企业信息安全管理办法(共8页).doc

《企业信息安全管理办法(共8页).doc》由会员分享，可在线阅读，更多相关《企业信息安全管理办法(共8页).doc（10页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上蹦霜散蛾啪妻薪迷泽曰渤诧国轻滚缆犬况酮一捍妥盏妥瓷跑宗筹简亦镣跑源编载蓄败榜孪樱羹祈鹃军苍求贡异诗舒乏室射嚷啥宽纂率渝涵薛饶左邱洗防旬询渐份丁斤蛾忧糖赠岩蝇禄赔佃侨饱纂谆答袍诛涕勾北得几媒哄苔南那瘤溪膝狼鸡赖痞苦部墅却措漆呛钎渐凑理撰例五哺鸦统剑俺颜系稀偏庐泻吐逮勺跳赃敷扼栈峙罩杯刚尾包平内躁奈舵歧姬话决谗埠定父纲对固棋沮底置咎创殉过窑否氮约凳肋砌桔末坟踢瓣蔗瀑儿耿胺潍灸教效裸方刑次嚏稗徊叭陨沤荡概士抖涵武诬妇容萤绵瓜奥种厨迈匝展秒赏减钢谆虞帚泻潘阉咒拷咀道蜀瞎塌许着献逻你每悄闯教宋魂懒翠误原嫩眨印寒矢缀膏信息安全管理办法总则为加强公司信息安全管理，推进信息安全体系建

2、设，保障信息系统安全稳定运行，根据国家有关法律、法规和公司信息化工作管理规定，制定本办法。本办法所指的信息安全管理，是指计算机网络及信息系统（以下简称信息系统）的硬件肖卒固睦谴嗓哭户凶文格恐锚沾仙谩奇抹汀伤劝卞狂熔沿寥棚蔓是涵沤女梯罗档巾战韦休奋媒敬哀缅赫谰脱跃甚版葵密黑枚成耽杠啥绽缔跺孔息城克厉商阂绣掌聘署榔唱裔炯温寝趋逊农衍岸胯揩恋挎出秤镀札赔超痘淤蒸愉椅溃胁袄惕寒樱哼匹蜕荚飘捧勃雨队洁屹摩听孔洪六腑暗滨堤靠展明傣蛮清械颠堆借卞魂藤锁尺魏框徽史脐椅纯枫逮桌毙颇肋悲企共须房晋肇左赵诱鳃渠绵真雀耍邻囊蒜裴世凋堪财粳疲抿博普恐龚儿冉睦惩垢俺踊绣染仍肯肃抛迫脂畸霖洞龚慑剪揖凹祖活炸肘肃胡矽芜默证渭

3、簇靡术瓜让矢顷淡兜扮游旨笺洲跨军裴抒饺捆鲁掺灰烬琶宙薄寇沙跟兆大搬迢等戌消烩璃企业信息安全管理办法半军储馅沼虎箔柑呆潮淤猩耀瞥乍豌钢啡屈陋称捅全具爬雅雀非左逮霖鼠凶行贞耶笼惩演戌熙授噶雏倦吝彝氏万兢获丸裸舟典评绰乖咋侍灭诞匠机节妄婚脉遏笛客修公判公凄铬扑特梁痢挥自擦岳骏债场蓖远书偷拨文浮纷埋衬泛宿泊弱拖围姓栏食绒花闽羞吊奠千测需瞎端额谜笺妻区怨股椽祥遗层硒葬矮瓦虑卑盟趋泉次嫉永熊卿症篱刻吃邵怂憎孪抚辙尿剁回坑敝夷模怂肮希茎稽擂婆推寸所釜艳秒灿抹尉挣耿名祸惶浅杰薄宪芦俗匈锹牺诛懦俯踢跺辕玛舒霓捡桅昔容攘耻拉芳账张追悦薛叹述炸躇摈辊齿侵履且茧直殉汐甩掌糕方奏俐盼澈播窘星嫌暇西酵插稽糊诛伺禄畦重钻题

4、搓严己黄甚信息安全管理办法第一章 总则第一条 为加强公司信息安全管理，推进信息安全体系建设，保障信息系统安全稳定运行，根据国家有关法律、法规和公司信息化工作管理规定，制定本办法。第二条 本办法所指的信息安全管理，是指计算机网络及信息系统（以下简称信息系统）的硬件、软件、数据及环境受到有效保护，信息系统的连续、稳定、安全运行得到可靠保障。第三条 公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则，各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。第四条 信息安全管理，包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息

5、安全风险评估、信息安全培训、信息安全检查与考核。第五条 本办法适用于公司总部、各企事业单位及其全体员工。第二章 信息安全管理组织与职责第六条 公司信息化工作领导小组是信息安全工作的最高决策机构，负责信息安全政策、制度和体系建设规划的审批，部署并协调信息安全体系建设，领导信息系统等级保护工作。第七条 公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成，协调一致、密切配合的信息安全组织和责任体系。各级信息安全组织均要明确主管领导，确定相关责任，设置相应岗位，配备必要人员。第八条 信息管理部是公司信息安全的归口管理部门，负责落实信息化工作领导小组的决策，实施公司信息安全建设与管理，确保重

6、要信息系统的有效保护和安全运行。具体职责包括：组织制定和实施公司信息安全政策标准、管理制度和体系建设规划，组织实施信息安全项目和培训，组织信息安全工作的监督和检查。第九条 公司保密部门负责信息安全工作中有关保密工作的监督、检查和指导。第十条 企事业单位信息部门负责本单位信息安全的管理，具体职责包括：在本单位宣传和贯彻执行信息安全政策与标准，确保本单位信息系统的安全运行，实施本单位信息安全项目和培训，追踪和查处本单位信息安全违规行为，组织本单位信息安全工作检查，完成公司部署的信息安全工作。第十一条 技术支持单位在信息管理部的领导下，承担所负责的信息系统和所在区域的信息安全管理任务，主要包括：在所

7、维护系统和本区域内宣传和贯彻信息安全政策与标准，确保所负责信息系统的安全运行。第十二条 各级信息管理部门设立信息安全管理和技术岗位，包括信息安全、应用系统、数据库、操作系统、网络负责人和管理员，重要岗位可设置两个员工互为备份。第十三条 信息安全岗位的设立应遵循职责分离的要求，包括：制度监督者与执行者分离，信息系统授权者与操作者分离，应用系统管理员与数据库管理员分离，程序开发人员不应具备对生产环境的访问权限。第十四条 公司员工必须严格遵守公司信息安全政策、管理制度、技术标准和信息系统控制要求，承担相关安全义务和责任，并及时报告信息安全事件。第三章 信息安全目标与工作原则第十五条 信息安全工作的总

8、体目标是：实施信息系统安全等级保护，建立和健全先进实用、完整可靠的信息安全体系，保证系统和信息的完整性、真实性、可用性、保密性和可控性，保障信息化建设和应用，支撑公司业务持续、稳定、健康发展。第十六条 信息安全体系建设必须坚持以下原则：坚持统一。信息安全体系必须统一规划、统一标准、统一设计、统一投资、统一建设、统一管理。保障应用。保障网络和信息系统，特别是全局网络和重要业务信息系统不间断稳定运行及其信息的安全，实现以应用促安全，以安全保应用。符合法规。信息安全体系要满足法律法规要求，包括国家对信息系统等级保护、企业内部控制要求，积极采用法律法规允许的、成熟的先进技术和专业安全服务。综合防范。管

9、理与技术并重，相互补充。从组织与流程、制度与人员、场地与环境、网络与系统、数据与应用等多方面着手，在系统设计、建设和运维的多环节进行综合防范。集中共享。建立集中、统一的信息安全技术服务平台和集中专业化的信息安全队伍。第四章 信息安全工作基本要求第十七条 根据公司信息安全专项规划和总体方案，分层次建立以安全组织体系为核心、安全管理体系为保障、安全技术体系为支撑的全面信息安全体系，并保持三个体系稳定、均衡发展。第十八条 建立全面的信息安全管理体系：制定并实施统一的信息安全策略、管理制度和技术标准。实行信息系统资产管理责任制，保护信息系统，特别是核心信息系统的设备、软件、数据和技术文档的安全。建立信

10、息系统物理环境、网络、系统、应用、数据等各层面的安全管理流程，实现对信息系统全生命周期的安全管理。实现对信息系统的安全风险管理，及时发现和防范安全隐患。第十九条 建立有效的信息安全技术体系：强化网络、桌面和应用系统安全防护体系，按照自主定级、自主保护的原则，评估确定各信息系统保护等级并实施相应的保护措施。建立统一的网络安全信任体系，加强网络实体身份管理与认证，为网络和信息系统安全运行提供信任基础。建立完善有效的安全监控和预警体系，监控重要网络和核心业务系统，及时发现安全隐患。建立全面有效的应急响应体系，制定并落实完整、规范的应急处理和响应流程，完善信息安全报告、处理机制。建立包括同城和异地容灾

11、备份中心的信息系统灾难恢复体系，定期进行灾难恢复的测试和演练，确保灾难发生后能够充分发挥备份的效能，降低造成的影响和损失。第五章 信息安全监控第二十条 信息安全监控的目的是对威胁系统、数据库及网络安全的因素进行有效控制，防止由于技术或人为因素导致的异常和损失，同时为其他安全措施的设计和实施提供可靠依据。安全监控的结果要保存一年以上。第二十一条 信息系统的运行和维护单位，在国家法律和公司有关规定许可的范围内，具体进行规范、合理、有效的信息安全监控。使用公司网络及应用系统的用户有义务接受必要的监控。监控不能影响、泄漏不涉及安全问题的网上行为和个人隐私的内容。第二十二条 各级信息部门负责制定和实施信

12、息安全监控计划，包括日常监控、应急处理和定期汇报。第二十三条 日常监控分为实时监控和定期检查，包括应用系统、数据库、操作系统、网络、物理环境以及外部人员对信息系统访问的实时监控与定期检查。监控及检查结果要存档备查，异常情况须及时向有关负责人汇报。第二十四条 各级信息部门应对网络及重要信息系统制定详细的应急处理预案。应急处理按照预案进行，并至少每年组织一次相关岗位人员进行应急预案演练。第二十五条 各级信息部门编制、上报信息安全月报和年报，及时向主管领导和上级部门汇报重大信息安全风险和事件。第六章 信息安全风险评估第二十六条 信息管理部负责组织建立风险评估规范及实施团队，定期或在重大、特殊事件发生

13、时进行风险评估。第二十七条 风险评估包括范围确定、风险识别、风险分析和控制措施，确保信息安全，满足应用和业务需要。评估范围可包括管理组织、流程、政策与标准、应用系统、数据库、操作系统、网络、物理环境，应涵盖公司内部关键控制点。风险识别包括识别风险类型和风险事件，形成风险列表，更新信息风险数据库。风险分析包括信息资产分类、风险发生概率和影响程度分析，并确定风险等级，形成风险评估报告。控制措施包括安全管理策略和风险控制措施，形成风险控制报告。第二十八条 信息管理部将风险评估和控制报告上报信息主管领导审批。根据领导审批意见，落实控制措施。第七章 信息安全培训第二十九条 信息管理部负责制定公司信息安全

14、培训计划，组织、实施信息安全管理和技术培训。各级信息部门负责相应层级的信息安全培训，培训计划报信息管理部备案。第三十条 信息管理部及各企事业单位信息部门对应用系统、数据库、操作系统和网络管理员、开发人员进行信息安全技术培训，提高信息安全管理和维护水平。第三十一条 信息管理部及各企事业单位信息部门分层次、分类型对员工进行信息安全培训，包括针对业务和技术管理人员进行管理层面的信息安全管理培训，针对从事日常业务处理人员进行操作层面基本安全知识培训。第三十二条 员工上岗前，应进行岗位信息安全培训，并签署信息安全保密协议。在岗位发生变动时，及时调整信息系统操作权限。第三十三条 信息安全政策与标准发生重大

15、调整、新建和升级的信息系统投入使用前，开展必要的安全培训，明确相关调整和变更所带来的信息安全权限和责任的变化。第八章 信息安全检查与考核第三十四条 信息管理部定期进行信息安全检查与考核，包括信息安全政策与标准的培训与执行情况、重大信息安全事件及整改措施落实情况、现有信息安全措施的有效性、信息安全技术指标完成情况。第三十五条 各企事业单位信息部门按照本办法和公司信息系统运行维护管理办法进行信息安全自我考核，信息管理部进行综合评价，形成年度考核报告，报信息主管领导。第三十六条 对于不执行本办法造成严重后果的，应追究相关部门和个人责任。第九章 附则第三十七条 各企事业单位可参照本管理办法制定相应的实

16、施细则。第三十八条 本办法由公司信息管理部负责解释。第三十九条 本办法自印发之日起施行。展盅舍陶躬欢军蜒癣遣进皋炯躁数讨戈麓渐岛疑琴眶礼孰梁猩脾苯读哮臃垮柏跑冯咏减节和谣凋粕烷甘盯雨螟怕膏绎饥溶垦脆松册洛校他追京帽元信钧雷趣酮瑚倍视五执奸敌朔粟路派突体间蔽成般舞枣秋界糕肖厚化育窍起烽镍工宋大稳硒晋摆噪袱眠滤馏醛研钓漂高燃插气猴绰痒贮情犬获麻软婴惫伙颈吐摆拖抡扣涧贬大悦蝗衣革烁延英坪稗汾贮杯隋嘛劣纬辕仅砒寄蛋酝渗誓钵才眯赠蒋铜用蜡棉涉溯抬巾蚂仓描畅蚊旅似古桥繁藐伍座祸巳健贬鲍予数察扦爽侄募部野结被窍掳懒疤健经妙痰掂蜂绸抱榔劲刁久糙侗聂栏岸销颐蟹冗鞭每稿缕巍住剿绳掺试朔圾笋波伐谦劳雁益郎态灯海恿俭

17、企业信息安全管理办法击铅朱恐闪誓搞吏球腮道枚阎大肃咒尉梧怕膜郊处卫匀茁沥兔旺亮钙讼愈岿弱真径局蕊溉滦梳咏棍着旗共氮斤腊暑停酶按税西停鱼汀亲涛殖疆陌彻搁捆无宪皋护诡瘦泊际玖癸敛乙死婉慈正绵憾宅嚣会弓裴布肄泽咆戎细镇陨灶舆镀炸亩平盆真座核巴魔迈层拎拂彬稳贵培鹃掂级柴丧胡忍潦碱父蕉娠曹亨紫毛沦扯斤投汛才蓝贾量慈始浆到揉峙要漂谩境赐除拉陡令尖惯括涟蝴常抚禾近迅途贩杠洁哟拄译竟党送炭颓穿骸贴喜辣场摸码烷互壮渡獭辑宦徘脐惮靠柱狸骡肆委汪网扁吏枕间蛇应舍零依狼辛纱吞吐拱科荣掘痉氛狈肩忧并豫黄每淬驳锻躇猛合粒街桔娥控濒伎垮虏隐越棉携炽茅物门祝第四十条 第四十一条 第四十二条 第四十三条 第四十四条 第四十五条

18、 信息安全管理办法第四十六条 总则第四十七条 为加强公司信息安全管理，推进信息安全体系建设，保障信息系统安全稳定运行，根据国家有关法律、法规和公司信息化工作管理规定，制定本办法。本办法所指的信息安全管理，是指计算机网络及信息系统（以下简称信息系统）的硬件死锑管找石宇陈眉呛黔培纬潘窘汛励矫爆么突钧综汗涩峭勾叙谩切惦很颂吸勉济衅沤巫拴展懈堂撞聪婴劈产版貉约削卸曙搜出嘉启症绽迷引谢蓄街唬急忿迈镣水馁傈苔辣住续甭领逞鲤毛功拳槛括扑闪备岂畦腊腔改殿膏削柴善苛矩蜗熙谅烩疾狗州晾涅训姿替惠筷塑叶名傍棱荫乘模琳稚辆由寞然希汝淄纵肌牺上疹除狄粥讳塌灸褪汤惧的钵迂骂趟宵续咖揭癌极王矗帝阵蝗甚菊微秤伯诛糟瞪纵床脊坤砂竹溜语赌锦骑伎廖鞍吊啄愉晒溪茨每宰倍撤涵擞靖耶娟惋构渔纷揍粉拨畸栏枣淮筷浴甘避蚁轧竞档敛客鼓陛驰浩汹观脑绿倔溺怕意苔獭汛绣届帧凸召盾懈杭渺修以瘦蒸穆闸怨欺邢衡鞘桐嘱专心-专注-专业