关于安全管理机构的管理标准 1.引言 本规范作为XX信息通信分公司（以下简称“公司”）信息安全规范的重要组成部分，阐述了公司在安全机构管理方面的基本方法和原则，确定了在信息安全机构管理方面的职责和义务，明确了公司建立安全组织机构、设立要害岗位、授权与审批方面的关系和作用。 2.范围 本规定适用于指导公司建立信息安全机构， 本规定适用于指导公司编制信息安全机构管理办法 3.规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用文件，其随后所有的修改单或修订版均不适用于本标准（不包括勘误、通知单），然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未注日期的引用文件，其最新版本适用于本标准 《信息安全技术?信息系统安全保障评估框架》（GB/T?20274.1-2006） 《信息安全技术?信息系统安全管理要求》（GB/T?20269-2006?） 《信息安全技术 信息系统安全等级保护基本要求》（GBT 22239-2008） 本标准未涉及的管理内容，参照国家、电力行业、南方电网公司的有关标准和规定执行。 4.总则 为规范公司信息安全管理工作，建立健全管理体系和管理机制，需建立健全相应的组织管理体系。 建立组织管理体系是为了建立自上而下的信息安全工作管理体系，确定安全管理组织机构的职责，统筹规划、专家决策，以推动信息安全工作的开展。 5.信息安全组织体系构架 5.1信息安全组织结构 公司应设置独立于各部门、各下级机构职责的信息安全工作组，负责全企业范围的信息安全管理、维护和执行工作。信息安全工作组共分为两个小组，形成两层结构：领导小组和工作小组。 ? ? 图表1信息安全工作组结构 设立的信息安全领导小组，该小组是信息安全的最高决策机构。信息安全领导小组组长可由分管信息的副总担任，信息安全领导小组的成立应该由相应机构正式发文，并说明领导小组及办事机构的职能和人员组成。 ???工作小组由负责本地的信息安全管理和维护，并向供电局信息安全工作小组反映信息安全执行情况。 ? ? 信息安全工作组基本职责 5.1.1根据国家和行业有关信息安全的政策、法律和法规，批准公司计算机信息系统的安全政策； 5.1.2根据公司总体安全规划制定企业信息系统建设的详细安全计划并组织实施； 5.1.3负责对安全策略体系进行管理和维护，并据此制定信息安全管理制度； 5.1.4对各执行工作组提出的工作计划、建议、办法和措施进行决策； 5.1.5监督和指导企业范围的信息安全工作的贯彻和实施； 5.1.6组织企业全体技术人员和普通员工的安全技术交流与培训； 5.1.7直接负责企业信息系统的安全管理和维护工作； 5.1.8参与企业信息系统相关的新工程建设和新业务开展的方案论证，并提出安全方面的相应建议； 5.1.9在企业信息系统相关的工程验收时，对信息安全方面的验收测试方案进行审查并参与验收； 5.1.10参加国家电力行业及省公司召开的信息安全的重大活动； 5.1.11每月至少组织信息安全工作组成员进行一次企业范围的信息安全巡检； 5.1.12授权信息安全管理员处理日常工作。 5.2安全职责的分配 信息系统中包括以下信息系统安全责任人和维护人。 5.3安全责任人 5.3.1公司信息部门负责管理网络设备、服务器，以及安全设备，作为底层系统的安全责任人。信息部门可指派网络管理员、服务器管理员、安全设备管理员负责相应的资产； 5.3.2公司业务部门负责管理具体业务系统的运行和数据资源的安全性，作为业务系统数据资产的安全负责人； 5.3.3公司业务部门负责基于业务使用需要，分配必要的访问权； 5.3.4公司和业务部门每年需要审查资产的访问权限。 ? ???????5.4安全维护人 a)公司是支持和维护网络与信息资产的人员； b)公司根据所保管的信息的保密类别来确定相应的实物资产的安全管理流程，包括物理保护及程序性保护，以确保网络与信息资产责任人所要求的机密性、完整性和可用性； c)公司应确保适当的安全措施到位，并可以适度向下委派。如若需要，可以确定备用联络人； d)公司应保留责任人的名单； e)公司应通知责任人其所应承担的安全职责。 6.岗位的安全职责 公司中设立以下岗位角色，分别负责不同的工作内容，确保信息系统的安全运行，岗位人员安排如下： ? 6.1安全管理员 主要是指公司安全管理员岗位。其安全职责包括： 1)负责信息安全工作的具体实施和有关信息安全问题的处理，根据信息安全事件的处理情况和对网络系统安全检测的结果，提交事件处理报告； 2)根据网络系统安全需求，定期提出网络系统安全整改意见，上报信息安全工作组领导； 3)组织企业定期的信息安全巡检，并在其他管理员的协助下建立完整的安全巡检报告，及时向组长提交