2025年信息系统安全与风险管理手册.docxVIP

2025年信息系统安全与风险管理手册

第1章总则与目标

1.1手册适用范围与定义

本手册旨在为2025年度信息系统安全建设提供标准化的操作指南，明确覆盖范围。其适用对象包括所有纳入集团核心业务系统的软件应用、数据库服务器、网络设备及云资源平台，确保从开发、运维到交付的全生命周期安全可控。手册定义的“信息系统”特指承载关键数据、处理业务逻辑或对外提供服务的IT系统，不包括纯个人办公终端。对于2025年新增的大模型应用，若涉及敏感数据交互，同样纳入本手册的安全评估范畴。

适用范围涵盖物理机房到云端存储的完整链路，要求所有物理门禁记录、网络拓扑图及配置参数均符合手册规定。任何