信息安全管理办法.pdfVIP

信息安全管理办法

第一章总则

第一条为提高西海公司（以下简称“西海公司”）信息

安全保障能力，实现信息系统安全的可控、能控、在控，依

据集团公司（以下简称“集团公司”）有关制度，以及国家

相关法律、法规、方针政策，制定本办法。

第二条本办法适用于西海公司本部及所属各单位。所属

各单位结合本单位实际情况制定实施办法，并报西海公司科

技信息部备案。所有参与西海公司信息化业务、信息系统建

设和安全运维的外部单位和人员均应遵守本规定。

第三条西海公司信息安全工作目标是建立健全信息安

全保障体系和工作责任体系；信息安全控制目标是西海公司

本部及所属各单位均不发生较大及以上信息安全事件。

第四条西海公司信息安全工作遵循“统一规划、分级管

理、综合防范、依法合规”的原则。

“统一规划”是指西海公司根据集团公司信息化管理部

门统一制定的集团公司信息安全管控体系专项规划和总体

设计制定实施计划，并组织实施计划在本部及所属各单位的

落实。

“分级管理”是指西海公司信息安全管理工作按照本部

和所属各单位两级模式管理。西海公司本部根据集团信息安

全管理总体要求制定管理细则，所属各单位根据管理细则的

要求，负责本单位信息安全相关工作。

“综合防范”是指综合利用信息安全技术与管理手段，

形成体系化、标准化、流程化的信息安全工作机制，将信息

系统面临的安全风险控制在可接受的水平。

“依法合规”是指通过执行国家法规、政策、行业标准，

以及集团公司信息安全规划和国家等级保护制度，使西海公

司信息安全工作符合国家、主管部门相关方针政策和法律法

规。

第五条在规划和建设信息系统时，信息系统安全防护措

施应按照“三同步”原则，与信息系统建设同步设计、同步

建设、同步运行。

第六条本规定中“信息安全”是指：利用技术手段和管

理手段，在信息系统生命周期全过程中，保证信息的内容、

网络与基础设施、计算环境、边界与连接的可用性、机密性、

完整性、不可否认性等安全属性，实现信息系统安全的可控、

能控、在控。

第七条本规定中“工业控制系统”是指：由计算机设备

与工业过程控制部件组成的自动控制系统，工业过程控制部

件对实时数据进行采集、监测，在计算机调配下，实现设施

自动化运行和业务流程管理与监控。

第二章管理职责

第八条西海公司及所属各单位主要负责人是本单位信

息安全第一责任人。应按照“谁主管谁负责，谁运营谁负责”

的原则履行信息安全管理职责，逐级落实、认定单位及个人

信息安全责任。

第九条西海公司科技与信息化工作委员会是信息安全

工作的领导和决策机构，履行下列职责：

（一）贯彻落实国家、行业主管部门和集团公司关于信

息安全的法律法规和工作部署。

（二）审批西海公司信息安全体系建设方案和重要工作

方案。

（三）协调资金来源，保障信息安全专项资金。

（四）领导信息安全事件的应急处置和事故处理，并报

集团公司相关部门。

第十条西海公司科技与信息化工作委员会下设办公室，

负责落实有关信息安全工作的决策，并协调、组织、督促跨

部门、跨专业信息安全工作，其日常工作由科技信息部承担。

第十一条科技信息部是信息安全工作的归口管理部门，

履行下列职责：

（一）贯彻落实信息安全等级保护制度，国家、行业主

管部门和集团公司相关规定及工作部署。组织开展本单位范

围内信息系统等级保护定级、备案、测评等工作，并向集团

公司上报信息系统备案号。

（二）组织落实集团公司信息安全体系规划，制定本单

位信息安全体系实施方案，报集团公司审查备案，组织开展

信息安全体系建设。

（三）组织落实国家和行业有关工业控制系统信息安全

工作的制度、标准规范和工作部署；负责所属各单位工业控

制系统的信息安全防护建设；负责所属各单位工业控制系统

信息安全应急工作。

（四）组织所属各单位开展信息安全工作，监督、检查

执行情况。

（五）制定信息系统专项应急预案，组织开展应急演练。

等保三级以上信息系统和其他重要系统（ERP系统、对外网

站等）的应急预案应向集团备案。