【正文】 ○○△○訪問控制 訪問控制的業(yè)務(wù)要求○○△△ 用戶訪問管理○○△△ 用戶責(zé)任○○△△ 網(wǎng)絡(luò)訪問控制○○△△ 操作系統(tǒng)訪問控制○○△△ 應(yīng)用程序及信息訪問控制○○△△ 移動PC計算和遠(yuǎn)程工作○○○△△信息系統(tǒng)獲取開發(fā)和維護(hù) 信息系統(tǒng)的安全需求○○○△ 應(yīng)用程序的正確處理○○○△ 加密控制○○○△ 系統(tǒng)文件安全○○○△ 開發(fā)和支持過程的安全○○○△ 技術(shù)薄弱點管理○○○△信息安全事件管理 報告信息安全事情和薄弱點○○○○△ 信息安全事件和改進(jìn)管理○○○○△業(yè)務(wù)連續(xù)性管理 業(yè)務(wù)連續(xù)性管理中的信息安全事項◆○○○○△符合性 符合法律要求◆○△○○符合安全方針和標(biāo)準(zhǔn)，以及技術(shù)符合◆△○○ 信息系統(tǒng)審核相關(guān)事宜○△○○*注：領(lǐng)導(dǎo)職責(zé)以“◆”表示；負(fù)責(zé)部門以“△”表示；相關(guān)部門以“○”表示。 信息安全組織機構(gòu)圖XX有限公司新點信息安全組織結(jié)構(gòu)圖　　　制表日期：ISMS管理者代表　　　　　　　　信息安全委員會職務(wù)姓名部門備注主任經(jīng)理室　副主任經(jīng)理室　成員開發(fā)部　　行政部　　市場部　　市場部　　市場部　實施部測試部開發(fā)部開發(fā)部開發(fā)部開發(fā)部開發(fā)部開發(fā)部開發(fā)部　　 　　信息安全工作小組職務(wù)姓名部門備注組長行政部　成員行政部　　行政部　　行政部　　開發(fā)部　　實施部　　市場部　　　　　 信息安全職責(zé)說明序號單位/部門信息安全職責(zé)1信息安全委員會1) 負(fù)責(zé)公司的整體信息安全管理工作，負(fù)責(zé)公司信息資產(chǎn)的安全；2) 負(fù)責(zé)與國家信息安全主管機構(gòu)、上級主管部門的溝通和交流，負(fù)責(zé)有關(guān)信息安全工作的落實和推行，并負(fù)責(zé)報告本公司有關(guān)信息安全狀況和重要事件；3) 負(fù)責(zé)協(xié)調(diào)公司內(nèi)部信息安全工作，分配信息安全管理目標(biāo)、職責(zé)，并支持和推動信息安全工作在公司范圍內(nèi)的實施；4) 負(fù)責(zé)對與信息安全管理有關(guān)的重大事項進(jìn)行決策，包括安全組織機構(gòu)調(diào)整、信息安全關(guān)鍵人事變動、以及信息安全管理重大策略變更、確認(rèn)可接受的風(fēng)險和風(fēng)險水平等；5) 負(fù)責(zé)對信息安全管理體系進(jìn)行內(nèi)部評審和管理評審，審批和發(fā)布信息安全方針、信息安全規(guī)范及管理辦法以及與信息安全管理相關(guān)的重大事項；6) 負(fù)責(zé)制定和實施與信息安全相關(guān)的獎懲措施和安全績效考核體系；7) 評審與監(jiān)督重大信息安全事故的處理； 8) 對內(nèi)部評審整改意見負(fù)最終責(zé)任。2信息安全工作小組1) 直接對信息安全管理委員會負(fù)責(zé)，承擔(dān)信息安全管理委員會的具體工作，協(xié)助在信息安全事務(wù)上的決策；2) 負(fù)責(zé)信息安全管理體系的建立、實施和日常運行，起草信息安全政策，確定信息安全管理標(biāo)準(zhǔn)，督促各信息安全執(zhí)行單位對于信息安全政策、措施的實施；3) 負(fù)責(zé)定期召開信息安全管理工作會議，定期總結(jié)運行情況以及安全事件記錄，并向信息安全管理委員會匯報；4) 協(xié)助行政部對員工進(jìn)行信息安全意識教育和安全技能培訓(xùn)；5) 協(xié)助行政部和各業(yè)務(wù)部門對員工的聘前、聘中及解聘過程中涉及的人員信息安全進(jìn)行有效管理；6) 協(xié)調(diào)各部門以及與外部組織間有關(guān)的信息安全工作，負(fù)責(zé)建立各部門、關(guān)聯(lián)公司、外部安全管理主管機構(gòu)之間的定期聯(lián)系和溝通機制；7) 負(fù)責(zé)對ISMS體系進(jìn)行審核，以驗證體系的健全性和有效性，并對發(fā)現(xiàn)的問題提出內(nèi)部審核建議；8) 負(fù)責(zé)對ISMS體系的具體實施、各部門的信息安全運行狀況進(jìn)行定期審計或?qū)ｍ棇徲嫞?) 負(fù)責(zé)匯報審計結(jié)果，并督促審計整改工作的進(jìn)行，落實糾正措施(包括內(nèi)部審核整改意見)和預(yù)防措施。10) 負(fù)責(zé)制定違反安全政策行為的標(biāo)準(zhǔn)，并對違反安全政策的人員和事件進(jìn)行確認(rèn)；11) 負(fù)責(zé)調(diào)查安全事件，并維護(hù)安全事件的記錄報告(包括調(diào)查結(jié)果和解決方法) ，定期總結(jié)安全事件記錄報告；12) 識別適用于公司的所有法律、法規(guī)，行業(yè)主管部門頒布的規(guī)章制度，審核ISMS體系文檔的合規(guī)性3總經(jīng)理1) 任命管理者代表，明確管理者代表的職責(zé)和權(quán)限；2) 確保在內(nèi)部傳達(dá)滿足客戶和法律法規(guī)的重要性；3) 為信息安全管理體系配備必要的資源；4) 主持管理評審；5) 負(fù)責(zé)公司信息安全管理和企業(yè)管理的計劃、組織、協(xié)調(diào)、監(jiān)督、控 6) 制和考核工作。7) 遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求4管理者代表1) 負(fù)責(zé)建立、實施、保持和改進(jìn)信息安全管理體系，保證信息安全體2) 系的有效運行；3) 負(fù)責(zé)公司信息安全管理手冊的審核，程序文件的批準(zhǔn)，組織并領(lǐng)導(dǎo)4) 公司內(nèi)部審核工作； 5) 負(fù)責(zé)向總經(jīng)理報告信息安全體系運行的業(yè)績和任何改進(jìn)的6) 需求；7) 負(fù)責(zé)就信息安全管理體系有關(guān)事宜的對外聯(lián)絡(luò)。8) 遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求5各部門的信息安全主管領(lǐng)導(dǎo)1) 部門的信息安全主管領(lǐng)導(dǎo)由本部門部門長擔(dān)任；2) 負(fù)責(zé)協(xié)助信息安全工作小組建立本部門信息安全管理制度和流程；3) 部門的信息安全主管領(lǐng)導(dǎo)系本部門信息安全管理責(zé)任人，負(fù)責(zé)本部門的信息安全管理工作，負(fù)責(zé)保護(hù)本部門所擁有和管理的信息資產(chǎn)的安全；4) 負(fù)責(zé)采取有效辦法，落實和推動信息安全政策的實施；5) 負(fù)責(zé)指導(dǎo)和要求本部門員工遵守信息安全政策；6) 對違反安全政策的行為進(jìn)行內(nèi)部處罰；7) 落實針對本部門的糾正措施(包括內(nèi)部審核整改意見)和預(yù)防措施。6部門信息安全工作小組成員1) 負(fù)責(zé)本部門日常的具體信息安全工作，并參加信息安全管理工作小組所要求的各項活動；2) 負(fù)責(zé)按照ISMS體系的要求，對本部門所擁有和管理的信息資產(chǎn)進(jìn)行維護(hù)，包括資產(chǎn)的識別和分類、資產(chǎn)的威脅和脆弱性識別及安全需求級別確定等工作；3) 負(fù)責(zé)根據(jù)ISMS安全政策要求，在本部門提高員工安全意識，落實責(zé)任，保護(hù)信息資產(chǎn)的安全，并確保已建立的安全控制措施持續(xù)有效；4) 負(fù)責(zé)向信息安全管理工作小組組長報告信息安全事件和違反信息安全政策的行為，協(xié)助對違反安全政策的行為進(jìn)行調(diào)查；5) 協(xié)助信息安全管理工作小組組長和本部門信息安全主管領(lǐng)導(dǎo)落實針對本部門的糾正措施(包括內(nèi)部審核整改意見)和預(yù)防措施7內(nèi)部員工1) 嚴(yán)格遵守所有與信息安全相關(guān)的國家法律、法規(guī)和政策，遵守公司所有的信息安全政策，并簽字承諾遵守保密協(xié)議的有關(guān)規(guī)定；2) 以安全負(fù)責(zé)的方式使用公司的信息資產(chǎn)； 3) 積極參加信息安全教育與培訓(xùn)，提高信息安全意識；4) 有責(zé)任將違反信息安全政策的事件與行為及時報告給本部門信息安全管理員及其他相關(guān)人員8信息安全員1) 負(fù)責(zé)管理本部門信息資產(chǎn)識別表。2) 負(fù)責(zé)確保本部門與信息處理設(shè)施相關(guān)的信息和資產(chǎn)進(jìn)行適當(dāng)?shù)淖R別和分類。3) 定期向部門信息安全工作小組反饋部門信息資產(chǎn)識別表9行政部1) 負(fù)責(zé)本公司管理體系文件的控制；2) 負(fù)責(zé)保存內(nèi)部審核和管理評審的有關(guān)記錄；3) 負(fù)責(zé)監(jiān)控信息安全管理體系的日常運行4) 負(fù)責(zé)公司物理安全的管理；5) 負(fù)責(zé)公司水電空調(diào)物業(yè)等的管理；6) 本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求7) 負(fù)責(zé)人力資源管理工作，確保人員的信息安全；8) 本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求。10實施部1) 負(fù)責(zé)公司計算機及網(wǎng)絡(luò)設(shè)備的管理和維護(hù)；2) 負(fù)責(zé)了解世界計算機及網(wǎng)絡(luò)技術(shù)的發(fā)展趨勢，為公司計算機及網(wǎng)絡(luò)設(shè)備的更新和升級提出建議并予以實施；3) 負(fù)責(zé)公司網(wǎng)站的管理、維護(hù)和內(nèi)容更新。4) 負(fù)責(zé)公司IT方面的信息安全建設(shè)。5) 負(fù)責(zé)公司信息安全內(nèi)部審核的管理。6) 負(fù)責(zé)公司應(yīng)用系統(tǒng)軟件的管理和維護(hù)。7) 本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求 XXX有限公司新點2008年12月組織機構(gòu)圖