信息安全组织及岗位职责管理制度

1、信息平安组织及岗位责任治理制度二零一八年八月版本限制版本修改时间修改内容修改人员审核人员专业资料第一章总那么第一条为增强公司等级保护保证工作的组织协调,建立健全等级保护治理制度和运行机制,切实提升公司等级保护保证工作水平,全面提升信息系统信息平安治理水平,根据?国家信息化领导小组关于增强信息平安保证工作的意见?、?GB/T22239-2021信息平安等级保护根本要求?等政策要求,特制定本制度.第二条本规定依照信息平安治理的主要领导负责原那么、全员参与原那么、依法治理原那么、分权和授权原那么和体系化治理原那么编制,具体原那么为：一主要领导负责原那么：保证公司主要领导参与并确立组织统一的信息系统信

2、息平安保证宗旨和政策,组织有效的平安保证队伍,调动并优化配置必要的资源,协调平安治理工作与各部门工作的关系,并保证其落实、有效；二全员参与原那么：信息系统所有相关人员普遍参与信息系统的平安治理,并与相关方面协同、协调,共同保证信息系统的平安；三依法治理原那么：信息系统信息平安治理工作应保证治理主体合法、治理行为合法、治理内容合法、治理程序合法；四分权和授权原那么：对特定职能或责任领域的治理功能实施别离、独立审计等实行分权,防止权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的时机.任何实体如用户、治理员、进程、应用或系统仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限.五

3、体系化治理原那么：信息系统应符合信息平安相关政策的体系化治理目标和要求.第三条本规定适用于公司.第二章组织目标第四条本制度旨在实现信息平安治理组织的以下目标：一治理组织内的信息系统平安保护工作；二治理外部组织访问组织内信息处理设施和信息资产的安全.第三章平安治理组织架构第五条为增强对公司信息平安治理工作的领导,贯彻落实监管部门的信息平安保护要求,经研究决定成立公司信息平安治理委员会.第六条信息平安治理委员会为公司信息平安工作的最高治理机构.第七条由公司副总经理担任信息平安治理委员会主席,成员包括：一生产技术部主管领导；二各部门主管领导.第八条生产技术部是信息平安治理工作的执行机构,负责执行信息

4、平安治理委员会交办的各项工作,由生产技术部总经理担任负责人,成员包括：一生产技术部；二系统开发部；三运营维护部.第九条生产技术部应设立信息平安治理岗位,分别为平安治理员、平安审计员、网络治理员、系统治理员、数据库治理员、应用管理员,负责执行网络、系统、数据库和应用的平安治理和运维工作.第四章信息平安组织责任第十条信息平安治理委员会负责领导信息系统平安工作,组织责任为：一根据国家和行业有关信息平安的政策、法律和法规,确定信息平安工作的总体方向、总体原那么和平安工作方法；二根据国家和行业有关信息平安的政策、法律和法规,批准信息系统的平安策略和开展规划；三确定各有关部门在信息系统平安工作中的责任,领

5、导平安工作的实施；四监督平安举措的执行,并对重要平安事件的处理进行决策；五指导和检查信息平安职能部门的各项工作；六建设和完善信息系统平安组织体系和治理机制.第十一条生产技术部负责贯彻、落实和执行信息平安治理委员会下达的各项工作,组织责任为：一贯彻、落实和解释国家及行业有关信息平安的政策、法律、法规和信息平安工作要求,起草信息系统的平安策略和开展规划；二落实和执行信息系统信息平安工作的日常事务,对具体落实情况进行总结和汇报；三负责平安举措的实施或组织实施,组织并参加信息平安重要事件的处理；四负责内、外部组织和机构的信息平安沟通、协调和合作工作；五组织编制和落实信息平安规划工作；六指导和检查运维单

6、位对信息系统平安工作落实情况；七监控信息系统平安总体状况,提出平安分析报告；八协同有关部门共同组成应急处理小组,组织处理信息平安应急响应工作；九负责组织信息系统平安知识的培训和宣传工作.第十二条系统开发部负责信息系统建设开发相关工作,组织责任为：一负责信息系统开发过程中的工程治理工作；二负责信息系统运行维护过程中软件版本升级、功能定制等方面的开发工作；三配合生产技术部完成信息系统建设规划、方案设计及编写工作；四配合生产技术部完成公司治理层安排的其他相关技术工作.第十三条运营维护部负责信息系统运行维护的相关工作,组织责任为:一负责信息系统上线后的运行维护工作,具体为机房治理、根底设施日常巡检、应

7、用系统监控等；二负责定期维护机房环境设施及重要信息系统设备等；三负责提出应用系统非功能性需求；四负责定期分析信息系统运行过程中的日志、周报、月报,并定期汇总上报治理层；五负责协调并组织应对信息系统运行过程中的突发事件；六配合生产技术部完成其他信息科技方面的相关工作.第五章信息平安岗位责任第十四条应建立信息平安岗位,明确信息平安岗位责任.第十五条工程方案岗位责任为：起草和编制信息系统信息安全总体规划以及方案方案,收集信息系统平安需求.第十六条工程治理岗位责任为：一负责信息系统工程实施的组织、协调和验收工作；二负责工程合同的治理及监督.第十七条运行维护岗位责任为：一起草和编制信息系统信息平安方针、

8、信息平安保证体系框架和信息平安策略、制度和技术标准；二推动信息系统信息平安方针、信息平安策略、信息平安管理制度及信息平安技术标准的实施落实.第十八条设备资源治理岗位责任为：负责信息系统设备的管理,包括设备的报废等.第十九条平安治理员的岗位责任为：一定期组织信息系统漏洞扫描和信息平安风险评估工作,形成信息系统和整体平安现状报告,并向信息平安治理委员会进行汇报；二负责制定信息系统总体网络访问限制策略和规那么,并对其进行监控和审计工作,定期发布策略执行情况；三对网络、系统、应用、数据库治理员进行平安指导；四定期收集信息平安漏洞和公告信息,告知相关平安运维管理人员；五协调信息平安应急响应组织和技术支撑

9、单位.第二十条平安审计员的岗位责任为：一定期审计信息系统信息平安策略执行情况,收集信息系统日志和审计记录,并提供审计报告；二对平安、网络、系统、应用、数据库治理员的操作行为进行监督,平安责任落实情况进行检查；第二十一条系统治理员的平安责任为：一根据信息系统平安策略定期对系统进行自评估；二依照平安策略对系统进行平安配置和漏洞修补,保证平安补丁保持2个月内最新补丁；三对系统进行日常平安运维治理,定期更改系统账号,并定期提交平安运行维护记录或报告；四在发生系统异常和平安事件时,应能对系统进行应急处置.第二十二条网络治理员的平安责任为：一根据信息系统平安策略定期对网络设备、网络架构进行自评估；二依照平

10、安策略对网络设备进行平安配置和漏洞修补；三对网络设备、平安设备进行日常平安运维治理,并定期提交平安运行维护记录或报告；四在发生系统异常和平安事件时,应能对网络设备、平安设备进行应急处置.第六章信息平安岗位要求第二十三条生产技术部应设立专职的信息平安治理岗位,并由专人负责,根据信息平安治理的实际工作情况,人员编制1人.第二十四条各部门应设立专职的平安治理员.第二十五条关键事务岗位应配备多人共同治理,定期轮岗,关键岗位人员配备坚持“权限分散、不得交叉覆盖的原那么,平安治理员和平安审计员不能由一人身兼.第二十六条各部门应根据岗位责任,确定岗位所需要的平安技能,并对所有信息平安岗位人员进行对应的平安技能培训.第二十七条信息系统的平安技术岗位可由其他相关治理员兼任,其中网络平安治理、系统平安治理、数据库平安治理以及应用安全治理工作可分别由网络治理员、系统治理员、数据库治理员以及应用治理员