一、要求内容 

a)应设立信息安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责； 

b)应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责； 

c)应成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权； 

d)应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。 

二、实施建议 

通常的信息安全管理体系中最高层应当设立信息安全工作的委员会或领导小组，由各部门领导组成，公司主管领导牵头；下设信息安全小组负责日常事务执行，由安全经理主管，其他小组成员为各部门的信息安全负责人。 

三、常见问题 

曾遇到过信息安全工作的委员会有名无实的情况，从不负责信息安全方面的主导和协调工作。 

四、实施难点 

一方面是公司高层信息安全工作的委员会不重视，发挥不了实际作用。 另一方面缺少对各部门信息安全负责人的工作考核和激励，导致这些人工作热情不高，效果不佳。 

五、测评方法 

形式 访谈，检查。 对象 安全主管，安全管理各个方面的负责人，领导小组日常管理工作的负责人，系统管理员，网络管理员，安全管理员，部门、岗位职责文件，委任授权书，工作记录。 

实施 

a)应访谈安全主管，询问是否设立指导和管理信息安全工作的委员会或领导小组，其最高领导是否由单位主管领导委任或授权的人员担任； 

b)应访谈安全主管，询问是否设立专职的安全管理机构（即信息安全管理工作的职能部门）；机构内部门设置情况如何，是否明确各部门职责分工； 

c)应访谈安全主管，询问是否设立安全管理各个方面的负责人，设置了哪些工作岗位（如安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等重要岗位），是否明确各个岗位的职责分工； 

d)应访谈安全主管、安全管理各个方面的负责人、信息安全管理委员会或领导小组日常管理工作的负责人、系统管理员、网络管理员和安全管理员，询问其岗位职责包括哪些内容； 

e)应检查部门、岗位职责文件，查看文件是否明确安全管理机构的职责，是否明确机构内各部门的职责和分工，部门职责是否涵盖物理、网络和系统等各个方面；查看文件是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位，各个岗位的职责范围是否清晰、明确；查看文件是否明确各个岗位人员应具有的技能要求； 

f)应检查信息安全管理委员会或领导小组是否具有单位主管领导对其最高领导的委任授权书； 

g)应检查信息安全管理委员会职责文件，查看是否明确描述委员会的职责和其最高领导岗位的职责； 

h)应检查安全管理各部门和信息安全管理委员会或领导小组是否具有日常管理工作执行情况的文件或工作记录（如会议记录/纪要和信息安全工作决策文档等）。 

六、参考资料 

ISO17799中对安全职责的分派有介绍： 6.1.3 信息安全职责分配 控制： 所有的信息安全职责应予以清晰地定义。 实施指南： 信息安全职责的分配应和信息安全方针（见第4 章）相一致。各个资产的保护和执行特定安全过程的职责应被清晰的识别。这些职责应在必要时加以补充，来为特定地点和信息处理设施提供更详细的指南。资产保护和执行特定安全过程（诸如业务连续性规划）的局部职责应予以清晰地定义。 分配有安全职责的人员可以将安全任务委托给其他人员。尽管如此，他们仍然负有责任，并且他们应能够确定任何被委托的任务是否已被正确地执行。 个人负责的领域要予以清晰地规定；特别是，

应进行下列工作： 

a) 与每个特殊系统相关的资产和安全过程应予以标识并清晰地定义； 

b) 应分配每一资产或安全过程的实体职责，并且应形成该职责细节的文件； 

c) 授权级别应清晰地予以定义，并形成文件。