【文章內(nèi)容簡介】 ◆ 制訂信息安全方針和信息安全目標，建立和完善公司的信息安全管理體系。 ◆ 提供充分的資源以保證信息安全管理體系的制定、實施、運作、 監(jiān)控、 維護和改善。 ◆ 對公司信息資產(chǎn)實行有效管理，確保信息的機密性，維持信息的完整性和可用性，防范對信息的未經(jīng)授權訪問。對公司信息資產(chǎn)進行 風險評估，制定風險可接受標準，對公司不能接受的風險進行處置。 ◆ 建立業(yè)務持續(xù)性管理 流程 。進行業(yè)務持續(xù)性 風險評估 ，編寫、 測試并 實施業(yè)務持續(xù)性計劃和災難恢復計劃 ， 以保證公司 關鍵 業(yè)務的連續(xù)，不受重大故障和災難的影響。 ◆確保 公司所有員工都接受信息安全的教育培訓，提高信息安全意識。 ◆ 保護公司、客戶、相關合作 方 的信息安全。 ◆ 建立公司信息安全組織架構，明確信息安全責任，確定報告可疑的和發(fā)生的信息安全事故 及事件 的流程，對違反安全制度的人員進行懲罰。 ◆ 建立物理安全和網(wǎng)絡安全管理制度，以確保信息的安全性。 ◆ 保護公司軟 件和信息的完整性，防止病毒與各種惡意軟件的入侵。 ◆ 任何人在未經(jīng)審批的情況下，禁止將信息資產(chǎn)帶離公司。 ◆ 公司所有員工都要嚴格遵守公司的安全方針、程序和制度。 ◆ 控制對內(nèi)外部網(wǎng)絡服務的訪問，保護網(wǎng)絡服務的安全性與可用性 。 ◆ 對用戶賬號、口令和權限進行嚴格管理，防止對信息系統(tǒng)的非授權訪問。 ◆ 對重要信息進行備份保護，以保證信息的可用性。 ◆ 定期對信息安全管理體系進行內(nèi)審和管理評審。 信息安全 管理委員會 為了加強對信息安全管理體系運作的管理， 江蘇金馬揚名信息技術 有限公司 公司成立 信息安全 管理委員會 ， 其職責見下列明細表。 信息安全管理職責明細表 序號 單位 /部門 信息安全職責 1 信息安全 管理委員會 信息安全管理委員會是我公司信息安全最高組織機構，負責本單位網(wǎng) 絡與信息安全重大事項的決策和協(xié)調(diào)，并對全公司信息安全工作負責 。 2 總經(jīng)理 信息安全第一責任人，制定信息安全方針，對信息安全全面負責。 3 管理者代表 經(jīng)總經(jīng)理授權負責建立、實施、檢查、改進信息安全管理體系。 4 綜合管理部 我公司信息安全管理體系的歸口管理部門。 1. 負責管理體系的建立、實施、保持、測量和改進。 2. 負責文件控制、記錄控制、內(nèi) 部審核的組織、管理評審的組織和體系的改進。 3. 負責本公司保密工作的管理。 4. 安全區(qū)域的保衛(wèi)管理部門，負責安全區(qū)域的管理。 5. 負責全公司人員安全管理，包括人員聘用管理，保密協(xié)議簽署，員工的能力、意識和培訓，員工離職管理。 6. 負責涉密信息上網(wǎng)、涉密計算機運行、檢修、報廢的監(jiān)督管理。 7. 對信息安全日常工作實施動態(tài)考核，將信息安全管理作為企業(yè)管理的重要工作內(nèi)容。 8. 參與涉密及司法介入的信息安全事件的調(diào)查。 5 生產(chǎn)技術部 是我公司信息系統(tǒng)安全管理部門。 負責局域網(wǎng)上所承擔的各類信息系統(tǒng)的管理職能； 負責我公司信息系統(tǒng)安全日常 管理。 6 其他部門 認真執(zhí)行信息安全管理的方針、標準、安全策略和規(guī)范，做好內(nèi)部培 訓。 備注：以上職能劃分，適用所有信息安全管理體系文件。 信息安全 管理委員會組成人員： 姓名 部門 職務 備注 3． 6 服務管理職能說明 3． 6． 1 為保證 IT 服務管理體系的順利實施，以及實施后得到持續(xù)的管理和維護，在現(xiàn)有的組織架構外建立 服務管理職能關系架構 。 IT 服務管理 職能關系架構 ，并不替代現(xiàn)有的按技術類別進行的分工，現(xiàn)有的按技術類別進的分工，在將來的 IT 服務管理體系中仍將發(fā)揮其作用。 服務部根據(jù) IT 服務管理程序要求對所有服務合同按照項目進行管理與運行，由項目經(jīng)理按照 服務管理職能關系架構中的要求對項目執(zhí)行管理。 一個完整的服務項目必須包含服務臺、事件管理、業(yè)務關系管理、信息安全管理、供應商管理和 IT 財務管理。對于上圖虛線框內(nèi)的的問題管理、發(fā)布管理、配置管理、變更管理、可用性和連續(xù)性管理、容量管理、服務級別管理以及服務報告可由服務部經(jīng)理依照與用戶簽署的服務合同進行選擇裁剪。 3． 6． 2 角色分配說明 3． 6． 2． 1 針對服務部當前組織架構及人員狀況，將不再為每一 具 體 流程分配流程經(jīng)理。為此將 13 個流程，按其必要程度分成必選流程和可裁剪流程兩大模塊。由項目經(jīng)理負責相應流程的實施、管理和控制。對項目組成員主要是組織、協(xié)調(diào)、安排相應工作任務的完成，可能并不是由自己去完成。 3． 6． 2． 1． 1 項目經(jīng)理 職責說明： 1）、負責 IT 服務項目的立項工作，按照服務合同要求負責相應流程的實施、管理和控制。組織、協(xié)調(diào)、安排項目組成員完成相應工作任務。 2）、 負責從服務臺接受事件報告開始，分配相應的職能小組進行事件處理，直至找到問題的根本原因的整個過程的管理和協(xié)調(diào)。 3）、負責各系統(tǒng)的配 置管理、變更和發(fā)布控制。 4）、負責系統(tǒng)的可用性規(guī)劃和管理、負責安排系統(tǒng)連續(xù)性的計劃和演練，并負責系統(tǒng)容量的規(guī)劃和監(jiān)控。 5）、主要負責與用戶的溝通，對供應商的管理，以及項目的預 /決算的管理。 3． 6． 2． 1． 2 能力要求： 熟悉服務部的各種服務管理流程，具有較強的內(nèi)部協(xié)調(diào)能力。 由 管理者代表 授權技術服務事業(yè)部總監(jiān)，按 ISO/IEC 20210 的要求，負責協(xié)調(diào)和組織所有與 IT 服務有關 的活動，通過 管理 和 實施 各 項 活動，使 IT 服務業(yè)務 的質(zhì)量得到有效的保持和維護。 技術服務事業(yè)部 組織制訂、批準和發(fā)布公司 IT 服務策略、服務目標，并使其成為公司關注的焦點，成為公司協(xié)調(diào)、統(tǒng)一、凝聚公司的所有活動和資源的準則，成為建立、實施、保持并改進 IT 服務管理體系的宗旨。 3． 6． 3公司 IT 服務策略：