《中国东航空股份有限公司信息安全管理规定》.doc

中国东方航空股份有限公司信息安全管理规定 总 则 为了进一步加强中国东方航空股份有限公司（以下简称“公司”）的信息安全管理，完善信息安全体系，保护公司的信息资产，依据中华人民共和国有关信息安全法律以及国际标准，结合行业、公司信息安全建设实际情况，特制定本规定。 本规定适用于公司所有信息资产及涉及信息资产的相关部门。本规定中所称的信息资产包括但不仅限于：数据库和数据文件、系统文档、用户手册、培训资料、运行程序、存档信息、应用软件、系统软件、开发工具和实用程序计算机、通讯设备、磁介质（磁盘与磁带）其它技术设备（供电设备、空调设备）计算服务 基本原则 全员参与原则。公司每位员工都应对维护信息安全负有相应的责任和义务，具体包括： （一）所有接触和使用公司信息资产的人员和机构都有责任保障信息资产的安全。 （二）信息系统的安全由使用信息系统的业务部门、管理部门以及维护系统的技术单位、部门共同承担，其中业务、管理部门作为资产的所有者拥有信息资产的管理责任和授权权利，而维护系统的技术单位、部门通常作为信息资产的维护者，在各管理部门、业务部门的授权下，承担各应用系统的管理、维护责任。 （三）各单位、各部门需对所有员工定期进行信息安全方面的培训，并作为长期进行的制度化工作之一。 职权分离原则。对角色和责任进行分类时要考虑互相制衡的机制，使一个岗位的员工无法破坏关键的过程，如业务操作权限和系统管理权限的分开；超级账号的操作与系统审计权限的分开；业务申请操作和业务审核操作权限的分开等；公司各单位各部门应在设定岗位、制定岗位职责说明书或是具体安排人员时基于此原则，将信息安全职责落实到具体的岗位中去。 “双人操作原则”。 对于重要计算机系统、网络和通信设备及相关区域的岗位，应安排两个拥有类似知识背景和专业技能的人员共同工作，以降低单个关键人员操作失误或个人蓄意破坏而导致的风险。 机构和职责 公司信息安全委员会是公司信息安全工作的领导机构，负责贯彻国家有关法律法规，落实上级信息安全机构的工作要求，研究和决定公司信息安全工作相关事项。信息安全委员会由各关键业务、生产单位及信息部主管领导组成。 公司信息安全委员会下设的信息安全管理办公室是公司信息安全工作的职能机构，负责组织开展与信息安全有关的监督管理、教育培训、信息安全抽查、信息安全事件查处等工作。信息安全管理办公室是信息安全管理委员会的常设机构，挂靠在信息部，由信息安全专职人员及各关键业务、生产单位的信息安全联系人员组成。 公司信息安全工作按照“谁主管谁负责、谁运维谁负责、谁使用谁负责和属地化管理的要求”，逐级落实信息安全责任。 信息设备安全管理 严禁在未经公司信息部的许可或授权的情况下私自改变办公桌面信息设备，包括但不仅限于： 私自拆卸桌面计算机的硬件设备。 增加桌面计算机的设备，如增加内存，增加输出设备（可读写DVD光驱等）。 在桌面计算机及相关设备出现问题时，应及时联系公司IT系统人员，禁止自行拆开公司的计算机和相关设备进行修理。 相关设备（开发、办公、运行的计算机设备）在外借或报废（弃用）时，需由专人对机内系统和数据作相应处理，防止泄密。 所有的硬件资产必须明确设备的使用人员、管理人员。 硬件资产的使用人或管理人，在使用或管理硬件资产时，要注意硬件资产的安全性、机密性、完整性，防止信息载体的毁坏和信息的泄密，防止信息处理设施的滥用。 须对设备定期进行维护保养，发生毁坏，丢失等问题时能够及时处置。 对于无人职守的设备，要明确管理人员，加强物理安全控制。 当设备迁移时，如果设备中存储有重要信息时，需事先进行备份。 设备迁移完成后，需要检查设备是否损坏。 设备迁移出公司时，检查人员在检查时要格外注意，禁止设备中存放重要信息，以防止公司机密信息泄露或增加泄露的风险。 存储设备报废前需进行重要数据的备份，在备份后需对其中存储的涉密信息进行脱密处理。 对于中心机房内的关键信息系统设备如：各类服务器、存储设备、核心交换、重要链路等需运维操作单位、部门制定有针对性的安全维护手册并严格执行。 桌面信息系统安全管理 桌面办公系统应使用软件厂商支持的正版、主流操作系统或计算机厂商OEM的操作系统，并应及时将补丁更新至最新。 桌面办公系统应避免使用Server类操作系统，因工作要求有特殊需求的，应报公司信息部批准并备案。 未经公司信息部批准，禁止使用自带的安装介质或软件包在办公桌面计算机上安装操作系统。 在进行区间划分时应保证至少两个分区，即系统分区和工作分区。 如无特殊需求，严禁在办公桌面计算机上设置共享文件夹。必须使用时，应设置口令保护、只读权限等安全措施，同时设置的口令应符合第八章的要求，使用完后应及时取消共享。 必须安装企业级防病毒客户端软件，该软件的安装应使用公司信息部提供的安装介质或软件包，在具体使用过程中必须