企业信息安全管理办法

1、企业信息安全管理办法第一章总则第一条 为加强公司信息安全管理，推进信息安全体 系建设，保障信息系统安全稳定运行，根据国家有关法律、 法规和公司信息化工作管理规定，制定本办法。第二条 本办法所指的信息安全管理，是指计算机网 络及信息系统（以下简称信息系统）的硬件、软件、数据及 环境受到有效保护，信息系统的连续、稳定、安全运行得到 可靠保障。第三条 公司信息安全管理坚持“谁主管谁负责、谁 运行谁负责”的基本原则，各信息系统的主管部门、运营和 使用单位各自履行相关的信息系统安全建设和管理的义务与 责任。第四条 信息安全管理，包括管理组织与职责、信息 安全目标与工作原则、信息安全工作基本要求、信息安全

2、监 控、信息安全风险评估、信息安全培训、信息安全检查与考 核。第五条 本办法适用于公司总部、各企事业单位及其 全体员工。第二章信息安全管理组织与职责第六条 公司信息化工作领导小组是信息安全工作的 最高决策机构，负责信息安全政策、制度和体系建设规划的 审批，部署并协调信息安全体系建设，领导信息系统等级保护工作。第七条 公司建立和健全由总部、企事业单位以及信 息技术支持单位三方面组成，协调一致、密切配合的信息安 全组织和责任体系。各级信息安全组织均要明确主管领导， 确定相关责任，设置相应岗位，配备必要人员。第八条 信息管理部是公司信息安全的归口管理部 门，负责落实信息化工作领导小组的决策，实施公司

3、信息安 全建设与管理，确保重要信息系统的有效保护和安全运行。 具体职责包括：组织制定和实施公司信息安全政策标准、管 理制度和体系建设规划，组织实施信息安全项目和培训，组 织信息安全工作的监督和检查。第九条 公司保密部门负责信息安全工作中有关保密 工作的监督、检查和指导。第十条 企事业单位信息部门负责本单位信息安全的 管理，具体职责包括：在本单位宣传和贯彻执行信息安全政 策与标准，确保本单位信息系统的安全运行，实施本单位信 息安全项目和培训，追踪和查处本单位信息安全违规行为， 组织本单位信息安全工作检查，完成公司部署的信息安全工 作。第十一条 技术支持单位在信息管理部的领导下，承 担所负责的信息

4、系统和所在区域的信息安全管理任务，主要 包括：在所维护系统和本区域内宣传和贯彻信息安全政策与 标准，确保所负责信息系统的安全运行。第十二条 各级信息管理部门设立信息安全管理和技 术岗位，包括信息安全、应用系统、数据库、操作系统、网 络负责人和管理员，重要岗位可设置两个员工互为备份。第十三条 信息安全岗位的设立应遵循职责分离的要 求，包括：制度监督者与执行者分离，信息系统授权者与操 作者分离，应用系统管理员与数据库管理员分离，程序开发 人员不应具备对生产环境的访问权限。第十四条公司员工必须严格遵守公司信息安全政策、管理制度、技术标准和信息系统控制要求，承担相关安 全义务和责任，并及时报告信息安全

5、事件。第三章信息安全目标与工作原则第十五条信息安全工作的总体目标是：实施信息系统安全等级保护，建立和健全先进实用、完整可靠的信息安 全体系，保证系统和信息的完整性、真实性、可用性、保密 性和可控性，保障信息化建设和应用，支撑公司业务持续、 稳定、健康发展。第十六条信息安全体系建设必须坚持以下原则：坚持统一。信息安全体系必须统一规划、统一标准、 统一设计、统一投资、统一建设、统一管理。保障应用。保障网络和信息系统，特别是全局网络和 重要业务信息系统不间断稳定运行及其信息的安全，实现 以应用促安全，以安全保应用。符合法规。信息安全体系要满足法律法规要求，包括 国家对信息系统等级保护、企业内部控制要

6、求，积极采用 法律法规允许的、成熟的先进技术和专业安全服务。综合防范。管理与技术并重，相互补充。从组织与流 程、制度与人员、场地与环境、网络与系统、数据与应用 等多方面着手，在系统设计、建设和运维的多环节进行综 合防范。集中共享。建立集中、统一的信息安全技术服务平台 和集中专业化的信息安全队伍。第四章信息安全工作基本要求第十七条根据公司信息安全专项规划和总体方案，分层次建立以安全组织体系为核心、安全管理体系为保障、 安全技术体系为支撑的全面信息安全体系，并保持三个体系 稳定、均衡发展。第十八条建立全面的信息安全管理体系：制定并实施统一的信息安全策略、管理制度和技术标 准。实行信息系统资产管理责

7、任制，保护信息系统，特别 是核心信息系统的设备、软件、数据和技术文档的安全。建立信息系统物理环境、网络、系统、应用、数据等 各层面的安全管理流程，实现对信息系统全生命周期的安 全管理。实现对信息系统的安全风险管理，及时发现和防范安 全隐患。第十九条建立有效的信息安全技术体系：强化网络、桌面和应用系统安全防护体系，按照自主 定级、自主保护的原则，评估确定各信息系统保护等级并 实施相应的保护措施。建立统一的网络安全信任体系，加强网络实体身份管 理与认证，为网络和信息系统安全运行提供信任基础。建立完善有效的安全监控和预警体系，监控重要网络 和核心业务系统，及时发现安全隐患。建立全面有效的应急响应体系

8、，制定并落实完整、规 范的应急处理和响应流程，完善信息安全报告、处理机 制。建立包括同城和异地容灾备份中心的信息系统灾难恢 复体系，定期进行灾难恢复的测试和演练，确保灾难发生 后能够充分发挥备份的效能，降低造成的影响和损失。第五章信息安全监控第二十条 信息安全监控的目的是对威胁系统、数据 库及网络安全的因素进行有效控制，防止由于技术或人为因 素导致的异常和损失，同时为其他安全措施的设计和实施提 供可靠依据。安全监控的结果要保存一年以上。第二十一条信息系统的运行和维护单位，在国家法律 和公司有关规定许可的范围内，具体进行规范、合理、有效 的信息安全监控。使用公司网络及应用系统的用户有义务接 受必

9、要的监控。监控不能影响、泄漏不涉及安全问题的网上 行为和个人隐私的内容。第二十二条 各级信息部门负责制定和实施信息安全监 控计划，包括日常监控、应急处理和定期汇报。第二十三条 日常监控分为实时监控和定期检查，包括 应用系统、数据库、操作系统、网络、物理环境以及外部人 员对信息系统访问的实时监控与定期检查。监控及检查结果 要存档备查，异常情况须及时向有关负责人汇报。第二十四条 各级信息部门应对网络及重要信息系统制 定详细的应急处理预案。应急处理按照预案进行，并至少每 年组织一次相关岗位人员进行应急预案演练。第二十五条 各级信息部门编制、上报信息安全月报和 年报，及时向主管领导和上级部门汇报重大信

10、息安全风险和 事件。第六章信息安全风险评估第二十六条信息管理部负责组织建立风险评估规范及 实施团队，定期或在重大、特殊事件发生时进行风险评估。第二十七条 风险评估包括范围确定、风险识别、风险 分析和控制措施，确保信息安全，满足应用和业务需要。评估范围可包括管理组织、流程、政策与标准、应用 系统、数据库、操作系统、网络、物理环境，应涵盖公司 内部关键控制点。风险识别包括识别风险类型和风险事件，形成风险列 表，更新信息风险数据库。风险分析包括信息资产分类、风险发生概率和影响程 度分析，并确定风险等级，形成风险评估报告。控制措施包括安全管理策略和风险控制措施，形成风 险控制报告。第二十八条信息管理部

11、将风险评估和控制报告上报信 息主管领导审批。根据领导审批意见，落实控制措施。第七章信息安全培训第二十九条信息管理部负责制定公司信息安全培训计 划，组织、实施信息安全管理和技术培训。各级信息部门负 责相应层级的信息安全培训，培训计划报信息管理部备案。第三十条 信息管理部及各企事业单位信息部门对应 用系统、数据库、操作系统和网络管理员、开发人员进行信 息安全技术培训，提高信息安全管理和维护水平。第三十一条信息管理部及各企事业单位信息部门分层 次、分类型对员工进行信息安全培训，包括针对业务和技术 管理人员进行管理层面的信息安全管理培训，针对从事日常 业务处理人员进行操作层面基本安全知识培训。第三十二条 员工上岗前，应进行岗位信息安全培训， 并签署信息安全保密协议。在岗位发生变动时，及时调整信 息系统操作权限。第三十三条信息安全政策与标准发生重大调整、新建 和升级的信息系统投入使用前，开展必要的安全培训，明确 相关调整和变更所带来的信息安全权限和责任的变化。第八章信息安全检查与考核第三十四条信息管理部定期进行信息安全检查与考 核，包括信息安全政策与标准的培训与执行情况、重大信息 安全事件及整改措施落实情况、现有信息安全措施的有效 性、信息安全技术指标完成情况