网络安全组织策略

三四五六

网络安全组织策略

第一章总 则

第一条目的

(一)为了保障公司网络安全组织稳定发展，顺利开展各项网络安全工作，明确网络安全职责，强化网络安全的专业化管理，实现对安全风险的有效控制，依据GB/T 22080（ISO/IEC 27001）标准要求，结合公司实际情况，特制订本文件。

第二条适用范围

(一)本文件适用于公司网络安全管理范围内所有部门和所有员工。

第二章网络安全的管理承诺

第三条网络安全管理机构

(一)集团网络化工作委员会全面负责公司的网络安全战略和网络安全工作，制定公司的网络安全方针和目标，是公司网络安全工作的最高管理机构。网络安全管理机构整体人员情况见《网络安全管理机构人员清单》。

(二)网络化工作委员会办公室负责网络安全工作的总体规划，网络安全管理体系的建立、实施、运行、监视、评审、保持和改进，是公司网络安全管理体系的维护机构。

(三)网络安全工作小组负责具体安全工作的开展、安全制度的编制，以及公司数据、网络系统、网络设备、日常操作、安全意识等网络安全管理工作的组织、开展和落实。

(四)审计监察室网络安全内审组负责对公司网络安全管理体系内工作开展情况的监督、巡检和审计。

(五)网络安全IT团队全员负责遵守公司网络安全管理体系要求，以及具体安全工作的落地执行。

第四条网络安全管理职责

(一)集团网络化工作委员会制定、评审、批准公司的网络安全方针，并定期评审方式实施的有效性，还要确保网络安全目标得以识别，满足公司要求，并已被整合到相关过程中。

(二)集团网络化工作委员会的组长为集团领导，副组长为集团IT分管领导，成员为CIO和业务领导。集团网络化工作委员会组长应确保整个公司和集团内网络安全工作的协调性、一致性和有效性。

(三)为顺利实施网络安全管理体系，集团网络化工作委员会组长应规划提供适当的资源，包括体系运行所需的人、财、物等；赋予公司各岗位网络安全方面对应的权利和责任。

(四)网络化工作委员会办公室负责制定整个公司范围内网络安全专门的角色和职责的分配，确保所有员工具备适当的网络安全意识和安全技能。

(五)网络化工作委员会办公室根据工作计划，组织网络安全工作小组开展网络安全管理的制度编写、修订、发布、审核等工作，并将成果上报集团网络化工作委员会组长进行审批。

(六)审计监察室网络安全内审组负责开展网络安全管理体系内部审核、有效性测量、执行情况巡检等工作，并会同网络化工作委员会办公室和集团网络化工作委员会开展网络安全管理体系管理评审工作。

第二章各部门及员工网络安全职责

第五条各部门网络安全职责

(一)组织建立和维护本部门网络资产清单并指定安全员。

(二)负责落实网络化工作委员会办公室安排的各项工作。

(三)负责各项网络安全管理文件在本部门内的贯彻执行。

(四)部门内的网络安全意识教育。

(五)报告网络安全事件。

第六条公司IT技术部门/岗位网络安全职责

(一)负责公司网络系统的安全运行和维护。

(二)负责公司网络处理设施的维修、维护和安全保障。

第七条各部门网络安全员职责

(一)负责本部门网络资产识别与维护。

(二)负责公司网络安全制度要求在本部门传达和落实。

(三)负责本部门人员网络安全操作行为的监督。

第八条所有员工网络安全职责

(一)熟悉网络安全管理体系方针、网络安全目标。

(二)执行发布的网络安全制度要求。

第三章与政府部门和特定利益团体的联系

(一)网络化工作委员会办公室应组织建立《网络安全相关部门联络表》，与公安、消防局、保密局等政府单位以及安全专家组或专业协会等确定联络途径，在发生特定网络安全事件后，可以迅速联系相关部门，解决事件，并及时了解最新的网络安全动态、网络安全知识和技术。

(二)定期评审《网络安全相关部门联络表》，如情况发生变动，应加以更新。如果外部相关部门联络方式变更，也应及时更新。

第四章网络安全的独立评审

(一)审计监察室网络安全内审组应定期（一年一次）会同网络化工作委员会办公室和集团网络化工作委员会组织实施控制措施有效性测量、内部审核和管理评审，其流程和要求详见《网络安全控制措施测量办法》、《网络安全管理体系内部审核办法》和《管理评审办法》。

(二)审计监察室网络安全内审组应合理选择测量、审核和评审人员，确保评审由独立于被评审范围的人员执行，从事这些评审的人员宜具备适当的技能和经验。