信息安全管理機(jī)構(gòu)管理辦法信息安全管理機(jī)構(gòu)管理辦法編制：日期：審核：日期：批準(zhǔn)：日期：版本：V1.0 2025年05月20日發(fā)布版本更改記錄版本編號(hào)修訂時(shí)間修訂人修訂類型修訂內(nèi)容批準(zhǔn)人批準(zhǔn)日期*修訂類型分為A-ADDEDM-MODIFIEDD–DELETED注：對(duì)該文件內(nèi)容增加、刪除或修改均需填寫此記錄，詳細(xì)記載變更信息，以保證其可追溯

總則為有效實(shí)施信息安全管理，保障********信息中心的信息系統(tǒng)安全，在********信息中心內(nèi)部建立自己的信息安全管理組織機(jī)構(gòu)。本辦法適用于指導(dǎo)********信息中心建立信息安全管理組織機(jī)構(gòu)和其管理辦法。信息安全管理組織架構(gòu)信息安全管理組織架構(gòu)是實(shí)施系統(tǒng)安全，進(jìn)行安全管理的必要保證。根據(jù)********信息中心編制體系現(xiàn)狀以及人員結(jié)構(gòu)，********信息中心的信息安全管理組織架構(gòu)如下：********信息中心成立信息安全領(lǐng)導(dǎo)小組。領(lǐng)導(dǎo)小組負(fù)責(zé)********信息中心范圍內(nèi)信息安全管理決策等工作，下設(shè)兩個(gè)工作組小組：信息安全工作組、應(yīng)急處理工作組。信息安全領(lǐng)導(dǎo)小組信息安全是********信息中心工作人員必須共同承擔(dān)的責(zé)任，在********信息中心建立信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)本單位信息安全工作的宏觀管理。信息安全領(lǐng)導(dǎo)小組是********信息中心信息安全工作的最高領(lǐng)導(dǎo)決策機(jī)構(gòu)，它不隸屬于任何部門，直接對(duì)********信息中心最高領(lǐng)導(dǎo)負(fù)責(zé)，是一個(gè)常設(shè)機(jī)構(gòu)。********信息中心信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)********信息中心信息安全的總體規(guī)劃與決策，并領(lǐng)導(dǎo)********信息中心信息系統(tǒng)安全建設(shè)、運(yùn)行、維護(hù)和管理等工作；負(fù)責(zé)組織落實(shí)上層決策；信息安全領(lǐng)導(dǎo)小組的組長(zhǎng)由********信息中心的主要領(lǐng)導(dǎo)擔(dān)任，并由信息安全相關(guān)各職能部門的主要負(fù)責(zé)人參加。********信息中心信息安全領(lǐng)導(dǎo)小組的職責(zé)是：信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)領(lǐng)導(dǎo)落實(shí)********信息中心信息系統(tǒng)安全建設(shè)的總體規(guī)劃，制定********信息中心信息系統(tǒng)安全建設(shè)規(guī)劃。在********信息中心信息系統(tǒng)安全方針和總體策略的指導(dǎo)下，負(fù)責(zé)組織制定********信息中心信息系統(tǒng)安全策略。負(fù)責(zé)組織細(xì)化信息安全規(guī)章制度，制定相應(yīng)程序指南，并監(jiān)督落實(shí)規(guī)章制度。負(fù)責(zé)********信息中心信息系統(tǒng)安全管理層以上的人員權(quán)限授予工作。負(fù)責(zé)審閱********信息中心信息安全工作報(bào)告；負(fù)責(zé)********信息中心重大安全事故查處與匯報(bào)工作。********信息中心信息安全領(lǐng)導(dǎo)小組成員如下：組長(zhǎng)：主管單位分管領(lǐng)導(dǎo)副組長(zhǎng)：信息中心主管領(lǐng)導(dǎo)成員：相關(guān)處室、科室負(fù)責(zé)人信息安全工作組在信息安全領(lǐng)導(dǎo)小組的基礎(chǔ)上，********信息中心信息安全管理由信息安全領(lǐng)導(dǎo)小組成員部門共同完成，包括綜合管理科、技術(shù)科等等。********信息中心信息安全工作組主要負(fù)責(zé)********信息中心的信息安全工作落實(shí)和日常信息安全管理工作。信息安全工作組基本職責(zé)是：貫徹執(zhí)行********信息中心信息安全領(lǐng)導(dǎo)小組的決議，協(xié)調(diào)和規(guī)范信息中心信息安全工作；根據(jù)信息安全領(lǐng)導(dǎo)小組的工作部署，對(duì)信息安全工作進(jìn)行具體安排、落實(shí)；負(fù)責(zé)協(xié)調(diào)、督促各職能部門和有關(guān)單位的信息安全工作，參與信息系統(tǒng)工程建設(shè)中的安全規(guī)劃，監(jiān)督安全措施的執(zhí)行；組織信息安全工作檢查，分析信息安全總體狀況，提出分析報(bào)告和安全風(fēng)險(xiǎn)的防范對(duì)策；負(fù)責(zé)接受各單位的緊急信息安全事件報(bào)告，組織進(jìn)行事件調(diào)查分析原因、涉及范圍，并評(píng)估安全事件的嚴(yán)重程度，提出信息安全事件防范措施；及時(shí)向信息安全工作領(lǐng)導(dǎo)小組和上級(jí)有關(guān)部門、單位報(bào)告信息安全事件；跟蹤先進(jìn)的信息安全技術(shù)，組織信息安全知識(shí)的培訓(xùn)和宣傳工作；組織信息中心技術(shù)人員和普通員工的安全技術(shù)交流與培訓(xùn)；負(fù)責(zé)信息中心信息系統(tǒng)的安全管理和維護(hù)工作；參與信息系統(tǒng)相關(guān)的新工程建設(shè)和新業(yè)務(wù)開(kāi)展的方案論證，并提出安全方面的相應(yīng)建議；在信息系統(tǒng)相關(guān)的工程驗(yàn)收時(shí)，對(duì)信息安全方面的驗(yàn)收測(cè)試方案進(jìn)行審查并參與驗(yàn)收；參加本單位召開(kāi)的信息安全的重大活動(dòng)；每月至少組織信息安全工作組成員進(jìn)行一次********信息中心范圍的信息安全巡檢；授權(quán)信息安全管理員處理日常工作。為明確安全職責(zé)，應(yīng)在相關(guān)管理部門中指定對(duì)信息安全負(fù)責(zé)的主管，這些主管共同貫徹執(zhí)行信息系統(tǒng)安全工作的方針政策、規(guī)章制度及有關(guān)的技術(shù)標(biāo)準(zhǔn)、規(guī)范和方案，并監(jiān)督安全策略的落實(shí)。應(yīng)急處理工作組為保障********信息中心信息系統(tǒng)的業(yè)務(wù)可持續(xù)性，確保遭遇任何大型災(zāi)難或故障時(shí)關(guān)鍵業(yè)務(wù)活動(dòng)能夠盡快被恢復(fù)，********信息中心成立應(yīng)急處理工作組，是在信息系統(tǒng)安全事故發(fā)生時(shí)，啟動(dòng)應(yīng)急機(jī)制，對(duì)應(yīng)急預(yù)案進(jìn)行執(zhí)行和決策的組織。應(yīng)急處理工作組組長(zhǎng)由信息中心的主任擔(dān)任，副組長(zhǎng)由信息中心的副主任擔(dān)任，組員由信息安全相關(guān)各職能部門的主要負(fù)責(zé)人參加。********信息中心應(yīng)急處理工作組的職責(zé)是：負(fù)責(zé)組織技術(shù)緊急事件發(fā)生時(shí)的應(yīng)急處理；負(fù)責(zé)組織單位業(yè)務(wù)運(yùn)行、網(wǎng)絡(luò)以及信息系統(tǒng)安全的監(jiān)控；負(fù)責(zé)組織關(guān)區(qū)安全保障技術(shù)應(yīng)急措施的培訓(xùn)和演練；負(fù)責(zé)組織檢查單位業(yè)務(wù)運(yùn)行、網(wǎng)絡(luò)以及信息系統(tǒng)安全措施的執(zhí)行情況；負(fù)責(zé)對(duì)外發(fā)布故障情況通報(bào)。安全角色與職責(zé)對(duì)于信息系統(tǒng)建設(shè)和運(yùn)行維護(hù)的具體執(zhí)行，設(shè)立相應(yīng)的安全管理崗位，下面定義了相應(yīng)的安全角色和職責(zé)，其具體描述如下：安全管理員負(fù)責(zé)單位信息系統(tǒng)信息安全工作的具體實(shí)施和有關(guān)信息安全問(wèn)題的處理，根據(jù)信息安全事件的處理情況和對(duì)網(wǎng)絡(luò)系統(tǒng)安全檢測(cè)的結(jié)果，提交事件處理報(bào)告；根據(jù)單位信息系統(tǒng)安全需求，定期提出網(wǎng)絡(luò)系統(tǒng)安全整改意見(jiàn)，上報(bào)信息安全工作組領(lǐng)導(dǎo)；組織單位定期的信息安全巡檢，并在其他管理員的協(xié)助下建立完整的安全巡檢報(bào)告，及時(shí)向組長(zhǎng)提交報(bào)告，匯報(bào)網(wǎng)絡(luò)的信息安全現(xiàn)狀；指導(dǎo)和監(jiān)督單位內(nèi)其他管理員和普通用戶與安全相關(guān)的工作，為他們的安全改進(jìn)提供建議；監(jiān)控單位專網(wǎng)信息系統(tǒng)的安全需求變化，及時(shí)獲取來(lái)自其他管理員和普通用戶的安全意見(jiàn)，進(jìn)行必要的安全策略體系修訂；負(fù)責(zé)信息系統(tǒng)安全項(xiàng)目在單位專網(wǎng)的推廣應(yīng)用，參與單位專網(wǎng)信息安全應(yīng)用項(xiàng)目和產(chǎn)品的開(kāi)發(fā)與選型；負(fù)責(zé)單位專網(wǎng)計(jì)算機(jī)系統(tǒng)病毒防治；協(xié)助解決單位信息系統(tǒng)安全突發(fā)事件，負(fù)責(zé)重大事件的上報(bào)；發(fā)布單位內(nèi)部信息安全通報(bào)及安全預(yù)警。信息安全工作組涉及的崗位職責(zé)，處理信息安全工作組核準(zhǔn)的其它事務(wù)。系統(tǒng)管理員負(fù)責(zé)主機(jī)操作系統(tǒng)的安全配置（包括及時(shí)修補(bǔ)系統(tǒng)漏洞）和日常審計(jì)，系統(tǒng)應(yīng)用軟件的安裝，從系統(tǒng)層面實(shí)現(xiàn)對(duì)用戶與資源的訪問(wèn)控制。協(xié)助安全管理員制定主機(jī)操作系統(tǒng)的安全配置規(guī)則，并落實(shí)執(zhí)行。負(fù)責(zé)主機(jī)設(shè)備的日常管理與維護(hù)，保持系統(tǒng)處于良好的運(yùn)行狀態(tài)。為安全審計(jì)員提供完整、準(zhǔn)確的主機(jī)系統(tǒng)運(yùn)行活動(dòng)的日志記錄。在主機(jī)系統(tǒng)異常或故障發(fā)生時(shí)，詳細(xì)記載發(fā)生異常時(shí)的現(xiàn)象、時(shí)間和處理方式，并及時(shí)上報(bào)。編制主機(jī)設(shè)備的維修、報(bào)損、報(bào)廢計(jì)劃，報(bào)主管領(lǐng)導(dǎo)審核。主機(jī)系統(tǒng)管理員要熟悉單位信息中心內(nèi)所使用的各個(gè)主機(jī)系統(tǒng)，并具有完成上述工作職能的技術(shù)能力。網(wǎng)絡(luò)管理員負(fù)責(zé)網(wǎng)絡(luò)的部署以及網(wǎng)絡(luò)產(chǎn)品、網(wǎng)絡(luò)安全產(chǎn)品的配置、管理與監(jiān)控，并對(duì)關(guān)鍵網(wǎng)絡(luò)配置文件進(jìn)行備份，及時(shí)修補(bǔ)網(wǎng)絡(luò)設(shè)備的漏洞。協(xié)助安全管理員制定網(wǎng)絡(luò)設(shè)備安全配置規(guī)則，并落實(shí)執(zhí)行。為安全審計(jì)員提供完整、準(zhǔn)確地記錄重要網(wǎng)絡(luò)設(shè)備和網(wǎng)站運(yùn)行活動(dòng)的運(yùn)行日志。在網(wǎng)絡(luò)及設(shè)備異常或故障發(fā)生時(shí)，詳細(xì)記載發(fā)生異常時(shí)的現(xiàn)象、時(shí)間和處理方式，并及時(shí)上報(bào)。編制網(wǎng)絡(luò)設(shè)備的維修、報(bào)損、報(bào)廢等計(jì)劃，報(bào)主管領(lǐng)導(dǎo)審核。網(wǎng)絡(luò)管理員要熟悉單位信息中心的網(wǎng)絡(luò)狀況，熟悉主流的網(wǎng)絡(luò)產(chǎn)品、安全產(chǎn)品，并具有完成上述工作職能的技術(shù)能力。安全審計(jì)員負(fù)責(zé)定期對(duì)主機(jī)系統(tǒng)、網(wǎng)絡(luò)產(chǎn)品、應(yīng)用系統(tǒng)的日志文件進(jìn)行分析審計(jì)，發(fā)現(xiàn)問(wèn)題及時(shí)上報(bào)。負(fù)責(zé)對(duì)信息安全保障管理活動(dòng)進(jìn)行獨(dú)立的監(jiān)督，提供內(nèi)部獨(dú)立的審計(jì)和評(píng)估工作，并根據(jù)需要可以協(xié)同外部審計(jì)評(píng)估機(jī)構(gòu)進(jìn)行評(píng)估和認(rèn)證，為決策領(lǐng)導(dǎo)提供信息系統(tǒng)和信息安全保障執(zhí)行狀況的客觀評(píng)價(jià)。安全審計(jì)員要熟悉單位信息中心的網(wǎng)絡(luò)情況，熟悉主機(jī)系統(tǒng)、網(wǎng)絡(luò)產(chǎn)品、網(wǎng)絡(luò)安全產(chǎn)品，并具有完成上述業(yè)務(wù)職能的技術(shù)能力。機(jī)房管理員負(fù)責(zé)制定和執(zhí)行適當(dāng)?shù)奈锢戆踩刂啤Ｖ饕?fù)責(zé)非技術(shù)性的、常規(guī)的安全工作，如機(jī)房安全，驗(yàn)證出人機(jī)房的手續(xù)和多項(xiàng)規(guī)章制度的落實(shí)。信息安全管理崗位設(shè)置信息系統(tǒng)運(yùn)維管理部門職責(zé)分工負(fù)責(zé)單位信息系統(tǒng)的信息安全管理工作，內(nèi)部計(jì)算機(jī)系統(tǒng)、軟硬件及網(wǎng)絡(luò)設(shè)備的日常維護(hù)管理工作。安全管理員崗位設(shè)置1個(gè)安全管理員崗位，由信息中心信息安全崗位人員擔(dān)任。安全審計(jì)員崗位設(shè)置1個(gè)安全審計(jì)員崗位，由信息中心綜合管理崗位人員擔(dān)任。系統(tǒng)管理員崗位設(shè)置1個(gè)系統(tǒng)管理員崗位，由信息中心系統(tǒng)維護(hù)崗位人員擔(dān)任。網(wǎng)絡(luò)管理員崗位設(shè)置1個(gè)網(wǎng)絡(luò)系統(tǒng)管理員崗位，由信息中心網(wǎng)絡(luò)運(yùn)行維護(hù)崗位人員擔(dān)任。機(jī)房管理員設(shè)置1個(gè)機(jī)房管理員崗位，由技信息中心房環(huán)境管理崗位人員擔(dān)任。安全管理機(jī)構(gòu)工作制度授權(quán)與審批制度當(dāng)系統(tǒng)發(fā)生變更，進(jìn)行重要操作，執(zhí)行物理訪問(wèn)和系統(tǒng)接入時(shí)需經(jīng)過(guò)信息中心領(lǐng)導(dǎo)的審批。根據(jù)各個(gè)部門和崗位的職責(zé)制定授權(quán)審批事項(xiàng)，各項(xiàng)授權(quán)與審批事項(xiàng)應(yīng)經(jīng)過(guò)指定的部門和人員進(jìn)行授權(quán)和審批。具體審批事項(xiàng)見(jiàn)附件1《授權(quán)審批事項(xiàng)列表》。要定期授權(quán)與審批事項(xiàng)列表進(jìn)行審批，及時(shí)更新授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息。要對(duì)審批過(guò)程進(jìn)行記錄并保存審批文檔。要對(duì)不再適用的權(quán)限及時(shí)取消授權(quán)的記錄溝通和合作制度信息中心各個(gè)部門應(yīng)該定期進(jìn)行信息安全方面的會(huì)議，研究********信息中心審計(jì)發(fā)現(xiàn)存在的安全隱患，協(xié)作處理信息安全問(wèn)題。信息中心應(yīng)加強(qiáng)與各相關(guān)單位溝通與合作，完善信息中心網(wǎng)絡(luò)信息安全建設(shè)。聘請(qǐng)信息安全專家團(tuán)隊(duì)提供常年的安全顧問(wèn)服務(wù)，指導(dǎo)********信息中心信息安全的規(guī)劃與建設(shè)。附則本規(guī)定由********負(fù)責(zé)解釋。本規(guī)定自發(fā)布之日起實(shí)行。附件

附件1：《授權(quán)審批事項(xiàng)列表》發(fā)布時(shí)間：序號(hào)需審批的事項(xiàng)審批部門/人審批程序系統(tǒng)投入使用系統(tǒng)安裝調(diào)試場(chǎng)地應(yīng)該受控制并由使用部門人員陪同，必須保證與在線運(yùn)行的應(yīng)用系統(tǒng)隔離或遠(yuǎn)離應(yīng)用系統(tǒng)，避免重大問(wèn)題的發(fā)生；系統(tǒng)安裝調(diào)試無(wú)誤后，使用部門人員填寫《系統(tǒng)上線申請(qǐng)授權(quán)審批表》，經(jīng)部門負(fù)責(zé)人批準(zhǔn)后，報(bào)信息系統(tǒng)運(yùn)行管理部門審批；審批同意后，系統(tǒng)安裝調(diào)試人員、使用部門人員協(xié)同信息安全管理員對(duì)系統(tǒng)各項(xiàng)安全情況進(jìn)行檢查。不符合信息中心安全要求的責(zé)令使用部門調(diào)整，直到符合信息中心安全規(guī)定才簽字批準(zhǔn)；所有審批完成，系統(tǒng)上線執(zhí)行人員才可以進(jìn)行系統(tǒng)上線工作；訪問(wèn)控制變更各應(yīng)用系統(tǒng)部門如需要增加設(shè)置或修改網(wǎng)絡(luò)訪問(wèn)控制策略必須經(jīng)過(guò)授權(quán)，由需求單位填寫《網(wǎng)絡(luò)訪問(wèn)控制策略變更審批表》（參見(jiàn)附表），經(jīng)信息管理部門負(fù)責(zé)人批準(zhǔn)后實(shí)施；網(wǎng)絡(luò)管理員應(yīng)依據(jù)經(jīng)過(guò)批準(zhǔn)的訪問(wèn)控制策略進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制的設(shè)置和修改；只有網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)安全審計(jì)員才有權(quán)登錄網(wǎng)絡(luò)設(shè)備，發(fā)生人員變更后，應(yīng)及時(shí)更改網(wǎng)絡(luò)設(shè)備賬戶和口令設(shè)置；應(yīng)用系統(tǒng)管理員、審計(jì)員賬戶設(shè)置應(yīng)用系統(tǒng)管理員、審計(jì)員賬戶的授權(quán)由系統(tǒng)運(yùn)行維護(hù)單位填寫《應(yīng)用系統(tǒng)賬戶授權(quán)審批表》（參見(jiàn)附表）；經(jīng)信息系統(tǒng)運(yùn)行管理部門負(fù)責(zé)人批準(zhǔn)后進(jìn)行設(shè)置；應(yīng)用系統(tǒng)管理員與審計(jì)員應(yīng)根據(jù)角色給予不同權(quán)限；信息安全員確保相應(yīng)賬戶是職責(zé)所需最小權(quán)限；業(yè)務(wù)應(yīng)用的賬戶設(shè)置用于業(yè)務(wù)應(yīng)用的賬戶的授權(quán)由使用單位填寫《業(yè)務(wù)應(yīng)用的賬戶授權(quán)審批表》（參見(jiàn)附表）；經(jīng)業(yè)務(wù)管理部門及信息系統(tǒng)運(yùn)行管理部門負(fù)責(zé)人批準(zhǔn)后，由應(yīng)用系統(tǒng)管理員進(jìn)行設(shè)置；信息安全員確保相應(yīng)賬戶是職責(zé)所需最小權(quán)限；防火墻配置變革審批防火墻配置要求人員與單位填寫《防火墻配置變更審批表》（參見(jiàn)附表）；防火墻設(shè)備安全規(guī)則的設(shè)置、更改，應(yīng)該得到信息系統(tǒng)運(yùn)行管理部門負(fù)責(zé)人的批準(zhǔn)，由系統(tǒng)管理員具體負(fù)責(zé)實(shí)施；遠(yuǎn)程訪問(wèn)控制審批需要遠(yuǎn)程訪問(wèn)的人員提交策略的制定、修改應(yīng)提出申請(qǐng)，填寫《訪問(wèn)策略變更審批表》；經(jīng)信息中心領(lǐng)導(dǎo)審批同意后方可按照策略制定、修改有關(guān)設(shè)備的配置，并要求做好相關(guān)的記錄；附件2：《系統(tǒng)上線申請(qǐng)授權(quán)審批表》申請(qǐng)部門責(zé)任人聯(lián)系電話申請(qǐng)日期信息系統(tǒng)業(yè)務(wù)描述信息系統(tǒng)申請(qǐng)權(quán)限要求（網(wǎng)絡(luò)名稱/IP范圍、訪問(wèn)資源、需要開(kāi)發(fā)端口）：申請(qǐng)部門意見(jiàn)：簽名：日期：信息管理部門意見(jiàn)：簽名：日期：信息安全人員系統(tǒng)安全意見(jiàn)：簽名：日期：其他設(shè)置執(zhí)行人執(zhí)行日期附件3：《網(wǎng)絡(luò)訪問(wèn)控制策略變更審批表》申請(qǐng)部門責(zé)任人聯(lián)系電話申請(qǐng)日期授權(quán)性質(zhì)□新增策略□策略變更授權(quán)期限起始日期：結(jié)束日期：申請(qǐng)權(quán)限要求（網(wǎng)絡(luò)名稱/IP范圍、訪問(wèn)資源、訪問(wèn)方式、訪問(wèn)目的等）：申請(qǐng)理由：申請(qǐng)部門意見(jiàn)：簽名：日期：信息管理部門意見(jiàn)：簽名：日期：執(zhí)行記錄控制名稱控制目的源地址目標(biāo)地址訪問(wèn)權(quán)限設(shè)置其他設(shè)置執(zhí)行人執(zhí)行日期附件:4：《應(yīng)用系統(tǒng)賬戶授權(quán)審批表》姓名工號(hào)申請(qǐng)日期部門班組聯(lián)系電話授權(quán)性質(zhì)□新開(kāi)賬戶□權(quán)限變更授權(quán)期限起始日期：結(jié)束日期：申請(qǐng)權(quán)限要求（應(yīng)用系統(tǒng)名稱、使用資源、使用功能、權(quán)限等）：申請(qǐng)理由：申請(qǐng)部門意見(jiàn)：簽名：日期：業(yè)務(wù)管理部門意見(jiàn)：簽名：日期：信息系統(tǒng)運(yùn)行管理部門意見(jiàn)：