《ISO27001信息安全组织机构与部门职能分配表》由会员分享,可在线阅读,更多相关《ISO27001信息安全组织机构与部门职能分配表(15页珍藏版)》请在金锄头文库上搜索。
1、XXX有限公司新点2008年12月组织机构图表A.4 信信息安全职责责说明序号单位/部门信息安全职责1信息安全委员会会1) 负责公司的整体体信息安全管管理工作,负负责公司信息息资产的安全全;2) 负责与国家信息息安全主管机机构、上级主主管部门的沟沟通和交流,负负责有关信息息安全工作的的落实和推行行,并负责报报告本公司有有关信息安全全状况和重要要事件;3) 负责协调公司内内部信息安全全工作,分配配信息安全管管理目标、职职责,并支持持和推动信息息安全工作在在公司范围内内的实施;4) 负责对与信息安安全管理有关关的重大事项项进行决策,包包括安全组织织机构调整、信信息安全关键键人事变动、以以及信息安全
2、全管理重大策策略变更、确确认可接受的的风险和风险险水平等;5) 负责对信息安全全管理体系进进行内部评审审和管理评审审,审批和发发布信息安全全方针、信息息安全规范及及管理办法以以及与信息安安全管理相关关的重大事项项;6) 负责制定和实施施与信息安全全相关的奖惩惩措施和安全全绩效考核体体系;7) 评审与监督重大大信息安全事事故的处理; 8) 对内部评审整改改意见负最终终责任。2信息安全工作小小组1) 直接对信息安全全管理委员会会负责,承担担信息安全管管理委员会的的具体工作,协协助在信息安安全事务上的的决策;2) 负责信息安全管管理体系的建建立、实施和和日常运行,起起草信息安全全政策,确定定信息安全
3、管管理标准,督督促各信息安安全执行单位位对于信息安安全政策、措措施的实施;3) 负责定期召开信信息安全管理理工作会议,定定期总结运行行情况以及安安全事件记录录,并向信息息安全管理委委员会汇报;4) 协助行政部对员员工进行信息息安全意识教教育和安全技技能培训;5) 协助行政部和各各业务部门对对员工的聘前前、聘中及解解聘过程中涉涉及的人员信信息安全进行行有效管理;6) 协调各部门以及及与外部组织织间有关的信信息安全工作作,负责建立立各部门、关关联公司、外外部安全管理理主管机构之之间的定期联联系和沟通机机制;7) 负责对ISMSS体系进行审审核,以验证证体系的健全全性和有效性性,并对发现现的问题提出
4、出内部审核建建议;8) 负责对ISMSS体系的具体体实施、各部部门的信息安安全运行状况况进行定期审审计或专项审审计;9) 负责汇报审计结结果,并督促促审计整改工工作的进行,落落实纠正措施施(包括内部审审核整改意见见)和预防措施施。10) 负责制定违反安安全政策行为为的标准,并并对违反安全全政策的人员员和事件进行行确认;11) 负责调查安全事事件,并维护护安全事件的的记录报告(包括调查结结果和解决方方法) ,定期总总结安全事件件记录报告;12) 识别适用于公司司的所有法律律、法规,行行业主管部门门颁布的规章章制度,审核核ISMS体系系文档的合规规性3总经理1) 任命管理者代表表,明确管理理者代表
5、的职职责和权限;2) 确保在内部传达达满足客户和和法律法规的的重要性;3) 为信息安全管理理体系配备必必要的资源;4) 主持管理评审;5) 负责公司信息安安全管理和企企业管理的计计划、组织、协协调、监督、控控 6) 制和考核工作。7) 遵守公司信息安安全的相关规规定以及本岗岗位相关的保保密要求4管理者代表1) 负责建立、实施施、保持和改改进信息安全全管理体系,保保证信息安全全体2) 系的有效运行;3) 负责公司信息安安全管理手册册的审核,程程序文件的批批准,组织并并领导4) 公司内部审核工工作; 5) 负责向总经理报报告信息安全全体系运行的的业绩和任何何改进的6) 需求;7) 负责就信息安全全
6、管理体系有有关事宜的对对外联络。8) 遵守公司信息安安全的相关规规定以及本岗岗位相关的保保密要求5各部门的信息安安全主管领导导1) 部门的信息安全全主管领导由由本部门部门门长担任;2) 负责协助信息安安全工作小组组建立本部门门信息安全管管理制度和流流程;3) 部门的信息安全全主管领导系系本部门信息息安全管理责责任人,负责责本部门的信信息安全管理理工作,负责责保护本部门门所拥有和管管理的信息资资产的安全;4) 负责采取有效办办法,落实和和推动信息安安全政策的实实施;5) 负责指导和要求求本部门员工工遵守信息安安全政策;6) 对违反安全政策策的行为进行行内部处罚;7) 落实针对本部门门的纠正措施施
7、(包括内部部审核整改意意见)和预防防措施。6部门信息安全工工作小组成员员1) 负责本部门日常常的具体信息息安全工作,并并参加信息安安全管理工作作小组所要求求的各项活动动;2) 负责按照ISMMS体系的要要求,对本部部门所拥有和和管理的信息息资产进行维维护,包括资资产的识别和和分类、资产产的威胁和脆脆弱性识别及及安全需求级级别确定等工工作;3) 负责根据ISMMS安全政策策要求,在本本部门提高员员工安全意识识,落实责任任,保护信息息资产的安全全,并确保已已建立的安全全控制措施持持续有效;4) 负责向信息安全全管理工作小小组组长报告告信息安全事事件和违反信信息安全政策策的行为,协协助对违反安安全政
8、策的行行为进行调查查;5) 协助信息安全管管理工作小组组组长和本部部门信息安全全主管领导落落实针对本部部门的纠正措措施(包括内内部审核整改改意见)和预预防措施7内部员工1) 严格遵守所有与与信息安全相相关的国家法法律、法规和和政策,遵守守公司所有的的信息安全政政策,并签字字承诺遵守保保密协议的有有关规定;2) 以安全负责的方方式使用公司司的信息资产产; 3) 积极参加信息安安全教育与培培训,提高信信息安全意识识;4) 有责任将违反信信息安全政策策的事件与行行为及时报告告给本部门信信息安全管理理员及其他相相关人员8信息安全员1) 负责管理本部门门信息资产识识别表。2) 负责确保本部门门与信息处理
9、理设施相关的的信息和资产产进行适当的的识别和分类类。3) 定期向部门信息息安全工作小小组反馈部门门信息资产识识别表9行政部1) 负责本公司管理理体系文件的的控制;2) 负责保存内部审审核和管理评评审的有关记记录;3) 负责监控信息安安全管理体系系的日常运行行4) 负责公司物理安安全的管理;5) 负责公司水电空空调物业等的的管理;6) 本部门人员必须须遵守公司信信息安全的相相关规定以及及本岗位相关关的保密要求求7) 负责人力资源管管理工作,确确保人员的信信息安全;8) 本部门人员必须须遵守公司信信息安全的相相关规定以及及本岗位相关关的保密要求求。10实施部1) 负责公司计算机机及网络设备备的管理
10、和维维护;2) 负责了解世界计计算机及网络络技术的发展展趋势,为公公司计算机及及网络设备的的更新和升级级提出建议并并予以实施;3) 负责公司网站的的管理、维护护和内容更新新。4) 负责公司IT方方面的信息安安全建设。5) 负责公司信息安安全内部审核核的管理。6) 负责公司应用系系统软件的管管理和维护。7) 本部门人员必须须遵守公司信信息安全的相相关规定以及及本岗位相关关的保密要求求表2 信息安全全体系要求与与部门职能分分配表ISO 270001条文要要求总经理管理者代表行政部实施部开发部信息安全工作小小组4信息安全管理体体系4.1总要求4.2建立并管理ISSMS4.2.1 建立ISMS4.2.
11、2 实施和运行ISSMS4.2.3 监视和评审ISSMS4.2.4 保持和改进ISSMS4.3文件要求4.3.1 总则4.3.2 文件控制4.3.3 记录控制5管理职责5.1管理者承诺5.2资源管理5.2.1 资源提供5.2.2 培训、意识和能能力6ISMS内部审审核7ISMS 管理理评审7.1总则7.2评审输入7.3评审输出8ISMS 改进进8.1持续改进8.2纠正措施8.3预防措施附录A条文要求求A.5安全方针 A.5.1信息安全方针A.6信息安全组织 A.6.1内部组织A.6.2 外部相关方A.7资产管理A.7.1 资产责任A.7.2 信息分类A.8人力资源安全A.8.1 聘用前A.8.2 聘用期间A.9物理和环境安全全A.9.1 安全区域A.9.2设备安全A.10通信和操作管理理 A.10.1 操作程序和职责责A.10.2 第三方服务交付付管理A.10.3 系统策划与接收收A.10.4防范恶意和可移移动代码A.10.5 备份A.10.6 网络安全管理A.10.7 介质的处理A.10.8 信息交换A.10.9 电子商务服务(只只包括A.110.9.33公共信息)A.10.100 监控A.11访问控制A.11.1 访问控制的业务务要求A.11.2 用户访问管理A.11.3 用户责任A.11.4 网络访问控制A.11.5 操作系统访问控控制A.11.6 应用程序及信息息访问控制