ISO27001信息安全组织机构与部门职能分配表

ISO27001ISO27001XXX202012董事会总经理市场总监开发总监市场部实施部拓展部开发部测试部行政部表A.4信息安全职责说明序号序号单位/部门1)2)3)4)1会5)6)7)8)信息安全职责负责公司的整体信息安全治理工作，负责公司信息资产的安全；负责制定和实施与信息安全相关的奖惩措施和安全绩效考核体系；评审与监督重大信息安全事故的处理；对内部评审整改意见负最终责任。信息安全工作2小组

工作，协助在信息安全事务上的决策；措施的实施；记录，并向信息安全治理委员会汇报；协助行政部对职员进行信息安全意识教育和安全技能培训；信息安全进行有效治理；关联公司、外部安全治理主管机构之间的定期联系和沟通机制；负责对ISMS的问题提出内部审核建议；负责对ISMS计或专项审计；行确认；方法)，定期总结安全事件记录报告；ISMS任命治理者代表，明确治理者代表的职责和权限；确保在内部传达满足客户和法律法规的重要性；为信息安全治理体系配备必要的资源；总经理 4)主持治理评审；负责公司信息安全治理和企业治理的打算、组织、和谐、监督、控制和考核工作。遵守公司信息安全的相关规定以及本岗位相关的保密要求治理者代表

负责建立、实施、保持和改进信息安全治理体系，保证信息安全体系的有效运行；负责公司信息安全治理手册的审核，程序文件的批准，组织并领导公司内部审核工作；负责向总经理报告信息安全体系运行的业绩和任何改进的需求；负责就信息安全治理体系有关事宜的对外联络。遵守公司信息安全的相关规定以及本岗位相关的保密要求56内部职员信息安全员

部门的信息安全主管领导由本部门部门长担任；负责协助信息安全工作小组建立本部门信息安全治理制度和流程；负责采取有效方法，落实和推动信息安全政策的实施；负责指导和要求本部门职员遵守信息安全政策；对违反安全政策的行为进行内部处罚；要求的各项活动；负责按照ISMS负责依照ISMS爱护信息资产的安全，并确保已建立的安全操纵措施连续有效；政策的行为，协助对违反安全政策的行为进行调查；的信息安全政策，并签字承诺遵守保密协议的有关规定；以安全负责的方式使用公司的信息资产；积极参加信息安全教育与培训，提高信息安全意识；治理员及其他相关人员负责治理本部门信息资产识别表。分类。定期向部门信息安全工作小组反馈部门信息资产识别表负责本公司治理体系文件的操纵；负责储存内部审核和治理评审的有关记录；负责监控信息安全治理体系的日常运行负责公司物理安全的治理；行政部 5)负责公司水电空调物业等的治理；本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的保密要求负责人力资源治理工作，确保人员的信息安全；要求。1)1)2)10实施部负责公司运算机及网络设备的治理和爱护；的更新和升级提出建议并予以实施；负责公司网站的治理、爱护和内容更新。负责公司IT负责公司信息安全内部审核的治理。负责公司应用系统软件的治理和爱护。要求表2信息安全体系要求与部门职能分配表ISO27001条文要求

总经理

治理者代表

行政 实部 部

开发部

信息安全工作小组信息安全治理体系◆△◆△○○ ○◆△○○ ○◆○○ ○◆○○ ○◆○○ ○◆○○ ○◆◆◆○○○○ ○○ ○○ ○△○○○ ○△○○○ ○○◆△○ ○◆○○ ○建立并治理ISMS ○建立ISMS △实施和运行ISMS △监视和评审ISMS △保持和改进ISMS △文件要求总那么 △文件操纵 △记录操纵 △治理职责治理者承诺 ○资源治理资源提供 ○培训、意识和能力 ○ISMS内部审核 △ISMS7.17.27.388.18.28.3

总那么评审输入评审输出ISMS改进

△ ○ ○ ○ ○△ ○ ○ ○ ○△ ○ ○ ○ ○○ ○ ○ △○ ○ ○ △○ ○ ○ △安全方针信息安全方针△○ ○ ○信息安全组织内部组织安全方针信息安全方针△○ ○ ○信息安全组织内部组织△○ ○ ○外部相关方资产治理△○ ○ ○○A.5.1A.6○A.6.1A.6.2 ○A.7A.7.1A.7.2

资产责任信息分类

○ △ △ △ ○○ ○ ○ △A.8人力资源安全A.8.1聘用前◆○△△△○A.8.2A.9聘用期间物理和环境安全○ △ ○ ○ ○A.9.1安全区域△ ○ ○A.9.2设备安全○ △ △ ○A.10通信和操作治理A.10.1操作程序和职责○ △ △ ○A.10.2第三方服务交付治理△○ △ ○A.10.3系统策划与接收○ △ △ ○A.10.4防范恶意和可移动代码○ △ ○ ○A.10.5备份○△△△A.10.6A.10.7A.10.8

介质的处理信息交换

○ △ △ ○○ △ ○ ○○ △ ○ ○A.10.9

电子商务服务〔只包括A.10.9.3公共信息〕A.10.10监控A.10.10监控○ ○A.11访问操纵A.11.1访问操纵的业务要求○ ○A.11.2用户访问治理○ ○A.11.3用户责任○ ○A.11.4网络访问操纵○ ○A.11.5操作系统访问操纵○ ○A.11.6应用程序及信息访问操纵○ ○A.11.7移动PC运算和远程工作○ ○ ○A.12信息系统猎取开发和爱护△ △△ △△ △△ △△ △△ △△ △A.12.1A.12.2A.12.3

信息系统的安全需求应用程序的正确处理加密操纵

△○ ○ ○△○ ○ ○○ ○ ○ △系统文件安全 ○ ○ ○ △开发和支持过程的安全 ○ ○ ○ △A.13A.13.1A.13.2

技术薄弱点治理报告信息安全情况和薄弱点信息安全事件和改进治理

○ ○ ○ △△○ ○ ○ ○△○ ○ ○ ○A.14A.14.1A.15A.15.1A.15.2

业务连续性治理业务连续性治理中的信息 △○ ○ ○ ○安全事项符合性符合法律要求 ◆ ○ △ ○ ○符合安全方针和标准以及 ◆ △ ○○技术符合A.15.3

信息系统审核相关事宜

○ △ ○○*注：领导职责以〝◆〞表示；负责部门以〝△〞表示；相关部门以〝○〞表示。表A.3信息安全组织机构图表A.3信息安全组织机构图XX新点信息安全组织结构图制表日期