文档编号 xx_1_COM_信息安全组织管理办法 版 本 号 V1. 密 级 内部公开 信息安全组织管理办法 xxx信息技术有限公司 文档信息 发布版本：V1. 最后发布时间：2011-2-2 编写人： 审核人： 文档编写目的 本文档的编写是为了完善XXX信息技术有限公司信息安全组织架构的建设，加强对信息安全组织的管理，强化信息安全职能并落实到角色/岗位，确保信息安全组织顺利开展各项信息安全工作。 文档主要内容 本文档主要内容包括信息安全组织的基础架构、各部门的安全职责以及信息安全组织安全要求等。 文档适用范围 本文档适用于XXX信息技术有限公司。 版本控制 编号 修订人 修订时间 版本号 修订内容说明  总则 为了保障XXX信息技术有限公司（以下简称“XXX”）信息安全组织稳定发展，顺利开展各项信息安全工作，明确信息安全职责，强化信息安全的专业化管理，实现对安全风险的有效控制，依据GB/T22080-2008国家标准，结合XXX实际情况，特制订本文件。 本文件的适用范围为XXX各部门所有员工。 信息安全组织架构 XXX信息安全组织架构由五个部分组成：风险委员会、信息安全管理小组、信息安全工作小组、内审部、专家督导团。 信息安全领导机构对应XXX风险委员会，是信息安全工作的最高领导和决策机构，负责对XXX信息安全工作进行总体指导和控制。 信息安全管理小组由信息安全部全体人员组成，是风险委员会决策的推行者与日常信息安全工作的管理者。 信息安全工作小组由XXX各部门信息安全工作人员和协调人员组成，负责各项信息安全工作的具体实施。 内审部相关审计人员对XXX信息安全工作的开展情况进行独立的审查和监督。 为确保信息安全管理工作质量和进度，公司CEO授权姚世全、余晓芒两位高级顾问组成专家督团，全面督导公司风险安全管理工作。 信息安全组织职责 风险委员会负责XXX信息安全工作的总体指导和调控，主要职责包括： CEO签署并发布信息安全战略和方针； 风险管理委员会授权余康柱作为管理者代表，领导公司信息安全常务工作； 签署发布信息安全管理体系文件； 负责对重大事项进行决策，包括信息安全组织机构调整、以及信息安全管理重大策略变更、确认可接受的风险和风险水平等； 负责信息安全管理体系管理评审； 指挥、协调、督促并审查重大信息安全事件的处理； 审批信息安全工作开展所需的资源，如资金、人员和设施等； 审批信息安全年度计划。 信息安全管理小组落实风险委员会的各项决议，管理XXX信息安全工作，主要职责包括： 承担风险委员会的具体工作，协助风险委员会在信息安全事务上的决策； 负责信息安全工作的执行与落实，监督指导各部门及各分支机构信息安全工作的开展，并定期向风险委员会汇报； 负责信息安全管理体系的建立、实施和日常运行，起草信息安全政策，确定信息安全管理标准，督促各部门和各分支机构落实信息安全政策和措施； 负责信息安全事件的调查和记录，对发生的每一起信息安全事件进行调查，并将过程、原因和解决方法都记录在案； 定期组织风险评估工作，对风险评估结果进行分析，如有重大安全隐患，则汇报风险委员会； 负责制定信息安全策略及年度计划； 与技术体系共同推动“安全开发生命周期”（SDL）建设； 负责XXX信息安全培训和宣传工作。 信息安全工作小组主要负责信息安全工作的具体执行与开展，主要职责包括： 负责依据上级部门和XXX信息安全管理小组的计划和要求，开展各部门或各分支机构的信息安全工作； 负责整理、核查并归档各部门或各分支机构的信息安全记录，并依照上级部门或信息安全管理小组的要求，及时提交； 负责宣传落实XXX信息安全管理体系各项方针、政策、规范、办法与细则等文件，提高各部门和各分支机构人员的信息安全意识与技能； 积极配合信息安全管理小组定期组织的风险评估工作，对信息安全管理小组提出的整改意见组织协调，并落实相关的各项风险控制措施； 配合上级部门和外部监管机构对各部门和各分支机构的信息安全检查工作，配合监督部门对信息安全管理体系的审核工作（包括内审和外审），并对整改意见协调落实； 在信息安全事件发生时，及时上报并协助调查； 依照XXX信息安全培训计划，参加相关信息安全培训，并组织各部门和各分支机构相关培训的展开。 内审部负责对XXX进行信息安全审计，主要职责包括： 定期对XXX信息安全工作的开展情况和信息安全组织的运行情况进行独立的审核和监督； 负责对XXX的ISMS体系、各部门和各分支机构的信息安全工作情况或某个领域进行定期审计或专项审计； 向风