一、信息安全组织架构与职责定义

信息安全组织为跨部门协调组织，由信息安全领导组、信息安全管理组、信息安全执行组、信息安全审计组组成。

▼▼信息安全领导组

信息安全领导组是信息安全工作的领导组织，负责信息安全工作的统筹规划与决策工作。信息安全领导组组长是信息安全工作最高管理者，是信息安全第一责任人。

信息安全领导组职责包括：

统筹规划和领导信息安全工作。
决策信息安全总体方针和工作方向。
研究决定信息安全相关的重大事项。
审核、批准信息安全总体战略及规划。
批准信息安全管理体系重大变化。

▼▼信息安全管理组

信息安全管理组是信息安全工作管理组织，负责组织开展信息安全建设工作，负责信息安全工作的管理、实施、检查等工作。

信息安全管理组职责包括：

制定风险评估方法和风险接受标准。
负责协调组织信息资产风险评估工作。
组织和协调信息安全各项工作。
制定信息安全管理制度和安全规划。
审查、监控并处理各方面信息安全事件。
监督、控制和检查信息安全工作的落实情况。

▼▼信息安全执行组

信息安全执行组是信息安全管理组的下设机构，通常由各部门安全员组成，负责落实本部门的信息安全工作。信息安全执行组职责包括：

落实信息资产识别、风险评估等工作。
负责信息安全工作的实施、落实、协调工作。
与其他部门人员协同工作确保信息安全目标的顺利实现和长期保持。
定期就信息安全管理的效果和有关重大问题及时向上级进行汇报。

▼▼信息安全审计组

信息安全审计组是信息安全工作的监督组织，审计组成员由固定审计组员和临时审计组员组成。

信息安全审计组职责包括：

定期或不定期实施信息安全内部审核和检查。
向信息安全领导组报告审核中发现的问题。
跟踪信息安全内部审核发现不符合的解决。

二、内部组织安全管理策略

▼▼职责分离管理策略

在进行人员职责定义时，应对相互冲突的职责与责任进行分割，以降低未授权访问、无意识修改等带来损失的可能性。

应进行职责分离包括但不限于以下岗位：

IT管理岗位与业务操作岗位应进行分离。
系统开发岗位与系统运维岗位应进行分离。
操作系统管理员、应用系统管理员及数据库管理员岗位应彼此分离。
网络管理员和其他系统管理员岗位应彼此分离。

如果冲突岗位难以进行分离，必须采用如活动监控、审核等补偿措施进行风险控制。

▼▼利益相关方联系管理策略

信息安全管理人员在日常信息安全管理中，应保持与执法部门、政府部门及其他外部利益相关方进行必要的信息安全事务联络。当发生重大安全事件时，应及时与政府机构和监管部门联络，处理任何需要政府机构和监管部门介入的信息安全问题。信息安全管理工作人员可就以下问题向外部安全专家或特定外部组织寻求信息安全方面的建议：

信息安全相关的最佳实践和最新状态知识；
信息安全管理应用和维护所需的技术支持；
协助进行信息安全风险评估及体系的建立和维护；
协助并支持信息安全控制措施的制定和实施；
尽早接受到关于攻击和脆弱点的警告、建议和补丁；
协助进行信息安全事件及犯罪取证调查；
分享和交换关于新的技术、产品、威胁或脆弱点信息。

三、项目管理中的信息安全策略

在项目实施过程中，应将信息安全应整合到项目管理方法中，确保将识别并处理信息安全风险作为项目的组成部分。

在项目管理中，应考虑以下方面的信息安全内容：

将信息安全目标纳入项目目标。

在项目阶段进行信息安全风险评估，以识别必要的控制措施。

信息安全应用于每个项目阶段，成为每个项目阶段的组成部分。