行政事业单位信息设施安全管理制度.docxVIP

行政事业单位信息设施安全管理制度

行政事业单位信息设施安全管理以保障信息系统稳定运行、数据资产安全可控、业务连续性为核心目标，遵循“谁主管谁负责、谁使用谁负责、预防为主、综合防控”原则，覆盖信息设施规划、采购、部署、使用、维护、报废全生命周期，贯穿网络边界、终端设备、数据存储、传输交换等关键环节，具体管理要求如下：

一、责任体系与岗位设置

（一）单位主要负责人为信息设施安全第一责任人，负责审批安全策略、协调资源保障、监督重大安全事项落实；分管信息化工作的领导为直接责任人，牵头制定安全管理制度、组织安全检查与考核；信息中心为安全管理主责部门，负责制度执行、技术防护、应急处置等具体工作；各业务部门负责人为部门内信息设施使用安全的直接责任人，承担本部门终端设备、业务系统操作合规性管理职责。

（二）设立专职安全管理岗位，配备不少于2名信息安全管理员（需具备网络安全相关资质或3年以上相关工作经验），负责安全策略制定、风险评估、日志审计、事件处置等工作；系统运维岗与安全管理岗分离，运维人员仅负责设备日常维护，不得兼任安全策略配置、权限审批等职责；关键业务系统设置双人操作岗，重要操作需两人共同完成并记录过程。

（三）建立安全责任清单，明确各岗位安全职责与考核标准，将信息设施安全纳入部门年度绩效考核（权重不低于15%），对因管理失职导致安全事件的，按《行政机关公务员处分条例》等规定追究相关人员责