络管理员、数据
库管理员和应用管理员等)及普通用户与安全相关的工作;
3、负责组织信息系统的安全风险评估工作,并定期进行系统漏洞扫描,形
成安全评估报告;
4、根据本单位的信息安全需求,定期提出信息安全改进意见,并上报信息
安全管理部门主管;
5、定期查看信息安全站点的安全公告,跟踪和研究各种信息安全漏洞和攻
击手段,在发现可能影响信息安全的安全漏洞和攻击手段时,及时做出相应的对
策,通知并指导系统管理员进行安全防范;
6、负责组织审议安全方案、安全审计报告、应急计划以及整体安全管理制
度;
7、负责参与安全事故调查。
技能要求:
1、具备一定的沟通与协调能力,熟悉单位内部各项工作流程。
2、具备从事检查准备工作的能力、进行现场审核的能力、编写检查文件、
报告的能力和跟踪验证与监督检查的能力。
第 4 页 /共12页
(二)安全审计员
职责:
1、负责指导并监督系统管理员(包括主机系统管理员、网络管理员、数据
库管理员和应用管理员等)及普通用户与安全相关的工作;
2、负责定期对主机系统、网络产品、应用系统的日志文件进行分析审计,
发现问题及时上报;
3、负责组织信息系统的安全风险评估工作,并定期进行系统漏洞扫描,形
成安全评估报告;
4、根据本单位的信息安全需求,定期提出本单位的信息安全改进意见,并
上报信息安全管理部门主管;
5、定期查看信息安全站点的安全公告,跟踪和研究各种信息安全漏洞和攻
击手段,在发现可能影响信息安全的安全漏洞和攻击手段时,及时做出相应的对
策,通
文档评论(0)