信息安全组织建设管理制度Word文档下载推荐.docx
《信息安全组织建设管理制度Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《信息安全组织建设管理制度Word文档下载推荐.docx(10页珍藏版)》请在冰豆网上搜索。
4.1.信息安全组织架构图5
4.2.信息安全管理委员会5
4.3.信息安全管理组5
4.4.信息安全执行组6
4.5.信息安全审核组7
4.6.信息安全事件应急响应小组7
5.相关记录7
6.相关文件8
7.附则8
8.附录9
1.总则
1.1.目的
为了实施有效的信息安全管理,在XX公司内部建立完善的信息安全组织是最基本的措施。
在此基础上,XX公司能够将各项信息安全工作落到实处,包括加强信息安全规范建设、建立持续改进的信息安全管理体系、实施监督检查、降低组织面临的信息安全风险、保护并提升XX公司无形资产价值、保障系统集成服务事业业务正常有序的运作。
1.2.范围
本文件针对XX公司信息安全组织建设相关事务,规定了组织框架和角色责任,适用于XX公司所有纳入到信息安全管理体系范围的组织和个人。
2.定义
a)信息安全管理委员会:
信息安全管理委员会为XX公司的信息安全工作最高管理机构,负责信息安全工作的最终决策。
b)信息安全管理组:
负责信息安全工作的协调管理工作,直接对信息安全管理委员会负责。
c)信息安全执行组:
负责在组织范围内推行信息安全管理组日常制定的各项信息安全工作任务,同时接受各种由信息安全管理组组织的各种信息安全意识培训。
d)信息安全审核组:
根据信息安全管理组制定的计划,制定内审和管理评审内容同时进行内审,并根据内审内容编写内审报告。
e)信息安全事件应急响应小组:
根据应急响应实施细则,定期根据应急相应策略进行演习,并在出现信息安全事件时,在信息安全管理组领导下进行现场处理。
3.人员和职责
a)信息安全组织内人员-承担本规定定义的相关角色,履行相应的信息安全管理职责。
b)全体员工-理解并遵守本规定定义的内容。
4.内容
4.1.信息安全组织架构图
信息安全是全体员工共同承担的责任,为了更清晰地定义具体的责任归属,我们对XX公司信息安全组织架构和相关角色做出如下图所示的定义。
4.2.信息安全管理委员会
由信息安全最高管理者发起建立并作为代表,是XX公司在信息安全管理方面的最高决策机构,其成员包括XX公司的高级管理者。
成员资格要求:
a)熟悉系统集成服务事业信息安全管理体系
b)在XX公司担当主要领导职责
主要责任包括:
a)审批发布信息安全方针和管理体系;
b)审批信息安全规划和项目的批准;
c)提供信息安全资源保证;
4.3.信息安全管理组
由信息安全管理委员会任命,信息安全主管为信息安全管理组组长,是XX公司信息安全管理体系的具体规划、管理和维护者。
b)熟悉内审流程
c)熟悉管理评审流程
a)负责ISMS体系的建立并监督信息安全管理制度的执行;
b)对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划;
c)对信息安全相关项目进行规划和监督,确保信息安全风险评估和管理工作能够落实;
d)制定年度内审计划,确定内审范围和内审内容;
e)负责信息安全策略、标准、流程和制度的编写、审核及推广;
f)制定业务连续性计划。
g)建立与内部/外部专家、权威机构、利益伙伴之间的沟通渠道。
统一控制对外信息发布和通告。
h)负责提出测量指标,并制定有效性测量程序,同时为信息安全内审进行领导,协调有关工作。
i)任命信息安全角色和岗位,并明确各信息安全岗位的职责。
j)组织并实施信息安全管理评审。
4.4.信息安全执行组
由信息安全管理组领导,各部门人员组成,是信息安全策略和相关事务的具体推动执行和实施者,主要包括网络管理员、数据库管理员、主机管理员、应用系统管理员及系统开发人员,是信息安全管理组各项任务的具体落实者。
b)熟悉系统集成服务事业业务流程
a)在信息安全管理组确定的实施范围内,具体推广并落实各项策略要求和控制措施;
b)监督推动安全策略和控制措施的落实,负责部门人员的信息安全意识提升和协助信息安全事件的应急处理;
c)负责信息安全的日常工作,提供信息安全支持服务,配合完成信息安全相关项目,并引导、推广和监督执行安全策略。
d)为信息安全管理组制定安全指标和采集数据提供支持,同时配合信息安全审核组成员进行内审资料和数据的提取。
e)协助信息安全管理委员会制定业务连续性计划,提供各种参数依据
相关人员职责如下:
(1)网络管理员:
a)负责安全设备(web应用防火墙、数据库审计、堡垒机、安骑士)等的日常运维工作;
b)负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;
c)负责本单位网络的安全配置、安全日志的维护和审计;
d)负责IP网络安全管理规定的落实。
(2)主机管理员:
a)负责服务器主机的日常运维工作;
b)负责主机服务器的安全加固工作;
c)负责主机服务器的服务器运行状态监控、故障处理等工作。
d)在项目规划和建设阶段提出信息安全方面的建议;
e)负责系统交付后的网络设备、操作系统、数据库等信息安全状况的检查和验收;
f)负责系统设备的日常运行、安全维护和管理工作,保持系统处于良好的运行状态。
(3)数据库管理员:
a)负责数据库的日常运维工作;
b)负责数据安全维护;
c)负责系统交付后的业务应用系统数据的访问控制安全过程管理;
d)负责数据传输过程中的安全要求落实。
(4)应用管理员
a)在应用系统规划和建设阶段提出信息安全方面的建议;
b)负责系统交付后业务应用系统信息安全状况的检查和验收;
c)负责业务和应用系统的日常运行、安全维护和管理工作,保持应用系统处于良好的运行状态。
4.5.信息安全审核组
由信息安全管理组领导,对XX公司的信息安全管理体系实施独立审核,其成员应接受专门培训并具备审核基本技能,能够公正、独立地开展审核工作。
b)精通内审流程
c)精通管理评审流程
a)针对ISMS实施独立审核,确保ISMS各项控制及组成部分按照策略要求运行良好,确保信息安全管理体系的完整性、符合性和有效性;
审核周期至少每季度一次;
b)对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定;
c)实施ISMS内部审核或对外审核,协助外部第二方/第三方审核;
d)审核组的工作和应该直接向信息安全管理组汇报;
e)内部审核员的工作应该不受干扰、公正、独立。
f)负责对不符合项的跟进与验证。
g)负责对信息安全有效性测量进行检查。
h)负责进行各种定期或不定期的一般性核查。
4.6.信息安全事件应急响应小组
由XX公司管理层领导,以XX公司成员为主进行具体实施,负责按照既定程序来响应并处理信息安全事件。
b)熟悉系统集成服务事业所管理的业务系统
a)与外部相关组织或机构进行联系,关注当前流行信息安全漏洞和问题;
b)遵照信息安全事件流程对信息安全事件进行处理,同时接受XX公司相关人员的安全警报;
c)调查信息安全事件,向信息安全管理组报告;
d)如有对外发布信息或和外部机构联络的需要,通过XX公司管理层导批准确定而进行;
e)履行信息安全事件管理程序中定义的其他职责要求。
f)承担值守应急工作;
g)收集、分析工作信息,及时上报重要信息;
h)负责信息系统网络与信息安全的监测预警和风险评估控制、隐患排查整改工作;
i)组织制订、修订信息系统网络与信息安全突发事件相关的应急预案;
j)负责组织协调信息系统网络与信息安全突发事件应急演练。
k)定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施。
5.相关文件
a)《信息安全方针》
b)《信息安全管理办法》
6.附则
a)本管理规定自发布之日起开始实施;
b)本管理规定的解释和修改权属于信息安全管理委员会;
c)信息安全管理委员会每年统一检查和评估本管理规定,并做出适当更新。
在业务环境和安全需求发生重大变化时,也将对本规定进行检查和更新。
7.附件
附件1信息安全工作通讯录
管理机构
姓名
角色
职务
联系电话
电子邮箱
信息安全管理委员会
信息安全管理小组
信息安全执行小组
信息安全审核小组
事件应急响应小组
附件2信息安全外部人员通讯录
单位名称
附件3管理工作会议纪要
会议时间
会议地点
目
的
参加
人员
议题
内容
结论
发放
范围