XX公司信息安全保障体系.docx

XX公司信息安全保障体系-信息安全组织体系信息安全保障体系组织体系- 1 -组织体系 1范围本标准规定了公司内部安全保障体系组织 架构的要求，包括人员组成，责任和要求本标准适用于公司，各厂应依据本标准制订适用的标准2 规范性引用文件 下列文件中的条款通过本标准的引用而成 为本标准的条款凡是注版本（日期）的引用文件，其随后所有 的修改单（不包括勘误的内容）或修订版均不适用于本标准，然 而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的 最新版本凡是不注版本（日期）的引用文件，其最新版本适用 于本标准3 术语和定义 无4 职责 4.1信息中心负责公司整体信息安全保障体系组织建 设4.2 各厂负责在授权范围内开展安全组织建设，负责本单位 信息安全日常管理、监督5 信息安全管理组织架构 在组织架构方面，应依托企业现有 的组织体系，赋予各层面的组织和个人以安全职责，使原有的组织架构具有信息安全的管理职能，同时应对企业安全管理的三层组织结构：决策层、管理层和执行层的机构建立、安全目标、岗 位设置、安全职责进行确定，组织架构的建立和充分发挥职能是 整个系统安全的前提和基础决策层管理层业务安全决策安全战略规划安全绩效考核信息 安全领导小组信息安全管理部门安全管理系统安全工程安全绩效 管理信息安全执行部门实施与运作运行管理安全审计实施执行层图 1 信息安全管理组织架构层次图 组织架构企业本部企业下属各厂- 3 -决策层公司信息化建设主管领导 各厂信息化建设主管领导 管理层公司信息、办公室、财务、营销、人事、技术等各部门负责人 各厂信息、财务、生产、人事等业务部门负责人 执行层公司具体负责信息系统管理和信息安全管理工作的技术人员 及相关部门的专职（或兼职）信息安全员 各厂具体负责信息系统 管理和信息安全管理工作的技术人员及相关部门的专职（或兼 职）信息安全员图 2 信息安全管理组织架构细化表6 信息安全组织架构各层职责说明 6.1决策机构 信息安全 决策机构处于安全组织机构的第一个层次，是企业公司信息安全 工作的最高管理机构，按照国家和国家局的方针、政策和要求， 对企业公司信息安全进行统一领导和管理。

其主要职责包括：1） 领导和督促全企业公司范围的信息安全工作； 2）制定企 业公司信息安全战略、方针和政策，确定企业公司信息安全发展 方向和目标； 3）为信息安全提供所需的资源； 4）批准整个组 织内信息安全特定角色和职责的分配； 5）建立企业公司的总体 安全规划方案； 6） 制定企业公司统一的安全策略体系； 7）审 批企业公司重大的信息安全活动； 8） 重大技术事项或突发紧急 问题的协调处理和事后调查仲裁等； 9）审批信息安全项目及安 全产品的采购申请； 10）审阅下级的重要工作汇报和意见，并及 时反馈批复意见； 11） 监督管理层信息安全工作的管理和执行情 况，协调管理队伍之间的关系； 12）负责组织企业公司范围的信 息安全事件的调查，并听取相关汇报； 13）定期组织会议，了解 企业公司信息系统的整体安全现状，讨论提高安全水平的整改措 施14） 启动计划和程序来保持信息安全意识； 15）信息安全领 导小组应定期组织信息安全巡检和评审工作6.2 管理机构 信息安全管理机构处于安全组织机构的第二个 层次，在决策机构的领导下，负责组织制订信息安全保障体系建 设规划，以及信息安全的管理、监督、检查、考核等工作。

日常 的信息安全管理工作主要由信息化工作部门负责其主要职责包括：1) 根据决策层总体安全规划制定系统安全建设的详细安全计 划并组织实施； 2) 根据决策层统一的安全策略制定并落实信息 安全管理制度； 3) 监督和指导执行层信息安全工作的贯彻和实 施； 4)组织技术人员和普通员工的安全技术交流与培训； 5) 参与信息系统相关的新工程建设和新业务开展的方案论证，并提 出安全方面的相应- 4 -建议； 6)在信息系统相关的工程验收时，对信息安全方面 的验收测试方案进行审查并参与验收； 7)组织相关安全员定期 进行信息安全巡检； 8)负责组织范围内的信息安全事件调查， 并听取相关汇报； 9) 审阅执行层的重要工作汇报和意见，并及 时反馈批复意见； 10) 定期组织会议，了解管辖系统的整体安全 现状，讨论提高安全水平的整改措施； 6.3执行机构 信息安全 执行机构处于信息安全组织机构的第三个层次，在管理层的领导 下，负责保证信息安全技术体系的有效运行及日常维护，通过具 体技术手段落实安全策略，消除安全风险，以及发生安全事件后 的具体响应和处理主要职责包括：1) 学习和执行企业公司制定的各项信息安全管理策略、制 度、规范和指南； 2) 企业公司信息安全规划、管理制度的落实 和执行工作； 3)直接负责管理范围内各业务系统的安全管理和 维护工作； 4）参与检查与国家信息安全相关的法律、法规、规 章、标准等的符合性，参与企业公司安全方案的规划、设计； 5） 具体安全项目的实施与支持； 6）根据管理层安全规划制定系统 安全建设的详细安全计划并组织实施； 7）监督和指导管理范围 内信息安全工作的贯彻和实施； 8）组织内部的安全技术交流与 培训； 9）参与管理范围内工程建设和业务开展的方案论证，并 提出相应的安全方面的建议； 10）提出的网络安全整改意见，提 交管理层审批； 11） 向管理层定期汇报系统当前安全现状以及安 全事件的处理情况； 7安全职责的分配 为明确安全责任，划分 （界定）安全管理与具体执行之间的工作职责，公司必须建立安 全责任制度。

安全责任分配的基本原则是“谁主管，谁负责”公司拥有 的每项网络与信息资产，必须根据资产归属确定“责任人” “责任人”对资产安全保护负有完全责任责任人”可以是个 人或部门，但“责任人”是部门时，应由该部门领导实际负责责任人”可以将具体的执行工作委派给“维护人”，但 “责任人”仍然必须承担资产安全的最终责任因此“责任人” 应明确规定“维护人”的工作职责，并定期检查“维护人”是否 正确履行了安全职责维护人”可以是个人或部门，也可以是 外包服务提供商当“维护人”是部门时，应由该部门领导实际 负责安全工作人员的职责是指导、监督、管理、考核“责任人” 的安全工作，不能替代“责任人”对具体网络与信息资产进行安 全保护在资产的安全保护工作中，应重点关注以下内容：a) 应清楚地说明每个独立的网络与信息系统所包含的各种资 产和相应的安全保护流程b) “责任人”与“维护人”都应明确接受其负责的安全职责 和安全保护流程，并对该职责的详细内容记录在案 5 -c) 所有授权的内容和权限应当被明确规定，并记录在案8职责分散与隔离 职责分隔(Segrega tion of Du ties)是 一种减少偶然或故意行为造成安全风险的方法。

公司应分散某些 任务的管理、执行及职责范围，以减少误用或滥用职责带来风险 的概率例如关键数据修改的审批与制作必须分开在无法实现职责充分分散的情况下，应采取其他补偿控制措 施并记录在案例如：活动监控、检查审计跟踪记录以及管理监 督等为避免串通勾结等欺诈活动，公司应尽量隔离相应职责，并 增加执行和监督人员，以降低串通的可能性9 安全信息的获取和发布 信息技术的发展日新月异，安全工 作愈发复杂和困难公司必须建立有效可靠的渠道，获取安全信 息，不断推进安全工作例如：a) 从内部挑选经验丰富的安全管理和技术人员，组成内部专 家组，制定安全解决方案，参与安全事件处理，解决实际安全问 题，提供预防性建议等为使内部专家组的工作更具成效，应允 许他们直接接触公司的管理层b) 与设备提供商、安全服务商等外部安全专家保持紧密联 系，听取他们的安全建议c) 从一些公开的信息渠道获取安全信息，例如专业出版物、 定期公告等企业权威的安全信息发布机构为公司信息中心公司负责收 集和整理并向各厂信息部门发布安全信息；各厂负责厂内发布和 信息上报10 加强与外部组织之间的协作 公司应加强与国家安全机 关、行业监管部门、其他运营商和信息服务提供商等外部组织的 联系，并建立协作流程，以便在出现安全事件时，尽快获取信 息、采取措施。

公司在加入安全组织或与其他组织进行交流时，应对信息交 换予以严格限制，以确保公司信息的保密性11 安全审计的独立性 安全审计是从管理和技术两个方面检 查公司的安全策略和控制措施的执行情况，发现安全隐患的过 程安全审计的独立性是指审计方与被审计方应保持相对独立， 即不能自己审计自己的工作，以确保审计结果的公正可靠安全审计可由公司内部审计组织，或外聘的专业审计机构完成审计人员应接受审计培训，掌握一定的技能和经验当采用外聘审计机构时，应充分考虑其风险，并采取相应的控制措施。