煤业公司信息安全管理办法.doc

xx煤业信息安全管理办法 （试 行） 第一章 总 则 第一条 为加强集团信息安全管理，确保信息化建设快速、协调、有序、安全发展，根据国家有关法律法规以及《中平能化集团信息化管理办法》（中平〔2009〕337号）等规定，特制定本办法。 第二条 本办法适用于集团各职能部室，直属和特设机构、专业化公司、事业部、区域公司及其所属各单位。 第二章 管理范围 第三条 本办法所称信息安全主要指：网络安全、环境安全、应用系统安全、数据安全、终端安全、操作安全、网络信息发布安全以及移动信息化安全等。 第三章 组织机构和工作机制 第四条 集团信息化领导小组办公室（以下简称：集团信息办）负责按信息安全事件管理流程（详见附件1）监督、检查、指导集团整体信息安全管理工作，查处危害集团信息安全的事件；集团党委宣传部负责网络信息发布管理工作，对集团及所属各单位的网站设立及网络信息实施管理职能；计算机通讯分公司为技术管理部门，负责执行整体安全防范策略。 第四章 网络安全管理 第五条 集团及各单位网络要按照《集团网络建设技术规范》建设，集团骨干网络覆盖单位必须通过集团统一出口接入互联网，以发挥集团网络整体安全策略的作用，保障应用系统的无障碍运行环境。各机关处室和基层单位在进行互联网接入工作时，应遵循以下原则： （一）具备集团网络接入条件的，必须通过集团统一出口接入，不允许以其他任何形式接入互联网络。 （二）暂时不具备接入条件的，向集团信息办递交情况说明及接入申请，经集团信息办审核批准后，可通过其他方式接入互联网络。 （三）已经接入集团网络但仍然私自接入其他网络出口的，一经发现，立刻中断其网络出口，并上报集团信息化领导小组，根据影响程度，做出相应处罚。 第六条 建立集团专用网络和涉密网络申报备案机制。集团级涉密网络和专用网络由集团相关处室信息化主管部门申报至集团信息办备案；单位级涉密网络和专用网络由各单位业务主管部门申报至单位信息办备案（备案表详见附件2）。 第七条 涉密网络和专用网络不得以任何方式接入或连通其他网络，涉密信息不得在网络中传输与存储；如因特殊需要，必须接入其他网络的，应上报集团信息办审批通过后进行接入。 第八条 无线网络作为办公网络的有效延伸，在集团日常办公中起到越来越大的作用。为了加强集团无线网络安全的管理，保障信息系统安全、稳定运行，无线设备接入集团办公网络时，应遵循以下原则： 集团信息办负责集团整体无线网络安全的日常管理和监督工作；计算机通讯分公司负责机关各处室无线网络的开通及安全管理工作，基层各单位信息办负责本单位无线网络的开通及安全管理工作。 计算机通讯分公司和基层各单位每月5日前将上月的无线设备使用情况上报至集团信息办登记备案（备案表详见附件3）。 无线网络设备要定期更改密码，至少每月变更一次，并做好变更记录。 由于无线网络使用不当导致信息安全事件的，将按照《集团信息安全事件管理流程》有关规定处理。 第五章 环境安全管理 第九条 集团信息机房及各单位信息机房要按照《集团机房建设技术规范》建设，应遵循统一建设、统一管理的原则。各级信息办作为主要责任部门，应保证信息机房的各项指标符合集团信息办发布的各项标准，并制定完善的机房管理制度。 第十条 各级业务系统要做到集中管理。集团级业务系统应统一放置在集团数据中心（集团信息机房），由计算机通讯分公司负责日常维护；单位级业务系统应统一放置在各单位数据中心（单位信息机房），由各单位信息管理部门负责日常维护。 第十一条 外部人员未经允许不得随意出入信息机房，进入信息机房的人员和进行的操作必须记录在案并留存90天以上，以备检查或追溯需要查询的操作。 第六章 应用系统安全管理 第十二条 本办法所指应用系统特指集团及下属单位利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。包括集团各职能部室、各事业部、各基层单位应用于经营管理、安全生产、日常办公、工程设计、监测监控等各个领域运行的计算机信息系统（包括MIS系统、办公自动化系统、CAD、CAM、CRM、SCM、MRP、ERP、电子商务、网站系统、组态以及其它业务应用系统）。 第十三条 建立应用系统申报备案机制。集团级应用系统由集团相关处室信息化部门申报至集团信息办备案；单位级应用系统由各单位业务主管部门申报至本单位信息化主管部门备案（备案表详见附件4）。 第十四条 由外部单位参与开发、改造的业务系统，业务主管部门需要与开发单位签订保密协议。 第十五条 应用系统主管部门或单位对应用系统的使用负责，要配备专职或兼职的系统管理人员，并授权其进行系统设置、变更等操作，统一分配系统用户和管理用户权限。 第十六条 任何单位或个人未经系统主管人员批准，不得对应用程序进行修改或删除。不得向非工作需要