企业信息安全管理办法.docx

《企业信息安全管理办法.docx》由会员分享，可在线阅读，更多相关《企业信息安全管理办法.docx（5页珍藏版）》请在优知文库上搜索。

1、信息平安管理方法第一章总则第一条为加强公司信息平安管理，推动信息平安体系建设，保蹿信息系统平安程定运行，依据国家有关法律、法规和公司信息化工作管理规定.制定本方法。第二条本方法所指的信息平安管理，是指计灯机网络及信息系统（以下简称信息系统）的硬件、软件、数据及环境受到有效爱护，信息系统的连续、稳定、平安运行得到牢靠保赭.第三条公司信息平安管理坚持谁主管谁负货、i隹运行谁负货”的基本原则，各信息系统的主管部门、运营和运用单位各自履行相关的信息系统平安建设和管理的义务与货任。第四条信息平安管理，包括管理组织与职责、信息平安目标与工作原则、信息平安工作基本要求、信息平安监控、信息平安风险评估、信息平

2、安培训、信息平安检查与考核.第五条本方法适用于公司总部、各企事业单位及其全体员工。第二章信息平安管理组织与职费第六条公司信息化工作领导小组是信息平安工作的最高决策机构，负贡信息平安政策、制度和体系建设规划的审批，部署并协调信息平安体系建设，领导信息系统等级爱护工作。第七条公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成，协调一样、亲密协作的信息平安组织和竞任体系。各级信息平安组织均要明确主管领导，确定相关货任,设置相应岗位，配备必要人员。第条信息管理部是公司信息平安的归口管理部门，负费落实信息化工作领导小组的决策，实施公司信息平安建设与管理，确保重要信息系统的有效爱护和平安运行。

3、具体职货包括：组织制定和实施公司信息平安政策标准、管理制度和体系建设规划，组织实施信息平安项目和培训，组织信息平安工作的监督和检查.第九条公司保密部门负责信息平安工作中有关保密工作的监停、检查和指导。第十条企事业单位信息部门负责本单位信息平安的管理，具体职责包括：在本单位宣扬和贯韵执行信息平安政策与标准，确保本单位信息系统的平安运行，实施本第位信息平安项目和培训，追踪和查处本单位信息平安违规行为，组织本堆位信息平安工作检查，完成公司部署的信息平安工作。第T条技术支持单位在信息管理部的领导卜.，担当所负责的信息系统和所在区域的信息平安管理任务，主要包括：在所维护系统和本区域内宣扬和贯彻信息平安政

4、策与标准，确保所负贡信息系统的平安运行。第十二条各级信息管理部门设立信息平安管理和技术岗位，包括信息平安、应用系统、数据库、操作系统、网络负贲人和管理员，1R要岗位可设置两个员工互为备份。第十三条信息平安岗位的设立应遵循职班分别的要求，包括：制度监督拧与执行者分别，信息系统授权者与操作拧分别应用系统管理员与数据库管理员分别，程序开发人员不应具备对生产环境的访问权限。第十四条公司员工必需严格遵守公司信息平安政策、管理制度、技术标准和信息系统限制要求，担当相关平安义务和货任，并刚好报告信息平安事务。第三章信息平安目标与工作原则第十五条信息平安工作的总体目标是：实施信息系统平安等级爱护，建立和健全先

5、进好用、完整牢苑的信息平安体系，保证系统和信息的完整性、真实性、可用性、保密性和可控性，保障信息化建设和应用，支撑公司业务持续、稳定、健康发屣。第十六条信息平安体系建设必需坚持以下原则：坚持统一。信息平安体系必需统一规划、统一标准、统一设计、统一投资、统一建设、统一管理。保障应用。保障网络和信息系统，特殊是全局网络和重要业务信息系统不间断稳定运行及其信息的平安，实现以应用促平安，以平安保应用。符合法规.信息平安体系要满意法律法规要求，包括国家对信息系统等级爱护、企业内部限制要求，主动采纳法律法规允许的、成熟的先进技术和专业平安服务。综合防范.管理与技术并重，相互补充。从组织与流程、制度与人员、

6、场地与环境、网络与系统、数据与应用等多方面若手，在系统设计、建设和运维的多环节进行综合防范。集中共享。建立集中、统的信息平安技术服务平台和集中专业化的信息平安队伍“第四度信息平安工作基本要求第十七条依据公司信息平安专项规划和总体方案，分层次建立以平安组织体系为核心、平安管理体系为保障、平安技术体系为支掾的全面信息平安体系，并保持三个体系稳定、均衡发展。第十/1条建立全面的信息平安管理体系：制定并实施统的信息平安策略、管理制度和技术标准。实行信息系统资产管理费任制，爱护信息系统，特殊是核心信息系统的设备、软件、数据和技术文档的平安。建立信息系统物理环境、网络、系统、应用、数据等各层面的平安管理流

7、程，实现对信息系统全生命周期的平安管理。实现对信息系统的平安风险管理，刚好发觉和防范平安隐患.第十九条建立有效的信息平安技术体系：强化网络、桌面和应用系统平安防护体系，依据自主定级、自主爱护的原则，评估确定各信息系统爱护等级并实施相应的爱护措施.建立统一的网络平安信任体系，加强网络实体身份管理与认证，为网络和信息系统平安运行供应信任基础。建立完善有效的平安监控和预警体系，监控重要网络和核心业务系统，刚好发觉平安隐患0建立全面有效的应急响应体系，制定并落实完推、规范的应急处理和响应流程，完善信息平安报告、处理机制。建立包括同城和异地容灾备份中心的信息系统灾难梵原体系，定期进行灾难复原的测试和演练

8、，确保灾难发生后能够充分发挥备份的效能，降低造成的影响和损失。第五章信息平安监控第二十条信息平安监控的目的是对威逼系统、数据库及网络平安的因素进行有效限制，防止由于技术或人为因素导致的异样和损失，同时为其他平安措施的设计和实施供应牢靠依据。平安监控的结果要保存年以上。第二H-一条信息系统的运行和维护单位，在国家法律和公司有关规定许可的范围内，具体进行规范、合理、有效的信息平安监控.运用公司网络及应用系统的用户有义务接受必要的监控。监控不能影响、泄漏不涉及平安问题的网上行为和个人陷私的内容。第二十二条各级信息部门负货制定和实施信息平安监控安排，包括日常监控、应急处理和定期汇报。第二十三条日常监控

9、分为实时监控和定期检查，包括应用系统、数据库、操作系统、网络、物理环境以及外部人员对信息系统访问的实时监控与定期检包。监控及检食结果要存档备杳，异样状况须刚好向有关负资人汇报。第二十四条各级信息部门应对网络及玳要信息系统制定具体的应急处理预案。应急处理依据预案进行，并至少每年组织一次相关岗位人员进行应急预案演练。第二十五条各级信息部门编制、上报信息平安月报和年报，刚好向主管领导和上级部门汇报重大信息平安风险和事务。第六章信息平安风险评估第二十六条信息管理部负贡组织建立风险评估规范及实施团队，定期或在重大、特殊事务发生时进行风险评估。第二十七条风险评估包括范围确定、风险识别、风险分析和限制措施，

10、确保信息平安，满意应用和业务须要。评估他困可包括管理组织、潦程、政策与标准、应用系统、数据库、操作系统、网络、物理环境，应涵盖公司内部关键限制点。风险识别包括识别风险类型和风险事务,形成风险列表，更新信息风险数据庠.风险分析包括信息资产分类、风险发生概率和影响程度分析，并确定风险等级，形成风险评估报告。限制措施包括平安管理策略和风险限制措施，形成风险限制报告。第二十/1条信息管理部将风险评估和限制报告上报信息主管领导审批。依据领导审批看法，落实限制措施。第七章信息平安培训第二十九条信息管理部负成制定公司信息平安培训安排，组织、实施信息平安管理和技术培训。各级信息部门负责相应层级的信息平安培训，

11、培训安排报信息管理部备案。第三十条信息管理部及各企事业雌位信息部门对应用系统、数据库、操作系统和网络管理员、开发人员进行信息平安技术培训，提高信息平安管理和维护水平。第三-一条信息管理部及各企事业雎位信息部门分层次、分类型对员工进行信息平安培训，包括针对业务和技术管理人员进行管理层面的信息平安管理培训，针对从事日常业务处理人员进行操作乂面基本平安学问培训.第三十二条员工上向前，应进行岗位信息平安培训，并接着信息平安保密协议。在岗位发生变动时，刚好调整信息系统操作权限。第三十三条信息平安政策与标准发生玳大调整、新建和升级的信息系统投入运用前，开展必要的平安培训，明确相关调整和变更所带来的信息平安权限和货任的改变。第八堂信息平安检查与考核第三十四条信息管理部定期进行信息平安检查与考核，包括信息平安政策与标准的培训与执行状况、重大信息平安事务及整改措施落实状况、现有信息平安措施的有效性、信息平安技术指标完成状况。第三十五条各企事业单位信息部门依据本方法和公司信息系统运行维护管理方法进行信息平安自我考核，信息管理部进行综合评价，形成年度考核报告，报信息主管领导。第三十六条对于不执行本方法造成严峻后果的，应追究相关部门和个人贡任.第九堂附则第三十七条各企事业单位可参照本管理方法制定相应的实施细则。第三十/1条本方法由公司信息管理部负货说明。第三十九条本方法自印发之日起施行。