信息安全组织及岗位职责管理制度二零一八年八月版本控制版本修改时间I修改内容修改人员审核人员II第一章总则第一条为加强公司等级保护保障工作的组织协调,建立健全等级保护管理制度和运行机制,切实提高公司等级保护保障工作水平,全面提高信息系统信息安全管理能力,根据《国家信息化领导小组关于加强信息安全保障工作的意见》、《GB/T22239-2008 信息安全等级保护基本要求》等政策要求,特制定本制度。第二条本规定依照信息安全管理的主要领导负责原则、全员参与原则、依法管理原则、分权和授权原则和体系化管理原则编制,具体原则为:(一) 主要领导负责原则:确保公司主要领导参与并确立组织统一的信息系统信息安全保障宗旨和政策,组织有效的安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效;(二) 全员参与原则:信息系统所有相关人员普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统的安全;(三) 依法管理原则:信息系统信息安全管理工作应保证管理主体合法、管理行为合法、管理内容合法、管理程序合法;(四) 分权和授权原则:对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限。1(五) 体系化管理原则 :信息系统应符合信息安全相关政策的体系化管理目标和要求。第三条本规定适用于公司。第二章组织目标第四条本制度旨在实现信息安全管理组织的以下目标:(一) 管理组织内的信息系统安全保护工作;(二) 管理外部组织访问组织内信息处理设施和信息资产的安全。第三章安全管理组织架构第五条为加强对公司信息安全管理工作的领导,贯彻落实监管部门的信息安全保护要求,经研究决定成立公司信息安全管理委员会。第六条信息安全管理委员会为公司信息安全工作的最高管理机构。第七条由公司副总经理担任信息安全管理委员会主席,成员包括:(一) 生产技术部主管领导;(二) 各部门主管领导。第八条生产技术部是信息安全管理工作的执行机构,负责执行信息安全管理委员会交办的各项工作,由生产技术部总经理担任负责人,成员包括:2(一) 生产技术部;(二) 系统开发部;(三) 运营维护部。第九条生产技术部应设立信息安全管理岗位,分别为安全管理员、安全审计员、网...
