1、信息安全组织机构和岗位职责1 范围本制度规定了生态所信息安全组织机构及其职责。2 组织机构及职责2.1信息安全领导小组2.1.1 职责1) 贯彻落实国家及行业信息安全的方针、政策和法律法规。2) 统一领导生态所信息安全监督管理工作,规划生态所信息安全发展战略及蓝图,审议生态所信息安全保障体系建设规划,论证、评审和发布信息安全制度及策略。3) 审议生态所重大信息安全建设项目方案,协调解决信息安全建设中的重大问题。4) 审议和批准生态所信息安全重大突发事件应急预案,指挥、协调、督促并审查安全事件的处理工作。5) 定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定,也可根据情况不定
2、期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。2.2信息安全领导小组信息安全领导小组负责信息安全的日常工作。2.2.1日常管理职能1) 负责信息安全管理制度的制定。2) 负责生态所信息安全执行情况的监管。3) 负责处理生态所信息系统的重大信息安全事故,提出整改或补救措施,并监督执行。4) 负责对生态所新建设的信息技术项目进行风险评估和审核。5) 负责为信息安全应急计划提供资源保障。当信息资产受到严重威胁时,指导并监控应急计划的实施,定期召集相关人员进行应急预案的演练。6) 当发生信息安全事故时,负责现场的统筹安排和工作指导。7) 负责定期组织相关部门进行信息安全审
3、查、信息安全风险评估、信息安全业务连续性建设、信息安全防护监控等工作。8) 负责监督日常信息安全行为。9) 负责编写信息安全教育和培训计划,并监督执行。2.2.2信息安全审查管理职能1) 负责审计生态所信息安全策略的执行情况。2) 负责审计信息安全风险评估、防护监控和响应恢复的工作情况。3) 负责定期向信息安全领导小组提交信息安全审计报告。2.2.3信息安全风险评估职能1) 负责执行信息安全风险评估工作,提出切实有效的风险处置建议。2) 负责搜集、分析生态所相关的信息安全威胁,发现潜在的信息安全漏洞和风险。3) 根据国家标准建立信息系统安全等级保护体系。4) 负责对IT建设项目进行信息安全风险
4、审核,在项目立项、实施、验收各个过程中进行信息安全评估。5) 为生态所整体信息化建设,提供规划与建议。6) 负责定期进行信息安全风险评估,输出风险评估报告和整改建议。7) 负责定期向信息安全领导小组会汇报生态所信息安全风险的控制现状。2.2.4信息安全防护监控职能1) 负责落实生态所信息安全防护工作。2) 负责对生态所信息安全状况进行监控。3) 负责根据风险处置建议,改进防护监控措施,执行风险处置计划。4) 负责指导其他相关部门在运维信息系统时保证信息安全。5) 根据信息安全防护监控工作的情况,为生态所信息安全规划提供依据。6) 负责定期向信息安全领导小组会汇报生态所信息安全运行状况。2.3人
5、员岗位职责2.3.1安全主管1) 负责部门内信息安全管理工作。2) 了解安全管理机构的岗位设置及安全管理岗位人员配备情况。3) 了解被测信息系统中关键活动的授权和审批。4) 了解日常工作中的对外沟通、合作情况。5) 了解安全管理机构工作中的定期评审情况。6) 熟悉相关信息安全管理制度从制定到定期评审的相关流程。7) 了解人员安全管理程序,如人员的离岗、考核、教育和培训等。8) 了解第三方人员访问时的管理措施。9) 了解被测系统建设的流程。10) 了解被测系统的定级状况。11) 了解被测系统日常的安全管理工作。2.3.2系统建设负责人1) 负责被测信息系统建设过程的管理工作。2) 熟悉被测信息系
6、统从立项到验收的整套流程,及其建设过程中涉及到的各方面工作流程。2.3.3系统运维负责人1) 负责被测信息系统日常运行维护的整体管理工作。2) 熟悉被测系统日常运行过程中各项管理要求。3) 了解被测系统日常运行涉及到的各项工作流程。2.3.4安全管理员1) 负责系统安全策略实施状况的督导工作。2) 了解安全管理机构信息安全相关工作的实施情况及其人员安全教育情况。3) 了解被测系统日常运维过程中的安全管理情况。2.3.5资产管理员1) 负责信息安全管理机构内的信息资产的管理工作。2) 了解信息资产管理措施。3) 了解被测系统涉及到的数据存储介质的管理规定要求。4) 了解被测系统所含设备的管理相关
7、规定。5) 了解被测系统涉及的相关设备的分类管理情况。2.3.6系统管理员1) 负责被测信息系统的系统运行维护管理工作。2) 熟悉被测系统所涉及的主机系统的日常管理工作及其操作流程。2.3.7数据库管理员1) 负责被测信息系统数据库的运行维护管理工作。2) 熟悉数据库的日常管理工作及其操作流程。2.3.8网络管理员1) 负责被测信息系统相关网络的运行维护管理工作。2) 熟悉被测系统所涉及的网络设备的日常操作管理工作及其操作流程。2.3.9人事管理相关人员1) 负责信息系统安全管理机构内技术人员的录用工作。2) 熟悉机构所需人员的相关录用要求、程序。3) 了解机构所需人员录用、离岗、考核等相关事
8、宜。2.3.10安全管理制度制、修订人员1) 负责信息安全管理制度的制定工作。2) 熟悉管理制度制定的程序、规格。2.3.11安全审计员1) 负责对被测系统安全管理日志的审计工作。2) 了解被测系统的日常管理工作中设备(服务器)相关审计日志文档的管理状况。2.4关键岗位及要求关键事务岗位人员至少配备2人。表1 负责人一览表安全主管 系统建设负责人系统运维负责人安全管理员资产管理员系统管理员数据库管理员网络管理员人事管理相关人员安全管理制度制、修订人员安全审计员3 沟通和合作3.1 沟通1) 信息安全管理小组每月召开部门内部工作会议,讨论存在的信息安全问题,部署安全工作。2) 信息安全管理小组每
9、季度召开一次安全工作会议,部署安全工作的实施,并根据信息系统运行使用情况召开协调会议,共同协调处理期间的信息安全问题,针对现阶段急迫和关键的安全问题,建立短期工作计划,若发生重大信息安全事件时,应及时召开协调会议,对出现的信息安全问题进行处理。3) 每次会议详细记录会议内容、会议时间、参加人员和会议结果等内容。4) 建立组织机构内部人员联系表,增加组织内部的沟通和合作。5) 定期组织相关部门和有关安全技术专家对信息安全保障体系建设规划的合理性和正确性进行论证和审定,保存专家论证文档,详细记录评审意见。6) 定期对信息安全保障体系建设规划方案进行调整和修订,保存信息安全保障体系方案的修订记录。3.2 合作1) 加强和各兄弟单位、公安机关、电信公司、业界专家、信息安全集成及运维单位等第三方的合作与沟通,同时建立合作机制,明确合作内容和方式等并建立联系表(包括单位名称、合作内容、联系人、联系方式)等信息。6 / 6
