落实信息安全等级保护制度.docxVIP

落实信息安全等级保护制度

第一章总则

第一条本制度依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等国家法律法规，以及行业信息安全等级保护标准、集团母公司关于企业信息化管理的相关规定，结合公司实际发展需求，为有效防控信息安全风险、规范信息安全管理行为、提升信息系统安全防护能力制定。制度旨在明确信息安全等级保护工作的政策依据、适用范围、核心原则及管理要求，确保公司信息系统运行安全、数据资产安全、业务连续性，维护公司及客户合法权益，保障公司稳健经营。

第二条本制度适用于公司各部门、下属单位及全体员工，涵盖公司信息系统规划、建设、运维、使用等全生命周期管理，以及业务场景中的数据采集、传输、存储、处理、共享、销毁等环节。具体包括但不限于公司官方网站、业务系统、办公网络、移动应用、数据仓库等信息系统及其相关管理活动。

第三条本制度下列术语定义如下：

（一）“信息安全等级保护专项管理”是指公司依据国家信息安全等级保护制度要求，对信息系统进行定级、备案、测评、整改、监督检查的全流程管理活动，旨在通过技术和管理措施，保障信息系统安全稳定运行。

（二）“信息安全风险”是指因信息系统设计缺陷、配置不当、操作失误、恶意攻击、自然灾害等因素导致信息系统功能中断、数据泄露、毁损、业务瘫痪等可能性的潜在威胁。

（三）“信息安全合规”是指公司信息系统及相关管理活动符合国家法律法规、行业标准和公司内部管理制度的要求，确保信息安全责任落实到位、风险管控有效。

第四条信息安全等级保护专项管理应遵循以下核心原则：

（一）“全面覆盖”原则。公司所有信息系统及数据资产纳入等级保护管理范围，确保管理无死角、无遗漏。

（二）“责任到人”原则。明确各级管理及执行岗位的信息安全责任，建立责任追溯机制。

（三）“风险导向”原则。根据信息系统重要程度和风险等级，实施差异化管控措施，优先保障核心系统安全。

（四）“持续改进”原则。定期评估信息安全等级保护工作有效性，根据内外部环境变化及时优化管理措施。

第二章管理组织机构与职责

第五条公司主要负责人对信息安全等级保护工作负全面领导责任，统筹决策重大事项，确保资源投入与管理支持。分管信息化或风控工作的领导对信息安全等级保护工作负直接管理责任，组织制定专项管理制度，监督落实情况。

第六条设立信息安全等级保护专项管理领导小组，由公司主要负责人担任组长，分管领导担任副组长，信息技术部、风险管控部、法务合规部、各业务部门负责人为成员。领导小组负责统筹协调信息安全等级保护工作，研究决策重大事项，监督考核各部门落实情况，确保专项管理工作有序推进。

第七条信息安全等级保护专项管理领导小组主要职责包括：

（一）审议公司信息安全等级保护管理制度及年度工作计划，批准重大风险处置方案；

（二）统筹协调跨部门信息安全等级保护工作，解决管理中的重大问题；

（三）监督各部门信息安全等级保护责任落实情况，组织开展专项检查与评估；

（四）对外与行业监管机构、测评机构保持沟通，及时掌握政策动态。

第八条信息技术部为信息安全等级保护工作的牵头部门，主要职责包括：

（一）统筹制定和修订信息安全等级保护管理制度，组织业务部门开展信息系统定级、备案工作；

（二）协调第三方测评机构开展等级测评，监督整改测评发现的问题；

（三）负责信息系统安全运维管理，落实安全技术防护措施，如入侵检测、漏洞扫描、数据加密等；

（四）组织信息安全等级保护培训，提升全员安全意识。

第九条风险管控部为信息安全等级保护工作的专责部门，主要职责包括：

（一）审核业务部门信息安全等级保护方案，评估信息系统风险等级；

（二）监督信息系统采购、建设过程中的安全要求落实情况，参与合同审查；

（三）组织信息安全事件应急演练，协调处置重大安全事件；

（四）建立信息安全风险台账，定期开展风险评估与预警。

第十条各业务部门及下属单位为信息安全等级保护的责任主体，主要职责包括：

（一）落实本领域信息系统等级保护要求，开展日常安全自查；

（二）配合信息技术部、风险管控部完成信息系统定级、测评、整改工作；

（三）加强员工安全培训，规范业务操作流程，防止人为风险；

（四）及时上报信息安全事件，配合调查处置。

第十一条基层执行岗位员工应履行以下合规操作责任：

（一）签署信息安全等级保护合规承诺书，明确岗位安全职责；

（二）严格遵守信息系统操作规程，禁止违规操作或擅自修改系统参数；

（三）发现信息安全风险或事件时，第一时间向部门负责人报告；

（四）妥善保管账号密码、敏感数据，离职时按规定交还相关凭证。

第三