ISO27001信息安全组织机构与部门职能分配表
ISO27001岗位职责说明书汇编
培训要求
1、ISO27001和ISO20000基本知识培训;
2、信息安全和信息技术服务管理手册;
3、管理类作业指导书;
4、产品基本知识;
5、公司规章制度;
6、有关法律法规。
特殊资格要求
无
岗位名称
部门经理
所属部门
业务中心
直接上级
总经理
直接下级
商务人员
岗位职责:
1、根据公司发展战略,组织制定销售战略规划;
2、掌握市场动态,组织收集行业政策,分析市场发展趋势;
3、建立销售渠道和销售人员;
4、执行销售动作,完成销售任务;
5、负责项目回款;
6、维护客户关系;
7、开展公司宣传,推动品牌建设。
资格要求
1、大学本科以上
2、3年以上工作经验,1年以上部门管理工作经历
文件制修订记录
NO
制/修订日期
修订编号
制/修订内容
版本
页次
1
2024-02-25
-
新制订
A0
核准
审核
制订
岗位
岗位名称
总经理
所属部门
总经办
直接上级
无
直接下级
各部门经理
岗位职责
1.负责信息安全管理手册的批准;
2.负责安全方针、安全目标的批准;
3.负责任命管理者代表;
4.负责主持管理评审,定期审查质量管理体系运行情况及其适用性、充分性、有效性;
4、了解公司经营技术知识;
5、具有很强的领导能力、判断与决策能力、人际能力、沟通能力、影响力、计划与执行能力、客户服务能力。
ISO27001文件-信息安全管理体系规范
信息安全管理体系规范(Part I)(信息安全管理实施细则)目录前言一、信息安全范围二、术语与定义三、安全政策3.1 信息安全政策四、安全组织4.1信息安全基础架构4.2外部存取的安全管理4.3委外资源管理五、资产分类与管理5.1资产管理权责5.2信息分类六、个人信息安全守则6.1工作执掌及资源的安全管理6.2教育培训6.3易发事件及故障处理七、使用环境的信息安全管理7.1信息安全区7.2设备安全7.3日常管制八、通讯和操作过程管理8.1操作程序书及权责8.2系统规划及可行性8.3侵略性软件防护8.4储存管理8.5网络管理8.6媒体存取及安全性8.7信息及软件交换九、存取管理9.1存取管制的工作要求9.2使用者存取管理9.3使用者权责9.4网络存取管制9.5操作系统存取管理9.6应用软件存取管理9.7监控系统的存取及使用9.8移动计算机及拨接服务管理十、信息系统的开发和维护10.1信息系统的安全要求10.2应用软件的安全要求10.3资料加密技术管制10.4系统档案的安全性10.5开发和支持系统的安全性十一、维持运营管理11.1持续运营的方面十二、合法性12.1合乎法律要求12.2对信息安全政策和技术应用的审查12.3系统稽核的考虑前言何谓信息安全?对一个单位或组织来说,信息和其它商业资产一样有价值,因此要加以适当的保护。
信息安全就是保护信息免受来自各方面的众多威胁,从而使单位能够进行持续经营,使其对经营的危害降至最小程度,并将投资和商业机会得以最大化。
信息可以许多形式存在-可以印在或写在纸上,以电子方式进行储存,通过邮寄或电子方式传播,用影片显示或通过口头转述。
无论信息以何种方式存在,或以何种形式分享或储存,都要对其进行恰当保护。
信息安全的主要特征在于保护其-保密性:确保只有那些经过授权的人员可以接触信息-完整性:保护信息和信息处理办法的准确性和完整性-可得性:确保在需要时,经过授权的使用者可接触信息和相关的资产信息安全可通过一套管制手段得以实现;此管制手段可为政策、行为规范、流程、组织结构和软件功能。
信息安全管理组织机构及岗位职责
一.组织机构公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。
信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。
职责主要包括:根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。
信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。
组长均由公司负责人担任。
信息安全工作组的主要职责包括:1.4.1贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作;1.4.2根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实;1.4.3组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;1.4.4负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;1.4.5组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;1.4.6负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;1.4.7及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。
1.4.8跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。
应急处理工作组的主要职责包括:1.5.1审定公司网络与信息系统的安全应急策略及应急预案;1.5.2决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统;1.5.3每年组织对信息安全应急策略和应急预案进行测试和演练。
公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全技术人员,有条件的应设置信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。
二.关键岗位设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员,要求五人各自独立。
ISO27001:2013信息安全管理体系全套程序30各部门信息安全管理职责
xx电子商务技术有限公司版本:A各部门信息安全管理职责JSWLS/IP-40-2009编制:xx审核:xx批准:xx2009-6-28发布2009-7-1实施xx电子商务技术有限公司发布xx电子商务技术编号:JSWLS/IP-40-2009有限公司程序文件版次:A/0程序文件修改控制序号版次修改章节修改人审核人批准人修改日期程序文件版次:A/0各部门信息安全管理职责1 总经理(1)负责组织建立公司信息安全管理体系。
(2)负责制定、发布公司信息安全方针。
(3)负责组织各部门定期评审、更新公司信息安全方针。
(4)负责向公司员工和外部提出信息安全管理承诺。
(5)负责实施公司信息安全资源的配置。
(6)负责公司信息安全管理体系评审工作。
(7)负责组织公司信息安全管理体系持续改进工作。
(8)负责公司信息安全管理体系内部协调工作。
(9)负责公司各部门信息安全管理职责的审批工作。
(10)负责组织公司信息安全管理体系符合安全策略和标准。
(11)负责组建公司信息安全管理委员会。
(12)负责任命公司信息安全管理者代表。
2 管理者代表(1)协助总经理建立公司信息安全管理体系。
(2)协助总经理制定、发布公司信息安全方针。
(3)协助总经理组织各部门定期评审、更新公司信息安全方针。
(4)协助总经理向公司员工和外部提出信息安全管理承诺。
(5)协助总经理实施公司信息安全资源的配置。
(6)协助总经理公司信息安全管理体系评审工作。
(7)协助总经理组织公司信息安全管理体系持续改进工作。
(8)协助总经理公司信息安全管理体系内部协调工作。
(9)协助总经理公司各部门信息安全管理职责的审批工作。
(10)协助总经理组织公司信息安全管理体系符合安全策略和标准。
程序文件版次:A/0(11)负责主持公司信息安全管理体系内部审核工作。
3 信息安全管理委员会(1)负责实施公司信息安全管理体系风险评估。
(2)负责根据风险评估制定相关措施。
(3)负责建立公司适用性声明。
ISO27001-2022附录A(5-8)
5.20 在供应商协议中强调信息安全
5.21
ICT(信息与通信技术)供应链中的信 息安全管理
5.22 供应商服务的监视、评审和变更管理
5.23 云服务使用中的
5.24 信息安全事件管理的策划和准备 5.25 信息安全事态的评估和决策 5.26 信息安全事件的响应 5.27 从信息安全事件中的学习 5.28 证据的收集 5.29 中断期间的信息安全 5.30 关于业务连续性的ICT准备 5.31 法律法规、监管和合同要求 5.32 知识产权 5.33 记录保护控制 5.34 隐私和 PII(个人可识别信息)的保护 5.35 信息安全的独立评审 5.36 符合信息安全的策略、规则和标准 5.37 文件化的操作规程
7.4 物理安全监视 7.5 物理和环境威胁的安全防护 7.6 在安全区域工作 7.7 清理桌面和屏幕 7.8 设备安置和保护 7.9 组织场所外的资产安全 7.10 存储介质 7.11 支持性设施 7.12 布缆安全 7.13 设备维护 7.14 设备的安全处置或再利用 8 技术控制 8.1 用户终端设备 8.2 特许访问权 8.3 信息访问限制 8.4 对源代码的访问 8.5 身份验证安全 8.6 容量管理 8.7 恶意软件防范 8.8 技术脆弱性管理 8.9 配置管理 8.10 信息删除 8.11 数据屏蔽 8.12 防止数据泄漏 8.13 信息备份 8.14 信息处理设施的冗余 8.15 日志管理
附录 A(规范性附录) 信息安全控制参考
接源自并与ISO/IEC27002:2022第5章至第8章相对应,并在6.1.3环境中被使用。表A.1信息安全控制 表A.1续表
控制 信息安全策略和特定的主题策略应被定义,由管理者批准,发布、传递并被相关人员和有关相 关方所认可,并按照策划的时间间隔或当发生重大变化时实施评审。 应根据组织的需求定义、分配信息安全的角色和职责。
信息安全管理组织机构设置及工作职责
信息安全管理组织机构设置及工作职责一.组织机构1.1公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。
1.2信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。
职责主要包括:根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。
1.3信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。
组长均由公司负责人担任。
1.4信息安全工作组的主要职责包括:1.4.1贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作;1.4.2根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实;1.4.3组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;1.4.4负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;1.4.5组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;1.4.6负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;1.4.7及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。
1.4.8跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。
1.5应急处理工作组的主要职责包括:1.5.1审定公司网络与信息系统的安全应急策略及应急预案;1.5.2决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统;1.5.3每年组织对信息安全应急策略和应急预案进行测试和演练。
1.6公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全技术人员,有条件的应设置信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。
ISO27001信息安全体系结构课件
审计
安
全 策 略 与 服
密 钥 管 理
务
状入 态侵 检监 测控
机岗人 制培法 构位事 度训律
ISO27001信息安全体系结构
11
2.3 信息安全体系框架
技术体系
1)物理安全技术。信息系统的建筑物、机房条件及硬 件设备条件满足信息系统的机械防护安全;通过对电力供应 设备以及信息系统组件的抗电磁干扰和电磁泄露性能的选择 性措施达到相应的安全目的。物理安全技术运用于物理保障 环境(含系统组件的物理环境)。
防 火 墙 与 系 统 隔 离 产 品
安 全 路 由 器 与 虚 拟 专 用 网 络 产 品
网 络 病 毒 检 查 预 防 和 清 除 产 品
网 络 安 全 隐 患 扫 描 检 测 工 具
网 络 安 全 监 控 及 预 警 设 备
网 络 信 息 远 程 监 控 系 统
审 计 与 网 情 分 析 系 统
鉴别服务 访问控制 数据完整性 数据保密性 不可抵赖性
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
安全机制
加数访数鉴业路公 密字问据别务由证
签控完交流控 名制整换填制
性充
安全服务
ISO27001信息安全体系结构
5
2.2 开放系统互连安全体系结构
安全机制是指用来保护系统免受侦听、阻止 安全攻击及恢复系统的机制。
资源的非授权使用。
3)数据保密性。这种服务对数据提供保护使之不被非授权地
泄漏。
4)数据完整性。可以针对有连接或无连接的条件下,对数据
进行完整性检验。在连接状态下,当数据遭到任何篡改、插入、删
除时还可进行补救或恢复。
5)抗抵赖。对发送者来说,数据发送将被证据保留,并将这
ISO27001-2013信息安全职责
各部门负责人
1)负责公司信息安全方针、目标、政策在部门内部的有效执行、监督、检查。
2)参与公司信息安全工作的讨论和决策。
3)对信息安全管理体系内部审核、管理评审及其他安全检查时发现的问题及采取的纠正预防措施进行审核和确认。
4)负责管理和维护部门发布的信息安全管理体系相关文件。
5)负责信息安全事件的调查及协调处理。
6)做好本岗位信息安全相关的保密工作
6
综合部
1)负责监控信息安全管理体系的日常运行。
2)负责信息安全管理体系文件的控制。
3)负责本公司信息安全管理体系的推行落实。
4)负责公司员工招聘、聘用及离职全过程的安全管理。
5)负责公司内部人事档案等重要文件资料的安全管控。
6)负责公司日常行政安全的管理。
7)负责公司办公环境的物理安全,包括人员及物品出入控制、门责公司财务记帐、报帐、应收及应付、资产盘点等日常工作。
2)负责本岗位的重要信息的安全保密管控,包括财务报表、各类凭证等重要文件的安全管控。
3)信息安全事件的报告及协助处理。
4)做好本岗位信息安全相关的保密工作
13
项目经理及项目专员
1)负责服务项目的具体实施及管理。
2)负责本岗位的重要信息的安全保密管控,包括各类基础数据、原始数据、拨打数据等重要数据的安全管控。
3)信息安全事件的报告及协助处理。
4)做好本岗位信息安全相关的保密工作
11
IT维护工程师/网络管理员
1)负责公司信息系统建设及运行维护。
2)负责公司机房安全管理。
3)负责公司各部门办公电脑的维护及安全管理。
4)按时记录网络机房运行日志
5)信息安全事件的报告、响应及协调处理。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
12)识别适用于公司的所有法律、法规,行业主管部门颁布的规章制度,审核ISMS体系文档的合规性
3
总经理
1)任命管理者代表,明确管理者代表的职责和权限;
2)确保在内部传达满足客户和法律法规的重要性;
3)为信息安全管理体系配备必要的资源;
2)以安全负责的方式使用公司的信息资产;
3)积极参加信息安全教育与培训,提高信息安全意识;
4)有责任将违反信息安全政策的事件与行为及时报告给本部门信息安全管理员及其他相关人员
8
信息安全员
1)负责管理本部门信息资产识别表。
2)负责确保本部门与信息处理设施相关的信息和资产进行适当的识别和分类。
3)定期向部门信息安全工作小组反馈部门信息资产识别表
6
部门信息安全工作小组成员
1)负责本部门日常的具体信息安全工作,并参加信息安全管理工作小组所要求的各项活动;
2)负责按照ISMS体系的要求,对本部门所拥有和管理的信息资产进行维护,包括资产的识别和分类、资产的威胁和脆弱性识别及安全需求级别确定等工作;
3)负责根据ISMS安全政策要求,在本部门提高员工安全意识,落实责任,保护信息资产的安全,并确保已建立的安全控制措施持续有效;
XXX有限公司新点2008年12月组织机构图
表A.4信息安全职责说明
序号
单位/部门
信息安全职责
1
信息安全委员会
1)负责公司的整体信息安全管理工作,负责公司信息资产的安全;
2)负责与国家信息安全主管机构、上级主管部门的沟通和交流,负责有关信息安全工作的落实和推行,并负责报告本公司有关信息安全状况和重要事件;
4)负责向信息安全管理工作小组组长报告信息安全事件和违反信息安全政策的行为,协助对违反安全政策的行为进行调查;
5)协助信息安全管理工作小组组长和本部门信息安全主管领导落实针对本部门的纠正措施(包括内部审核整改意见)和预防措施
7
内部员工
1)严格遵守所有与信息安全相关的国家法律、法规和政策,遵守公司所有的信息安全政策,并签字承诺遵守保密协议的有关规定;
4)公司内部审核工作;
5)负责向总经理报告信息安全体系运行的业绩和任何改进的
6)需求;
7)负责就信息安全管理体系有关事宜的对外联络。
8)遵守公司信息安全的相关规定以及本岗位相关的保密要求
5
各部门的信息安全主管领导
1)部门的信息安全主管领导由本部门部门长担任;
2)负责协助信息安全工作小组建立本部门信息安全管理制度和流程;
3)负责定期召开信息安全管理工作会议,定期总结运行情况以及安全事件记录,并向信息安全管理委员会汇报;
4)协助行政部对员工进行信息安全意识教育和安全技能培训;
5)协助行政部和各业务部门对员工的聘前、聘中及解聘过程中涉及的人员信息安全进行有效管理;
6)协调各部门以及与外部组织间有关的信息安全工作,负责建立各部门、关联公司、外部安全管理主管机构之间的定期联系和沟通机制;
7)负责对ISMS体系进行审核,以验证体系的健全性和有效性,并对发现的问题提出内部审核建议;
8)负责对ISMS体系的具体实施、各部门的信息安全运行状况进行定期审计或专项审计;
9)负责汇报审计结果,并督促审计整改工作的进行,落实纠正措施(包括内部审核整改意见)和预防措施。
10)负责制定违反安全政策行为的标准,并对违反安全政策的人员和事件进行确认;
3)负责协调公司内部信息安全工作,分配信息安全管理目标、职责,并支持和推动信息安全工作在公司范围内的实施;
4)负责对与信息安全管理有关的重大事项进行决策,包括安全组织机构调整、信息安全关键人事变动、以及信息安全管理重大策略变更、确认可接受的风险和风险水平等;
5)负责对信息安全管理体系进行内部评审和管理评审,审批和发布信息安全方针、信息安全规范及管理办法以及与信息安全管理相关的重大事项;
6)负责制定和实施与信息安全相关的奖惩措施和安全绩效考核体系;
7)评审与监督重大信息安全事故的处理;
8)对内部评审整改意见负最终责任。
2
信息安全工作组
1)直接对信息安全管理委员会负责,承担信息安全管理委员会的具体工作,协助在信息安全事务上的决策;
2)负责信息安全管理体系的建立、实施和日常运行,起草信息安全政策,确定信息安全管理标准,督促各信息安全执行单位对于信息安全政策、措施的实施;
3)部门的信息安全主管领导系本部门信息安全管理责任人,负责本部门的信息安全管理工作,负责保护本部门所拥有和管理的信息资产的安全;
4)负责采取有效办法,落实和推动信息安全政策的实施;
5)负责指导和要求本部门员工遵守信息安全政策;
6)对违反安全政策的行为进行内部处罚;
7)落实针对本部门的纠正措施(包括内部审核整改意见)和预防措施。
9
行政部
1)负责本公司管理体系文件的控制;
2)负责保存内部审核和管理评审的有关记录;
3)负责监控信息安全管理体系的日常运行
4)负责公司物理安全的管理;
5)负责公司水电空调物业等的管理;
6)本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的保密要求
7)负责人力资源管理工作,确保人员的信息安全;
8)本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的保密要求。
4)主持管理评审;
5)负责公司信息安全管理和企业管理的计划、组织、协调、监督、控
6)制和考核工作。
7)遵守公司信息安全的相关规定以及本岗位相关的保密要求
4
管理者代表
1)负责建立、实施、保持和改进信息安全管理体系,保证信息安全体
2)系的有效运行;
3)负责公司信息安全管理手册的审核,程序文件的批准,组织并领导
10
实施部
1)负责公司计算机及网络设备的管理和维护;
2)负责了解世界计算机及网络技术的发展趋势,为公司计算机及网络设备的更新和升级提出建议并予以实施;
3)负责公司网站的管理、维护和内容更新。
4)负责公司IT方面的信息安全建设。
5)负责公司信息安全内部审核的管理。
6)负责公司应用系统软件的管理和维护。
7)本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的保密要求
表2 信息安全体系要求与部门职能分配表
ISO 27001条文要求
总经理
管理者代表
行政部
实施部
开发部
信息安全工作小组