ISO27001文件信息安全组织建设规定.docx
《ISO27001文件信息安全组织建设规定.docx》由会员分享,可在线阅读,更多相关《ISO27001文件信息安全组织建设规定.docx(10页珍藏版)》请在冰豆网上搜索。
ISO27001文件信息安全组织建设规定
信息安全组织建设规定
(版本号:
V1.3)
更改控制页
序号
版本号
更改时间
更改内容描述
填写人
1目的
为了明确岗位、角色和责任,加强对公司信息安全体系的领导和管理,确保各项信息安全工作落到实处,降低公司面临的信息安全风险,保护并提升公司核心竞争力,保障公司业务正常有序的运作,特制定本规定。
2范围
本文件针对公司信息安全组织建设相关事务,规定了组织框架和角色责任,适用于公司所有纳入到信息安全管理体系范围的部门和个人。
3术语定义
ISMS:
InformationSecurityManagementSystem,信息安全管理体系
MD:
ManagementDelegate,管理者代表
ISEG:
InformationSecurityExecutiveGroup,信息安全执行组
ISAG:
InformationSecurityAuditGroup,信息安全审核组
IRT:
IncidentResponseTeam,信息安全事件应急响应小组
ISM:
InformationSecurityManager,信息安全经理
4职责
4.1最高管理者
批准并正式发布本规定,建立相关组织,任命相关角色。
4.2MD/ISEG/ISAG/IRT/ISM
承担本规定定义的相关角色,履行相应的信息安全管理职责。
4.3全体员工
理解并遵守本规定定义的内容。
5内容
5.1信息安全组织架构图
信息安全是全体员工共同承担的责任,为了更清晰地定义具体的责任归属,我们对公司信息安全组织架构和相关角色做出如下图所示的定义。
5.2管理者代表
由公司最高管理者委派,为公司信息安全方面的代表和直接责任人。
主要责任包括:
-建立与外部权威、专业机构以及利益伙伴之间的沟通渠道;
-确保公司遵守信息安全相关法律法规的要求;
-领导处理重大信息安全事件;
-确保员工信息安全意识和培训教育的实施;
-审批发布信息安全方针和管理体系文件;
-任命信息安全角色和岗位;
-控制对公司信息资产造成重大影响的变更;
-审批信息安全规划和项目;
-提供信息安全资源保证;
-实施信息安全管理评审。
5.3信息安全经理
由管理者代表任命。
主要责任包括:
-行使公司信息安全日常工作和事务;
-组织信息安全策略及程序的建立和贯彻执行;
-组织建立业务连续性计划;
-协助在公司内部建立沟通渠道,明确责任归属,协调相互关系;
-组织ISMS的建立并确保体系的完整性、符合性和有效性;
-负责信息安全风险评估和管理工作的落实;
-组织信息安全管理和技术控制的选型设计、方案评审;
-组织实施信息安全审核和检查工作。
5.4信息安全执行组
由信息安全经理领导、公司各部门的代表共同组成,是公司信息安全策略和相关事务的具体推动执行和实施者,是公司信息安全规划项目的落实者。
信息安全执行组成员的工作在管理者代表的监督和支持下进行。
主要责任包括:
-在公司信息安全实施范围内,具体推广并落实各项策略要求和控制措施;
-信息安全执行组成员负责本部门信息安全的日常工作,提供信息安全支持服务,配合完成信息安全相关项目,并在本部门引导、推广和监督执行安全策略。
5.5信息安全审核组
由信息安全经理领导,对公司的信息安全管理体系实施独立审核,其成员应接受专门培训并具备审核基本技能,能够公正、独立地开展审核工作。
主要责任包括:
-针对公司已经建立的信息安全管理体系,实施独立审核,确保ISMS各项控制及组成部分按照策略要求运行良好,确保信息安全管理体系的完整性、符合性和有效性;
-实施公司内部审核或对外审核,协助外部第二方/第三方审核;
-审核组的工作直接向信息安全经理汇报;
-审核组的工作应该公正、独立、不受干扰。
5.6信息安全事件应急响应小组
由信息安全经理领导、具备信息安全专门技能的人员组成,负责按照公司既定程序来响应并处理信息安全事件。
小组成员主要包括:
人力资源代表:
协助处理违反信息安全管理制度的人员奖惩事务;
技术代表:
协助处理与信息技术有关的信息安全事件;
业务代表;协助处理与项目执行有关的信息安全事件;
物理环境代表:
协助处理与工作环境有关的信息安全事件。
主要责任包括:
-密切关注信息安全发展趋势,预测信息安全危机及隐患;
-受理信息安全事件报告,做出准确的响应处理;
-调查信息安全事件,向信息安全经理及管理者代表报告;
-履行信息安全事件管理程序中定义的其他职责要求。
6相关文件
《管理手册》
7附录
7.1附录1:
管理者代表成员名单
姓名
职位
信息安全角色
内部联系方式
Email
管理者代表
副管理者代表
7.2附录2:
信息安全执行组成员名单
姓名
职位
信息安全角色
内部联系方式
Email
信息安全经理
组长
信息安全工程师
组员
研发中心配置管理员
组员
人事主管
组员
培训主管
组员
公司系统管理员
组员
BPO综合部经理
组员
BPO风险经理
组员
BPO服务中心经理
组员
BPO服务中心经理
组员
7.3附录3:
信息安全审核组成员清单
姓名
职位
信息安全角色
内部联系方式
Email
信息安全经理
组长
信息安全工程师
组员
IT服务工程师
组员
运营经理
组员
运营专员
组员
体系经理
组员
高级质量工程师
组员
质量工程师
组员
QA工程师
组员
QA工程师
组员
技术管理部项目经理
组员
研发中心助理
组员
研发中心配置管理员
组员
研发一部副总经理
组员
人事主管
组员
培训主管
组员
人力资源行政部总经理
组员
员工关系主管
组员
行政专员
组员
行政主管
组员
招聘主管
组员
资产管理员
组员
法务专员
组员
系统管理员
组员
项目经理
组员
客服专员
组员
风险经理
组员
人事专员
组员
BPO业务中心人事专员
组员
7.4附录4:
信息安全事件应急响应小组成员清单
姓名
职位
信息安全角色
内部联系方式
Email
质量管理部信息安全经理
组长
研发一部总经理
组员
研发一部副总经理
组员
研发一部副总经理
组员
研发二部总经理
组员
研发二部副总经理
组员
研发三部总经理
组员
研发三部副总经理
组员
技术管理部副总经理
组员
人力资源行政部总经理
组员
客户服务中心总经理
组员
BPO运营总监
组员
BPO副总经理
组员
前台
组员