企业信息安全管理制度.pptxVIP

— 1 —;全管理。 二、 人力资源部 （一） 负责人力资源安全相关管理工作。 （二） 负责将信息安全策略培训纳入年度职工培训计划， 并组织实施。 三、 各部门 （一） 负责本部门信息安全管理工作。 （二） 配合和协助业务主管部门完善相关制度建设，落实 日常管理工作。 四、 所属各单位 （一） 负责组织和协调本单位信息安全管理工作。 （二） 对本单位建设的信息系统制定专项运维管理办法， 明确信息系统安全管理要求，报 XX 公司信息中心备案。 第三章 信息安全策略的基本要求 第四条 信息系统安全管理应遵循以下八个原则： 一、 主要领导人负责原则； 二、 规范定级原则； 三、 依法行政原则； 四、 以人为本原则； 五、 注重效费比原则； 六、 全面防范、突出重点原则； 七、 系统、动态原则； — 2 —;八、 特殊安全管理原则。 第五条 公司保密委应根据业务需求和相关法律法规，组织 制定公司信息安全策略，经主管领导审批发布后，对员工及相关 方进行传达和培训。 第六条 制定信息安全策略时应充分考虑信息系统安全策 略的“七定”要求，即定方案、定岗、定位、定员、定目标、定 制度、定工作流程。 第七条 信息安全策略主要包括以下内容： 一、 信息网络与信息系统必须在建设过程中进行安全风险 评估，并根据评估结果制定安全策略； 二、 对已投入运行且已建立安全体系的系统定期进行漏洞 扫描，以便及时发现系统的安全漏洞; 三、 对安全体系的各种日志(如入侵检测日志等)审计结果 进行研究，以便及时发现系统的安全漏洞; 四、 定期分析信息系统的安全风险及漏洞、分析当前黑客 非常入侵的特点，及时调整安全策略； 五、 制定人力资源、物理环境、访问控制、操作、备份、 系统获取及维护、业务连续性等方面的安全策略，并实施。 第八条 公司保密委每年应组织对信息安全策略的适应性、 充分性和有效性进行评审，必要时组织修订；当公司的组织架构、 生产经营模式等发生重大变化时也应进行评审和修订。 第九条 根据“谁主管、谁负责”的原则，公司建立信息安 — 3 —;— 4 —;第十四条 信息管理部门应加强对信息系统机房及配线间的 安全管理，要求如下： 一、 工作人员需经授权，方能且只能进入中心机房的授权 工作区；确因工作需要，需进入非授权工作区时，需由该授权工 作区人员陪同；做好机房出入登记（格式见附录3-3）。 二、 工作人员必须严格按照规定操作，未经批准不得超越 自己职权范围以外的操作；操作结束时，必须退出已进入的操作 画面；最后离开工作区域的人员应将门关闭。 三、 非授权人员严禁操作中心机房UPS、专用空调、监控、 消防及UPS供配电设备设施。 四、 未经授权，任何人员不得擅自拷贝数据和文件等资料。 五、 严禁将易燃、易爆、强磁性物品带入中心机房；严禁 在机房内吸烟。 六、 发生意外情况应立即采取应急措施，并及时向有关部 门和领导报告。 第六章 信息系统资产管理 第十五条 信息管理部门应对信息和信息系统设备设施等相 关资产建立台帐清单（格式见附录3-4），并定期对其进行盘点 清查。 第十六条 设备使用人应对信息和信息系统设备设施、各类 存储介质等相关资产进行标识。标识应张贴在信息设备的明显位 置，做到信息完整、字迹清晰，并做好防脱落防护工作。 — 5 —;第十七条 信息管理部门应对主机进行控制管理，要求如下： 一、 关键业务生产系统中的主机原则上应采用双机热备份 方式或n+m的多主机方式，确保软件运行环境可靠； 二、 一般业务生产系统中的主机、生产用PC前置机，关键 设备可以采用软硬件配置完全相同的设备来实现冷备份； 三、 各类设备在采购时技术规格中应明确服务响应时间、 备品备件、现场服务等方面的要求，核心服务器、存储相应时间 一般不高于4小时。 第十八条 各相关部门应加强信息设备安装、调试、维护、 维修、报废等环节的管理工作，防止因信息设备丢失、损坏、失 窃以及资产报废处置不当引起的信息泄露。 第七章 信息系统访问控制及操作安全管理 第十九条 公司将系统运行安全按粒度从粗到细分为四个层 次：系统级安全、资源访问安全、功能性安全、数据域安全。 一、 系统级安全策略包括：敏感系统的隔离、访问地址段 的限制、登录时间段的限制、会话时间的限制、连接数的限制、 特定时间段内登录次数的限制以及远程访问控制等。系统级安全 是应用系统的第一道防护大门。 二、 资源访问安全策略包括：对程序资源的访问进行安全 控制，在客户端上，为用户提供和其权限相关的用户界面，仅出 现和其权限相符的菜单和操作按钮；在服务端则对URL 程序资源 和业务服务类方法的调用进行访问控制。 — 6 —;三、 功能性安全策略包括：功能性安全会对程序流程产生 影响，如用户在操作业务记录时，是否需要审核，上传附