信息安全管理制度.docxVIP

信息安全管理制度

第一章总则

为规范本单位信息安全管理，保障信息系统、数据资产安全，维护业务连续稳定运行，保护国家、单位及用户合法权益，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络安全等级保护条例》等法律法规，结合本单位实际运营情况，制定本制度。

本制度适用于本单位全体在职人员、劳务派遣人员、外包服务人员、第三方合作人员、临时来访人员，以及所有归属本单位管理的信息资产、信息系统、物理环境、网络资源等，所有涉及本单位信息处理的活动均需遵守本制度要求。

本单位信息安全管理遵循“预防为主、防治结合、权责统一、分级保护、动态调整”的原则，以“零信任”为核心管控思路，实现信息安全全生命周期管控，目标为防范信息泄露、系统破坏、非法入侵等安全事件，核心业务可用性不低于99.9%，年度重大信息安全事件发生率控制为0。

第二章信息安全组织与职责

2.1信息安全管理委员会

设立信息安全管理委员会作为本单位信息安全最高决策机构，主任由单位主要负责人担任，成员由各部门负责人、信息安全主管部门负责人、法务部门负责人组成，主要职责为：

1.审定本单位信息安全战略规划、管理制度、年度工作计划，审批信息安全经费预算，年度信息安全经费投入不低于单位营业收入的1.5%；

2.统筹协调重大信息安全事件处置，审批重大安全事件处