XX公司信息安全保障体系-信息安全组织体系

　 信息安全保障体系

　组织体系

　- 1 -

　- 2 -

　 组织体系 1 范围 本标准规定了公司内部安全保障体系组织架构的要求，包括人员组成，责任和要求。

　本标准适用于公司，各厂应依据本标准制订适用的标准。

　2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注版本（日期）的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注版本（日期）的引用文件，其最新版本适用于本标准。

　3 术语和定义 无。

　4 职责 4.1 信息中心负责公司整体信息安全保障体系组织建设。

　4.2 各厂负责在授权范围内开展安全组织建设，负责本单位信息安全日常管理、监督。

　5 信息安全管理组织架构 在组织架构方面，应依托企业现有的组织体系，赋予各层面的组织和个人以安全职责，使原有的组织架构具有信息安全的管理职能，同时应对企业安全管理的三层组织结构：决策层、管理层和执行层的机构建立、安全目标、岗位设置、安全职责进行确定，组织架构的建立和充分发挥职能是整个系统安全的前提和基础。

　决策层管理层业务安全决策安全战略规划安全绩效考核信息安全领导小组信息安全管理部门安全管理系统安全工程安全绩效管理信息安全执行部门实施与运作运行管理安全审计实施执行层

　图 1 信息安全管理组织架构层次图 组织架构

　企业本部

　企业下属各厂

　- 3 -

　决策层

　公司信息化建设主管领导 各厂信息化建设主管领导 管理层

　公司信息、办公室、财务、营销、人事、技术等各部门负责人 各厂信息、财务、生产、人事等业务部门负责人 执行层

　公司具体负责信息系统管理和信息安全管理工作的技术人员及相关部门的专职（或兼职）信息安全员 各厂具体负责信息系统管理和信息安全管理工作的技术人员及相关部门的专职（或兼职）信息安全员

　图 2 信息安全管理组织架构细化表

　6 信息安全组织架构各层职责说明 6.1 决策机构 信息安全决策机构处于安全组织机构的第一个层次，是企业公司信息安全工作的最高管理机构，按照国家和国家局的方针、政策和要求，对企业公司信息安全进行统一领导和管理。

　其主要职责包括：

　1) 领导和督促全企业公司范围的信息安全工作； 2) 制定企业公司信息安全战略、方针和政策，确定企业公司信息安全发展方向和目标； 3) 为信息安全提供所需的资源； 4) 批准整个组织内信息安全特定角色和职责的分配； 5) 建立企业公司的总体安全规划方案； 6) 制定企业公司统一的安全策略体系； 7) 审批企业公司重大的信息安全活动； 8) 重大技术事项或突发紧急问题的协调处理和事后调查仲裁等； 9) 审批信息安全项目及安全产品的采购申请； 10) 审阅下级的重要工作汇报和意见，并及时反馈批复意见； 11) 监督管理层信息安全工作的管理和执行情况，协调管理队伍之间的关系； 12) 负责组织企业公司范围的信息安全事件的调查，并听取相关汇报； 13) 定期组织会议，了解企业公司信息系统的整体安全现状，讨论提高安全水平的整改措施。

　14) 启动计划和程序来保持信息安全意识； 15) 信息安全领导小组应定期组织信息安全巡检和评审工作。

　6.2 管理机构 信息安全管理机构处于安全组织机构的第二个层次，在决策机构的领导下，负责组织制订信息安全保障体系建设规划，以及信息安全的管理、监督、检查、考核等工作。日常的信息安全管理工作主要由信息化工作部门负责。

　其主要职责包括：

　1) 根据决策层总体安全规划制定系统安全建设的详细安全计划并组织实施； 2) 根据决策层统一的安全策略制定并落实信息安全管理制度； 3) 监督和指导执行层信息安全工作的贯彻和实施； 4) 组织技术人员和普通员工的安全技术交流与培训； 5) 参与信息系统相关的新工程建设和新业务开展的方案论证，并提出安全方面的相应

　- 4 -

　建议； 6) 在信息系统相关的工程验收时，对信息安全方面的验收测试方案进行审查并参与验收； 7) 组织相关安全员定期进行信息安全巡检； 8) 负责组织范围内的信息安全事件调查，并听取相关汇报； 9) 审阅执行层的重要工作汇报和意见，并及时反馈批复意见； 10) 定期组织会议，了解管辖系统的整体安全现状，讨论提高安全水平的整改措施； 6.3 执行机构 信息安全执行机构处于信息安全组织机构的第三个层次，在管理层的领导下，负责保证信息安全技术体系的有效运行及日常维护，通过具体技术手段落实安全策略，消除安全风险，以及发生安全事件后的具体响应和处理。

　主要职责包括：

　1) 学习和执行企业公司制定的各项信息安全管理策略、制度、规范和指南； 2) 企业公司信息安全规划、管理制度的落实和执行工作； 3) 直接负责管理范围内各业务系统的安全管理和维护工作； 4) 参与检查与国家信息安全相关的法律、法规、规章、标准等的符合性，参与企业公司安全方案的规划、设计； 5) 具体安全项目的实施与支持； 6) 根据管理层安全规划制定系统安全建设的详细安全计划并组织实施； 7) 监督和指导管理范围内信息安全工作的贯彻和实施； 8) 组织内部的安全技术交流与培训； 9) 参与管理范围内工程建设和业务开展的方案论证，并提出相应的安全方面的建议； 10) 提出的网络安全整改意见，提交管理层审批； 11) 向管理层定期汇报系统当前安全现状以及安全事件的处理情况；

　7 安全职责的分配 为明确安全责任，划分（界定）安全管理与具体执行之间的工作职责，公司必须建立安全责任制度。

　安全责任分配的基本原则是“谁主管，谁负责”。公司拥有的每项网络与信息资产，必须根据资产归属确定“责任人”。“责任人”对资产安全保护负有完全责任。“责任人”可以是个人或部门，但“责任人”是部门时，应由该部门领导实际负责。

　“责任人”可以将具体的执行工作委派给“维护人”，但“责任人”仍然必须承担资产安全的最终责任。因此“责任人”应明确规定“维护人”的工作职责，并定期检查“维护人”是否正确履行了安全职责。“维护人”可以是个人或部门，也可以是外包服务提供商。当“维护人”是部门时，应由该部门领导实际负责。

　安全工作人员的职责是指导、监督、管理、考核“责任人”的安全工作，不能替代“责任人”对具体网络与信息资产进行安全保护。

　在资产的安全保护工作中，应重点关注以下内容：

　a) 应清楚地说明每个独立的网络与信息系统所包含的各种资产和相应的安全保护流程。

　b) “责任人”与“维护人”都应明确接受其负责的安全职责和安全保护流程，并对该职责的详细内容记录在案。

　- 5 -

　c) 所有授权的内容和权限应当被明确规定，并记录在案。

　8 职责分散与隔离 职责分隔（Segregation of Duties）是一种减少偶然或故意行为造成安全风险的方法。公司应分散某些任务的管理、执行及职责范围，以减少误用或滥用职责带来风险的概率。例如关键数据修改的审批与制作必须分开。

　在无法实现职责充分分散的情况下，应采取其他补偿控制措施并记录在案。例如：活动监控、检查审计跟踪记录以及管理监督等。

　为避免串通勾结等欺诈活动，公司应尽量隔离相应职责，并增加执行和监督人员，以降低串通的可能性。

　9 安全信息的获取和发布 信息技术的发展日新月异，安全工作愈发复杂和困难。公司必须建立有效可靠的渠道，获取安全信息，不断推进安全工作。例如：

　a) 从内部挑选经验丰富的安全管理和技术人员，组成内部专家组，制定安全解决方案，参与安全事件处理，解决实际安全问题，提供预防性建议等。为使内部专家组的工作更具成效，应允许他们直接接触公司的管理层。

　b) 与设备提供商、安全服务商等外部安全专家保持紧密联系，听取他们的安全建议。

　c) 从一些公开的信息渠道获取安全信息，例如专业出版物、定期公告等。

　企业权威的安全信息发布机构为公司信息中心。公司负责收集和整理并向各厂信息部门发布安全信息；各厂负责厂内发布和信息上报。

　10 加强与外部组织之间的协作 公司应加强与国家安全机关、行业监管部门、其他运营商和信息服务提供商等外部组织的联系，并建立协作流程，以便在出现安全事件时，尽快获取信息、采取措施。

　公司在加入安全组织或与其他组织进行交流时，应对信息交换予以严格限制，以确保公司信息的保密性。

　11 安全审计的独立性 安全审计是从管理和技术两个方面检查公司的安全策略和控制措施的执行情况，发现安全隐患的过程。

　安全审计的独立性是指审计方与被审计方应保持相对独立，即不能自己审计自己的工作，以确保审计结果的公正可靠。

　安全审计可由公司内部审计组织，或外聘的专业审计机构完成。审计人员应接受审计培训，掌握一定的技能和经验。当采用外聘审计机构时，应充分考虑其风险，并采取相应的控制措施。

相关热词搜索：信息安全 保障体系 体系