信息安全组织及岗责

信息安全组织及岗责（V1.0）PAGE12/12页目录TOC\o"1-2"\h\z\u目的 3范围 3安全策略要求 3信息安全管理组织 3安全职责分配 4目的本规范规定了信息安全组织及岗责。范围本规范适用于相关职能部门。安全策略要求信息安全管理组织建立专门的信息安全领导小组和安全工作组。工作规划的制定与实施，承担如下职责：(一)在系统网络与信息安全总体方针的指导下，负责组织制定本单位信息系统安全策略并审批；(二)负责组织细化上级规章制度，制定相应程序指南，并监督落实规章制度；(三)负责信息系统安全管理层人员权限授予工作；(四)负责审阅信息安全工作报告；负责重大安全事故查处与汇报工作。信息安全工作组从事具体的安全工作，建立和维持信息安全管理体系，在系统内部开展和控制信息安全的管理实施，并承担如下职责：(一)调整并制定所有必要的信息安全管理规程、制度以及实施指南等；(二)配合执行信息安全相关的实施方法和程序，如风险评估、资产分级分类方法等；(三)主动采取部门内的信息安全措施，如安全意识培训及教育等；(四)审批信息化建设项目规划及设计的安全部分，并监督其实施落实；(五)审查信息安全策略的遵循性；(六)审查、监控、协调信息安全相关事件的评估和响应；(七)辅助领导机构进行安全方面的决策；(八)根据信息安全管理体系的要求，定期向上级主管领导和信息安全领导小组报告。安全职责分配（一）安全管理员职责：1规则，负责跟踪安全产品投产后的使用情况；2、负责指导并监督系统管理员（包括主机系统管理员、网络管理员、数据库管理员和应用管理员等）及普通用户与安全相关的工作；3成安全评估报告；4安全管理部门主管；5策，通知并指导系统管理员进行安全防范；6、负责组织审议安全方案、安全审计报告、应急计划以及整体安全管理制度；7、负责参与安全事故调查。技能要求：1、具备一定的沟通与协调能力，熟悉单位内部各项工作流程。2、具备从事检查准备工作的能力、进行现场审核的能力、编写检查文件、报告的能力和跟踪验证与监督检查的能力。（二）安全审计员职责：1、负责指导并监督系统管理员（包括主机系统管理员、网络管理员、数据库管理员和应用管理员等）及普通用户与安全相关的工作；2、负责定期对主机系统、网络产品、应用系统的日志文件进行分析审计，发现问题及时上报；3、负责组织信息系统的安全风险评估工作，并定期进行系统漏洞扫描，形成安全评估报告；4、根据本单位的信息安全需求，定期提出本单位的信息安全改进意见，并上报信息安全管理部门主管；5、定期查看信息安全站点的安全公告，跟踪和研究各种信息安全漏洞和攻策，通知并指导系统管理员进行安全防范；6、负责组织审议安全方案、安全审计报告、应急计划以及整体安全管理制度；7、负责参与安全事故调查。技能要求：1、系统相关知识，包括计算机软、硬件系统的构成及工作原理，操作系统及常用软件的安装、使用及维护等。2Access、SqlServerdb2、Oracle等数据库系统的数据操作及不同数据库之间数据的相互转换。3、计算机网络相关知识。包括数据交换技术、TCP/IP协议、常见网络互联设备的使用、网络连接与配置等。4、计算机语言相关知识。（三）主机系统管理员职责：1、负责主机操作系统的安全配置（包括及时修补系统漏洞）和日常审计，系统应用软件的安装，从系统层面实现对用户与资源的访问控制；2、协助安全管理员制定主机操作系统的安全配置规则，并落实执行；3、负责主机设备的日常管理与维护，保持系统处于良好的运行状态；4、为安全审计员提供完整、准确的主机系统运行活动的日志记录；5、在主机系统异常或故障发生时，详细记载发生异常时的现象、时间和处理方式，并及时上报；6、编制主机设备的维修、报损、报废计划，报主管领导审核。技能要求：1、在网络操作系统、网络数据库、网络设备、网络管理、网络安全、应用系统等的规划建设及运行维护工作。（四）网络管理员职责：1、负责网络的部署以及网络产品、网络安全产品的配置、管理与监控，并对关键网络配置文件进行备份，及时修补网络设备的漏洞；2、协助安全管理员制定网络设备安全配置规则，并落实执行；3、为安全审计员提供完整、准确地记录重要网络设备和网站运行活动的运行日志；4、在网络及设备异常或故障发生时，详细记载发生异常时的现象、时间和处理方式，并及时上报；5、编制网络设备的维修、报损、报废等计划，报主管领导审核。技能要求：1、了解网络设计的局域网络和广域网络，为中小型网络提供完全的解决方案。2、掌握网络施工掌握充分的网络基本知识，深入了解TCP/IP网络协议，独立完成路由器、交换机等网络设备的安装、连接、配置和操作，搭建多层交换的企业网络，实现网络互联和Internet连接。掌握网络软件工具的使用，迅速诊断、定位和排除网络故障，正确使用、保养和维护硬件设备。3、熟悉网络安全Internet者甚至心怀不满的员工对信息安全、信息完整性以及日常业务操作的威胁。4、熟悉网络操作系统WindowsLinuxWindowsLinux为企业提供成功的设计、实施和管理商业解决方案的能力。5、了解Web数据库了解Web数据库的基本原理，能够围绕Web数据库系统开展实施与管理工作，实现对企业数据的综合应用。（五）数据库管理员职责：1、对数据库系统进行安全配置，修补已发现的漏洞；2、负责数据库系统的用户账号管理，对系统中所有的用户进行登记备案；和分析；3、负责业务数据及系统其它重要数据的备份与备份数据管理工作；4、为安全审计员提供完整、准确的数据库系统运行活动的日志记录，详细记载发生异常时的现象、时间和处理方式，并及时上报；5、在发生安全问题导致数据损坏或丢失时，进行数据的恢复；6、根据业务发展的需求，提交数据存储介质购买或存储系统扩容计划。技能要求：1、理解数据备份/恢复与灾难恢复2、工具集的使用3、知道如何快速寻找答案4、知道如何监控和优化数据库性能5、研究新版本6、理解代码最佳实践方法7、数据库安全性8、数据库设计9、索引设计10、容量监控与规划11、数据库许可证12、尽可能实现自动化（六）职责：1的漏洞；2、对业务应用系统的用户、口令的安全性进行管理；对业务应用系统的登录用户进行监测和分析；3、负责提出数据的备份要求，制定数据备份策略，督促数据库管理员按照备份方案按时完成，并恢复所需数据；4、实施系统软件版本管理，应用软件备份和恢复管理。技能要求：1、对系统架构具有一定的了解。2、熟悉编程语言。（七）病毒防护员职责：1、协助安全管理员制定病毒防范操作规程；2、负责执行和监督整个系统全面的杀毒工作；3、定时升级网络杀毒软件的病毒库，监督个人杀毒软件的升级工作；4、实时监控重要业务系统和数据的安全，杜绝非法开放的病毒入侵途径，降低病毒侵害的影响；5病毒的有效解决方案。技能要求：1、精通各类防火墙以及防病毒软件的使用。2、具备对各类病毒的分析能力。（八）资产管理员职责：1、负责信息技术部门全部资产的采购、登记、分发、回收、废弃等管理。技能要求：1、能够识别会给资产安全、完整和使用效率带来威胁的事项2、能够识别提高资产使用效率方面的机会312的风险和机会4、能够寻找措施应对上述风险和机会5、能够建立相应的信息反馈机制和沟通机制6、懂得实施资产方面的检查监督7、懂得改善资产管理的内部环境8、懂得设置资产管理的相关目标，并分解落实（九）机房管理员职责：1、负责制定和执行适当的物理安全控制；2、主要负责非技术性的、常规的安全工作，如信息处理场地的保卫，办公室安全，验证出人信息中心的手续和多项规章制度的落实。技能要求：1、熟悉机房建设规范。2温湿度控制、电力供应、电磁防护等产品及工作机制。3、熟悉日常运维管理流程和