中国东方航空股份有限公司信息安全管理规定.pdfVIP

中国东方航空股份 有限公司信息安全 管理规定 1 2020 年 4 月 19 日 文档仅供参考 中国东方航空股份有限公司信息安全管理规定 第一章 总 则 第一条 为了进一步加强中国东方航空股份有限公司（以 下简称“公司”）的信息安全管理，完善信息安全体系，保护公 司的信息资产，依据中华人民共和国有关信息安全法律以及国际 标准，结合行业、公司信息安全建设实际情况，特制定本规定。 第二条 本规定适用于公司所有信息资产及涉及信息资产 的相关部门。本规定中所称的信息资产包括但不但限于：数据库 和数据文件、系统文档、用户手册、培训资料、运行程序、存档 信息、应用软件、系统软件、开发工具和实用程序、计算机、通 讯设备、磁介质（磁盘与磁带）、其它技术基础设备（供电设 备、空调设备、防雷设备、消防设备、门禁设备）、人员、计算 服务、通讯服务、网络服务等。 第二章 基本原则 第三条 全员参与原则。公司每位员工都应对维护信息安 全负有相应的责任和义务，具体包括： （一）所有接触和使用公司信息资产的人员和机构都有责任 保障信息资产的安全。 （二）信息系统的安全由使用信息系统的业务部门、管理部 门以及维护系统的技术单位、部门共同承担，其中业务、管理部 门作为资产的所有者拥有信息资产的管理责任和授权权利，而维 2 2020 年 4 月 19 日 文档仅供参考 护系统的技术单位、部门一般作为信息资产的维护者，在各管理 部门、业务部门的授权下，承担各应用系统的管理、维护责任。 （三）各单位、各部门需对所有员工定期进行信息安全方面 的培训，并作为长期进行的制度化工作之一。 第四条 职权分离原则。对角色和责任进行分类时要考虑 互相制衡的机制，使一个岗位的员工无法破坏关键的过程，如业 务操作权限和系统管理权限的分开；超级账号的操作与系统审计 权限的分开；业务申请操作和业务审核操作权限的分开等；公司 各单位各部门应在设定岗位、制定岗位职责说明书或是具体安排 人员时基于此原则，将信息安全职责落实到具体的岗位中去。 第五条 “双人操作原则”。 对于重要计算机系统、网 络和通信设备及相关区域的岗位，应安排两个拥有类似知识背景 和专业技能的人员共同工作，以降低单个关键人员操作失误或个 人蓄意破坏而导致的风险。 第三章 机构和职责 第六条 公司信息安全委员会是公司信息安全工作的领导 机构，负责贯彻国家有关法律法规，落实上级信息安全机构的工 作要求，研究和决定公司信息安全工作相关事项。信息安全委员 会由各关键业务、生产单位及信息部主管领导组成。 第七条 公司信息安全委员会下设的信息安全管理办公室 是公司信息安全工作的职能机构，负责组织开展与信息安全有关 的监督管理、教育培训、信息安全抽查、信息安全事件查处等工 3 2020 年 4 月 19 日 文档仅供参考 作。信息安全管理办公室是信息安全管理委员会的常设机构，挂 靠在信息部，由信息安全专职人