第PAGE\*Arabic\*MERGEFORMAT8页共NUMPAGES\*MERGEFORMAT8页XX省信息安全等级测评机构管理办法××公司信息安全管理组织机构和人员安全管理办法第一章总则第1条为加强本公司信息安全管理工作，保障网络与信息系统的正常运行，依据有关法律、法规及信息安全标准，特制定本办法。第2条本办法适用于本公司的信息安全组织机构和人员职责的管理。第二章信息安全领导小组第1条公司成立信息安全领导小组。领导小组是信息安全的最高决策机构，下设办公室挂靠在公司技术部，负责信息安全领导小组的日常事务。第2条信息安全领导小组下设两个工作组：信息安全工作组应急处理工作组第3条信息安全领导小组的职责主要包括：根据国家和行业有关信息安全的政策、法律和法规，批准公司信息安全总体策略规划、管理规范和技术标准；确定公司信息安全各有关部门工作职责，指导、监督信息安全工作。第三章信息安全工作组第1条信息安全工作组组长由公司技术部的负责人担任。第2条信息安全工作组的主要职责包括：贯彻执行公司信息安全领导小组的决议，协调和规范公司信息安全工作；根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落实；组织对重大的信息安全工作制度和技术操作策略进行审查，拟订信息安全总体策略规划，并监督执行；负责协调、督促各职能部门和有关单位的信息安全工作，参与信息系统工程建设中的安全规划，监督安全措施的执行；组织信息安全工作检查，分析信息安全总体状况，提出分析报告和安全风险的防范对策；负责接受各单位的紧急信息安全事件报告，组织进行事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施；及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。跟踪先进的信息安全技术，组织信息安全知识的培训和宣传工作。第四章应急处理工作组第1条应急处理工作组组长由公司技术部的主要负责人担任。第2条应急处理工作组的主要职责包括：审定公司网络与信息系统的安全应急策略及应急预案；决定相应应急预案的启动，负责现场指挥，并组织相关人员排除故障，恢复系统；每年组织对信息安全应急策略和应急预案进行测试和演练。第五章信息安全人员基本要求第1条信息安全管理人员和专（兼）职信息安全技术人员应当政治可靠、业务素质高、遵纪守法、恪尽职守。第2条信息安全管理人员及专职和兼职信息安全技术人员应有计算机专业工作三年以上经历，具备专科以上学历。第3条违反国家法律、法规和行业规章受到处罚的人员，不得从事信息安全管理与技术工作。第六章信息安全人员管理第1条信息安全人员的配备和变更情况，应向总经理报告、备案。第2条信息安全人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。第七章信息安全人员职责范围第1条信息安全人员应履行以下职责：负责信息安全管理的日常工作；开展信息安全检查工作，对要害岗位人员安全工作进行指导和监督；负责维护和审查有关安全审计记录，及时发现存在问题，提出安全风险防范对策；开展信息安全知识的培训和宣传工作；监控信息安全总体状况，提出信息安全分析报告；及时向信息安全工作领导小组和有关部门、单位报告信息安全事件。第2条信息安全人员在行使职责时，确因工作需要，经批准，可了解涉及经营与管理有关的信息系统的机密信息。第3条信息安全人员发现本单位重大信息安全隐患，有权向公司总经理报告。第4条信息安全人员发现信息系统要害岗位人员使用不当，应及时建议公司进行调整。第5条信息安全人员必须严格遵守国家有关法律、法规和公司有关规章制度，严守公司商业秘密。第八章要害岗位人员管理第1条信息系统要害岗位人员，是指与重要信息系统直接相关的系统管理人员、网络管理人员、重要应用开发人员、系统维护人员、重要业务操作人员等岗位人员。第2条重要信息系统，是指涉及公司生产、建设与经营、管理等核心业务且有保密要求的信息系统。第3条要害岗位人员上岗前必须经单位人事部门进行政治素质审查，技术部门进行业务技能考核，工作经历和工作经验考查等，合格者方可上岗。第4条要害岗位人员有责任保护信息系统的秘密，并以签署保密协议的方式作出安全承诺。第5条要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员；系统开发人员原则上不应兼任系统管理员。第6条对要害岗位人员应实行定期考查制度，要害岗位人员应定期接受安全培训，加强自身安全意识和风险防范意识。第7条要害岗位人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。涉及公司业务保密信息的要害岗位人员调离单位，必须进行离岗审计，在规定的脱密期后，方可调离。第8条要害岗位人员离岗后，必须即刻更换操作密码或注销用户。第九章要害岗位安全责任第1条系统管理员安全责任负