【正文】 ○○△○訪問控制 訪問控制的業(yè)務(wù)要求○○△△ 用戶訪問管理○○△△ 用戶責(zé)任○○△△ 網(wǎng)絡(luò)訪問控制○○△△ 操作系統(tǒng)訪問控制○○△△ 應(yīng)用程序及信息訪問控制○○△△ 移動(dòng)PC計(jì)算和遠(yuǎn)程工作○○○△△信息系統(tǒng)獲取開發(fā)和維護(hù) 信息系統(tǒng)的安全需求○○○△ 應(yīng)用程序的正確處理○○○△ 加密控制○○○△ 系統(tǒng)文件安全○○○△ 開發(fā)和支持過程的安全○○○△ 技術(shù)薄弱點(diǎn)管理○○○△信息安全事件管理 報(bào)告信息安全事情和薄弱點(diǎn)○○○○△ 信息安全事件和改進(jìn)管理○○○○△業(yè)務(wù)連續(xù)性管理 業(yè)務(wù)連續(xù)性管理中的信息安全事項(xiàng)◆○○○○△符合性 符合法律要求◆○△○○符合安全方針和標(biāo)準(zhǔn)，以及技術(shù)符合◆△○○ 信息系統(tǒng)審核相關(guān)事宜○△○○*注：領(lǐng)導(dǎo)職責(zé)以“◆”表示；負(fù)責(zé)部門以“△”表示；相關(guān)部門以“○”表示。 信息安全組織機(jī)構(gòu)圖XX有限公司新點(diǎn)信息安全組織結(jié)構(gòu)圖　　　制表日期：ISMS管理者代表　　　　　　　　信息安全委員會(huì)職務(wù)姓名部門備注主任經(jīng)理室　副主任經(jīng)理室　成員開發(fā)部　　行政部　　市場(chǎng)部　　市場(chǎng)部　　市場(chǎng)部　實(shí)施部測(cè)試部開發(fā)部開發(fā)部開發(fā)部開發(fā)部開發(fā)部開發(fā)部開發(fā)部　　 　　信息安全工作小組職務(wù)姓名部門備注組長(zhǎng)行政部　成員行政部　　行政部　　行政部　　開發(fā)部　　實(shí)施部　　市場(chǎng)部　　　　　 信息安全職責(zé)說明序號(hào)單位/部門信息安全職責(zé)1信息安全委員會(huì)1) 負(fù)責(zé)公司的整體信息安全管理工作，負(fù)責(zé)公司信息資產(chǎn)的安全；2) 負(fù)責(zé)與國(guó)家信息安全主管機(jī)構(gòu)、上級(jí)主管部門的溝通和交流，負(fù)責(zé)有關(guān)信息安全工作的落實(shí)和推行，并負(fù)責(zé)報(bào)告本公司有關(guān)信息安全狀況和重要事件；3) 負(fù)責(zé)協(xié)調(diào)公司內(nèi)部信息安全工作，分配信息安全管理目標(biāo)、職責(zé)，并支持和推動(dòng)信息安全工作在公司范圍內(nèi)的實(shí)施；4) 負(fù)責(zé)對(duì)與信息安全管理有關(guān)的重大事項(xiàng)進(jìn)行決策，包括安全組織機(jī)構(gòu)調(diào)整、信息安全關(guān)鍵人事變動(dòng)、以及信息安全管理重大策略變更、確認(rèn)可接受的風(fēng)險(xiǎn)和風(fēng)險(xiǎn)水平等；5) 負(fù)責(zé)對(duì)信息安全管理體系進(jìn)行內(nèi)部評(píng)審和管理評(píng)審，審批和發(fā)布信息安全方針、信息安全規(guī)范及管理辦法以及與信息安全管理相關(guān)的重大事項(xiàng)；6) 負(fù)責(zé)制定和實(shí)施與信息安全相關(guān)的獎(jiǎng)懲措施和安全績(jī)效考核體系；7) 評(píng)審與監(jiān)督重大信息安全事故的處理； 8) 對(duì)內(nèi)部評(píng)審整改意見負(fù)最終責(zé)任。2信息安全工作小組1) 直接對(duì)信息安全管理委員會(huì)負(fù)責(zé)，承擔(dān)信息安全管理委員會(huì)的具體工作，協(xié)助在信息安全事務(wù)上的決策；2) 負(fù)責(zé)信息安全管理體系的建立、實(shí)施和日常運(yùn)行，起草信息安全政策，確定信息安全管理標(biāo)準(zhǔn)，督促各信息安全執(zhí)行單位對(duì)于信息安全政策、措施的實(shí)施；3) 負(fù)責(zé)定期召開信息安全管理工作會(huì)議，定期總結(jié)運(yùn)行情況以及安全事件記錄，并向信息安全管理委員會(huì)匯報(bào)；4) 協(xié)助行政部對(duì)員工進(jìn)行信息安全意識(shí)教育和安全技能培訓(xùn)；5) 協(xié)助行政部和各業(yè)務(wù)部門對(duì)員工的聘前、聘中及解聘過程中涉及的人員信息安全進(jìn)行有效管理；6) 協(xié)調(diào)各部門以及與外部組織間有關(guān)的信息安全工作，負(fù)責(zé)建立各部門、關(guān)聯(lián)公司、外部安全管理主管機(jī)構(gòu)之間的定期聯(lián)系和溝通機(jī)制；7) 負(fù)責(zé)對(duì)ISMS體系進(jìn)行審核，以驗(yàn)證體系的健全性和有效性，并對(duì)發(fā)現(xiàn)的問題提出內(nèi)部審核建議；8) 負(fù)責(zé)對(duì)ISMS體系的具體實(shí)施、各部門的信息安全運(yùn)行狀況進(jìn)行定期審計(jì)或?qū)ｍ?xiàng)審計(jì)；9) 負(fù)責(zé)匯報(bào)審計(jì)結(jié)果，并督促審計(jì)整改工作的進(jìn)行，落實(shí)糾正措施(包括內(nèi)部審核整改意見)和預(yù)防措施。10) 負(fù)責(zé)制定違反安全政策行為的標(biāo)準(zhǔn)，并對(duì)違反安全政策的人員和事件進(jìn)行確認(rèn)；11) 負(fù)責(zé)調(diào)查安全事件，并維護(hù)安全事件的記錄報(bào)告(包括調(diào)查結(jié)果和解決方法) ，定期總結(jié)安全事件記錄報(bào)告；12) 識(shí)別適用于公司的所有法律、法規(guī)，行業(yè)主管部門頒布的規(guī)章制度，審核ISMS體系文檔的合規(guī)性3總經(jīng)理1) 任命管理者代表，明確管理者代表的職責(zé)和權(quán)限；2) 確保在內(nèi)部傳達(dá)滿足客戶和法律法規(guī)的重要性；3) 為信息安全管理體系配備必要的資源；4) 主持管理評(píng)審；5) 負(fù)責(zé)公司信息安全管理和企業(yè)管理的計(jì)劃、組織、協(xié)調(diào)、監(jiān)督、控 6) 制和考核工作。7) 遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求4管理者代表1) 負(fù)責(zé)建立、實(shí)施、保持和改進(jìn)信息安全管理體系，保證信息安全體2) 系的有效運(yùn)行；3) 負(fù)責(zé)公司信息安全管理手冊(cè)的審核，程序文件的批準(zhǔn)，組織并領(lǐng)導(dǎo)4) 公司內(nèi)部審核工作； 5) 負(fù)責(zé)向總經(jīng)理報(bào)告信息安全體系運(yùn)行的業(yè)績(jī)和任何改進(jìn)的6) 需求；7) 負(fù)責(zé)就信息安全管理體系有關(guān)事宜的對(duì)外聯(lián)絡(luò)。8) 遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求5各部門的信息安全主管領(lǐng)導(dǎo)1) 部門的信息安全主管領(lǐng)導(dǎo)由本部門部門長(zhǎng)擔(dān)任；2) 負(fù)責(zé)協(xié)助信息安全工作小組建立本部門信息安全管理制度和流程；3) 部門的信息安全主管領(lǐng)導(dǎo)系本部門信息安全管理責(zé)任人，負(fù)責(zé)本部門的信息安全管理工作，負(fù)責(zé)保護(hù)本部門所擁有和管理的信息資產(chǎn)的安全；4) 負(fù)責(zé)采取有效辦法，落實(shí)和推動(dòng)信息安全政策的實(shí)施；5) 負(fù)責(zé)指導(dǎo)和要求本部門員工遵守信息安全政策；6) 對(duì)違反安全政策的行為進(jìn)行內(nèi)部處罰；7) 落實(shí)針對(duì)本部門的糾正措施(包括內(nèi)部審核整改意見)和預(yù)防措施。6部門信息安全工作小組成員1) 負(fù)責(zé)本部門日常的具體信息安全工作，并參加信息安全管理工作小組所要求的各項(xiàng)活動(dòng)；2) 負(fù)責(zé)按照ISMS體系的要求，對(duì)本部門所擁有和管理的信息資產(chǎn)進(jìn)行維護(hù)，包括資產(chǎn)的識(shí)別和分類、資產(chǎn)的威脅和脆弱性識(shí)別及安全需求級(jí)別確定等工作；3) 負(fù)責(zé)根據(jù)ISMS安全政策要求，在本部門提高員工安全意識(shí)，落實(shí)責(zé)任，保護(hù)信息資產(chǎn)的安全，并確保已建立的安全控制措施持續(xù)有效；4) 負(fù)責(zé)向信息安全管理工作小組組長(zhǎng)報(bào)告信息安全事件和違反信息安全政策的行為，協(xié)助對(duì)違反安全政策的行為進(jìn)行調(diào)查；5) 協(xié)助信息安全管理工作小組組長(zhǎng)和本部門信息安全主管領(lǐng)導(dǎo)落實(shí)針對(duì)本部門的糾正措施(包括內(nèi)部審核整改意見)和預(yù)防措施7內(nèi)部員工1) 嚴(yán)格遵守所有與信息安全相關(guān)的國(guó)家法律、法規(guī)和政策，遵守公司所有的信息安全政策，并簽字承諾遵守保密協(xié)議的有關(guān)規(guī)定；2) 以安全負(fù)責(zé)的方式使用公司的信息資產(chǎn)； 3) 積極參加信息安全教育與培訓(xùn)，提高信息安全意識(shí)；4) 有責(zé)任將違反信息安全政策的事件與行為及時(shí)報(bào)告給本部門信息安全管理員及其他相關(guān)人員8信息安全員1) 負(fù)責(zé)管理本部門信息資產(chǎn)識(shí)別表。2) 負(fù)責(zé)確保本部門與信息處理設(shè)施相關(guān)的信息和資產(chǎn)進(jìn)行適當(dāng)?shù)淖R(shí)別和分類。3) 定期向部門信息安全工作小組反饋部門信息資產(chǎn)識(shí)別表9行政部1) 負(fù)責(zé)本公司管理體系文件的控制；2) 負(fù)責(zé)保存內(nèi)部審核和管理評(píng)審的有關(guān)記錄；3) 負(fù)責(zé)監(jiān)控信息安全管理體系的日常運(yùn)行4) 負(fù)責(zé)公司物理安全的管理；5) 負(fù)責(zé)公司水電空調(diào)物業(yè)等的管理；6) 本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求7) 負(fù)責(zé)人力資源管理工作，確保人員的信息安全；8) 本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求。10實(shí)施部1) 負(fù)責(zé)公司計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備的管理和維護(hù)；2) 負(fù)責(zé)了解世界計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的發(fā)展趨勢(shì)，為公司計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備的更新和升級(jí)提出建議并予以實(shí)施；3) 負(fù)責(zé)公司網(wǎng)站的管理、維護(hù)和內(nèi)容更新。4) 負(fù)責(zé)公司IT方面的信息安全建設(shè)。5) 負(fù)責(zé)公司信息安全內(nèi)部審核的管理。6) 負(fù)責(zé)公司應(yīng)用系統(tǒng)軟件的管理和維護(hù)。7) 本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求 XXX有限公司新點(diǎn)2008年12月組織機(jī)構(gòu)圖