壹.組織結構
1公司成立信息安全領導小組,是信息安全的最高決策機構,下設辦公室,負責信息安全領導小組的日常事務。
信息安全領導小組負責研究重大事項,落實政策,制定總體戰略。職責主要包括:根據國家和行業信息安全政策、法律法規,審批公司整體信息安全戰略規劃、管理規範和技術標準;確定公司信息安全各相關部門的職責,指導和監督信息安全工作。
信息安全領導小組下設兩個工作組:信息安全工作組和應急處理工作組。組長全部由公司領導擔任。
4信息安全工作組的主要職責包括:
(1)執行公司信息安全領導小組決議,協調和規範公司信息安全工作;
(2)根據信息安全領導小組的工作部署,具體安排和實施信息安全工作;
(三)組織審核重大信息安全工作制度和技術運行策略,制定整體信息安全戰略規劃,並監督實施;
(四)協調和監督各職能部門和相關單位的信息安全工作,參與信息系統工程建設中的安全規劃,監督安全措施的落實;
(五)組織信息安全檢查,分析信息安全總體形勢,提出安全風險分析報告和防範措施;
(6)負責接收各單位突發信息安全事件報告,組織事件調查,分析原因和範圍,評估安全事件的嚴重程度,提出信息安全事件的防範措施;
(7)及時向信息安全工作領導小組及上級相關部門和單位報告信息安全事件。(八)跟蹤先進信息安全技術,組織信息安全知識培訓和宣傳。
5應急處理工作組的主要職責包括:
(1)審批公司網絡與信息系統安全應急策略和應急預案;
(2)決定啟動相應的應急預案,負責現場指揮,組織相關人員排除故障,恢復系統;
(3)每年組織測試和演練信息安全應急策略和應急預案。
公司應指定主管信息的領導負責本單位的信息安全管理,並配備信息安全技術人員。有條件的應成立信息安全工作組或辦公室,負責公司信息安全領導小組和工作組,落實本單位的信息安全工作和應急處理工作。
二、關鍵崗位及職責
1設置信息系統關鍵崗位並加強管理,配備系統管理員、網絡管理員、應用開發管理員、安全審計員、安全管理員,要求五人獨立。關鍵崗位人員必須嚴格遵守保密法律法規和相關信息安全管理規定。
2系統管理員的主要職責是:
(1)負責系統運行管理,落實系統安全運行細則;
(2)嚴格的用戶權限管理,維護系統的安全正常運行;
(3)認真記錄系統安全事項,及時向信息安全人員報告安全事件;
(4)監督操作系統的其他人員的安全。
3網絡管理員的主要職責是:
(1)負責網絡的運行管理,落實網絡安全政策和安全運行細則;
(2)安全配置網絡參數,嚴格控制網絡用戶的訪問權限,維護網絡的安全正常運行;
(3)監控關鍵網絡設備、網絡端口和網絡物理線路,防止黑客入侵,及時向信息安全人員報告安全事件;
(4)監督其他操作網絡管理功能的人員的安全。
4應用程序開發管理員的主要職責是:
(1)負責在系統開發建設中嚴格執行系統安全政策,確保系統安全功能的準確實現;
(2)在系統投入運行之前,完全移交安全策略等與系統相關的信息;
(3)系統不設置“後門”;
(4)對系統核心技術保密。
5.安全審計員負責審計和監督涉及系統安全的事件和各種操作員的行為。其主要職能包括:
(1)通過操作員證書號審核;
(2)按操作時間審計;
(3)按作業類型審核;
(4)審計事件類型;
(5)日誌管理等。
6 .安全管理員負責日常安全管理活動,其主要職責是:
(1)監控全網運行和安全報警信息。
(2)網絡審計信息的常規分析
(3)安全設備的日常設置和維護
(4)執行應急中心制定的具體安全政策;(5)向應急管理機構和領導機構報告重大網絡安全事件。