信息安全管理体系架构与安全委员会章程

第一章 总则 1第二章 组织结构 1第三章 架构与安全委员会 2第四章 信息安全实施小组 3第五章 例会制度 5第六章 附则 6附件 6附件1：架构与安全委员会名单 6附件2：架构与安全委员会例会纪要 6总则为了加强集团信息安全保障能力，建立健全集团的安全管理体系，提高整体的网络与信息安全水平，保证网络通信畅通和业务系统的正常运营，提高网络服务质量，经集团批准设立架构与安全委员会。架构与安全委员会（以下简称“委员会”）是集团管理委员会领导下的IT服务管理的安全监督机构，负责集团信息安全相关的技术指导和管理工作，定期向管理委员会汇报集团网络与信息安全现状；负责根据集团的智慧大北农平台战略建立网络与信息安全管理体系工作规划。委员会的宗旨是集中团队力量，落实集团信息化发展战略，建立统一的IT管理体系，规范IT管理制度，合理配置IT资源，优化IT体系结构，更好地为集团业务发展服务。组织结构委员会下设信息安全实施小组，由网络运营中心、技术中心、外部组织等安全相关人员组成，是集团信息安全的具体实施组织，负责信息系统日常的运维安全和安全管理体系的具体落实。委员会成员由集团管理委员会指派，每届任期为1年。详细人员名单见附件一。信息安全实施小组组织架构如下图所示：架构与安全委员会架构与安全委员会职责如下：负责集团信息安全相关的技术指导和管理工作,定期向集团管理委员会汇报集团网络与信息安全现状；负责根据集团的智慧大北农平台战略，制定网络与信息安全体系的发展规划，并根据规划的内容向集团管理委员会提交安全建议和方案；根据国家信息安全管理的相关法律法规和制度，建立和健全集团的信息安全管理体系；根据集团信息安全管理体系要求，组织落实信息安全管理制度规范，并定期评审制度规范的落实情况；根据集团信息安全管理体系要求，定期组织开展信息系统安全检查，及时预见潜在的重大信息安全风险并向集团管理委员会提交防范建议；负责集团重点网络与信息安全项目的审议与决策；负责集团信息安全相关问题的对内及对外的协调工作。协调内部实施小组各部门成员处理集团信息安全工作中的各项安全事件和安全问题，在遭遇重大安全事件内部无法解决时协调外部技术人员协助处理问题；负责定期组织技术人员进行信息安全方面的培训和学习。信息安全实施小组信息安全实施小组是集团信息安全的具体实施组织，下设的信息安全部是集团信息安全实际管理执行部门，小组其他部门人员负责配合信息安全部完成委员会各项信息安全决策的具体落实。信息安全实施小组职责如下：负责集团信息安全工作的具体实施落实；负责制定并不断改进集团的信息安全管理体系制度规范，提交给委员会进行审核；负责落实集团的信息安全管理体系制度规范，并针对落实过程中出现的不合理之处及时修订安全管理体系制度规范；负责落实集团的信息安全检查工作，实施内部安全检查审计或协助第三方人员实施安全评估工作；负责协助第三方人员实施重大网络与安全项目，保障项目顺利实施；负责制定集团信息系统日常安全运行维护的工作流程和操作手册，监控信息系统日常的安全运行，保障信息系统安全稳定运行；负责集团信息安全事件的应急响应处理；负责定期参与集团组织的技术培训和信息安全培训。实施小组各成员工作职责如下：网络安全工程师工作职责：负责集团信息安全技术及管理体系的规划设计、实施；负责集团信息安全管理体系具体安全管理制度流程的制定、维护、更新；负责定期开展内部的信息安全检查及审计工作，配合第三方人员实施外部安全评估；负责集团新上线业务的安全检测；负责业务相关安全设备的配置维护、更新，梳理业务系统访问关系，制定访问控制规则；负责日常的网络设备、服务器、数据库、应用中间件、应用系统等的安全检查与安全日志审计，及时发现安全问题及攻击事件，排除安全隐患；负责监控业务网站的安全状态，处理集团信息安全事件；负责定期开展信息安全教育培训，提高内部人员的安全意识；负责定期提交集团信息安全工作报告。网络工程师工作职责：负责网络基础架构的方案设计、实施；负责各业务平台省级运营商骨干网的架构设计、实施；负责各业务平台、各数据中心相关网络的实施、优化；负责业务相关网络设备的配置维护、变更；负责制定集团网络设备的安全操作手册；负责堡垒主机的账号权限管理；负责业务相关网络的监控、维护和故障处理，并定期提交工作报告；负责定期检查网络设备日志，排除安全隐患；协助网络安全工程师处理集团信息安全事件，配合集团各项信息安全工作实施。网络管理员工作职责：负责集团办公网络的监控、维护和故障处理，并定期提交工作报告；负责集团网络会议、视频会议的网络部署、监控和故障处理；负责集团总部办公区网络、员工终端PC、固定电话等的部署、维护和故障处理；协助网络工程师进行业务相关网络的监控、维护和故障处理；协助网络安全工程师处理集团信息安全事件，配合集团各项信息安全工作实施。系统工程师安全工作职责：负责业务相关服务器操作系统的安装和账号管理；负责业务相关服务器操作系统的配置维护、软件安装和补丁升级；负责制定集团服务器操作系统的安全操作手册；负责业务相关服务器操作系统的运行监控、维护和故障处理；负责定期检查服务器日志，排除安全隐患；协助网络安全工程师处理集团信息安全事件，配合集团各项信息安全工作实施。数据库工程师安全工作职责：负责业务相关数据库的安装、配置和补丁升级；负责制定集团数据库的安全操作手册；负责业务相关数据库的运行监控、维护和故障处理；负责定期检查数据库日志，排除安全隐患；协助网络安全工程师处理集团信息安全事件，配合集团各项信息安全工作实施。研发工程师安全工作职责：负责按照应用安全编码规范编写各业务系统的代码；协助网络安全工程师处理集团信息安全事件，配合集团各项信息安全工作实施。例会制度委员会要定期组织例会，听取和讨论集团的信息安全发展状况，当出现如下情况时需及时组织发起会议：集团网络与信息安全的发展规划的制定；集团信息安全管理规范及制度的颁布；集团重点网络与信息安全项目方案的部署；集团网络与信息安全项目涉及的重大更新；集团网络与信息安全评估的总结汇报；其他重要的网络与信息安全技术投入。委员会成员必须全体参加例会，会议要形成会议记录并留档。会议议题要清晰，需提前发布会议目的，各成员须提前就议题内容进行资料的准备及方案的整理，以便提升会议效率。附则本章程的制定和修改需要经架构与安全委员会成员