05安全组织人员岗位职责参考.docx
《05安全组织人员岗位职责参考.docx》由会员分享,可在线阅读,更多相关《05安全组织人员岗位职责参考.docx(7页珍藏版)》请在冰点文库上搜索。
05安全组织人员岗位职责参考
XXXXX
信息安全组织及岗位职责管理规定
第一章总则
第一条为了加强XXXXX对信息安全工作的管理,全面提高信息安全管理能力,规范信息安全管理组织体系,建立健全信息安全机构职责,特制定本规定。
第二条本规定依据《国家信息化领导小组关于加强信息安全保障工作的意见》、《GB/T20269-2006信息安全技术信息系统安全管理要求》等政策标准制定。
第三条本规定依照“信息安全管理的主要领导负责、全员参与、依法管理、分权和授权和体系化管理”原则编制,具体原则如下:
(一)主要领导负责原则:
XXXXX应确保主要领导参与并确立组织统一的信息安全保障宗旨和政策,组织有效的安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效;
(二)全员参与原则:
信息系统所有相关人员普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全;
(三)依法管理原则:
信息安全管理工作应保证管理主体合法、管理行为合法、管理内容合法、管理程序合法;
(四)分权和授权原则:
对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。
任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限。
(五)体系化管理原则:
XXXXX整体应符合信息系统等级保护三级的体系化管理目标和要求。
第四条本规定适用于XXXXX。
第二章信息安全组织机构
第五条XXXXX应建立由XXXXX网络信息安全保密领导小组和XXXXX网络信息安全保密领导小组办公室共同构建的安全管理机构。
第六条由XXXXX主管领导或主管领导授权的主管机构领导担任XXXXX网络信息安全保密领导小组组长,小组成员包括:
(一)XXXXX信息化主管领导;
(二)XXXXX各业务单位的主管领导;
(三)XXXXX信息技术中心主管领导。
第七条XXXXX网络信息安全保密领导小组办公室是XXXXX的信息安全职能部门,是信息安全工作的执行机构,负责执行XXXXX网络信息安全保密领导小组交办的各项工作,由XXXXX信息化主管领导主管领导担任负责人,成员为各业务单位的主管领导,信息安全执行层包括:
(一)XXXXX的网络管理员、系统管理员、安全管理员、安全审计员、安全策略/规划员、数据库管理员、应用管理员和机房管理员;
(二)XXXXX各业务单位的安全员。
第八条信息技术中心应设立信息安全管理岗位,分别为安全管理员、安全审计员、网络管理员、系统管理员、数据库管理员、应用管理员和机房管理员,负责执行网络、系统、数据库、应用和机房的安全管理和运维工作。
第九条其他信息化相关部门应指派安全员,负责协调本部门信息安全工作的落实和具体执行情况。
第三章信息安全组织职责
第一十条XXXXX网络信息安全保密领导小组办公室负责领导XXXXX的信息系统安全工作,组织职责如下:
(一)根据国家和行业有关信息安全的政策、法律和法规,确定信息安全工作的总体方向、总体原则和安全工作方法;
(二)根据国家和行业有关信息安全的政策、法律和法规,批准XXXXX信息系统的安全策略和发展规划;
(三)确定各有关部门在信息系统安全工作中的职责,领导安全工作的实施;
(四)监督安全措施的执行,并对重要安全事件的处理进行决策;
(五)指导和检查信息安全职能部门的各项工作;
(六)建设和完善信息系统安全组织体系和管理机制。
第一十一条XXXXX网络信息安全保密领导小组办公室负责贯彻、落实和执行XXXXX网络信息安全保密领导小组下达的各项工作,组织职责如下:
(一)贯彻、落实和解释国家和行业有关信息安全的政策、法律、法规和信息安全工作要求,起草XXXXX信息系统的安全策略和发展规划;
(二)落实和执行XXXXX信息安全工作的日常事务,对具体落实情况进行总结和汇报;
(三)负责安全措施的实施或组织实施,组织并参加信息安全重要事件的处理;
(四)负责内、外部组织和机构的信息安全沟通、协调和合作工作;
(五)组织编制和落实信息安全规划、方案、实施、测试和验收等工作;
(六)指导和检查相关单位信息系统安全工作落实情况;
(七)监控信息系统安全总体状况,提出安全分析报告;
(八)指导和检查相关单位和下级单位信息系统安全人员及要害岗位人员的信息安全工作;
(九)协同有关部门共同组成应急处理小组,组织处理信息安全应急响应工作;
(十)负责组织信息系统安全知识的培训和宣传工作。
第四章信息安全岗位职责
第一十二条XXXXX信息安全组织中应建立信息安全岗位,明确信息安全岗位职责。
第一十三条信息安全工作主管(信息技术中心主任)的岗位职责如下:
(一)组织、协调落实各项信息安全工作;
(二)组织评审信息安全总体策略、规划方案、管理制度和技术规范;
(三)组织评审信息安全产品技术规格和相关产品安全规格;
(四)组织监督、检查信息安全工作的落实情况。
第一十四条安全管理员(专职)的岗位职责如下:
(一)起草和编制XXXXX信息安全方针、信息安全保障体系框架和信息安全策略、制度和技术规范;
(二)起草和编制XXXXX信息安全总体规划,收集信息系统安全需求;
(三)推动XXXXX信息安全方针、信息安全策略、信息安全管理制度及信息安全技术规范的实施落实。
(四)定期组织信息系统漏洞扫描和信息安全风险评估工作,形成信息系统和整体安全现状报告,并向XXXXX网络信息安全保密领导小组办公室进行汇报;
(五)负责制定总体网络访问控制策略和规则,并对其进行监控和审计工作,定期发布策略执行情况;
(六)负责制定全员的安全培训计划,组织开展安全培训工作;
(七)对网络、系统、应用、数据库管理员进行安全指导;
(八)定期收集信息安全漏洞和公告信息,并告知相关部门的信息安全运维管理人员及安全员;
(九)协调信息安全应急响应组织和技术支撑单位。
第一十五条安全审计员的岗位职责如下:
(一)定期审计信息安全策略执行情况,收集信息系统日志和审计记录,并提供审计报告;
(二)对安全、网络、系统、应用、数据库、机房管理员的操作行为进行监督,安全职责落实情况进行检查;
(三)组织检查相关单位和下级单位信息系统安全人员及要害岗位人员的信息安全工作。
第一十六条系统管理员的安全职责如下:
(一)根据XXXXX安全策略定期对系统进行自评估;
(二)依照安全策略对系统进行安全配置和漏洞修补;
(三)对系统进行日常安全运维管理,定期更改系统账号,并定期提交安全运行维护记录或报告;
(四)在发生系统异常和安全事件时对系统进行应急处置。
第一十七条网络管理员的安全职责如下:
(一)根据XXXXX安全策略定期对网络设备、网络架构进行自评估;
(二)依照安全策略对网络设备进行安全配置;
(三)对网络设备、安全设备进行日常安全运维管理,并定期提交安全运行维护记录或报告;
(四)在发生系统异常和安全事件时,对网络设备、安全设备进行应急处置。
第一十八条数据库管理员的安全职责如下:
(一)根据XXXXX安全策略定期对数据库安全进行自评估;
(二)依照安全策略对数据库进行安全配置和漏洞修补;
(三)对数据库进行日常安全运维管理,定期检查数据库用户,并提交安全运行维护记录或报告;
(四)在发生数据库异常和安全事件时,对数据库以及备份数据进行应急处置和恢复。
第一十九条应用管理员的安全职责如下:
(一)根据XXXXX安全策略定期对应用进行自评估;
(二)依照安全策略对应用进行安全配置和漏洞修补;
(三)对应用进行日常安全运维管理,并提交安全运行维护记录或报告;
(四)在发生应用异常和安全事件时,对应用进行应急处置和恢复。
第二十条机房管理员的安全职责如下:
(一)负责机房的物资管理和日常维护工作;
(二)根据信息技术中心的要求,严格遵守工作流程,确保日常工作的正常进行;
(三)完成信息技术中心交办的其他工作。
第二十一条重要业务系统操作人员的安全职责如下:
(一)根据XXXXX安全策略对业务系统进行安全操作;
(二)负责定期对业务系统操作进行自评估,如发现非法或违反安全策略的操作应及时报告安全审计员。
第二十二条相关部门安全员的岗位职责如下:
(一)负责本部门信息安全工作的开展,并配合信息技术中心的信息安全工作;
(二)遵照XXXXX的信息安全策略协调本部门的信息安全技术落实;
(三)指导并参与信息安全相关项目的建设;
(四)协调本部门的信息安全工作,并接受数据信息技术中心定期和不定期的检查。
第五章信息安全岗位要求
第二十三条XXXXX应设立专职的信息安全管理岗位,并由专人负责,根据信息安全管理的实际工作情况,人员编制为3-6人。
第二十四条XXXXX设立专职的安全管理员。
第二十五条关键岗位应配备多人共同管理,定期轮岗,关键岗位人员配备坚持“权限分散、不得交叉覆盖”的原则,安全管理员和安全审计员不能由一人身兼。
第二十六条信息技术中心应根据岗位职责,确定岗位所需要的安全技能,并对所有信息安全岗位人员进行相应的安全技能培训。
第二十七条XXXXX信息系统的安全技术岗位可由其他相关管理员兼任,其中网络安全管理、系统安全管理、数据库安全管理以及应用安全管理工作可分别由网络管理员、系统管理员、数据库管理员以及应用管理员执行。
第二十八条重要业务系统操作人员应在日常工作中认真执行XXXXX安全策略和技术安全规范中的各项要求。
第二十九条各个业务单位的安全员应紧密配合部信息安全工作,协调本单位信息安全策略的落实和信息安全工作的具体执行。
第六章附则
第三十条本规定的解释权归XXXXX。
第三十一条本规定自发布之日起生效。
升级会员 