企业信息安全领导小组下设信息安全工作组,主要职责是监督、检查和协调企业信息安全工作,确定信息系统各类人员的职责和权限,负责安全审计分析和安全检查,负责定期向管理层汇报信息安全工作等。信息安全工作组组长一般由企业信息化管理部门信息安全工作分管负责人担任,成员由各部门信息安全分管人员组成。
信息安全分管部门负责日常信息安全工作,包括信息系统安全、信息安全项目建设、信息安全日常管理工作等。信息安全分管部门也是企业信息安全领导小组的日常执行机构。
企业全员信息安全教育与培训包括信息安全意识教育、信息安全流程制度培训和信息安全技术培训等。信息安全意识教育的目的是增强全员信息安全意识,了解信息安全的基本原则,建立对信息安全的正确认识;信息安全流程制度培训主要介绍与被培训人相关的企业、部门、系统级的信息安全保障体系的操作流程和制度;信息安全技术培训主要是针对企业专职和兼职的信息安全人员,其目的是提高企业信息安全人员的技术水平和安全素质,提高信息安全岗位工作能力。
企业人员安全管理包括建立人员审查、考核和流动管理机制,规定内部关键岗位安全职责,建立人员授权机制与定期安全审计机制,与关键岗位员工签署保密协议,与第三方人员签署安全责任书或保密协议,强化对第三方人员的访问控制措施等。人员安全管理的目的是有效减少因内、外部人为错误、盗窃、欺诈和设施误用造成的风险和损失。