1.工作原则 .............................................................................................................................. 89 2.组织指挥机构与职责 .......................................................................................................... 89 3.先期处置 .............................................................................................................................. 89 4.应急处置 .............................................................................................................................. 90
4.1应急指挥 ................................................................................................................... 90 4.2应急支援 ................................................................................................................... 90 4.3信息处理 ................................................................................................................... 90 4.4应急结束 ................................................................................................................... 91 5后期处置 .............................................................................................................................. 91
5.1善后处置 ................................................................................................................... 91 5.2调查和评估 ............................................................................................................... 91
第十三章 应急预案管理 ............................................................................................................... 92
1.应急处理和灾难恢复 .......................................................................................................... 92 2.应急计划 .............................................................................................................................. 92 3.应急计划的实施保障 .......................................................................................................... 93 4.应急演练 .............................................................................................................................. 93
V
一、总则
为规范XXXXXXXXXX信息安全工作,确保全体员工理解信息安全工作与职责,并落实到日常工作中,推动信息安全保障工作的顺利进行,结合XXXXXXXXXX的实际情况,特制定本制度。
本管理制度所称信息系统安全,包括计算机网络和应用系统(以下简称信息系统)的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。
信息系统安全管理坚持“谁主管谁负责”的原则,公司的所有部门和员工都应各自履行相关的信息系统安全建设和管理的义务与责任。
信息系统安全工作的总体目标是:实施信息系统安全等级保护,建立健全先进实用、完整可靠的信息系统安全体系,保证系统和信息的完整性、真实性、可用性、保密性和可控性,保障信息化建设和应用,支撑公司业务持续、稳定、健康发展。
信息系统安全体系建设必须坚持“统一标准、保障应用、符合法规、综合防范、集成共享”的原则。
本制度适用于公司所有部门和个人。
1
二、安全管理制度
第一章 管理制度
1.安全组织结构
XXXXXXXXXX安全管理组织应形成由主管领导牵头的信息安全领导小组、具体信息安全职能部门负责日常工作的组织模式,组织结构图如下所示:
组 织 机 构 图
1.1信息安全领导小组职责
信息安全领导小组是由XXXXXXXXXX主管领导牵头,各部门的负责人为组成成员的组织机构,主要负责批准XXXXXXXXXX安全策略、分配安全责任并协调安全策略能够实施,确保安全管理工作有一个明确的方向,从管理和决策层角度对信息安全管理提供支持。信息安全领导小组的主要责任如下: (一) 确定网络与信息安全工作的总体方向、目标、总体原则和安全工作方法; (二) 审查并批准政府的信息安全策略和安全责任; (三) 分配和指导安全管理总体职责与工作;
(四) 在网络与信息面临重大安全风险时,监督控制可能发生的重大变化; (五) 对安全管理的重大更改事项(例如:组织机构调整、关键人事变动、信 息系统更改等)进行决策;
(六) 指挥、协调、督促并审查重大安全事件的处理,并协调改进措施; (七) 审核网络安全建设和管理的重要活动,如重要安全项目建设、重要的安 全
2
管理措施出台等;
(八) 定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进 行审定。
1.2 信息安全工作组职责
信息安全工作组是信息安全工作的日常执行机构,内设专职的安全管理组织和岗位,负责日常具体安全工作的落实、组织和协调。信息安全工作组的主要职责如下:
(一) 贯彻执行和解释信息安全领导小组的决议; (二) 贯彻执行和解释国家主管机构下发的信息安全策略;
(三) 负责组织和协调各类信息安全规划、方案、实施、测试和验收评审会议; (四) 负责落实和执行各类信息安全具体工作,并对具体落实情况进行总 结和汇报;
(五) 负责内外部组织和机构的沟通、协调和合作工作; (六) 负责制定所有信息安全相关的管理制度和规范;
(七) 负责针对信息安全相关的管理制度和规范具体落实工作进行监督、 检查、考核、指导及审批,例如现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。
以上组织结构和职责通过《信息安全组织职责体系》加以说明。
1.3信息安全岗位
为了有效落实信息安全各项工作,XXXXXXXXXX应设立以下专职的安全岗位,负责安全工作的落实和执行: 1.3.1信息安全工作组主管
1) 负责网络与信息安全的日常整体协调、管理工作;
2) 负责组织人员制定信息安全管理制度,并对管理制度进行推广、培训和 指导; 3) 负责重大安全事件的具体协调和沟通工作。 1.3.2安全管理员岗位
1) 负责执行网络与信息安全工作的日常协调、管理工作;
2) 负责日常的安全监控管理,并对上报和发现的各类安全事件进行响应; 3) 负责系统、网络和应用安全管理的协调和技术指导;
3
4) 负责安全管理平台安全策略制定,访问控制策略审核; 5) 负责组织安全管理制度的推广和培训工作;
6) 负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据 备份等情况。
1.3.3安全审计员岗位
1) 负责安全管理制度落实情况的检查、监督和指导; 2) 负责安全策略执行情况的审核。 1.3.4系统管理员
1) 负责系统安全稳定运行的日常管理工作;
2) 负责保持系统的防病毒系统、补丁等保持最新,定期对系统进行安全加 固,保持系统漏洞最小化。 1.3.5网络管理员
1) 负责网络设备安全稳定运行的日常管理工作;
2) 负责保持网络设备的漏洞最小化,定期对系统进行安全加固; 3) 负责保持网络路由和交换策略与业务需求保护一致。
4)XXXXXXXXXX应根据日常的运行维护和管理工作,设置物理环境管理 、数据库管理、应用管理以及资产管理等岗位,这些岗位也应当包括安全职 责,这些安全职责的具体内容通过《信息安全管理岗位说明书》落实。
2.安全管理制度 2.1安全管理制度体系
XXXXXXXXXX安全管理制度应建立信息安全方针、安全策略、安全管理制度、安全技术规范以及流程的一套信息安全管理制度体系。
4