信息系统安全管理办法.docxVIP

信息系统安全管理办法

第一章总则

第一条制定目的与依据

为规范公司信息系统的建设、运营、维护及安全管理，保障信息系统及数据的完整性、保密性、可用性，防范网络攻击、数据泄露、系统故障等安全风险，维护公司经营秩序、商业秘密及投资者合法权益，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《网络安全等级保护制度》等法律法规、规范性文件及《公司章程》《信息披露事务管理制度》《内幕信息知情人登记管理制度》，结合公司实际情况，制定本办法。

第二条适用范围

本办法适用于公司及下属各部门、分公司、控股子公司（以下统称“各下属主体”）所有信息系统的规划、建设、部署、运行、维护、变更、下线等全生命周期管理，覆盖硬件设备、软件系统、网络设施、数据资源、终端设备及所有使用、管理信息系统的员工、外包人员、合作单位等相关主体。其中，涉及内幕信息、未披露信息的信息系统管理，同时遵守内幕信息及信息披露相关制度要求。

第三条核心原则

公司信息系统安全管理遵循以下原则：

合规优先原则：严格遵守网络安全相关法律法规，落实网络安全等级保护制度，确保信息系统安全符合法定要求；

分级防护原则：根据信息系统重要程度、数据敏感级别划分安全等级，实施差异化、针对性的安全防护措施；

全程管控原则：对信息系统全生命周期进行安全管理，实现建设有规范、运行有监控、变更有审批、故障有预案、下线有流程；

权责对等原则：明确各部门、各岗位信息系统安全职责，做到责任到人、层层落实，确保安全义务与管理权限相匹配；

协同联动原则：统筹技术防护与管理规范，衔接信息披露、内幕信息保密等工作要求，形成安全管理合力。

第四条管理职责分工

公司建立“董事会统一领导、信息技术部门牵头实施、各部门协同配合、监事会监督检查”的信息系统安全管理体系，明确各方职责如下：

（一）董事会：作为信息系统安全管理的决策机构，对公司信息系统安全工作负总责，审批重大信息系统安全策略、专项投入及重大安全事件处置方案，督促本办法有效执行。

（二）信息技术部门：作为信息系统安全管理的日常执行机构，负责制定信息系统安全管理制度、技术规范及实施方案；组织信息系统安全建设、运维及防护工作；开展安全监测、风险评估、漏洞修复及安全培训；牵头处置信息系统安全事件；管理信息系统访问权限及安全设备。

（三）各业务部门：为本部门信息系统使用及数据安全的第一责任主体，负责本部门员工信息系统安全意识培养，规范终端设备使用，落实敏感数据（含内幕信息、未披露信息）的安全保管责任，及时上报本部门信息系统安全隐患及事件。

（四）监事会：对本办法执行情况及信息系统安全管理工作实施监督，定期核查安全防护措施落实、敏感数据保护、安全事件处置等情况，对发现的问题提出整改意见并督促落实。

（五）全体员工：严格遵守本办法及相关安全规定，规范使用信息系统及终端设备，妥善保管账号密码，不得擅自泄露、传播敏感信息，发现安全隐患或异常情况立即上报。

第二章信息系统分级与安全规划

第五条信息系统分级标准

公司按照信息系统承载业务的重要性、数据敏感程度及安全风险等级，将信息系统划分为三级，实施差异化管理：

一级系统：承载日常办公、非敏感业务的普通信息系统，如通用办公自动化系统、非核心业务查询系统等，安全风险较低；

二级系统：承载核心业务、敏感数据（非内幕信息）的重要信息系统，如财务核算系统、客户管理系统等，安全风险中等；

三级系统：承载重大核心业务、内幕信息、未披露信息及关键数据的核心信息系统，如信息披露管理系统、内幕信息登记系统、重大事项决策系统等，安全风险较高，需落实最高等级防护措施。

信息系统等级由信息技术部门联合业务部门、合规部门共同评定，报管理层审批后确定；等级调整需重新履行评定及审批流程。

第六条安全规划与建设要求

（一）信息系统建设前，信息技术部门应联合业务部门制定安全建设规划，明确安全防护目标、技术方案及管理要求，同步规划安全预算，确保安全设施与系统建设同步设计、同步施工、同步投入使用。

（二）信息系统建设应选用符合国家强制性标准、经过安全认证的网络产品、服务及安全专用产品，严禁使用存在安全缺陷、恶意程序的产品或服务；网络关键设备和网络安全专用产品需经具备资格的机构认证合格或检测符合要求后方可投入使用。

（三）三级系统建设需额外满足以下要求：部署独立的安全防护设备，实施物理隔离或逻辑强隔离；建立专门的访问控制体系，对内幕信息、未披露信息的操作全程留痕；与信息披露、内幕信息登记系统实现安全衔接，确保数据一致且可控。

第三章信息系统运行与维护安全

第七条访问权限管理

（一）信息系统访问实行“最小权限、按需分配”原则，信息技术部门根据岗位职责及业务需求分配账号及权限，严禁超权限授权；涉及三级系统访问的，需经部门负责人及合规部门审批，建立专门的