ISO27001信息安全组织机构与部门职能分配表

XXX 新点 2008 年 12 月组织机构图 董事会董事会 总经理总经理 市场总监市场总监开发总监开发总监 市市 场场 部部 实实 施施 部部 拓拓 展展 部部 开开 发发 部部 测测 试试 部部 行行 政政 部部 表 A.4 信息安全职责说明 序号单位/部门信息安全职责 1)负责公司的整体信息安全管理工作，负责公司信息资产的安全； 2)负责与国家信息安全主管机构、上级主管部门的沟通和交流，负责有 关信息安全工作的落实和推行，并负责报告本公司有关信息安全状况 和重要事件； 3)负责协调公司部信息安全工作，分配信息安全管理目标、职责，并支 持和推动信息安全工作在公司围的实施； 1 信息安全委员 会 4)负责对与信息安全管理有关的重大事项进行决策，包括安全组织机构 调整、信息安全关键人事变动、以及信息安全管理重大策略变更、确 认可接受的风险和风险水平等； 5)负责对信息安全管理体系进行部评审和管理评审，审批和发布信息安 全方针、 信息安全规及管理办法以及与信息安全管理相关的重大事项； 6)负责制定和实施与信息安全相关的奖惩措施和安全绩效考核体系； 7)评审与监督重大信息安全事故的处理； 8)对部评审整改意见负最终责任。 1 / 8 1)直接对信息安全管理委员会负责，承担信息安全管理委员会的具体工 作，协助在信息安全事务上的决策； 2)负责信息安全管理体系的建立、实施和日常运行，起草信息安全政策， 确定信息安全管理标准， 督促各信息安全执行单位对于信息安全政策、 措施的实施； 3)负责定期召开信息安全管理工作会议，定期总结运行情况以及安全事 件记录，并向信息安全管理委员会汇报； 4)协助行政部对员工进行信息安全意识教育和安全技能培训； 5)协助行政部和各业务部门对员工的聘前、聘中及解聘过程中涉及的人 员信息安全进行有效管理； 6)协调各部门以及与外部组织间有关的信息安全工作， 负责建立各部门、 2 信息安全工作 小组 关联公司、外部安全管理主管机构之间的定期联系和沟通机制； 7)负责对 ISMS 体系进行审核，以验证体系的健全性和有效性，并对发现 的问题提出部审核建议； 8)负责对 ISMS 体系的具体实施、 各部门的信息安全运行状况进行定期审 计或专项审计； 9)负责汇报审计结果，并督促审计整改工作的进行，落实纠正措施 (包括 部审核整改意见)和预防措施。 10) 负责制定违反安全政策行为的标准，并对违反安全政策的人员和事件 进行确认； 11) 负责调查安全事件， 并维护安全事件的记录报告(包括调查结果和解决 方法) ，定期总结安全事件记录报告； 12)识别适用于公司的所有法律、法规，行业主管部门颁布的规章制度， 审核 ISMS 体系文档的合规性 1)任命管理者代表，明确管理者代表的职责和权限； 2)确保在部传达满足客户和法律法规的重要性； 3)为信息安全管理体系配备必要的资源； 3总经理 4)主持管理评审； 5)负责公司信息安全管理和企业管理的计划、组织、协调、监督、控 6)制和考核工作。 7)遵守公司信息安全的相关规定以及本岗位相关的要求 1)负责建立、实施、保持和改进信息安全管理体系，保证信息安全体 2)系的有效运行； 3)负责公司信息安全管理手册的审核，程序文件的批准，组织并领导 4管理者代表 4)公司部审核工作； 5)负责向总经理报告信息安全体系运行的业绩和任何改进的 6)需求； 7)负责就信息安全管理体系有关事宜的对外联络。 8)遵守公司信息安全的相关规定以及本岗位相关的要求 2 / 8 1)部门的信息安全主管领导由本部门部门长担任； 2)负责协助信息安全工作小组建立本部门信息安全管理制度和流程； 3)部门的信息安全主管领导系本部门信息安全管理责任人，负责本部门 5 各部门的信息 安全主管领导 的信息安全管理工作，负责保护本部门所拥有和管理的信息资产的安 全； 4)负责采取有效办法，落实和推动信息安全政策的实施； 5)负责指导和要求本部门员工遵守信息安全政策； 6)对违反安全政策的行为进行部处罚； 7)落实针对本部门的纠正措施(包括部审核整改意见)和预防措施。 1)负责本部门日常的具体信息安全工作，并参加信息安全管理工作小组 所要求的各项活动； 2)负责按照 ISMS 体系的要求， 对本部门所拥有和管理的信息资产进行维 护，包括资产的识别和分类、资产的威胁和脆弱性识别及安全需求级 6 部门信息安全 工作小组成员 别确定等工作； 3)负责根据 ISMS 安全政策要求， 在本部门提高员工安全意识， 落实责任， 保护信息资产的安全，并确保已建立的安全控制措施持续有效； 4)负责向信息安全管理工作小组组长报告信息安全事件和违反信息安全 政策的行为，协助对违反安全政策的行为进行调查； 5)协助信息安全管理工作小组组长和本部门信息安全主管领导落实针对 本部门的纠正措施(包括部审核整改意见)和预防措施 1)严格遵守所有与信息安全相关的国家法律、法规和政策，遵守公司所 有的信息安全政策，并签字承诺遵守协议的有关规定； 7部员工 2)以安全负责的方式使用公司的信息资产； 3)积极参加信息安全教育与培训，提高信息安全意识； 4)有责任将违反信息安全政策的事件与行为及时报告给本部门信息安全 管理员及其他相关人员 1)负责管理本部门信息资产识别表。 8信息安全员 2)负责确保本部门与信息处理设施相关的信息和资产进行适当的识别和 分类。 3)定期向部门信息安全工作小组反馈部门信息资产识别表 1)负责本公司管理体系文件的控制； 2)负责保存部审核和管理评审的有关记录； 3)负责监控信息安全管理体系的日常运行 4)负责公司物理安全的管理； 9行政部 5)负责公司水电空调物业等的管理； 6)本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的要求 7)负责人力资源管理工作，确保人员的信息安全； 8)本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的要 求。 3 / 8 1)负责公司计算机及网络设备的管理和维护； 2)负责了解世界计算机及网络技术的发展趋势，为公司计算机及网络设 备的更新和升级提出建议并予以实施； 10实施部 3)负责公司的管理、维护和容更新。 4)负责公司 IT 方面的信息安全建设。 5)负责公司信息安全部审核的管理。 6)负责公司应用系统软件的管理和维护。 7)本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的要求 表 2 信息安全体系要求与部门职能分配表 ISO 27001 条文要求 4 4.1 4.2 4.2.1 4.2.2 4.2.3 4.2.4 4.3 4.3.1 4.3.2 4.3.3 5 5.1 5.2 5.2.1 5.2.2 6 7 7.1 7.2 7.3 8 8.1 8.2 信息安全管理体系 总要求 建立并管理 ISMS 建立 ISMS 实施和运行 ISMS 监视和评审 ISMS 保持和改进 ISMS 文件要求 总则 文件控制 记录控制 管理职责 管理者承诺 资源管理 资源提供 培训、意识和能力 ISMS 部审核 ISMS 管理评审 总则 评审输入 评审输出 ISMS 改进 持续改进 纠正措施 总经理 ◆ ◆ △ △ ○ ◆ ◆ ◆ 4 / 8 管理者 代表