信息安全管理机构

1、信息安全管理机构 信息安全管理机构 1. 组织架构 中国文联文艺资源中心为适应单位发展 ，促进与加强信息化建设，确保信息 化网络与设备安全、稳定运行，组织成立了信息化领导小组，信息化领导小组就是 信息安全管理的最高管理层，单位各相关部门负责日常管理工作。中国文联文艺 资源中心员工需遵守相关的管理制度，配合信息安全检查工作。 2. 信息安全管理组织结构图 3. 信息安全机构管理职责 3.1. 信息化领导小组 信息化领导小组的最高领导由单位主管领导委任或授权。成员有 委员会主任：向云驹 委员会副主任 : 冉茂金、彭宽 信息化领导小组职责 （信息安全领导小组 / 信息安全工作委员会 ）: 1）负责指

2、导与管理信息化建设与信息安全工作。 2）负责定期组织相关部门与相关人员对安全管理制度体系的合理性与适用 性进行审定。 3.2. 应急领导小组 信息化领导小组下设应急领导小组。其成员包括 : 组长 : 向云驹 副组长 :冉茂金、彭宽 下设领导小组办公室 : 下设领导小组办公室 : 由中国文联文艺资源中心 综合部与各业务部门负责人组 成。 应急领导小组职责 : （ 1） 拟订或者组织拟订中国文联文艺资源中心应对信息安全突发事件的工作 规划与应急预案并组织实施。 （ 2） 督促检查各处室应急预案的执行情况 , 并给予指导。 （3）督促技术部信息安全突发事件监测、预警工作情况 , 并给予指导。 （4）

3、汇总有关信息安全突发事件的各种重要信息 , 进行综合分析 ,并提出建议。 （ 5） 监督检查、协调指导技术部及各部门信息安全突发事件预防、应急准备、 应急处置与事后恢复与重建工作。 （ 6） 组织制订信息安全常识、 应急知识的宣传培训计划与应急救援队伍的业务 培训、演练计划 , 并督促落实。 4. 信息安全岗位管理职责 4.1. 安全管理员 安全管理员职责 :负责定期进行安全检查 , 组织全面安全检查。 4.2. 安全审计员 安全审计员职责 :负责定期进行安全审计 , 组织全面安全审核 技能要求 : 具备监督审查的能力。 4.3. 系统管理员 系统管理员职责 : （ 1） 负责系统程序的安装与

4、日常维护。 （ 2） 负责根据业务需求与系统安全分析确定系统的访问控制策略 ; （3） 负责定期进行漏洞扫描 , 对发现的系统安全漏洞及时进行修补。 （4） 负责安装系统的最新补丁程序 , 以及系统的备份与恢复工作。 （5）负责对系统进行维护 , 详细记录操作日志 , 包括重要的日常操作、运行维护 记录、参数的设置与修改等内容。 （6）负责定期对运行日志与审计数据进行分析 , 以便及时发现异常行为。 （ 7） 负责对主机进行恶意代码检测并保存检测记录。 （ 8） 负责对系统安全事件进行处理。 （ 9） 负责服务器管理。 技能要求 :计算机或相关专业本科或以上学历 4.4. 数据库管理员 数据库

5、管理员职责 :负责数据库管理。 技能要求 :计算机或相关专业本科或以上学历 4.5. 应用系统管理员 应用系统管理员职责 :负责应用系统管理。 技能要求 :计算机或相关专业本科或以上学历 能力。 ,具备操作系统操作与管理能力 ,具备数据库操作与管理能力 ,具备所管辖应用系统的操作与管理 4.6. 网络管理员 网络管理员职责 : （1）负责对网络进行管理 , 主要负责网络设备的运行日志、网络监控记录的日 常维护与报警信息分析与处理工作。 （ 2） 负责对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更 新周期等方面进行管理。 （3） 负责定期对网络设备进行漏洞扫描 , 对发现的网络设备

6、安全漏洞进行及时 的修补。 （ 4） 负责对网络设备进行备份、恢复管理。 （ 5） 负责依据安全策略管理便携式与移动式设备的网络接入。 （ 6） 负责定期检查违反规定拨号上网或其她违反网络安全策略的行为。 （7）负责防病毒网关的管理 , 对网络进行恶意代码检测并保存检测记录。 （ 8） 负责对网络安全事件的处理。 技能要求 :计算机或相关专业本科或以上学历 ,具备常用网络设备的操作与管理能 力。 4.7. 资产管理员 资产管理员负责对资产进行日常管理。除设置专门的资产管理外 , 另外还设 置专门管理信息资产的信息资产管理员 , 信息资产管理员也就是资料管理员。 资产管理员职责 : 1）信息系统

7、资产管理的责任人 , 负责资产清单的维护。 2）负责根据资产的重要程度对资产进行登记标识 , 对资产的内部流动、出 租或外调、报废进行管理。 3）负责对资产进行定期清查。 4）各种软硬件设备的采购、发放与领用等管理。 技能要求 : 具备资产管理能力 , 工作认真 4.8. 信息资产管理员 信息资产管理员职责 : （1）负责对信息资产进行标识 , 包括对存储信息资产的各类移动介质、服务器 等加贴信息资产标识。 （2）负责统一管理的信息资产 （ 不包含存储于信息系统内的信息资产 ）进行管 理。 技能要求 :需要严格遵守保密协议 ,具备一定的文档处理能力 ,具备信息资产管理 能力。 4.9. 资料管

8、理员 资料管理员职责 : （1） 负责管理系统定级的相关材料 , 并控制这些材料的使用。 （2）负责系统建设文档的管理工作 , 并按照管理规定控制这些材料的使用。 （3）负责对软件的原件 （盘）（ 包括新旧版本 ）进行登记造册 , 并保管。 （ 4） 负责对通过移动介质进行导入电子资料进行病毒查杀与记录。 （ 5） 负责杀毒记录的保管与整理。 （ 6） 负责介质的保管、发放与登记。 技能要求 :需要严格遵守保密协议 ,不该瞧的不瞧 ;具备一定的文档处理能力与移 动介质知识 ,具备资料管理能力。 4.10. 机房管理员 机房管理员职责 （1）负责定期检查与维护UPS空调、消防、通风等设备设施。

9、（ 2） 负责定期对机房供配电、空调、温湿度控制等设施进行检查与维护。 （3）负责机房安全 , 对机房的出入、服务器的开机或关机等工作进行管理。 技能要求 :具备机房常用设备的操作与管理能力。 （1） 负责对信息系统相关的各种设备 （包括备份与冗余设备 ）、线路等定期进行 维护管理。 4.11. 密码管理员 密码管理员分为密码管理人员与密码副本管理人员。密码管理人员为管理 系统级密码的管理人员 ,就是各类系统的系统管理员自己 ;密码副本管理人员为保 管系统级密码副本的管理人员 ,由资料管理员 （或者各系统管理员相互备份 ）担任 4.11.1. 密码管理人员 密码管理人员职责 : 1）负责密码的

10、日常维护、定期修改 2）制作密码副本 3）负责陪同、监管其她需要该密码登陆系统的维护人员 4）负责定期检查密码副本的封存情况 5）填写相关密码管理文档 4.11.2. 密码副本管理人员 密码副本管理人员 :负责。 （ 1） 保存密码副本 （ 2） 在特殊情况下开启密码副本 （ 3） 密码副本开启后及时通知系统密码管理人员 （ 4） 协助系统级密码管理人员检查密码副本封存情况 （ 5） 协助系统级密码管理人员填写相关密码管理文档 5. 授权与审批 5.1. 需要审批的事项 安全策略的制定与发布 ; 制度的制定与发布 ; 人员配备与培训 ; 网络与系统资源的访问授权 ; 外部人员访问 ; 与外单位

11、合作 ; 系统变更 ; 网络与系统资源的访问授权 产品采购 5.2. 审批审查 定期审查审批事项 ,及时更新需授权与审批的项目、审批部门与审批人等信 息,审查要求记录。 6. 沟通与合作 加强各类信息安全管理人员之间、组织内部机构之间以及文联系统内部 的合作与沟通 ,定期或不定期召开协调会议 ,共同协作处理信息安全问 题。 技术部定期或不定期召集相关部门与人员召开信息安全工作会议,协调 信息安全工作的实施。 技术部定期召开例会 ,对信息安全工作进行讨论与执行。 加强与有关部门与机构的合作与沟通 ,以便在发生安全事件时能够得到 及时的支持。建立外联单位联系列表 ,包括外联单位名称、合作内容、 联

12、系人与联系方式等信息。 加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通 获取信息安全的最新发展动态 ,当发生紧急事件的时候能够及时得到支 持与帮助。聘请信息安全专家作为常年的安全顾问 ,指导信息安全建设 参与安全规划与安全评审等。 7. 审核与检查 信息安全检查就是技术部以信息安全法规、 标准与相关管理制定为依据 对信息系统进行的信息安全检查。 信息安全检查分以下几种方式 :自查、常规检查与年度信息安全大检查与 系统变更后的自查。 信息安全自查 1) 技术部对负责运行与维护管理的信息系统的安全状况、安全保护制度及 措施的落实情况定期 (每年 )进行监督检查 ,发现问题及时纠正 ;

13、 2) 授权对其她机构运行与维护管理的信息系统的安全状况、安全保护制度 及措施的落实情况定期 (每年 )进行监督检查 ,发现问题及时纠正。 3) 接受中国文联办公厅网络信息处与国家有关部门对信息系统安全工作的 监督与检查。 信息安全常规检查 1) 安全管理员负责对系统进行日常的安全检查。包括系统日常运行、用户 帐号、系统漏洞、数据备份与系统审计等情况 ; 2) 技术部组织相关人员定期分析、 评审异常行为的审计记录 ,发现可疑行为 形成审计分析报告 ,并采取必要的应对措施。 年度信息安全大检查 1) 中国文联文艺资源中心根据国家信息安全主管部门每年发布的政府信息 系统安全检查指南 ,制定系统安全检查方案 ,组织实施做好信息系统安全 检查工作 ;技术部负责