信息安全管理办法

信息安全管理办法第一章第一条理第二条（第三条公司信息安全管理坚持“谁主管谁负责、谁运行谁负责"的基本原则第四条信息安全管理，包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、核.第五条第二章第六条公司信息化工作领导小组是信息安全工作的最高决策机构，作.第七条公司建立和健全由总部、企事业单位以及信息技术支持单位第八条信息管理部是公司信息安全的归口管理部门，负责落实信息目和培,第九条公司保密部门负责信息安全工作中有关保密工作的监督、检第十条企事业单位信息部门负责本单位信息安全的管理，具体职责包括第十一条技术支持单位在信息管理部的领导下,承担所负责的信息主要包括运.第十二条各级信息管理部门设立信息安全管理和技术岗位，包括信息安全数据库员,第十三条信息安全岗位的设立应遵循职责分离的要求，包括：制度.第十四条公司员工必须严格遵守公司信息安全政策、管理制度、技术标准和信息系统控制要求，承担相关安全义务和责任,并及时报告第三章第十五条信息安全工作的总体目标是:实施信息系统安全等级保护,完整性展.第十六条：全体系必须统一规划、统一标准、统一设计、统一投资、统一建设、保障应用用。符合法规.信息安全体系要满足法律法规要求，包括国家对信息系统场地与环境、网络与系统、数据与应用等多方面着手，在系统设计、集中共享第四章第十七条根据公司信息安全专项规划和总体方案,分层次建立以安展.第十八条系:准.理第十九条建立统一的网络安全信任体系，加强网络实体身份管理与认证,为网建立完善有效的安全监控和预警体系,监控重要网络和核心业务系统响应流,行灾难恢复的测试和演练,确保灾难发生后能够充分发挥备份的效能,第五章第二十条信息安全监控的目的是对威胁系统、数据库及网络安全的同时为其他安全措施的设计和实施提供可靠依据.安全监控的结果要保第二十一条信息系统的运行和维护单位，在国家法律和公司有关规,合理使用公司网络及应用系统的用户有义务接受必要的监控.监控不能影响、泄第二十二条各级信息部门负责制定和实施信息安全监控计划，包括第二十三条日常监控分为实时监控和定期检查，包括应用系统、数时监控与定期检查.监控及检查结果要存档备查,异常情况须及时向有第二十四条各级信息部门应对网络及重要信息系统制定详细的应急处理预案练.第二十五条各级信息部门编制、上报信息安全月报和年报，及时向第六章第二十六条信息管理部负责组织建立风险评估规范及实施团队，定第二十七条风险评估包括范围确定、风险识别、风险分析和控制措评估范围可包括管理组织、流程、政策与标准、应用系统、数据库、,点.险数据.风险分析包括信息资产分类、风险发生概率和影响程度分析,并确定风险等,.第二十八条信息管理部将风险评估和控制报告上报信息主管领导审第七章第二十九条信息管理部负责制定公司信息安全培训计划，组织、实培,案.第三十条第三十一条信息管理部及各企事业单位信息部门分层次、分类型对条前,时,第三十三条信息安全政策与标准发生重大调整、新建和升级的信息系统投入使用前，开展必要的安全培训,明确相关调整和变更所带来化.第八章第三十四条信息管理部定期进行信息安全检查与考核，包括信息安第三十五条各企事业单位信息部门按照本办法和《公司信息系统