1、与原那么、依法管理原那么、分权和授权原那么和体系化管理原那么编制,具体原那么为:( 一) 主要领导负责原那么:确保公司主要领导参与并确立组织统一的信息系统信息平安保障宗旨和政策,组织有效的平安保障队伍,调动并优化配置必要的资源,协调平安管理工作与各部门工作的关系,并确保其落实、有效;( 二) 全员参与原那么:信息系统所有相关人员普遍参与信息系统的平安管理,并与相关方面协同、协调,共同保障信息系统的平安;( 三) 依法管理原那么:信息系统信息平安管理工作应保证管理主体合法、管理行为合法、管理内容合法、管理程序合法;( 四) 分权和授权原那么:对特定职能或责任领域的管理功能实施别离、独立审计等实行
2、分权,防止权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的时机。 任何实体如用户、管理员、进程、应用或系统仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限。1( 五) 体系化管理原那么 : 信息系统应符合信息平安相关政策的体系化管理目标和要求。第三条 本规定适用于公司。第二章 组织目标第四条 本制度旨在实现信息平安管理组织的以下目标:( 一) 管理组织内的信息系统平安保护工作;( 二) 管理外部组织访问组织内信息处理设施和信息资产的安全。第三章 平安管理组织架构第五条 为加强对公司信息平安管理工作的领导, 贯彻落实监管部门的信息平安保护要求,经研究决定成立公司信息平安管
3、理委员会。第六条 信息平安管理委员会为公司信息平安工作的最高管理机构。第七条 由公司副总经理担任信息平安管理委员会主席, 成员包括:( 一) 生产技术部主管领导;( 二) 各部门主管领导。第八条 生产技术部是信息平安管理工作的执行机构, 负责执行信息平安管理委员会交办的各项工作, 由生产技术部总经理担任负责人,成员包括:2( 一) 生产技术部;( 二) 系统开发部;( 三) 运营维护部。第九条 生产技术部应设立信息平安管理岗位, 分别为平安管理员、平安审计员、网络管理员、系统管理员、数据库管理员、应用管理员,负责执行网络、系统、数据库和应用的平安管理和运维工作。第四章 信息平安组织职责第十条
4、信息平安管理委员会负责领导信息系统平安工作, 组织职责为:( 一) 根据国家和行业有关信息平安的政策、法律和法规,确定信息平安工作的总体方向、总体原那么和平安工作方法;( 二) 根据国家和行业有关信息平安的政策、法律和法规,批准信息系统的平安策略和开展规划;( 三) 确定各有关部门在信息系统平安工作中的职责,领导平安工作的实施;( 四) 监视平安措施的执行, 并对重要平安事件的处理进展决策;( 五) 指导和检查信息平安职能部门的各项工作;( 六) 建立和完善信息系统平安组织体系和管理机制。第十一条 生产技术部负责贯彻、落实和执行信息平安管理委员会下达的各项工作,组织职责为:( 一) 贯彻、落实
5、和解释国家及行业有关信息平安的政策、 法律、法规和信息平安工作要求,起草信息系统的平安策略和开展规划;3( 二) 落实和执行信息系统信息平安工作的日常事务,对具体落实情况进展总结和汇报;( 三) 负责平安措施的实施或组织实施,组织并参加信息平安重要事件的处理;( 四) 负责内、外部组织和机构的信息平安沟通、协调和合作工作;( 五) 组织编制和落实信息平安规划工作;( 六) 指导和检查运维单位对信息系统平安工作落实情况;( 七) 监控信息系统平安总体状况,提出平安分析报告;( 八) 协同有关部门共同组成应急处理小组,组织处理信息平安应急响应工作;( 九) 负责组织信息系统平安知识的培训和宣传工作
6、。第十二条 系统开发部负责信息系统建立开发相关工作,组织( 一) 负责信息系统开发过程中的工程管理工作;( 二) 负责信息系统运行维护过程中软件版本升级、功能定制等方面的开发工作;( 三) 配合生产技术部完成信息系统建立规划、方案设计及编写工作;( 四) 配合生产技术部完成公司管理层安排的其他相关技术工作。第十三条 运营维护部负责信息系统运行维护的相关工作,组4织职责为:( 一) 负责信息系统上线后的运行维护工作,具体为机房管理、根底设施日常巡检、应用系统监控等;( 二) 负责定期维护机房环境设施及重要信息系统设备等;( 三) 负责提出应用系统非功能性需求;( 四) 负责定期分析信息系统运行过
7、程中的日志、周报、月报,并定期汇总上报管理层;( 五) 负责协调并组织应对信息系统运行过程中的突发事件;( 六) 配合生产技术部完成其他信息科技方面的相关工作。第五章 信息平安岗位职责第十四条 应建立信息平安岗位,明确信息平安岗位职责。第十五条 工程方案岗位职责为:起草和编制信息系统信息安全总体规划以及方案方案,收集信息系统平安需求。第十六条 工程管理岗位职责为:( 一) 负责信息系统工程实施的组织、协调和验收工作;( 二) 负责工程合同的管理及监视。第十七条 运行维护岗位职责为:( 一) 起草和编制信息系统信息平安方针、信息平安保障体系框架和信息平安策略、制度和技术标准;( 二) 推动信息系
8、统信息平安方针、信息平安策略、信息平安管理制度及信息平安技术标准的实施落实。第十八条 设备资源管理岗位职责为:负责信息系统设备的管5理,包括设备的报废等。第十九条 平安管理员的岗位职责为:( 一) 定期组织信息系统漏洞扫描和信息平安风险评估工作,形成信息系统和整体平安现状报告,并向信息平安管理委员会进展汇报;( 二) 负责制定信息系统总体网络访问控制策略和规那么,并对其进展监控和审计工作,定期发布策略执行情况;( 三) 对网络、系统、应用、数据库管理员进展平安指导;( 四) 定期收集信息平安漏洞和公告信息,告知相关平安运维管理人员;( 五) 协调信息平安应急响应组织和技术支撑单位。第二十条 平
9、安审计员的岗位职责为:( 一) 定期审计信息系统信息平安策略执行情况,收集信息系统日志和审计记录,并提供审计报告;( 二) 对平安、网络、系统、应用、数据库管理员的操作行为进行监视,平安职责落实情况进展检查;第二十一条 系统管理员的平安职责为:( 一) 根据信息系统平安策略定期对系统进展自评估;( 二) 依照平安策略对系统进展平安配置和漏洞修补,确保平安补丁保持 2 个月内最新补丁;( 三) 对系统进展日常平安运维管理,定期更改系统账号,并定期提交平安运行维护记录或报告;6( 四) 在发生系统异常和平安事件时, 应能对系统进展应急处置。第二十二条 网络管理员的平安职责为:( 一) 根据信息系统
10、平安策略定期对网络设备、网络架构进展自评估;( 二) 依照平安策略对网络设备进展平安配置和漏洞修补;( 三) 对网络设备、平安设备进展日常平安运维管理,并定期提交平安运行维护记录或报告;( 四) 在发生系统异常和平安事件时,应能对网络设备、平安设备进展应急处置。第六章 信息平安岗位要求第二十三条 生产技术部应设立专职的信息平安管理岗位,并由专人负责,根据信息平安管理的实际工作情况,人员编制 1 人。第二十四条 各部门应设立专职的平安管理员。第二十五条 关键事务岗位应配备多人共同管理,定期轮岗,关键岗位人员配备坚持“权限分散、不得穿插覆盖的原那么,平安管理员和平安审计员不能由一人身兼。第二十六条
11、 各部门应根据岗位职责,确定岗位所需要的平安技能,并对所有信息平安岗位人员进展对应的平安技能培训。第二十七条 信息系统的平安技术岗位可由其他相关管理员兼任,其中网络平安管理、系统平安管理、数据库平安管理以及应用安全管理工作可分别由网络管理员、 系统管理员、 数据库管理员以及应用管理员执行。7第二十八条 重要业务系统操作人员应在日常工作中认真执行信息系统平安策略和技术平安标准中的各项要求。第七章 持续改良第二十九条 为了保证本策略文件的时效性、可有性,必须根据相关审核规定进展评审和修订,修订后重新发布。第八章 附那么第三十条 本规定的解释权归公司生产技术部。第三十一条 本规定自发布之日起生效。8
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1