当前位置:文档之家› 组织架构与岗位职责

组织架构与岗位职责

“信息中心信息安全管理组织架构与岗位职责”编制说明《信息中心信息安全管理组织架构与岗位职责》是信息中心信息安全管理体系框架中的文档之一,这个文档是依据《信息中心信息安全总体策略》的相关要求编写,目的是为了初步建立信息中心信息安全管理岗位,明确信息安全管理人员的职责。

本《信息中心信息安全管理组织架构与岗位职责》文档共包括二章内容,第一章为管理角色与职责,描述了信息中心信息安全管理组织架构,以及主要的信息安全管理角色与职责;第二章为管理岗位及设置原则,示例列出信息中心主要信息安全管理岗位,并描述了信息中心信息安全管理岗位设置原则。

信息中心信息安全管理组织架构与岗位职责制定:审核:批准:信息中心二〇一六年十二月目录一、信息中心信息安全管理组织架构与角色职责 (4)1.1 信息安全领导小组 (5)1.2 信息安全领导小组办公室 (5)1.3 信息安全管理小组 (6)安全管理员 (6)主机系统管理员 (6)网络管理员 (7)系统平台管理员 (7)应用管理员 (7)安全审计员 (8)病毒防护员 (8)密钥管理员 (8)资产管理员 (8)机房管理员 (8)人事管理人员 (8)安全协调人员 (9)安全法律顾问 (9)1.4 信息安全执行小组 (9)二、信息中心信息安全管理岗位及设置原则 (9)2.1 信息安全管理岗位 (9)安全管理员岗位 (9)网络系统管理员岗位 (9)应用管理员岗位 (10)2.2 安全岗位设置原则 (10)多人负责原则 (10)任期有限原则 (10)职责分离原则 (10)工作分开原则 (11)权限随岗原则 (11)一、信息中心信息安全管理组织架构与角色职责为有效实施信息安全管理,保障和实施信息中心的信息安全,在信息中心内部应该建立自己的信息安全管理组织架构。

信息安全管理组织架构是实施系统安全,进行安全管理的必要保证。

根据信息中心编制体系现状以及人员结构,具体的信息安全组织架构和岗位设置如下:信息中心信息安全管理组织架构与岗位(注:信息安全领导小组、信息安全领导小组办公室和信息安全管理小组及执行小组为垂直管理结构)1.1 信息安全领导小组信息安全是信息中心工作人员必须共同承担的责任,一般来说,各级系统首先应建立信息安全领导小组。

信息安全领导小组是各级系统信息安全工作的最高领导决策机构,它不隶属于任何部门,直接对信息中心最高领导负责,信息安全领导小组是一个常设机构,负责信息中心信息安全工作的宏观管理。

信息安全领导小组负责组织落实上层决策,并领导信息中心位信息安全工作。

信息安全领导小组的职责是:信息安全领导小组负责领导落实信息中心信息系统安全建设的总体规划,并监督信息安全管理小组安全工作规划的制定与实施;在信息中心系统信息安全总体方针的指导下,负责组织制定信息中心信息系统安全策略并审批信息安全管理小组上报的信息系统安全策略;负责组织细化上级规章制度,制定相应程序指南,并监督落实规章制度;负责信息中心信息系统安全管理层以上的人员权限授予工作;负责审阅信息安全工作报告;负责信息中心重大安全事故查处与汇报工作。

1.2 信息安全领导小组办公室信息安全领导小组下设信息安全领导小组办公室,信息安全领导小组办公室成员由信息中心信息安全相关的若干管理部门人员组成。

各个部门应与信息中心信息中心协作,共同对信息系统的建设和运行维护承担管理责任。

信息安全领导小组办公室主要职责如下:1、承办领导小组的日常事务,负责组织制定和实施信息安全策略和管理制度。

2、负责组织制定和实施信息安全技术方案。

3、负责组织实施信息安全运行监控与审计。

4、负责组织进行信息安全教育培训。

5、负责组织制度落实情况检查及责任追究和奖励工作。

6、负责组织信息安全档案的建立与管理。

1.3 信息安全管理小组信息安全管理小组负责信息系统建设和运行维护过程中信息安全管理的具体执行工作,具体包含的岗位和职责的描述如下。

安全管理员1、负责组织建立、实施和维护信息安全策略、标准、规章制度和各项操作流程。

2、负责对安全产品购置提供建议,组织制定各种安全产品策略与配置规则,并跟踪安全产品投产后的使用情况。

3、负责指导并监督系统管理员(包括主机系统管理员、网络管理员、数据库管理员和应用管理员等)及普通用户与安全相关的工作。

4、负责组织信息系统的安全风险评估工作,并定期进行系统漏洞扫描,形成安全评估报告。

5、根据信息中心的信息安全需求,定期提出有关信息安全改进意见,并上报信息安全领导小组办公室。

6、定期查看信息安全站点的安全公告,跟踪和研究各种信息安全漏洞和攻击手段,在发现可能影响信息安全的安全漏洞和攻击手段时,及时做出相应的对策,通知并指导系统管理员进行安全防范。

7、负责组织审议各种安全方案、安全审计报告、应急计划以及整体安全管理制度。

8、负责参与安全事故调查。

主机系统管理员1、负责主机操作系统的安全配置(包括及时修补系统漏洞)和日常审计,系统应用软件的安装,从系统层面实现对用户与资源的访问控制。

2、协助安全管理员制定主机操作系统的安全配置规则,并落实执行。

3、负责主机设备的日常管理与维护,保持系统处于良好的运行状态。

4、为安全审计员提供完整、准确的主机系统运行活动的日志记录。

5、在主机系统异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并及时上报。

6、编制主机设备的维修、报损、报废计划,报主管领导审核。

网络管理员1、负责网络的部署以及网络产品、网络安全产品的配置、管理与监控,并对关键网络配置文件进行备份,及时修补网络设备的漏洞。

2、协助安全管理员制定网络设备安全配置规则,并落实执行。

3、为安全审计员提供完整、准确地记录重要网络设备和网站运行活动的运行日志。

4、在网络及设备异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并及时上报。

5、编制网络设备的维修、报损、报废等计划,报主管领导审核。

系统平台管理员1、对数据库系统、中间件系统进行安全配置,修补已发现的漏洞。

2、负责数据库系统、中间件系统的用户账号管理,对系统中所有的用户进行登记备案;对数据库系统、中间件系统的用户口令的安全性进行管理;对数据库系统、中间件系统登录用户进行监测和分析。

3、负责业务数据及系统其它重要数据的备份与备份数据管理工作。

4、负责应用程序及中间件系统其它重要数据的备份与备份数据管理工作。

5、为安全审计员提供完整、准确的数据库系统、中间件系统运行活动的日志记录,详细记载发生异常时的现象、时间和处理方式,并及时上报。

5、在发生安全问题导致数据或应用程序损坏或丢失时,进行数据或应用程序的恢复。

6、根据业务发展的需求,提交数据存储介质购买或存储系统扩容计划。

应用管理员1、对业务应用系统进行安全配置;督促软件开发商提供补丁来修补已发现的漏洞。

2、对业务应用系统的用户、口令的安全性进行管理;对业务应用系统的登录用户进行监测和分析。

3、负责提出数据的备份要求,制定数据备份策略,督促数据库管理员按照备份方案按时完成,并恢复所需数据。

4、实施系统软件版本管理,应用软件备份和恢复管理。

安全审计员1、负责定期对主机系统、网络产品、应用系统的日志文件进行分析审计,发现问题及时上报。

2、负责对信息安全保障管理活动进行独立的监督,提供内部独立的审计和评估工作,并根据需要可以协同外部审计评估机构进行评估和认证,为决策领导提供信息系统和信息安全保障执行状况的客观评价。

病毒防护员1、协助安全管理员制定病毒防范操作规程。

2、负责执行和监督整个系统全面的杀毒工作。

3、定时升级网络杀毒软件的病毒库,监督个人杀毒软件的升级工作。

4、实时监控重要业务系统和数据的安全,杜绝非法开放的病毒入侵途径,降低病毒侵害的影响。

5、及时报告上级部门病毒入侵和感染情况,提供感染频率高和严重性强的病毒的有效解决方案。

密钥管理员负责信息传输、认证密钥的管理以及加密机的操作。

资产管理员负责信息中心部门全部资产的采购、登记、分发、回收、废弃等管理。

机房管理员1、负责制定和执行适当的物理安全控制;2、主要负责非技术性的、常规的安全工作,如信息处理场地的保卫,办公室安全,验证出人信息中心的手续和多项规章制度的落实。

人事管理人员1、协助安全主管确定某个职位是否需要进行安全背景调查。

2、负责为人员离开本单位时提供与安全相关的离职规程。

安全协调人员负责安全项目、安全问题、安全事件、安全工作的组织协调。

安全法律顾问负责信息中心与外单位签署安全服务合同的法律咨询工作。

1.4 信息安全执行小组信息安全执行小组的主要职责如下:1、配合信息中心的信息安全策略和各项信息安全规章制度在本部门的实施。

2、配合对信息中心信息安全状况的定时检查;当出现安全事件时,配合相关的调查和整改工作。

3、对本部门发生的安全事件及时报告。

4、提出本部门的信息安全需求。

5、宣传信息安全策略、标准、步骤,帮助本部门人员实施信息安全要求。

二、信息中心信息安全管理岗位及设置原则2.1 信息安全管理岗位根据信息中心信息安全管理角色与职责,相应地,信息中心组织机构内需要设置信息安全管理岗位,信息安全管理小组应根据本文档结合全院的具体情况指导全院内的岗位分工和各岗位安全职责,从而进行具体的设置。

安全管理员岗位安全管理员岗位可以是安全管理员角色和安全审计员角色的组合,同时,根据具体需要,可以兼任病毒管理员和密钥管理员的角色。

也可以根据具体情况,设置多个安全管理员岗位。

网络系统管理员岗位网络系统管理员岗位可以是主机系统管理员角色和网络管理员角色的组合,同时,根据具体需要,可以兼任资产管理员的角色。

也可以根据具体情况,设置多个网络系统管理员岗位。

应用管理员岗位应用管理员岗位可以是系统平台管理员角色和应用管理员角色的组合。

也可以根据具体情况,设置多个应用管理员岗位。

对于其他的安全角色需要设置的岗位,可以由相关安全职能部门的人员兼任,也可以单独设置岗位。

2.2 安全岗位设置原则为确保信息中心信息系统的安全,须加强人事安全管理,提高信息安全管理人员的技术水平和安全意识,同时在人员岗位的设置方面要遵循以下原则。

多人负责原则对一些有较高密级的与安全有关的活动,都必须有两人或多人在场。

工作人员必须由主管领导指派,且忠诚可靠,能胜任工作;工作人员应该认真记录签署工作情况,以证明安全工作已得到保障。

上述所指与安全有关的活动包括:硬件和软件的维护;系统软件的设计、实现和维护;处理保密信息;系统用媒介的发放与回收;访问控制用证件的发放与回收;重要程序和数据的删除和销毁等。

任期有限原则决不能由一人长期担任安全管理职务。

对一些重要安全岗位的工作人员应该不定期循环任职,强制实行轮换、休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。

职责分离原则非经主管领导批准,任何信息系统的工作人员都不得打听、了解或参与其职责以外的任何与系统安全有关的事情。

相关主题