东航信息安全管理制度.docxVIP

东航信息安全管理制度

一、东航信息安全管理制度

东航信息安全管理制度旨在建立一套完整的信息安全管理体系，确保公司信息资产的安全、保密和可用性，防范信息安全风险，满足国家法律法规及行业监管要求，提升公司信息安全防护能力。本制度适用于东航集团及其下属所有单位，包括但不限于员工、合作伙伴及第三方服务提供商。

1.1总则

1.1.1目的

本制度旨在规范东航信息安全管理行为，明确信息安全责任，建立信息安全管理体系，保障公司信息系统和数据的安全，防止信息泄露、篡改和丢失，确保公司业务连续性和声誉不受损害。

1.1.2适用范围

本制度适用于东航集团所有部门、单位及员工，涵盖公司所有信息资产，包括但不限于计算机系统、网络设备、数据库、应用程序、存储介质、纸质文档等。

1.1.3依据

本制度依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》及相关行业规范和标准制定，包括但不限于GB/T22239-2019《信息安全技术网络安全等级保护基本要求》、ISO/IEC27001《信息安全管理体系要求》等。

1.2信息资产分类

1.2.1信息资产分类标准

东航信息资产按照重要性和敏感性进行分类，分为核心资产、重要资产和一般资产三类。

1.2.2核心资产

核心资产是指对公司业务运营具有重大影响，一旦泄露或丢失将导致公司重大损失的信息资产，包括但不限于核心业务系统数据、财务数据、关键客户信息等。

1.2.3重要资产

重要资产是指对公司业务运营具有较大影响，一旦泄露或丢失将导致公司一定损失的信息资产，包括但不限于一般业务系统数据、内部通讯录、培训资料等。

1.2.4一般资产

一般资产是指对公司业务运营影响较小的信息资产，包括但不限于公开信息、临时性文档等。

1.3信息安全管理体系

1.3.1信息安全组织架构

东航设立信息安全管理委员会，负责公司信息安全战略制定和重大决策，下设信息安全部门，负责信息安全日常管理和监督。

1.3.2信息安全职责

信息安全管理委员会负责制定信息安全政策，审批信息安全预算，监督信息安全工作实施。信息安全部门负责信息安全制度的制定和执行，进行信息安全风险评估，组织实施安全防护措施，开展信息安全培训和演练。

1.3.3信息安全策略

东航制定信息安全策略，明确信息安全目标、原则和要求，包括但不限于访问控制、数据保护、安全审计、应急响应等。

1.4信息安全风险评估

1.4.1风险评估方法

东航采用定量和定性相结合的方法进行信息安全风险评估，包括但不限于风险矩阵法、专家评估法等。

1.4.2风险评估流程

信息安全部门定期开展风险评估，识别信息资产面临的威胁和脆弱性，评估风险发生的可能性和影响程度，确定风险等级，制定风险处置计划。

1.4.3风险处置措施

针对不同等级的风险，东航采取相应的处置措施，包括风险规避、风险降低、风险转移和风险接受。

1.5访问控制

1.5.1身份认证

东航实施严格的身份认证制度，要求员工使用唯一的用户名和密码进行系统访问，定期更换密码，禁止使用弱密码。

1.5.2授权管理

东航采用基于角色的访问控制机制，根据员工岗位职责分配相应的系统访问权限，实施最小权限原则，定期审查和调整权限。

1.5.3访问审计

东航对系统访问进行记录和审计，监控异常访问行为，及时发现和处理未授权访问。

1.6数据保护

1.6.1数据加密

东航对核心数据和敏感数据进行加密存储和传输，防止数据泄露和篡改。

1.6.2数据备份

东航建立数据备份机制，定期备份核心数据和重要数据，确保数据丢失后能够恢复。

1.6.3数据销毁

东航对不再需要的数据进行安全销毁，防止数据泄露。

1.7安全审计

1.7.1审计范围

东航对信息安全管理制度执行情况、系统访问日志、安全事件等进行审计，确保信息安全管理制度有效实施。

1.7.2审计流程

信息安全部门定期开展安全审计，记录审计结果，及时整改发现的问题。

1.7.3审计报告

东航定期编制安全审计报告，向信息安全管理委员会报告信息安全状况，提出改进建议。

1.8应急响应

1.8.1应急预案

东航制定信息安全应急预案，明确应急响应流程、职责分工和处置措施。

1.8.2应急演练

东航定期开展信息安全应急演练，检验应急预案的有效性，提高应急响应能力。

1.8.3应急处置

发生信息安全事件时，东航启动应急预案，及时采取措施，防止事件扩大，尽快恢复业务运行。

1.9安全培训

1.9.1培训对象

东航对所有员工进行信息安全培训，包括新员工入职培训和定期培训。

1.9.2培训内容

信息安全培训内容包括信息安全政策、安全意识、安全技能等。

1.9.3培训考核

东航对信息安全培训进行考核，确保员工掌握必要的信息安全知识