信息安全管理辦法

第一章 總則

第一條 為加強公司信(xin)息(xi)安全管理，推進(jin)信(xin)息(xi)安全體系建(jian)設(she)，保障信(xin)息(xi)系統安全穩定(ding)運行(xing)，根據國家有關法(fa)律、法(fa)規和《公司信(xin)息(xi)化工作管理規定(ding)》，制定(ding)本辦法(fa)。

該圖片由注冊用戶"大吉大利"提供，版權聲明反饋

第二條 本辦法所指的信息安全管理，是指計算機網絡及信息系統（以下簡稱信息系統）的硬件、軟件、數據(ju)及環境受到有效保(bao)護，信息系統的(de)連續、穩定、安(an)全運行得到可靠保(bao)障(zhang)。

第(di)三條(tiao) 公(gong)司信(xin)(xin)息安(an)全管理(li)(li)堅持(chi)“誰(shui)主管誰(shui)負責(ze)、 誰(shui)運行 誰(shui)負責(ze)”的(de)基本(ben)原(yuan)則，各信(xin)(xin)息系統的(de)主管部門、運營和使(shi)用單 位(wei)各自(zi)履(lv)行相關的(de)信(xin)(xin)息系統安(an)全建(jian)設和管理(li)(li)的(de)義務與責(ze)任。 第(di)四(si)條(tiao) 信(xin)(xin)息安(an)全管理(li)(li)，包括管理(li)(li)組(zu)織與職責(ze)、信(xin)(xin)息安(an) 全目標與工(gong)作(zuo)原(yuan)則、 信(xin)(xin)息安(an)全工(gong)作(zuo)基本(ben)要求、 信(xin)(xin)息安(an)全監控、 信(xin)(xin)息安(an)全風險(xian)評(ping)估、信(xin)(xin)息安(an)全培訓、信(xin)(xin)息安(an)全檢查與考核。

第二章信息安全管理組織與職責

第四條 公(gong)司(si)信息化(hua)工(gong)(gong)作領導(dao)(dao)小組是信息安全工(gong)(gong)作的最高決(jue)策機構，負(fu)責信息安全政(zheng)策、制度(du)和體(ti)系(xi)建設規劃的審(shen)批，部署并協調(diao)信息安全體(ti)系(xi)建設，領導(dao)(dao)信息系(xi)統等(deng)級保護(hu)工(gong)(gong)作。

第五條 公司建(jian)立和健全由總部、企事(shi)業(ye)單(dan)位以及(ji)信(xin)息技術支持單(dan)位三方面組成，協調一致(zhi)、密切(qie)配合的(de)信(xin)息安(an)全組織(zhi)和責(ze)任體系。各(ge)級信(xin)息安(an)全組織(zhi)均要明確主管(guan)領導(dao)，確定相關責(ze)任，設置(zhi)相應崗(gang)位，配備(bei)必要人員。

第(di)六條 信(xin)(xin)(xin)息(xi)(xi)(xi)管理(li)部是(shi)公(gong)司信(xin)(xin)(xin)息(xi)(xi)(xi)安(an)全(quan)的(de)歸口管理(li)部門，負責(ze)落實信(xin)(xin)(xin)息(xi)(xi)(xi)化工(gong)作領導小組(zu)的(de)決策，實施(shi)(shi)公(gong)司信(xin)(xin)(xin)息(xi)(xi)(xi)安(an)全(quan)建(jian)設與管理(li)，確保(bao)重要信(xin)(xin)(xin)息(xi)(xi)(xi)系(xi)統的(de)有(you)效保(bao)護和安(an)全(quan)運行。具體職責(ze)包括：組(zu)織(zhi)制定和實施(shi)(shi)公(gong)司信(xin)(xin)(xin)息(xi)(xi)(xi)安(an)全(quan)政策標準、管理(li)制度和體系(xi)建(jian)設規劃，組(zu)織(zhi)實施(shi)(shi)信(xin)(xin)(xin)息(xi)(xi)(xi)安(an)全(quan)項目和培訓(xun)，組(zu)織(zhi)信(xin)(xin)(xin)息(xi)(xi)(xi)安(an)全(quan)工(gong)作的(de)監(jian)督和檢查(cha)。

第七條 公(gong)司保密部門負責信息(xi)安全工作中有關(guan)保密工作的監督、檢查和指導(dao)。

第八條 企事業單位(wei)信(xin)(xin)(xin)息(xi)部(bu)門負責(ze)本(ben)(ben)單位(wei)信(xin)(xin)(xin)息(xi)安(an)(an)全的管理，具(ju)體職責(ze)包括(kuo)：在本(ben)(ben)單位(wei)宣傳和(he)貫徹執(zhi)行(xing)(xing)信(xin)(xin)(xin)息(xi)安(an)(an)全政(zheng)策與標準，確保本(ben)(ben)單位(wei)信(xin)(xin)(xin)息(xi)系統的安(an)(an)全運行(xing)(xing)，實施本(ben)(ben)單位(wei)信(xin)(xin)(xin)息(xi)安(an)(an)全項(xiang)目和(he)培訓，追蹤(zong)和(he)查處本(ben)(ben)單位(wei)信(xin)(xin)(xin)息(xi)安(an)(an)全違規行(xing)(xing)為，組織本(ben)(ben)單位(wei)信(xin)(xin)(xin)息(xi)安(an)(an)全工作檢查，完成公司部(bu)署的信(xin)(xin)(xin)息(xi)安(an)(an)全工作。

第九條 技術支(zhi)持單位在信(xin)(xin)(xin)息(xi)管理部(bu)的(de)領導下，承擔所(suo)負責的(de)信(xin)(xin)(xin)息(xi)系統(tong)和(he)所(suo)在區域的(de)信(xin)(xin)(xin)息(xi)安(an)全(quan)管理任務(wu)，主要包括：在所(suo)維護系統(tong)和(he)本(ben)區域內宣傳和(he)貫徹(che)信(xin)(xin)(xin)息(xi)安(an)全(quan)政策(ce)與標準，確保所(suo)負責信(xin)(xin)(xin)息(xi)系統(tong)的(de)安(an)全(quan)運行(xing)。

第(di)十條 各級信息管理(li)部門設(she)立信息安(an)全管理(li)和(he)技(ji)術崗(gang)(gang)位，包括信息安(an)全、應用系(xi)統、數據(ju)庫、操作系(xi)統、網絡負責(ze)人和(he)管理(li)員，重要崗(gang)(gang)位可設(she)置兩個(ge)員工互為(wei)備份。

第(di)十一(yi)條 信(xin)息(xi)安(an)全崗(gang)位的(de)(de)(de)設(she)立應(ying)遵循職責(ze)分離(li)(li)的(de)(de)(de)要求，包括：制度監督者與執行者分離(li)(li)，信(xin)息(xi)系統授(shou)權者與操作者分離(li)(li)，應(ying)用系統管理員與數據庫(ku)管理員分離(li)(li)，程序開發(fa)人員不應(ying)具備對生產環境的(de)(de)(de)訪(fang)問權限。

第十(shi)二條 公(gong)司(si)員工必須(xu)嚴格遵守公(gong)司(si)信息(xi)(xi)安全(quan)政策(ce)、管理(li)制度、技術標準和(he)信息(xi)(xi)系(xi)統控制要求，承擔相關安全(quan)義務和(he)責任，并及時報告信息(xi)(xi)安全(quan)事件(jian)。

第三章信息安全目標與工作原則

第十三條 信息(xi)安全(quan)工作(zuo)的總體(ti)目標是：實(shi)施信息(xi)系統安全(quan)等級(ji)保護，建立(li)和(he)(he)健全(quan)先(xian)進實(shi)用(yong)、完整可(ke)靠的信息(xi)安全(quan)體(ti)系，保證系統和(he)(he)信息(xi)的完整性(xing)(xing)(xing)、真實(shi)性(xing)(xing)(xing)、可(ke)用(yong)性(xing)(xing)(xing)、保密(mi)性(xing)(xing)(xing)和(he)(he)可(ke)控性(xing)(xing)(xing)，保障信息(xi)化(hua)建設和(he)(he)應用(yong)，支撐公(gong)司業務持續、穩定、健康(kang)發展。

第十四(si)條 信(xin)息安(an)(an)全(quan)體系(xi)建(jian)(jian)設(she)(she)必須(xu)堅(jian)持以(yi)下原(yuan)則(ze)：堅(jian)持統(tong)(tong)(tong)一(yi)。信(xin)息安(an)(an)全(quan)體系(xi)必須(xu)統(tong)(tong)(tong)一(yi)規劃、統(tong)(tong)(tong)一(yi)標準(zhun)、統(tong)(tong)(tong)一(yi)設(she)(she)計、統(tong)(tong)(tong)一(yi)投資、統(tong)(tong)(tong)一(yi)建(jian)(jian)設(she)(she)、統(tong)(tong)(tong)一(yi)管理。保(bao)障應(ying)用(yong)(yong)。保(bao)障網絡(luo)和信(xin)息系(xi)統(tong)(tong)(tong)，特別(bie)是全(quan)局(ju)網絡(luo)和重要業(ye)(ye)務(wu)(wu)信(xin)息系(xi)統(tong)(tong)(tong)不(bu)間斷穩定運行及其(qi)信(xin)息的安(an)(an)全(quan)，實現以(yi)應(ying)用(yong)(yong)促安(an)(an)全(quan)，以(yi)安(an)(an)全(quan)保(bao)應(ying)用(yong)(yong)。符合(he)法(fa)規。信(xin)息安(an)(an)全(quan)體系(xi)要滿足(zu)法(fa)律(lv)法(fa)規要求，包括國家對信(xin)息系(xi)統(tong)(tong)(tong)等級保(bao)護、企業(ye)(ye)內(nei)部控(kong)制要求，積極采(cai)用(yong)(yong)法(fa)律(lv)法(fa)規允(yun)許的、成熟的先進技(ji)術和專(zhuan)業(ye)(ye)安(an)(an)全(quan)服務(wu)(wu)。綜合(he)防(fang)范。管理與技(ji)術并重，相互補(bu)充。從組織與流程、制度與人員、場地與環(huan)境、網絡(luo)與系(xi)統(tong)(tong)(tong)、數據與應(ying)用(yong)(yong)等多方(fang)面著手，在(zai)系(xi)統(tong)(tong)(tong)設(she)(she)計、建(jian)(jian)設(she)(she)和運維的多環(huan)節進行綜合(he)防(fang)范。集中共享(xiang)。建(jian)(jian)立(li)集中、統(tong)(tong)(tong)一(yi)的信(xin)息安(an)(an)全(quan)技(ji)術服務(wu)(wu)平臺和集中專(zhuan)業(ye)(ye)化的信(xin)息安(an)(an)全(quan)隊伍(wu)。第四(si)章信(xin)息安(an)(an)全(quan)工作基本要求

第(di)十(shi)五(wu)條(tiao) 根(gen)據公司(si)信息安(an)全(quan)專項(xiang)規劃和(he)總體(ti)(ti)(ti)(ti)方案，分層次建立以安(an)全(quan)組織體(ti)(ti)(ti)(ti)系(xi)為核心、安(an)全(quan)管理體(ti)(ti)(ti)(ti)系(xi)為保障、安(an)全(quan)技術體(ti)(ti)(ti)(ti)系(xi)為支撐的全(quan)面信息安(an)全(quan)體(ti)(ti)(ti)(ti)系(xi)，并保持三(san)個(ge)體(ti)(ti)(ti)(ti)系(xi)穩定、均衡發(fa)展。

第十六條 建(jian)立全(quan)面(mian)的(de)(de)信(xin)息(xi)安(an)(an)全(quan)管理(li)體系(xi)(xi)(xi)：制定并實施統(tong)一的(de)(de)信(xin)息(xi)安(an)(an)全(quan)策略、管理(li)制度和技(ji)術標準(zhun)。實行信(xin)息(xi)系(xi)(xi)(xi)統(tong)資(zi)產管理(li)責(ze)任制，保護信(xin)息(xi)系(xi)(xi)(xi)統(tong)，特別是核心信(xin)息(xi)系(xi)(xi)(xi)統(tong)的(de)(de)設(she)備、軟件(jian)、數據和技(ji)術文(wen)檔的(de)(de)安(an)(an)全(quan)。建(jian)立信(xin)息(xi)系(xi)(xi)(xi)統(tong)物理(li)環境、網絡、系(xi)(xi)(xi)統(tong)、應用、數據等(deng)各層面(mian)的(de)(de)安(an)(an)全(quan)管理(li)流(liu)程，實現(xian)對(dui)(dui)信(xin)息(xi)系(xi)(xi)(xi)統(tong)全(quan)生命周期的(de)(de)安(an)(an)全(quan)管理(li)。實現(xian)對(dui)(dui)信(xin)息(xi)系(xi)(xi)(xi)統(tong)的(de)(de)安(an)(an)全(quan)風險管理(li)，及時發現(xian)和防范安(an)(an)全(quan)隱患(huan)。

第十七(qi)條(tiao) 建立(li)有效的(de)(de)信息(xi)(xi)安(an)全(quan)技術體(ti)系(xi)(xi)(xi)：強化網絡(luo)、桌面(mian)和(he)(he)(he)應(ying)用系(xi)(xi)(xi)統安(an)全(quan)防(fang)護(hu)(hu)體(ti)系(xi)(xi)(xi)，按照自(zi)(zi)主定(ding)(ding)級、自(zi)(zi)主保(bao)(bao)護(hu)(hu)的(de)(de)原則，評(ping)估確定(ding)(ding)各(ge)信息(xi)(xi)系(xi)(xi)(xi)統保(bao)(bao)護(hu)(hu)等級并實(shi)施(shi)相應(ying)的(de)(de)保(bao)(bao)護(hu)(hu)措(cuo)施(shi)。建立(li)統一的(de)(de)網絡(luo)安(an)全(quan)信任體(ti)系(xi)(xi)(xi)，加(jia)強網絡(luo)實(shi)體(ti)身份管理(li)與認證，為網絡(luo)和(he)(he)(he)信息(xi)(xi)系(xi)(xi)(xi)統安(an)全(quan)運行(xing)(xing)提供信任基礎。建立(li)完善有效的(de)(de)安(an)全(quan)監控和(he)(he)(he)預警體(ti)系(xi)(xi)(xi)，監控重要(yao)網絡(luo)和(he)(he)(he)核(he)心業務(wu)系(xi)(xi)(xi)統，及(ji)時發現安(an)全(quan)隱患。建立(li)全(quan)面(mian)有效的(de)(de)應(ying)急響應(ying)體(ti)系(xi)(xi)(xi)，制定(ding)(ding)并落(luo)實(shi)完整(zheng)、規范的(de)(de)應(ying)急處(chu)理(li)和(he)(he)(he)響應(ying)流程，完善信息(xi)(xi)安(an)全(quan)報告、處(chu)理(li)機制。建立(li)包括同城(cheng)和(he)(he)(he)異地容災(zai)(zai)備份中(zhong)心的(de)(de)信息(xi)(xi)系(xi)(xi)(xi)統災(zai)(zai)難(nan)恢復體(ti)系(xi)(xi)(xi)，定(ding)(ding)期進行(xing)(xing)災(zai)(zai)難(nan)恢復的(de)(de)測(ce)試和(he)(he)(he)演(yan)練，確保(bao)(bao)災(zai)(zai)難(nan)發生后(hou)能夠充(chong)分發揮備份的(de)(de)效能，降低造(zao)成(cheng)的(de)(de)影響和(he)(he)(he)損失。第五章信息(xi)(xi)安(an)全(quan)監控

第(di)十八條(tiao) 信息安(an)全(quan)監(jian)控(kong)的(de)(de)目的(de)(de)是(shi)對(dui)威脅(xie)系統、數據(ju)庫(ku)及(ji)網(wang)絡安(an)全(quan)的(de)(de)因素進(jin)行(xing)有(you)效控(kong)制，防止由于(yu)技術或(huo)人為因素導致的(de)(de)異常(chang)和損失，同時為其他(ta)安(an)全(quan)措施的(de)(de)設計和實施提供可靠依據(ju)。安(an)全(quan)監(jian)控(kong)的(de)(de)結(jie)果要保存一年(nian)以上。

第十九條 信(xin)息系(xi)(xi)統的運行(xing)和(he)維護(hu)單位，在國家(jia)法(fa)律和(he)公司(si)有關(guan)規(gui)定許可的范圍內，具體進行(xing)規(gui)范、合(he)理(li)、有效(xiao)的信(xin)息安全(quan)監控(kong)。使用(yong)(yong)(yong)公司(si)網絡及應用(yong)(yong)(yong)系(xi)(xi)統的用(yong)(yong)(yong)戶有義務接受必要的監控(kong)。監控(kong)不(bu)能影響、泄漏不(bu)涉(she)及安全(quan)問題的網上行(xing)為和(he)個人(ren)隱私的內容。

第(di)二十條 各級(ji)信(xin)息部門負責制定和實(shi)施信(xin)息安全監控計(ji)劃(hua)，包括日常監控、應急處理和定期匯報。

第二十一條(tiao) 日常監控分(fen)為實時(shi)監控和(he)定(ding)期(qi)檢(jian)查，包括應(ying)用系統(tong)(tong)、數(shu)據庫、操作系統(tong)(tong)、網絡(luo)、物理環境(jing)以及外部人員對信息系統(tong)(tong)訪問的(de)實時(shi)監控與定(ding)期(qi)檢(jian)查。監控及檢(jian)查結果要存檔備查，異常情況須及時(shi)向有關負責人匯報。

第二(er)十(shi)二(er)條 各級信(xin)息(xi)部門應對網絡及重要信(xin)息(xi)系統制定(ding)詳細(xi)的應急(ji)處(chu)理預(yu)(yu)案。應急(ji)處(chu)理按照預(yu)(yu)案進(jin)行，并至少每年組織一次相關崗位人員(yuan)進(jin)行應急(ji)預(yu)(yu)案演練。

第(di)二十三條 各級(ji)信(xin)息部門編(bian)制(zhi)、上報信(xin)息安全月報和(he)年報，及(ji)時(shi)向主管領導和(he)上級(ji)部門匯報重大信(xin)息安全風(feng)險和(he)事件(jian)。

第六章 信息安全風險評估

第二(er)十四(si)條(tiao) 信息(xi)管理部負(fu)責(ze)組織建(jian)立(li)風險評估(gu)規范及實(shi)施(shi)團隊，定(ding)期或(huo)在(zai)重大、特殊事件發生(sheng)時進行風險評估(gu)。

第二(er)十五條 風(feng)(feng)(feng)(feng)險(xian)評(ping)估(gu)包(bao)括(kuo)(kuo)范(fan)圍(wei)確定(ding)、風(feng)(feng)(feng)(feng)險(xian)識別(bie)、風(feng)(feng)(feng)(feng)險(xian)分析和(he)控(kong)制(zhi)措(cuo)(cuo)施，確保(bao)信(xin)息(xi)(xi)安全(quan)，滿足應(ying)用(yong)和(he)業務(wu)需要。評(ping)估(gu)范(fan)圍(wei)可包(bao)括(kuo)(kuo)管理(li)組織、流(liu)程(cheng)、政(zheng)策與標(biao)準、應(ying)用(yong)系統、數據庫、操作系統、網絡(luo)、物理(li)環境，應(ying)涵蓋公司內部關鍵控(kong)制(zhi)點。風(feng)(feng)(feng)(feng)險(xian)識別(bie)包(bao)括(kuo)(kuo)識別(bie)風(feng)(feng)(feng)(feng)險(xian)類(lei)型和(he)風(feng)(feng)(feng)(feng)險(xian)事(shi)件(jian)，形(xing)(xing)成風(feng)(feng)(feng)(feng)險(xian)列表，更(geng)新信(xin)息(xi)(xi)風(feng)(feng)(feng)(feng)險(xian)數據庫。風(feng)(feng)(feng)(feng)險(xian)分析包(bao)括(kuo)(kuo)信(xin)息(xi)(xi)資(zi)產分類(lei)、風(feng)(feng)(feng)(feng)險(xian)發生(sheng)概(gai)率和(he)影(ying)響程(cheng)度分析，并(bing)確定(ding)風(feng)(feng)(feng)(feng)險(xian)等級，形(xing)(xing)成風(feng)(feng)(feng)(feng)險(xian)評(ping)估(gu)報告。控(kong)制(zhi)措(cuo)(cuo)施包(bao)括(kuo)(kuo)安全(quan)管理(li)策略和(he)風(feng)(feng)(feng)(feng)險(xian)控(kong)制(zhi)措(cuo)(cuo)施，形(xing)(xing)成風(feng)(feng)(feng)(feng)險(xian)控(kong)制(zhi)報告。

第二十六條 信息管(guan)理(li)部將風(feng)險評估和控制(zhi)(zhi)報(bao)告上報(bao)信息主管(guan)領(ling)導審批(pi)(pi)。根據(ju)領(ling)導審批(pi)(pi)意見(jian)，落實(shi)控制(zhi)(zhi)措施(shi)。

第七章 信息安全培訓

第二(er)十七條 信息(xi)管理部(bu)負(fu)責(ze)制定公(gong)司信息(xi)安全培(pei)訓計(ji)劃，組(zu)織、實(shi)施信息(xi)安全管理和技術培(pei)訓。各級信息(xi)部(bu)門負(fu)責(ze)相應層級的信息(xi)安全培(pei)訓，培(pei)訓計(ji)劃報信息(xi)管理部(bu)備案。

第二十八條 信息管理部及各企事業單位信息部門對應用系統、數據庫、操作系統(tong)和網(wang)絡管理員、開發人員進(jin)行信息安(an)全技術培訓，提高信息安(an)全管理和維護(hu)水平。

第二十九(jiu)條(tiao) 信(xin)(xin)息(xi)管理部(bu)及各企事業(ye)單位信(xin)(xin)息(xi)部(bu)門分層(ceng)次、分類型(xing)對員工進行信(xin)(xin)息(xi)安全培訓(xun)，包括針對業(ye)務和(he)技(ji)術管理人員進行管理層(ceng)面(mian)的信(xin)(xin)息(xi)安全管理培訓(xun)，針對從事日(ri)常業(ye)務處理人員進行操作層(ceng)面(mian)基(ji)本安全知識培訓(xun)。

第三(san)十條(tiao) 員工上崗前，應進行崗位(wei)信(xin)息安全(quan)培(pei)訓，并(bing)簽署信(xin)息安全(quan)保密協議。在崗位(wei)發生變動時，及時調整信(xin)息系統操作權(quan)限。

第三十一條(tiao) 信息安全政(zheng)策與(yu)標(biao)準(zhun)發生重大(da)調整(zheng)、新建和升級的(de)(de)信息系統投入使用前，開(kai)展必(bi)要的(de)(de)安全培訓，明(ming)確相關(guan)調整(zheng)和變更(geng)所帶(dai)來的(de)(de)信息安全權限和責任的(de)(de)變化(hua)。

第八章 信息安全檢查與考核

第三十二條(tiao) 信(xin)息管理部定期進行(xing)信(xin)息安(an)(an)全(quan)(quan)檢查與考(kao)核，包括信(xin)息安(an)(an)全(quan)(quan)政策與標(biao)準的培訓與執(zhi)行(xing)情(qing)況、重大信(xin)息安(an)(an)全(quan)(quan)事件及(ji)整(zheng)改措施落實情(qing)況、現有(you)信(xin)息安(an)(an)全(quan)(quan)措施的有(you)效性、信(xin)息安(an)(an)全(quan)(quan)技(ji)術指標(biao)完(wan)成情(qing)況。

第三十(shi)三條 各企事業單位信息(xi)部(bu)(bu)門按照(zhao)本辦法和(he)《公司信息(xi)系(xi)統運行(xing)維護(hu)管理辦法》進行(xing)信息(xi)安(an)全自我考核，信息(xi)管理部(bu)(bu)進行(xing)綜合評價，形成年度考核報告，報信息(xi)主管領(ling)導。第三十(shi)六條對(dui)于不執行(xing)本辦法造成嚴重后果的(de)，應追(zhui)究相關部(bu)(bu)門和(he)個人責任。第九章(zhang)附則

第(di)三十四條 各(ge)企事業單(dan)位(wei)可參照(zhao)本(ben)管(guan)理(li)辦(ban)法制定相應的實施細則(ze)。

第(di)三十五條 本(ben)辦法(fa)由公司(si)信(xin)息管(guan)理部負責解釋。

第三十六條 本辦(ban)法自印發之日起施行(xing)。