企业信息安全管理办法.pdf

信息安全管理办法

第一章总则

第一条为加强公司信息安全管理，推进信息安全体系

建设，保障信息系统安全稳定运行，根据国家有关法律、法

规和《公司信息化工作管理规定》，制定本办法。

第二条本办法所指的信息安全管理，是指计算机网络

及信息系统（以下简称信息系统）的硬件、软件、数据及环

境受到有效保护，信息系统的连续、稳定、安全运行得到可

靠保障。

第三条公司信息安全管理坚持“谁主管谁负责、谁运行

谁负责”的基本原则，各信息系统的主管部门、运营和使用单

位各自履行相关的信息系统安全建设和管理的义务与责任。

第四条信息安全管理，包括管理组织与职责、信息安

全目标与工作原则、信息安全工作基本要求、信息安全监控、

信息安全风险评估、信息安全培训、信息安全检查与考核。

第五条本办法适用于公司总部、各企事业单位及其全

体员工。

第二章信息安全管理组织与职责

第六条公司信息化工作领导小组是信息安全工作的

最高决策机构，负责信息安全政策、制度和体系建设规划的

审批，部署并协调信息安全体系建设，领导信息系统等级保

护工作。

第七条公司建立和健全由总部、企事业单位以及信息

技术支持单位三方面组成，协调一致、密切配合的信息安全

组织和责任体系。各级信息安全组织均要明确主管领导，确

定相关责任，设置相应岗位，配备必要人员。

第八条信息管理部是公司信息安全的归口管理部门，

负责落实信息化工作领导小组的决策，实施公司信息安全建

设与管理，确保重要信息系统的有效保护和安全运行。具体

职责包括：组织制定和实施公司信息安全政策标准、管理制

度和体系建设规划，组织实施信息安全项目和培训，组织信

息安全工作的监督和检查。

第九条公司保密部门负责信息安全工作中有关保密

工作的监督、检查和指导。

第十条企事业单位信息部门负责本单位信息安全的

管理，具体职责包括：在本单位宣传和贯彻执行信息安全政

策与标准，确保本单位信息系统的安全运行，实施本单位信

息安全项目和培训，追踪和查处本单位信息安全违规行为，

组织本单位信息安全工作检查，完成公司部署的信息安全工

作。

第十一条技术支持单位在信息管理部的领导下，承担

所负责的信息系统和所在区域的信息安全管理任务，主要包

括：在所维护系统和本区域内宣传和贯彻信息安全政策与标

准，确保所负责信息系统的安全运行。

第十二条各级信息管理部门设立信息安全管理和技

术岗位，包括信息安全、应用系统、数据库、操作系统、网

络负责人和管理员，重要岗位可设置两个员工互为备份。

第十三条信息安全岗位的设立应遵循职责分离的要

求，包括：制度监督者与执行者分离，信息系统授权者与操

作者分离，应用系统管理员与数据库管理员分离，程序开发

人员不应具备对生产环境的访问权限。

第十四条公司员工必须严格遵守公司信息安全政策、

管理制度、技术标准和信息系统控制要求，承担相关安全义

务和责任，并及时报告信息安全事件。

第三章信息安全目标与工作原则

第十五条信息安全工作的总体目标是：实施信息系统

安全等级保护，建立和健全先进实用、完整可靠的信息安全

体系，保证系统和信息的完整性、真实性、可用性、保密性

和可控性，保障信息化建设和应用，支撑公司业务持续、稳

定、健康发展。

第十六条信息安全体系建设必须坚持以下原则：

坚持统一。信息安全体系必须统一规划、统一标准、统

一设计、统一投资、统一建设、统一管理。

保障应用。保障网络和信息系统，特别是全局网络和重

要业务信息系统不间断稳定运行及其信息的安全，实现以应

用促安全，以安全保应用。

符合法规。信息安全体系要满足法律法规要求，包括国

家对信息系统等级保护、企业内部控制要求，积极采用法律

法规允许的、成熟的先进技术和专业安全服务。

综合防范。管理与技术并