文档编号
xx_1_COM_信息安全组织管理办法
版 本 号
V1.0 密 级
内部公开
信息安全组织管理办法
xxx信息技术有限公司
文档信息
发布版本：V1.0 最后发布时间：2011-2-24
编写人：
审核人：
文档编写目的
本文档的编写是为了完善XXX信息技术有限公司信息安全组织架构的建设，加强对信息安全组织的管理，强化信息安全职能并落实到角色/岗位，确保信息安全组织顺利开展各项信息安全工作。
文档主要内容
本文档主要内容包括信息安全组织的基础架构、各部门的安全职责以及信息安全组织安全要求等。
文档适用范围
本文档适用于XXX信息技术有限公司。
版本控制
编号
修订人
修订时间
版本号
修订内容说明
23 45 总则
为了保障XXX信息技术有限公司（以下简称“XXX”）信息安全组织稳定发展，顺利开展各项信息安全工作，明确信息安全职责，强化信息安全的专业化管理，实现对安全风险的有效控制，依据GB/T22080-2008国家标准，结合XXX实际情况，特制订本文件。
本文件的适用范围为XXX各部门所有员工。
信息安全组织架构
XXX信息安全组织架构由五个部分组成：风险委员会、信息安全管理小组、信息安全工作小组、内审部、专家督导团。

信息安全领导机构对应XXX风险委员会，是信息安全工作的最高领导和决策机构，负责对XXX信息安全工作进行总体指导和控制。
信息安全管理小组由信息安全部全体人员组成，是风险委员会决策的推行者与日常信息安全工作的管理者。
信息安全工作小组由XXX各部门信息安全工作人员和协调人员组成，负责各项信息安全工作的具体实施。
内审部相关审计人员对XXX信息安全工作的开展情况进行独立的审查和监督。
为确保信息安全管理工作质量和进度，公司CEO授权姚世全、余晓芒两位高级顾问组成专家督团，全面督导公司风险安全管理工作。
信息安全组织职责
风险委员会负责XXX信息安全工作的总体指导和调控，主要职责包括：
CEO签署并发布信息安全战略和方针；
风险管理委员会授权余康柱作为管理者代表，领导公司信息安全常务工作；
签署发布信息安全管理体系文件；
负责对重大事项进行决策，包括信息安全组织机构调整、以及信息安全管理重大策略变更、确认可接受的风险和风险水平等；
负责信息安全管理体系管理评审；
指挥、协调、督促并审查重大信息安全事件的处理；
审批信息安全工作开展所需的资源，如资金、人员和设施等；
审批信息安全年度计划。
信息安全管理小组落实风险委员会的各项决议，管理XXX信息安全工作，主要职责包括：
承担风险委员会的具体工作，协助风险委员会在信息安全事务上的决策；
负责信息安全工作的执行与落实，监督指导各部门及各分支机构信息安全工作的开展，并定期向风险委员会汇报；
负责信息安全管理体系的建立、实施和日常运行，起草信息安全政策，确定信息安全管理标准，督促各部门和各分支机构落实信息安全政策和措施；
负责信息安全事件的调查和记录，对发生的每一起信息安全事件进行调查，并将过程、原因和解决方法都记录在案；
定期组织风险评估工作，对风险评估结果进行分析，如有重大安全隐患，则汇报风险委员会；
负责制定信息安全策略及年度计划；
与技术体系共同推动“安全开发生命周期”（SDL）建设；
负责XXX信息安全培训和宣传工作。
信息安全工作小组主要负责信息安全工作的具体执行与开展，主要职责包括：
负责依据上级部门和XXX信息安全管理小组的计划和要求，开展各部门或各分支机构的信息安全工作；
负责整理、核查并归档各部门或各分支机构的信息安全记录，并依照上级部门或信息安全