第一章制定本文件的目的在于规范上海市信息中心主要信息安全岗位的职责，明确信息安全管理责任。

第二条相关岗位管理职责

第三条系统管理员

(一)负责主机操作系统的安全配置和日常审计，从系统层面实现对用户与资源的访问控制；

(二)制定主机操作系统的安全配置规则，并落实执行；负责主机设备的日常管理与维护，保持系统处于良好的运行状态；

(三)提供完整、准确的主机系统运行活动的日志记录；在主机系统异常或故障发生时，详细记载发生异常时的现象、时间和处理方式，并及时上报；

(四)编制主机设备的维修、报损、报废计划，报主管领导审核；

第五条终端管理员

(一)负责终端PC的管理；

(二)确保终端PC安全配置符合安全策略要求，处理终端PC相关的用户问题。

第七条应用管理员

(一)对业务应用系统进行安全配置；

(二)督促软件开发商提供补丁来修补已发现的漏洞；

(三)对业务应用系统的用户、口令的安全性进行管理；

(四)对业务应用系统的登录用户进行监测和分析；

(五)和业务部门沟通数据的备份要求、和数据库管理员数据备份策略，督促数据库管理员按照备份方案按时完成，并恢复所需数据；实施系统软件版本?理，应用软件备份和恢复管理；

(六)根据应用系统运行的实际情况，制定应急处理预案，提交信息部门审定。

第九条病毒防护员

(一)制定病毒防范操作规程；

(二)负责执行和监督整个系统全面的杀毒工作；

(三)定时升级网络杀毒软件的病毒库，监督个人杀毒软件的升级工作；

(四)实时监控重要业务系统和数据的安全，杜绝非法开放的病毒入侵途径，降低病毒侵害的影响；

(五)及时报告上级部门病毒入侵和感染情况，提供感染频率高和严重性强的病毒的有效解决方案。

第十一条资产管理员

(一)负责信息相关资产尤其是硬件资产的采购、登记、分发、回收、维修、报废等管理。

第十二条机房管理员

(一)负责制定和执行适当的物理安全控制；

(二)主要负责非技术性的、常规的安全工作，如信息处理场地的保卫，办公室安全，验证出入的手续和多项规章制度的落实。

第十三条安全管理员

负责各业务信息安全管理协调工作，同时在各业务部门担任资产管理、符合性检查等方面的工作。

第十四条质量管理员

负责各业务部门的信息安全质量、检查信息安全产出结果的符合性、适用性等方面的工作。

第十五条信息安全管理岗位设置原则

根据信息安全管理组织架构以及安全管理角色与职责，按照需要设置信息安全管理岗位担当一个或者多个角色。需要考虑的原则包括：

(一)多人负责原则，对一些有较高密级的与安全有关的活动，都必须有两人或多人在场。工作人员必须由系统主管领导指派，且忠诚可靠，能胜任工作；工作人员应该认真记录签署工作情况，以证明安全工作已得到保障。

(二)任期有限原则，决不能由一人长期担任安全管理职务。对一些重要安全岗位的工作人员应该不定期循环任职，强制实行轮换、休假制度，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。

(三)职责分离原则，权力不能过于集中在某个人或某些人手里，在信息安全工作中，有的工作不能由一个人担任，工作分开便于相互制约。

(四)出于对安全的考虑，下面每组内的两项信息处理工作应该由不同的人员来负责：对计算机操作与计算机编程；安全管理和系统管理；应用程序和系统程序的编制；访问证件的管理与其它工作；计算机操作与信息系统使用媒介的保管等。

(五)权限随岗原则，根据岗位变动情况及时调整相应的授权，做到：在岗有权、离岗失权。

(六)上述所指与安全有关的活动包括：硬件和软件的维护；系统软件的设计、实现和维护；处理保密信息；系统用媒介的发放与回收；访问控制用证件的发放与回收；重要程序和数据的删除和销毁等。

第三章附件一：主要信息安全岗位