跳转至

ISMS-02-10-V1.0 信息安全组织建设管理规定

信息安全组织建设管理规定

第一章 总则

第一条 目的

为在思度安全运营中心内建立有效的信息安全组织框架,提供思度安全运营中心信息安全管理体系组织保障,推动信息安全各项工作的开展,特制定本规定。

第二条 总体要求

信息安全组织建设总体要求:遵循"操作落实到人,布置落实到组,检查落实到中心,监督落实到专业组,考核落实到思度安全运营中心"的风险防范基本要求,设置各层组织、人员的信息安全职责,保证思度安全运营中心信息安全工作的执行、布置、检查、监督和考核五级责任可在人、组、中心和思度安全运营中心四个层面具体落实并有效执行。

第三条 适用范围

本规定适用于思度安全运营中心范围内的信息安全组织建设相关活动。

第二章 组织框架

第四条 信息安全组织框架

思度安全运营中心信息安全组织框架包括管理决策、监督检查、贯彻执行三个方面的职能(信息安全组织架构图详见附件二)。

第五条 信息安全工作指挥小组

管理决策职能由思度安全运营中心信息安全工作指挥小组承担,领导思度安全运营中心信息安全总体工作, 信息安全工作指挥小组组长由思度安全主管科技的行领导担任,副组长由思度安全运营中心总经理担任,组员为思度安全运营中心经管层领导及各中心负责人。设立信息安全管理者代表,由信息安全工作指挥小组副组长担任,负责信息安全工作的总体协调和推进。信息安全工作指挥小组下设办公室,办公室设在思度安全运营中心,负责信息安全工作的具体协调和落实。

第六条 思度安全运营中心风险管理组

监督检查职能由思度安全运营中心风险管理组承担,负责思度安全运营中心信息安全各项工作的日常监督和持续检查。各部门的安全组负责本部门的信息安全各项工作的日常监督和持续检查。

第七条 职能组

贯彻执行职能由思度安全运营中心各职能组及全体员工承担,遵循信息安全管理要求,落实各项信息安全工作,配合监督和检查。各职能组设置专职的信息安全员(或兼职信息安全员),负责各职能组信息安全工作的具体协调和落实。

第三章 管理决策

第八条 信息安全工作指挥小组

思度安全运营中心信息安全工作指挥小组,负责制订思度安全运营中心信息安全发展战略,审批信息安全策略文件,部署并考核信息安全工作,主要职责包括: (一) 贯彻落实国家和上级单位关于信息安全和风险管理的方针政策,确立思度安全运营中心信息安全方针; (二) 组织制定思度安全运营中心信息安全和风险管理的总体规划; (三) 研究部署和讨论决定思度安全运营中心信息安全和风险管理工作的重大事项; (四) 组织制定思度安全运营中心信息安全和风险管理的规章、制度; (五) 对思度安全运营中心信息安全工作进行考核,审批考核结果并做决策。

第九条 信息安全管理者代表

负责思度安全运营中心信息安全工作的总体协调和推进,主要职责包括: (一) 提出信息安全目标,领导信息安全管理体系的建立、运行和维护,开展资产识别和风险评估; (二) 协调与信息安全管理体系有关的各项工作; (三) 确保在思度安全运营中心内提高员工信息安全意识; (四) 督促信息安全管理体系内部审核和信息安全检查的开展; (五) 协助最高管理者进行信息安全管理体系的管理评审; (六) 向最高管理者报告信息安全管理体系的业绩和改进要求。

第十条 信息安全工作指挥小组办公室

负责信息安全工作的具体协调和落实,主要职责包括: 负责思度安全运营中心信息安全工作的日常事务; 向信息安全工作指挥小组汇报。

第四章 监督检查

第十一条 思度安全运营中心风险管理组

负责思度安全运营中心信息安全制度的制定、具体工作的组织协调和监督检查,主要职责包括: (一) 组织识别安全需求,制定信息安全方针与制度; (二) 制定风险评估计划,组织进行风险评估,制定风险处理计划; (三) 跟踪信息安全事件处理并报告,信息安全事件统计及分析; (四) 组织实施内部信息安全检查; (五) 组织对员工的信息安全意识教育和基础培训; (六) 对各中心的信息安全工作进行监督、指导; (七) 定期向信息安全工作指挥小组提供信息安全管理报告; (八) 组织开展思度安全运营中心各中心信息安全职责考核; (九) 与外部信息安全组织、机构联系和沟通。

第十二条 各中心信息安全组

负责本中心信息安全具体工作的组织协调和监督检查,承担以下信息安全职责: (一) 代表本中心与思度安全运营中心风险管理组保持联络,传达并落实思度安全运营中心信息安全工作要求,推进本部门信息安全具体工作; (二) 组织实施中心内部信息安全检查; (三) 负责各职能组信息安全工作的监督和检查; (四) 负责制定本中心风险评估计划,组织进行风险评估,制定风险处理计划; (五) 跟踪信息安全事件处理并报告,信息安全事件统计及分析; (六) 组织对本中心员工及相关第三方的信息安全意识教育和基础培训; (七) 定期对本中心信息安全工作进行考核并上报思度安全运营中心风险管理组。

第五章 贯彻执行

第十三条 落实要求

思度安全运营中心信息安全各项工作,需在中心、职能组和员工三个层面予以落实。

第十四条 各中心信息安全职责

(一) 中心负责人作为本中心信息安全第一责任人; (二) 贯彻落实思度安全运营中心各项安全管理要求; (三) 识别并评估本部门的信息资产和风险,落实相应的保护要求,根据风险处理计划制订风险处理方案并组织实施; (四) 开展本部门信息安全自查工作,制订并落实本部门职责范围内的具体整改措施; (五) 监控本部门信息安全事件并定期进行分析; (六) 开展本部门员工的信息安全技术培训及相关第三方的信息安全培训; (七) 定期向思度安全运营中心风险管理组提供本部门信息安全管理报告; (八) 组织本部门员工信息安全职责考核; (九) 向信息安全工作指挥小组汇报本部门信息安全工作情况。

第十五条 职能组的安全职责

(一) 各职能组负责人作为信息安全具体工作的布置者; (二) 贯彻落实本组的各项信息安全工作要求; (三) 识别并明确本组各岗位的信息安全职责; (四) 布置本组内信息安全具体工作; (五) 监督、检查本组内各岗位信息安全职责的落实; (六) 向本部门负责人汇报组内的信息安全工作情况。

第十六条 全体员工的安全职责

(一) 遵守信息安全规章制度,遵循操作规范和流程; (二) 履行岗位信息安全职责,执行信息安全工作任务; (三) 作为信息资产使用者,妥善使用并保护工作所涉及的信息资产; (四) 及时上报信息安全事件或隐患; (五) 参与信息安全教育和培训。

第六章 附则

本规定由思度安全运营中心制定、修订和解释。 本规定自发布之日起生效。

附件二: 信息安全组织架构图

Back to top