信息系统安全管理组织架构

关于成立XXXXXXX局信息安全领导小组的通知局各处室、单位：为加强全局信息化安全管理工作，完善信息安全管理体系，建立规范的信息化安全管理机制，现我局依据国家信息系统安全等级保护相关要求，并结合我局实际情况成立“XXXXXXX局信息安全领导小组”，小组成员如下：组长：XXX副组长：XXX组员：XXXXXX XXX XXX XXXXXXXXX XXX XXX XXX现将《XXXXXXX局信息系统安全管理组织架构》印发给你们，请认真遵照执行。二OXX年XX月XX日主题词：信息系统安全架构等级保护通知XXXXXXX局20XX年XX月XX日印发XXXXXXX局信息系统安全管理组织架构第一条为了加强信息安全管理体系建设，有效及明确地界定体系内的组织结构及成员的职责和义务，确保信息安全管理体系能有效地推行，特制定本文件。第二条本文件适用于XXXXXXX局信息系统所有信息安全管理体系范围的部门和个人。第三条XXXXXXX局信息系统信息安全管理组织结构图如下：第四条信息安全领导小组的工作职责为：负责协调信息安全管理体系的推行、资源分配、重要决策并维持体系的运行，致力改善XXXXXXX局信息系统的安全管理流程，改进其应对安全事件和保持业务持续性的能力。直接参与信息安全管理、业务连续性计划改善的决策，以保护信息安全、保证业务可持续发展为主要目标，落实信息安全、业务连续性管理方案，贯彻信息安全策略，从而确保信息安全管理体系的有效推行。监督信息安全管理体系的运作，审核信息安全策略的有效性和实用性，审批安全改善计划，提供信息安全资源保障。负责整个信息安全管理体系的制定、运行及改善的评审工作。第五条信息安全工作小组的工作职责为：负责信息安全管理体系的具体建立、实施、维护及改善工作。对信息安全工作进行规划和执行，确保信息安全风险评估和管理工作能够落实。负责受理业务部门信息系统建设需求并提出安全保障方案。负责信息安全管理和技术控制的选型设计、方案评审、执行实施。负责信息安全策略、标准、流程和制度的编写、审核及推广，负责具体执行和落实各项策略要求和控制措施。负责按照信息系统既定程序来响应并处理信息安全事件。指定专人负责内部安全审核，实施独立审核，协助外部第二方/第三方审核，确保信息安全管理体系各项控制及组成部分按照策略要求运行良好，确保信息安全管理体系的完整性、符合性和有效性。建立与内部/外部专家、权威机构、合作单位之间的沟通渠道。第六条信息系统负责人的职责：应定期或不定期组织对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行修订。按照信息安全策略协调相关人员具体实施信息安全管理工作。负责向信息安全等级保护工作小组汇报我局信息安全现状及信息安全整改建议。负责组织维护和完善信息安全保障体系，并据此制定信息安全管理制度。参与我局信息系统建设的方案论证，并提出安全方面的相应建议。协调组织在我局信息系统相关的工程验收时，对信息安全方面的验收测试方案进行审查并参与验收。第七条安全管理员的职责：负责信息安全相关工作的具体实施和有关信息安全问题的处理。根据信息安全需求，定期提出信息安全整改意见并进行上报。根据信息安全事件的处理情况和信息安全检测的结果，协调组织编制信息安全状况相关报告。协调组织系统安全检查，并根据检查结果进行改善。指导和监督相关系统管理及普通用户的与安全相关的工作。第八条网络管理员的职责：负责维护本单位网络主干通信设备，保证网络通信畅通。进行网络的集中实时监控；对网络的连通性进行检测；对网络传输质量进行监测；对路由器的路由表进行监控和检查。独自或协同维护商，对网络设备进行安全配置，修补已发现的漏洞。负责网络管理规章制度的建立，帮助用户解决使用网络的疑难问题。负责所管理网络设备的用户账号管理，为不同的用户建立相应的账号，根据对网络设备安装、配置、升级和管理的需要为用户设置相应的级别，并对各个级别用户能够使用的命令进行限制。对网络设备的用户、口令的安全性进行管理，参照相应规定；对网络设备登录用户进行监测和分析。在所管理网络设备上发现可能与网络安全有关的可疑现象时，及时向信息安全管理员通告，并协助信息安全管理员进行问题的诊断。对关键网络配置文件实施备份操作。负责网络安全和保密工作，密切关注计算机病毒发展动态，提出切实可行的预防措施，谨防外带存储器和网络病毒侵袭；对服务器进行定期查毒杀毒，对系统漏洞打安全补丁，采取有效措施防止网络破坏和攻击。第九条系统管理员的职责：协同维护商对操作系统依据相关安全规范进行安全配置，修补已发现的漏洞。所有由操作系统厂商推荐的安全补丁，在确保不影响系统运行后要及时安装。负责所管理主机系统的用户账号管理，对系统中所有的用户(包括超级权限用户和普通用户)进行登记；对操作系统的用户、口令的安全性进行管理。监控系统运行状况，对发现异常和故障情况及时上报。在所管理主机系统上发现可能与网络安全有关的可疑现象时，及时向信息安全管理员报告，并协助信息安全管理员进行问题的诊断。第十条开发管理员的职责：配合安全管理部门制订安全开发操作流程，并认真执行。在需求分析与设计阶段要充分考虑安全需求，包括认证、用户权限控制、操作审计、加密等技术措施。在编码阶段，负责安全代码的规范编写；对外包开发软件的源代码进行安全检测。负责与所属外包人员签署保密协议，并定期检查外包人员的工作情况。第十一条资产管理员的职责：第十一条负责信息系统资产库的维护；负责信息系统设备出入库、维修等管理；负责信息系统存储介质的管理。第十二条数据管理员的职责:1)负责应用系统数据库的正常稳定运行；2)负责数据备份策略的制定和数据备份的检查。第十三条信息安全工作小组需要定期向信息安全领导小组反映信息安全管理体系的运作情况。第十四条信息安全领导小组审阅信息安全工作小组提交的报告，针对信息安全管理体系运作的情况以及可能出现的问题，进行讨论并做出决策第十五条信息安全工作小组根据信息安全领导小组决策的结果，进行具体的实施计划工作