第一條 總則
爲規範山東中呼信息科技有限公司(以下(xià)簡稱“本公司”)信息安全管理(lǐ)工作,建立自上而下(xià)的(de)信息安全工作管理(lǐ)體系,建立健全相應的(de)組織管理(lǐ)體系,以推動信息安全工作的(de)開展。
第二條 範圍
本管理(lǐ)辦法适用(yòng)于公司的(de)信息安全組織機構和(hé)重要崗位的(de)管理(lǐ)。
第三條 規範性引用(yòng)文件
下(xià)列文件中的(de)條款通(tōng)過本标準的(de)引用(yòng)而成爲本标準的(de)條款。凡注明(míng)日期的(de)引用(yòng)文件,其随後所有的(de)修改單或修訂版本均不适用(yòng)于本标準(不包括勘誤、通(tōng)知單),然而,鼓勵根據本标準達成協議(yì)的(de)各方研究是否可(kě)使用(yòng)這(zhè)些文件的(de)最新版本。凡未注明(míng)日期的(de)引用(yòng)文件,其最新版本适用(yòng)于本标準。
《信息安全技術信息系統安全保障評估框架》(GB/T 20274.1-2006)
《信息安全技術信息系統安全管理(lǐ)要求》(GB/T 20269-2006)
《信息安全技術信息系統安全等級保護基本要求》(GB/T 22239-2008)
第四條 組織機構
1. 公司成立信息安全領導小組,是信息安全的(de)最高(gāo)決策機構,下(xià)設辦公室,負責信息安全領導小組的(de)日常事務。
2. 信息安全領導小組負責研究重大(dà)事件,落實方針政策和(hé)指定總體策略等。職責包括:
1) 根據國家和(hé)行業有關信息安全的(de)政策、法律和(hé)法規,批準公司信息安全總體策略規劃、管理(lǐ)規範和(hé)技術标準;
2) 确定公司信息安全各有關部門工作職責,指導、監督信息安全工作。
3. 信息安全領導小組下(xià)設兩個(gè)工作組:信息安全工作組、應急處理(lǐ)工作組。組長(cháng)均由公司負責人(rén)擔任。
4. 信息安全工作組的(de)主要職責包括:
1) 貫徹執行公司信息安全領導小組的(de)決議(yì),協調和(hé)規範公司信息安全工作;
2) 根據信息安全領導小組的(de)工作部署,對(duì)信息安全工作進行具體安排、落實;
3) 組織對(duì)重大(dà)的(de)信息安全工作制度和(hé)技術操作策略進行審查,拟定信息安全總體策略規劃,并監督執行;
4) 負責協調、督促各職能部門和(hé)有關單位的(de)信息安全工作,參與信息系統工程建設中的(de)安全規劃、監督安全措施的(de)執行;
5) 組織信息安全工作檢查,分(fēn)析信息安全總體狀況,提出分(fēn)析報告和(hé)安全風險的(de)防範對(duì)策;
6) 負責接受各單位的(de)緊急信息安全事件報告,組織進行事件調查,分(fēn)析原因、涉及範圍,并評估安全事件的(de)嚴重程度,提出信息安全事件防範措施;
7) 及時(shí)向信息安全工作領導小組和(hé)上級有關部門、單位報告信息安全事件。
8) 跟蹤先進的(de)信息安全技術,組織信息安全知識的(de)培訓和(hé)宣傳工作。
5. 應急處理(lǐ)工作組的(de)主要職責包括:
1) 審定公司網絡與信息系統的(de)安全應急策略及應急預案;
2) 決定相應應急預案的(de)啓動,負責現場(chǎng)指揮,并組織相關人(rén)員(yuán)排除故障,回複系統;
3) 每年組織對(duì)信息安全應急策略和(hé)應急預案進行測試和(hé)演練。
4) 公司指定分(fēn)管信息的(de)領導負責本單位信息安全管理(lǐ),并配備信息安全技術人(rén)員(yuán),有條件的(de)應設置信息安全工作小組或辦公室,對(duì)公司信息安全領導小組和(hé)工作小組負責,落實本單位信息安全工作和(hé)應急處理(lǐ)工作。
第五條 關鍵崗位
1. 設置信息系統的(de)關鍵工位并加強管理(lǐ),配備系統管理(lǐ)員(yuán)、網絡管理(lǐ)員(yuán)、應用(yòng)開發管理(lǐ)員(yuán)、安全審計員(yuán)、安全保密管理(lǐ)員(yuán),要求五人(rén)各自獨立。要害崗位人(rén)員(yuán)必須要個(gè)遵守保密法違和(hé)有關信息安全管理(lǐ)規定。
2. 系統管理(lǐ)員(yuán)主要職責有:
1) 負責系統的(de)運行管理(lǐ),實施系統安全運行細則;
2) 嚴格用(yòng)戶權限管理(lǐ),維護系統安全正常運行;
3) 認真記錄系統安全事項,及時(shí)向信息安全人(rén)員(yuán)報告安全事件;
4) 對(duì)進行系統操作的(de)其他(tā)人(rén)員(yuán)進行安全監督。
3. 網絡管理(lǐ)員(yuán)主要職責有:
1) 負責網絡的(de)運行管理(lǐ),實施網絡安全策略和(hé)安全運行細則;
2) 安全配置網絡參數,嚴格控制網絡用(yòng)戶訪問權限,維護網絡安全正常運行;
3) 監控網絡關鍵設備、網絡端口、網絡物(wù)理(lǐ)線路,防範黑(hēi)客入侵,及時(shí)向信息安全人(rén)員(yuán)報告安全事件;
4) 對(duì)操作網絡管理(lǐ)功能的(de)其他(tā)人(rén)員(yuán)進行安全監督。
4. 應用(yòng)開發管理(lǐ)員(yuán)主要職責有:
1) 負責在系統開發建設中,嚴格執行系統安全策略,保證系統安全功能的(de)準确實現;
2) 系統投産運行前,完整移交系統相關的(de)安全策略等資料;
3) 不得(de)對(duì)系統設置“後門”;
4) 對(duì)系統核心技術保密等。
5. 安全審計員(yuán)負責對(duì)涉及系統安全的(de)事件和(hé)各類操作人(rén)員(yuán)的(de)行爲進行審計和(hé)監督,主要職能包括:
1) 按操作員(yuán)證書(shū)好進行審計;
2) 按操作時(shí)間進行審計;
3) 按操作類型進行審計;
4) 按事件類型進行審計;
5) 日志管理(lǐ)等。
6. 安全保密管理(lǐ)員(yuán)負責日常安全保密管理(lǐ)活動,主要職責有:
1) 監視全網運行和(hé)安全告警信息;
2) 網絡審計信息的(de)常規分(fēn)析;
3) 安全設備的(de)常規設置和(hé)維護;
4) 執行應急中心制定的(de)具體安全策略;
5) 向應急管理(lǐ)機構和(hé)領導機構報告重大(dà)的(de)網絡安全事件等。
第六條 附則
1. 本辦法由山東中呼信息科技有限公司負責解釋。
2. 本辦法自發布之日起實行。
3. 數據安全管理(lǐ)參照(zhào)《山東中呼數據安全管理(lǐ)制度》執行
網絡安全管理(lǐ)參照(zhào)《山東中呼網絡安全管理(lǐ)制度》執行
信息安全管理(lǐ)參照(zhào)《山東中呼信息安全管理(lǐ)制度》執行
網絡安全管理(lǐ)參照(zhào)《山東中呼網絡安全管理(lǐ)制度》執行
信息安全管理(lǐ)參照(zhào)《山東中呼信息安全管理(lǐ)制度》執行