ISO27001信息安全组织机构与部门职能分配表.doc

XXX有限公司新点2008年12月组织机构图
信息安全职责说明
序号
单位/部门
信息安全职责
1
信息安全委员会
负责公司的整体信息安全管理工作,负责公司信息资产的安全;
负责与国家信息安全主管机构、上级主管部门的沟通和交流,负责有关信息安全工作的落实和推行,并负责报告本公司有关信息安全状况和重要事件;
负责协调公司内部信息安全工作,分配信息安全管理目标、职责,并支持和推动信息安全工作在公司范围内的实施;
负责对与信息安全管理有关的重大事项进行决策,包括安全组织机构调整、信息安全关键人事变动、以及信息安全管理重大策略变更、确认可接受的风险和风险水平等;
负责对信息安全管理体系进行内部评审和管理评审,审批和发布信息安全方针、信息安全规范及管理办法以及与信息安全管理相关的重大事项;
负责制定和实施与信息安全相关的奖惩措施和安全绩效考核体系;
评审与监督重大信息安全事故的处理;
对内部评审整改意见负最终责任。
2
信息安全工作小组
直接对信息安全管理委员会负责,承担信息安全管理委员会的具体工作,协助在信息安全事务上的决策;
负责信息安全管理体系的建立、实施和日常运行,起草信息安全政策,确定信息安全管理标准,督促各信息安全执行单位对于信息安全政策、措施的实施;
负责定期召开信息安全管理工作会议,定期总结运行情况以及安全事件记录,并向信息安全管理委员会汇报;
协助行政部对员工进行信息安全意识教育和安全技能培训;
协助行政部和各业务部门对员工的聘前、聘中及解聘过程中涉及的人员信息安全进行有效管理;
协调各部门以及与外部组织间有关的信息安全工作,负责建立各部门、关联公司、外部安全管理主管机构之间的定期联系和沟通机制;
负责对ISMS体系进行审核,以验证体系的健全性和有效性,并对发现的问题提出内部审核建议;
负责对ISMS体系的具体实施、各部门的信息安全运行状况进行定期审计或专项审计;
负责汇报审计结果,并督促审计整改工作的进行,落实纠正措施(包括内部审核整改意见)和预防措施。
负责制定违反安全政策行为的标准,并对违反安全政策的人员和事件进行确认;
负责调查安全事件,并维护安全事件的记录报告(包括调查结果和解决方法) ,定期总结安全事件记录报告;
识别适用于公司的所有法律、法规,行业主管部门颁布的规章制度,审核ISMS体系文档的合规性
3
总经理
任命管理者代表,明确管理者代表的职责和权限;
确保在内部传达满足客户和法律法规的重要性;
为信息安全管理体系配备必要的资源;
主持管理评审;
负责公司信息安全管理和企业管理的计划、组织、协调、监督、控
制和考核工作。
遵守公司信息安全的相关规定以及本岗位相关的保密要求
4
管理者代表
负责建立、实施、保持和改进信息安全管理体系,保证信息安全体
系的有效运行;
负责公司信息安全管理手册的审核,程序文件的批准,组织并领导
公司内部审核工作;
负责向总经理报告信息安全体系运行的业绩和任何改进的
需求;
负责就信息安全管理体系有关事宜的对外联络。
遵守公司信息安全的相关规定以及本岗位相关的保密要求
5
各部门的信息安全主管领导
部门的信息安全主管领导由本部门部门长担任;
负责协助信息安全工作小组建立本部门信息安全管