第1章 概述

第1条 目的：为了完善九州注册网络信息安全的组织架构，明确信息安全组织职责，保障信息安全相关政策的贯彻实施，特制定本章程。

第2条 释义：本文中的信息安全策略指与信息安全相关的制度、规定、办法、规范、安全流程、作业指导书等。

第3条 适用范围：适用于九州注册所有部门及合作厂商。

第2章 组织架构

第4条 九州注册信息安全管理组织架构如下图所示：

第3章 职责范围

第5条 信息安全主管领导：

a) 审查和批准信息安全策略；

b) 分配安全管理总体职责；

c) 在网络与信息资产暴露于重大威胁时，监督控制可能发生的重大变化；

d) 对安全管理的重大更改事项（例如：组织机构调整、关键人事变动、信息系统更改等）进行决策；

e) 指挥、协调、督促并审查重大安全事件的处理。

第6条 信息安全管理小组：

f)  责信息安全各类策略的制定、并监督执行，同时根据发展状况持续改进信息安全的策略；

g) 负责协调各个部门之间的信息安全管理工作，支持和推动信息安全工作的实施，在信息安全体系的实施过程中，提供必要的支持，保证此项工作获得各管理层和员工的认可；

h) 负责信息系统安全状态的监控，监督日常信息安全操作行为。

i)  负责处理信息系统的信息安全事故，现场统筹安排和工作指导，提出整改或补救措施，并监督执行；

j)  组织进行信息安全审查、信息安全风险评估、信息安全业务连续性建设、信息安全防护监控等工作；

k) 为信息安全应急计划提供资源保障。当信息资产受到严重威胁时，指导并监控应急计划的实施，定期召集相关人员进行应急预案的演练；

l)  定期查阅信息安全风险评估和检查报告，并监督相关措施的执行情况。

第7条 安全顾问厂商：

a) 协助信息安全管理小组，完成信息安全策略制定及修改完善。

b) 出现重大信息安全事故，提供必要的技术支持、现场支持等。及时协助处理安全事故，并提出必要的后续解决方案；

c) 协助信息安全管理小组，完成信息安全审查、信息安全风险评估等工作。

d) 制定信息安全事件应急响应预案，并协助安全管理组织，定期进行应急预案的演练；

e) 信息安全公告的预警、发布。

第8条 安全运维厂商：

a) 负责安全策略在安全设备上的执行

b) 负责安全事故处理中在安全设备上的配合；

c) 安全设备运行相关策略、优化建议的提出；

第9条 网络运维小组：

a) 负责安全策略在网络上的执行；

b) 负责安全事故处理中在网络上的配合；

c) 网络安全相关策略、优化建议的提出；

第10条 业务运维小组：

a) 业务安全相关策略的监督执行；

b) 业务运维安全状态的监控；

c) 业务安全事故的上报及协助处理

第11条 系统集成商：

d) 负责安全策略在系统上的执行；

e) 负责安全事故处理中在系统上的配合；

f)  系统安全相关策略、优化建议的提出；

第4章 工作机制

第12条 安全管理组织定期进行安全例会，采取周/月例会，不定期例会的形式。例会由九州注册信息安全主管领导或信息安全管理小组召集，各成员单位无特殊情况，不得缺席例会。

第13条 周例会上，各成员单位对各自责任范围内的安全实施情况进行汇报，由九州注册信息安全管理小组进行汇总，形成本周安全工作报告。

第14条 月例会上，由九州注册信息安全管理小组安排本月安全实施工作内容及存在的问题点，并提交需成员单位间相互协调事宜进行会商。

第15条 不定期例会由各成员单位在出现需要及时进行安全事宜协调时，向九州注册信息安全管理小组提出，由九州注册信息安全管理小组召集各成员单位进行。

第16条 上述例会中形成的会议工作报告及会议纪要在会后经安全组织各成员单位签字后存档备案，作为对各成员单位年度工作成绩考评的要素。