企业信息安项全管理办法.docVIP

信息安全管理办法 总则 为加强公司信息安全管理，推进信息安全体系建设，保障信息系统安全稳定运行，根据国家有关法律、法规和《公司信息化工作管理规定》，制定本办法。 本所的 公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则，各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。 信息安全管理，包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。 本办法适用于公司总部、各企事业单位及其全体员工。 信息安全管理组织与职责 公司信息化工作领导小组是信息安全工作的最高决策机构，负责信息安全政策、制度和体系建设规划的审批，部署并协调信息安全体系建设，领导信息系统等级保护工作。 公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成，协调一致、密切配合的信息安全组织和责任体系。各级信息安全组织均要明确主管领导，确定相关责任，设置相应岗位，配备必要人员。 信息管理部是公司信息安全的归口管理部门，负责落实信息化工作领导小组的决策，实施公司信息安全建设与管理，确保重要信息系统的有效保护和安全运行。具体职责包括：组织制定和实施公司信息安全政策标准、管理制度和体系建设规划，组织实施信息安全项目和培训，组织信息安全工作的监督和检查。 公司保密部门负责信息安全工作中有关保密工作的监督、检查和指导。 企事业单位信息部门负责本单位信息安全的管理，具体职责包括：在本单位宣传和贯彻执行信息安全政策与标准，确保本单位信息系统的安全运行，实施本单位信息安全项目和培训，追踪和查处本单位信息安全违规行为，组织本单位信息安全工作检查，完成公司部署的信息安全工作。 技术支持单位在信息管理部的领导下，承担所负责的信息系统和所在区域的信息安全管理任务，主要包括：在所维护系统和本区域内宣传和贯彻信息安全政策与标准，确保所负责信息系统的安全运行。 各级信息管理部门设立信息安全管理和技术岗位，包括信息安全、应用系统、数据库、操作系统、网络负责人和管理员，重要岗位可设置两个员工互为备份。 信息安全岗位的设立应遵循职责分离的要求，包括：制度监督者与执行者分离，信息系统授权者与操作者分离，应用系统管理员与数据库管理员分离，程序开发人员不应具备对生产环境的访问权限。 公司员工必须严格遵守公司信息安全政策、管理制度、技术标准和信息系统控制要求，承担相关安全义务和责任，并及时报告信息安全事件。 信息安全目标与工作原则 信息安全工作的总体目标是：实施信息系统安全等级保护，建立和健全先进实用、完整可靠的信息安全体系，保证系统和信息的完整性、真实性、可用性、保密性和可控性，保障信息化建设和应用，支撑公司业务持续、稳定、健康发展。 信息安全体系建设必须坚持以下原则： 坚持统一。信息安全体系必须统一规划、统一标准、统一设计、统一投资、统一建设、统一管理。 保障应用。保障网络和信息系统，特别是全局网络和重要业务信息系统不间断稳定运行及其信息的安全，实现以应用促安全，以安全保应用。 符合法规。信息安全体系要满足法律法规要求，包括国家对信息系统等级保护、企业内部控制要求，积极采用法律法规允许的、成熟的先进技术和专业安全服务。 综合防范。管理与技术并重，相互补充。从组织与流程、制度与人员、场地与环境、网络与系统、数据与应用等多方面着手，在系统设计、建设和运维的多环节进行综合防范。 集中共享。建立集中、统一的信息安全技术服务平台和集中专业化的信息安全队伍。 信息安全工作基本要求 根据公司信息安全专项规划和总体方案，分层次建立以安全组织体系为核心、安全管理体系为保障、安全技术体系为支撑的全面信息安全体系，并保持三个体系稳定、均衡发展。 建立全面的信息安全管理体系： 制定并实施统一的信息安全策略、管理制度和技术标准。 实行信息系统资产管理责任制，保护信息系统，特别是核心信息系统的设备、软件、数据和技术文档的安全。 建立信息系统物理环境、网络、系统、应用、数据等各层面的安全管理流程，实现对信息系统全生命周期的安全管理。 实现对信息系统的安全风险管理，及时发现和防范安全隐患。 建立有效的信息安全技术体系： 强化网络、桌面和应用系统安全防护体系，按照自主定级、自主保护的原则，评估确定各信息系统保护等级并实施相应的保护措施。 建立统一的网络安全信任体系，加强网络实体身份管理与认证，为网络和信息系统安全运行提供信任基础。 建立完善有效的安全监控和预警体系，监控重要网络和核心业务系统，及时发现安全隐患。 建立全面有效的应急响应体系，制定并落实完整、规范的应急处理和响应流程，完善信息安全报告、处理机制。 建立包括同城和异地容灾备份中心的信息系统灾难恢复体系，定期进行灾难恢复的测试和演练，确保灾难发生后能够