信息安全组织建设规定.docVIP

信息安全组织建设规定第一章 总则为规范北京市交通委信息中心信息安全工作，确保全体员工理解信息安全工作要求并落实到实际工作中，推动信息安全保障工作的顺利进行，结合部门的实际情况，特制订此管理办法。本管理制度适用于北京市交通委信息中心全体员工。信息中心主任负责此规定的落实。第二章 信息安全管理委员会信息安全管理委员会是信息安全管理工作的最高权力组织，其主要任务包括评审信息安全方针，确保对安全措施的选择进行指导，协调控制措施的实施，对重大变更进行决策，审查信息安全事故，批准信息安全策略、分配安全责任并协调安全策略的实施。信息安全管理委员会的组织结构图如下：信息安全管理委员会主任的主要安全职责包括：是组织内部的最高管理者；制定组织内部信息安全目标和方针；进行信息安全管理体系的检查；确定主要工作人员和需要的技能、技术及资金等经营资源；任命组织内的信息安全管理者代表。信息安全管理者代表的主要安全职责包括：由信息安全管理委员会主任来委任，分管组织的信息安全管理事宜；负责组织的信息安全方针的贯彻与落实；发生安全事故时，做现场的指导和统筹；就信息安全管理的效果与有关重大问题及时与主任进行沟通。信息安全委员会中委员的主要安全职责包括：分配信息安全管理职责；对与信息安全管理相关的重大更改事项进行决策；监测信息安全事故；负责解决各部门在安全控制活动过程中出现的问题。与信息安全管理委员会对应的北京市交通委信息中心组织结构图如下：信息中心主任担任信息安全管理委员会主任，主要的安全职责包括：对整个信息中心的安全状况负责；制定有关信息安全的方针和政策；协调信息中心主要人员、产品技术及资金等资源；任命信息安全管理者代表。信息中心主任任命副主任为信息安全管理者代表。信息中心副主任在主任的领导下工作，主管信息中心的信息安全相关活动事宜，对信息中心内的信息安全活动负责。主要的安全职责包括：负责信息安全方针的贯彻与落实；发生重大安全事故时，到现场进行指导和统筹；就信息安全管理体系运行的效果与相关重大问题及时与信息安全管理委员会主任进行沟通；保证提供信息安全活动所需的资源；寻求外部专家组对信息中心安全建设的建议、咨询和技术支持，以满足信息安全活动的需要。资源管理部、工程管理部、规划发展部和综合办公室主管担任信息安全管理委员会委员，主要的安全职责包括： 负责核准信息安全相关的方法和过程，例如信息分类方法，信息安全管理体系的评审过程等等；对管理员报告的重要安全事故进行及时、恰当地处理，并在最短时间内报告给管理者代表；监测信息安全事故，讨论在信息安全事故的监视中获得的信息，以决定或推荐适当的措施来应对信息安全事故。第三章 信息中心各部门安全职责资源管理部的安全职责描述如下：负责整理、宣贯国家、行业、北京市及交通委系统信息化相关标准规范；负责接收、管理合格的项目技术文档和项目成果；参与项目前期方案设计或可研报告编写；参与项目初步设计、招标文件的编写；参与项目实施中的测试、安全测评、培训和验收；参与交通委系统信息化项目技术方案审核工作；负责网络和信息安全制度的制定和技术防范工作；负责组织实施信息安全风险评估工作；负责信息中心信息化基础设施（主要包括：机房、网络、服务器、终端等）及系统软件的运行保障；负责检查各部门对移动介质的安全规定执行情况；负责应用系统运行维护；监督和控制信息中心人员和外包服务运维人员对《机房安全管理规定》的有效执行；负责制订和执行外包服务相关控制措施；负责信息中心的防病毒工作，负责防病毒软件的安装、病毒库的更新管理及提供其它相关技术性支持；负责信息中心的信息安全审计工作；负责信息安全交换的管理工作；负责对用户访问权限的管理工作；负责重要信息的备份工作；负责对所有重要网络设备的配置参数进行设定；负责对信息中心信息系统的访问管理工作；负责信息安全事故的管理工作；负责编制《业务持续性影响分析报告》；负责制订《业务持续性管理战略计划》；负责对《业务持续性管理实施计划》进行测试和评审；负责制订外包服务的合同要求，负责与系统提供商或软件开发商的合同相关工作，负责处理合同相关法律事务；负责对委系统待报废电子废弃物进行技术鉴定；提出标准修订、网络及应用系统升级改造建议；制定本部门的培训及工作计划，报信息中心主任审批；调用相关体系文件，按照文件的操作程序和要求进行信息安全相关活动。工程管理部的安全职责描述如下：组织项目初步设计、招标文件的编写，开展招投标工作；参与项目前期方案设计或可研报告编写，对项目内容、目标、进度提出意见；负责业务系统开发、测试和维护的管理工作；工程的组织实施及验收管理；组织工程验收后的培训工作；工程固定资产、文档的交接；工程成果的扩展应用、对外交流与展示；负责交通信息化前瞻性研究成果向应用系统的转化；参与对交通委系统信息化项目技术方案审核工作；参与实