《信息安全管理制度》

1、信息安全管理制度信息安全管理制度 编号：第一章总则 第一条为强化XXX以下简称“公司信息系统安全管理，推动信息系统安全体系建设，保证信息系统安全稳定运行，依据国家有关法律、法规和公司相关规定，制定本办法。 第二条本办法所称信息系统安全管理办法，包括信息安全的管理组织与使命、信息系统安全的治理规定、信息安全的监控、信息系统安全的风险评估。 第三条本制度着力解决的问题 制度空缺：公司缺少信息系统安全管理办法。 明确信息系统安全管理过程中相关单位的使命。 第四条本办法适用于公司各部门，各部门可参照本管理办法治定相应的实施细则。 第二章管理组织与使命 第五条信息中心使命 信息中心是公司信息系统安全管理

2、的归口部门，负责公司信息系统安全政策、制度和体系建设规划的审批，布暑并协调信息系统安全体系和等级保护建设工作，并负责落实具体工作。 第三章信息系统安全治理规定 第六条信息系统安全工作基本要求 依据公司信息系统安全总体方案，落实与实施国家信息安全等级保护制度，分层次建立以安全组织体系为核心、安全管理体系为保证、安全技术体系为支撑的全面信息系统安全体系，并坚持三个体系稳定、均衡发展。 第七条信息系统安全岗位要求 信息系统安全岗位的设立应遵循使命分开的要求，包括：制度监督者与执行者分开、信息系统授权者与操分开、应用系统管理员与数据库管理员分开，程序开发人员不应具备对生产环境的访问权限。 第八条信息系

3、统安全管理体系 信息系统安全管理体系包括：统一的信息系统安全策略、管理制度和技术标准；信息系统资产管理责任制；信息系统物理环境、网络、系统、应用、数据等各层面的安全管理流程；信息系统的安全风险管理。 第九条信息系统安全技术体系 信息系统安全技术体系包括：网络、桌面和应用系统安全防护措施；身份管理与认证平台；安全监控和预警机制；应急响应系统；同城和异地容灾备份中心。 第四章安全监控 第十条信息系统安全的监控目的 信息系统安全监控的目的是对威胁系统、数据库及网络安全的因素进行有效控制，防止由于技术或人为因素导致的异常和损失，同 时为其他安全措施的制定和实施提供可靠依据。安全监控的结果应储存一年以上

4、。 第十一条信息系统安全的监控使命 信息系统的运行和维护单位，在国家法律规定和公司有关规定 许可的范围内，具体进行规范、合理、有效的信息系统安全监控。使用公司网络及应用系统的用户有义务接受必要的监控。监控不能影响、泄漏不涉及安全问题的网上行为和个人隐私的内容。 第十二条信息系统安全的监控检查 日常监控分为实时监控和定期检查，包括应用系统、数据库、 操作系统、网络、物理环境以及外部人员对信息系统访问的实时监控与定期检查。监控及检查结果要存档备查，异常状况须及时向有关负责人汇报。 第十三条建立信息系统安全事件处理机制 在全公司范围建立信息系统安全意外事件通报处理机制，应根 据实际必须要设立由信息部

5、门和相关业务部门牵头的虚拟的信息系统 安全事件处理组织，人员可由业务和信息技术管理人员兼任。 第十四条建立信息系统安全事件处理细则 信息系统管理部门组织制定、落实、执行信息系统安全事件识别、分级和处置细则，各信息系统的运行和维护单位要对发生的信息系统安全事件及时分级，及时通报，并采用有效措施避免或降低事件对业务的负面影响，事后要编制事件处理报告并按程序上报。 第十五条信息系统应急演练 各级信息部门应对网络及重要信息系统制定具体的应急处理预案。 第十六条信息系统安全上报 信息部门编制、上报信息系统安全月报和年报，及时向主管领导和上级部门汇报重大信息系统安全风险和事件。 第五章信息系统安全风险评估

6、 第十七条信息系统安全风险评估总体要求 信息化部负责组织建立风险评估规范及实施团队，定期或在重大、特别事件发生后进行风险评估。 第十八条信息系统安全风险评估分析 风险评估包括范围确定、风险识别、风险分析和控制措施，保证信息系统安全满足应用和业务必须要。 评估范围包括管理组织、流程、政策与标准、应用系统、数据库、操作系统、网络、物理环境，应涵盖公司内部关键控制点。风险识别包括识别风险类型和风险事件，形成风险列表，更新信息风险数据库。 风险分析包括信息资产分类、风险发生概率和影响程度分析，并确定风险等级，形成风险评估报告。 控制措施包括安全管理策略和风险控制措施，形成风险控制报告。 第十九条信息系统安全风险上报 信息化部负责将风险评估和控制报告上报信息主管领导审批。依据领导审批看法，落实控制措施。 第六章培训 第二十条信息安全培训 信息化部负责制定公司信息系统安全培训计划，组织、实施信息系统安全管理和技术培训。 第七章检查 第二十一条信息系统安全检查 信息化部定期组织信息系统的安全检查与考核，包括信息系统安全政策与