信息安全体系框架设计报告Word下载.docx

1、三、 各部门及分公司 123.1.信息安全管理员 12XXXXX信息安全岗位设置建议为保障XXXXX信息安全管理体系的有效运行，以及保证信息技术部安全设备与安全运维的管理，ISMS项目组建议XXXXX在从2008年至2010年的三年间，根据组织机构设置、人员编制等实际情况，设置以下专职或兼职的安全专业岗位，并配备相应的信息安全专业人员：部门职能岗位2009年2010年2011年备份1、信息技术部1.1信息安全管理安全架构师安全架构师1人安全体系管理员体系管理人员1人互为备份应用安全管理员应用安全管理员1人1.2信息安全运维网络安全管理员网络与系统安全管理员1人网络安全管理员1人系统安全管理员系

2、统安全管理员1人安全运行中心管理员安全运行中心管理员1人终端安全运维管理员终端安全管理员1人安全检查测试工程师安全测试人员1人2、稽核审计部2.1信息安全审核安全体系审核员体系审核员1人2.2整体IT风险审计信息系统审计师信息系统审计师1人3、各部门部门信息安全管理信息安全管理员每个部门1名兼职信息安全管理员4、分公司分公司信息安全管理每个分公司1名兼职信息安全管理员每个分公司1名专职信息安全管理员根据上表，信息技术部信息安全组2009年至少配备4人，2010年至少配备6人，2010年至少配备8人。稽核审计部2009到2010人至少配备一名ISMS体系审核员，2011人至少增加到2人，并过渡到

3、全方位的IT审计。总公司各个部门从2009年起必须指定一名业务骨干兼职信息安全管理员。各个分公司从2009年需要一名兼职的信息安全管理员，从2010年起，必须指定一名专职的信息安全管理员。一、 信息技术部信息安全组（一）信息安全管理1.1. 安全架构师 工作职责全面了解总公司及分公司的信息系统的信息安全现状及面临的信息安全风险，深入掌握核心业务及日常管理对信息安全的要求。跟踪当前信息安全技术与管理的发展方向，规划与设计总公司信息安全管理与技术架构；参与信息安全相关政策标准的制定、更新；负责信息安全项目的规划、评审和质量控制。负责与公司信息系统相关的信息安全咨询公司、集成公司、厂商进行定期的安全

4、交流，并对下一步工作提出建议。 素质要求1.全日制大学本科以上学历；2.具有至少五年大型企业信息安全架构与管理方面的相关从业经验；3.熟悉ISO27000、CC、等级保护等系列标准或其他信息安全管理标准；4、善于灵活应用相关的安全理论与技术，构架并设计企业整体信息安全保障体系，5熟悉主流安全设备、安全产品和安全技术，熟悉主机、网络、数据库方面的管理和安全技术；6了解信息安全行业发展趋势，指导企业信息安全方面的技术、产品与流程的项目实施；7.具有较强的技术领导能力，及良好的沟通和团队合作能力；8.获得ISO27001 LA、CISSP、CISA（或同等认证）者优先；1.2. 安全体系管理员负责总

5、公司信息安全管理体系、总公司信息安全保障体系；信息安全等级保护的建设工作；并推动体系在分公司中实施；主导信息安全制度与规范的制定，负责组织总公司各部门的信息资产识别与风险评估工作；配合安全体系审核员的工作，促进信息安全管理体系的持续运行；负责总公司及各分公司信息安全管理员的日常联系工作，为信息安全管理员分配工作并进行日常检查与考核，推动信息安全工作在各个部门的落实；负责对员工进行信息安全意识培训，促进员工信息安全控制措施落实到日常工作中；完成总公司要求的安全管理工作，接受管理机构和监督机构的监管，并配合其开展工作。2.具有至少五年相关安全行业从业经验和两年信息安全管理体系建设或运行经验；3.熟

6、悉ISO27000系列标准和ISMS建设、管理以及其他信息安全管理标准；4.了解信息安全管理的流程与实施步骤，熟悉主流安全设备、安全产品和安全技术；5.具有良好的沟通和团队协调、合作能力；6.获得ISO27001 LA、CISSP、CISP、CISA（或同等认证）者优先；1.3. 应用安全管理员负责应用系统开发安全规程的制定；协助业务部门提出应用系统的安全需求，并参与应用系统安全需求的评审工作；协助应用系统开发部门制定软件设计与程序编码过程中安全控制要求，指导软件测试人员对应用系统源代码和目标码进行安全检查与测试，并参与软件设计评审与测试评审；协助业务人员把业务中风险控制要求，设计到应用系统中

7、，建立从输入、处理及输出各个环节的应用控制；制定应用系统身份识别、访问授权、操作留痕、数据备份等方面的安全规范，并协助安全体系审核员对应用系统的审核工作。2.具有至少三年软件设计、测试及开发方面的经验；3.熟悉ISO27001、CMMI、CC、等级保护等安全标准及相关主流安全技术；4.具有良好的沟通和团队合作能力；5.获得ISO27001 LA、CISSP、CISA、CIA（或同等认证）者优先；6.熟悉保险公司业务内控者优先。（二）信息安全运维1.4. 网络安全管理员负责防火墙、IDS、IPS、VPN、F5、UTM及流量控制等网络安全设备日常管理和维护工作； 建立网络安全设备的安全配置规范和运

8、维规范；对网络安全设备的规则和帐号等内容进行定期的复审和检查。协助网络管理员做好网络安全规划，督导分公司的网络安全建设与管理，协助安全运行中心的做好网络安全设备的状态监控、性能调优和故障处理工作，以确保网络安全设备的稳定和高效的运行。2.具有至少三年相关安全行业经验或两年网络安全设备实施或管理经验；3、熟悉主流防火墙、IPS、IDS、VPN、UTM等安全设备管理与维护工作。4.善于跟踪行业网络安全管理与安全技术方面的发展状况；5.具有良好的沟通和团队合作能力；6.获得CISSP、CISP、CCNP、HCNP（或同等认证）者优先。1.5. 系统安全管理员负责总公司域控制器的管理与维护，并负责主机

9、操作系统、数据库、中间件等系统平台的日常安全加固、系统安全升级、系统安全支持等工作协助系统管理员做好总公司生产与办公系统的系统平台管理方面安全管理工作，督导分公司的系统建设与管理，协助安全运行中心的做好系统平台的状态监控、性能调优和故障处理工作，以确保系统平台的稳定和高效的运行。2.具有至少三年相关安全行业经验或两年系统管理经验；3、熟悉主流操作系统（Windwos、Unix）、数据库（Oracle、SQL Server）及中间件（Weblogic）的安全管理与维护工作。4.了解主流安全设备和安全技术；1.6. 终端安全管理员负责终端安全管理系统的日常管理维护与服务支持工作；指导各部门信息安全

10、日常安全运行，指导员工病毒更新和补丁安装；负责防病毒系统的维护，及时更新病毒库，获取最新的病毒通告，在总公司内部发布安全通告等；当病毒爆发时，组织负责病毒清理或联系外部专家协助处理；负责制定终端安全设备的安全配置规范和运维规范；负责对员工终端安全使用情况的监控和管理，并对异常事件及时发出警告；协助终端安全和使用规范的制定。2.具有至少三年相关安全行业从业经验或两年桌面支持工作经验；3.熟悉主流安全技术和终端安全保护技术；5.获得CISSP、CISP、MCSE（或同等认证）者优先。1.7. 安全运行中心管理员负责集中式安全运行管理中心的日常监控、安全事件管理、安全知识库建立等工作；发生安全事件及

11、时通知相关负责工程师进行处理；负责制定安全运行中心管理和运维规范；及时上报信息安全事件，定期通报总公司整体信息安全情况和信息安全事件发生频率。2.具有至少三年IT从业经验或二年信息安全从业经验；3.了解主流安全设备和安全技术，善于分析安全事件之间的关系；5.获得CISSP、CISP、CCNP、HCNP（或同等认证）者优先。1.8. 安全检查测试工程师负责定期的系统安全测试和检查工作，并对安全事件进行现场调查与处置；提供各种安全服务以直接支持业务，包括事件响应、故障处理等；协助并支持本组其他岗位工程师的工作；负责安全事件的调查、取证、追踪等工作；参与各种安全配置规范的制定；负责总公司信息安全管理

12、体系和保障体系中技术方面工作的支持；信息安全基础建设，各项信息安全技术的实施；协助安全管理体系的推广和落实，宣传信息安全技术常识、安全意识和安全知识，形成信息安全文化。2.具有至少三年相关安全行业从业经验或两年安全评估或应急响应经验；3.熟悉主流安全设备和安全技术，了解安全测试方法、流程及相关工具的使用；4.对网络安全、操作系统安全和数据库安全有较深的研究；5.具有较强的安全检测、安全攻防和应急响应的能力；6.具有良好的沟通和团队合作能力；7.获得CISSP、CISP（或同等认证）者优先；二、 稽核审计部IT审计组2. 2.1. 2.2. ISMS体系审核员负责安全管理体系的审核工作；监督各项

13、信息安全方针、制度与规范、指南与细则的执行情况，检验信息各安全部门和岗位的工作开展情况；确定信息安全审核工作的目的、范围和要求，制订信息安全审核工作具体实施计划和相关资源配置；负责向公司信息安全领导小组和信息安全管理小组汇报信息安全审核工作的结果。2.具有至少两年ISMS体系维护或ISMS体系审核经验；3.熟悉主流安全设备、安全产品和安全技术；4.熟悉ISO27000、等级保护系列标准以及其他相关信息安全管理标准；6.获得ISO27001 LA者优先；7.有ISMS建设、管理经验或IT审计经验者优先；2.3. 信息系统审计师负责XXXXX的综合IT审核工作；关注XXXXX的IT规划、IT项目、

14、IT开发、IT采购、IT运维、信息安全等方面存在的风险，根据IT审计的原理与方法，实施阶段性的IT审计，出具IT审计报告，向最高管理层汇报存在的风险，促进针对IT风险的改进措施的落实。2.具有至少三年大型企业IT项目管理、运行维护或软件开发方面的经验，并有至少两年IT审计经验；3.熟悉IT风险管理与控制理论，掌握IT审计的方法与过程，能够独立地制定IT审计计划、审计方案，并能熟练地实施现场IT审计；4.熟悉COSO、COBIT、ISO27000、ISO20000等系列标准，以及其他IT治理与管理方面的标准；6.获得CISA认证（或同等认证）优先者优先；三、 各部门及分公司3. 3.1. 3.2

15、. 信息安全管理员作为总公司信息安全管理小组的成员，负责各部门或分公司的的安全管理工作，具体有以下职责：负责本部门或分公司日常的具体信息安全工作，并参加信息安全管理工作小组所要求的各项活动；负责按照ISMS体系的要求，对本部门或分公司所拥有和管理的信息资产进行维护，包括资产的识别和分类、资产的威胁和脆弱性识别及安全需求级别确定等工作；负责根据ISMS安全政策要求，在本部门或分公司制定和实施相关控制程序，提高员工安全意识，落实责任，保护信息资产的安全，并确保已建立的安全控制措施持续有效；负责向信息安全管理工作小组负责人报告信息安全事件和违反信息安全政策的行为，协助对违反安全政策的行为进行调查；协助信息安全管理工作小组负责人和本部门或分公司信息安全主管领导落实针对本部门或分公司的纠正措施（包括审计整改意见）和预防措施。1.XXXXX总公司或分公司的正式员工；2.具有三年以上工作经验的业务骨干；3.有一定的IT操作经验和信息安全方面的知识；5.参加过ISMS培训者优先。