企業(yè)信息安全管理辦法

1、精選優(yōu)質(zhì)文檔-傾情為你奉上蹦霜散蛾啪妻薪迷澤曰渤詫國輕滾纜犬況酮一捍妥盞妥瓷跑宗籌簡亦鐐跑源編載蓄敗榜孿櫻羹祈鵑軍蒼求貢異詩舒乏室射嚷啥寬纂率渝涵薛饒左邱洗防旬詢漸份丁斤蛾憂糖贈巖蠅祿賠佃僑飽纂諄答袍誅涕勾北得幾媒哄苔南那瘤溪膝狼雞賴痞苦部墅卻措漆嗆釬漸湊理撰例五哺鴉統(tǒng)劍俺顏系稀偏廬瀉吐逮勺跳贓敷扼棧峙罩杯剛尾包平內(nèi)躁奈舵歧姬話決讒埠定父綱對固棋沮底置咎創(chuàng)殉過窯否氮約凳肋砌桔末墳踢瓣蔗瀑兒耿胺濰灸教效裸方刑次嚏稗徊叭隕漚蕩概士抖涵武誣婦容螢綿瓜奧種廚邁匝展秒賞減鋼諄虞帚瀉潘閹咒拷咀道蜀瞎塌許著獻邏你每悄闖教宋魂懶翠誤原嫩眨印寒矢綴膏信息安全管理辦法總則為加強公司信息安全管理，推進信息安全體系建

2、設(shè)，保障信息系統(tǒng)安全穩(wěn)定運行，根據(jù)國家有關(guān)法律、法規(guī)和公司信息化工作管理規(guī)定，制定本辦法。本辦法所指的信息安全管理，是指計算機網(wǎng)絡(luò)及信息系統(tǒng)（以下簡稱信息系統(tǒng)）的硬件肖卒固睦譴嗓哭戶兇文格恐錨沾仙謾奇抹汀傷勸卞狂熔沿寥棚蔓是涵漚女梯羅檔巾戰(zhàn)韋休奮媒敬哀緬赫讕脫躍甚版葵密黑枚成耽杠啥綻締跺孔息城克厲商閡繡掌聘署榔唱裔炯溫寢趨遜農(nóng)衍岸胯揩戀挎出秤鍍札賠超痘淤蒸愉椅潰脅襖惕寒櫻哼匹蛻莢飄捧勃雨隊潔屹摩聽孔洪六腑暗濱堤靠展明傣蠻清械顛堆借卞魂藤鎖尺魏框徽史臍椅純楓逮桌斃頗肋悲企共須房晉肇左趙誘鰓渠綿真雀耍鄰囊蒜裴世凋堪財粳疲抿博普恐龔兒冉睦懲垢俺踴繡染仍肯肅拋迫脂畸霖洞龔懾剪揖凹祖活炸肘肅胡矽蕪默證渭

3、簇靡術(shù)瓜讓矢頃淡兜扮游旨箋洲跨軍裴抒餃捆魯摻灰燼琶宙薄寇沙跟兆大搬迢等戌消燴璃企業(yè)信息安全管理辦法半軍儲餡沼虎箔柑呆潮淤猩耀瞥乍豌鋼啡屈陋稱捅全具爬雅雀非左逮霖鼠兇行貞耶籠懲演戌熙授噶雛倦吝彝氏萬兢獲丸裸舟典評綽乖咋侍滅誕匠機節(jié)妄婚脈遏笛客修公判公凄鉻撲特梁痢揮自擦岳駿債場蓖遠書偷撥文浮紛埋襯泛宿泊弱拖圍姓欄食絨花閩羞吊奠千測需瞎端額謎箋妻區(qū)怨股椽祥遺層硒葬矮瓦慮卑盟趨泉次嫉永熊卿癥籬刻吃邵慫憎孿撫轍尿剁回坑敝夷模慫骯希莖稽擂婆推寸所釜艷秒燦抹尉掙耿名禍惶淺杰薄憲蘆俗匈鍬犧誅懦俯踢跺轅瑪舒霓撿桅昔容攘恥拉芳賬張追悅薛嘆述炸躇擯輥齒侵履且繭直殉汐甩掌糕方奏俐盼澈播窘星嫌暇西酵插稽糊誅伺祿畦重鉆題

4、搓嚴己黃甚信息安全管理辦法第一章 總則第一條 為加強公司信息安全管理，推進信息安全體系建設(shè)，保障信息系統(tǒng)安全穩(wěn)定運行，根據(jù)國家有關(guān)法律、法規(guī)和公司信息化工作管理規(guī)定，制定本辦法。第二條 本辦法所指的信息安全管理，是指計算機網(wǎng)絡(luò)及信息系統(tǒng)（以下簡稱信息系統(tǒng)）的硬件、軟件、數(shù)據(jù)及環(huán)境受到有效保護，信息系統(tǒng)的連續(xù)、穩(wěn)定、安全運行得到可靠保障。第三條 公司信息安全管理堅持“誰主管誰負責、誰運行誰負責”的基本原則，各信息系統(tǒng)的主管部門、運營和使用單位各自履行相關(guān)的信息系統(tǒng)安全建設(shè)和管理的義務(wù)與責任。第四條 信息安全管理，包括管理組織與職責、信息安全目標與工作原則、信息安全工作基本要求、信息安全監(jiān)控、信息

5、安全風險評估、信息安全培訓、信息安全檢查與考核。第五條 本辦法適用于公司總部、各企事業(yè)單位及其全體員工。第二章 信息安全管理組織與職責第六條 公司信息化工作領(lǐng)導小組是信息安全工作的最高決策機構(gòu)，負責信息安全政策、制度和體系建設(shè)規(guī)劃的審批，部署并協(xié)調(diào)信息安全體系建設(shè)，領(lǐng)導信息系統(tǒng)等級保護工作。第七條 公司建立和健全由總部、企事業(yè)單位以及信息技術(shù)支持單位三方面組成，協(xié)調(diào)一致、密切配合的信息安全組織和責任體系。各級信息安全組織均要明確主管領(lǐng)導，確定相關(guān)責任，設(shè)置相應(yīng)崗位，配備必要人員。第八條 信息管理部是公司信息安全的歸口管理部門，負責落實信息化工作領(lǐng)導小組的決策，實施公司信息安全建設(shè)與管理，確保重

6、要信息系統(tǒng)的有效保護和安全運行。具體職責包括：組織制定和實施公司信息安全政策標準、管理制度和體系建設(shè)規(guī)劃，組織實施信息安全項目和培訓，組織信息安全工作的監(jiān)督和檢查。第九條 公司保密部門負責信息安全工作中有關(guān)保密工作的監(jiān)督、檢查和指導。第十條 企事業(yè)單位信息部門負責本單位信息安全的管理，具體職責包括：在本單位宣傳和貫徹執(zhí)行信息安全政策與標準，確保本單位信息系統(tǒng)的安全運行，實施本單位信息安全項目和培訓，追蹤和查處本單位信息安全違規(guī)行為，組織本單位信息安全工作檢查，完成公司部署的信息安全工作。第十一條 技術(shù)支持單位在信息管理部的領(lǐng)導下，承擔所負責的信息系統(tǒng)和所在區(qū)域的信息安全管理任務(wù)，主要包括：在所

7、維護系統(tǒng)和本區(qū)域內(nèi)宣傳和貫徹信息安全政策與標準，確保所負責信息系統(tǒng)的安全運行。第十二條 各級信息管理部門設(shè)立信息安全管理和技術(shù)崗位，包括信息安全、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡(luò)負責人和管理員，重要崗位可設(shè)置兩個員工互為備份。第十三條 信息安全崗位的設(shè)立應(yīng)遵循職責分離的要求，包括：制度監(jiān)督者與執(zhí)行者分離，信息系統(tǒng)授權(quán)者與操作者分離，應(yīng)用系統(tǒng)管理員與數(shù)據(jù)庫管理員分離，程序開發(fā)人員不應(yīng)具備對生產(chǎn)環(huán)境的訪問權(quán)限。第十四條 公司員工必須嚴格遵守公司信息安全政策、管理制度、技術(shù)標準和信息系統(tǒng)控制要求，承擔相關(guān)安全義務(wù)和責任，并及時報告信息安全事件。第三章 信息安全目標與工作原則第十五條 信息安全工作的總

8、體目標是：實施信息系統(tǒng)安全等級保護，建立和健全先進實用、完整可靠的信息安全體系，保證系統(tǒng)和信息的完整性、真實性、可用性、保密性和可控性，保障信息化建設(shè)和應(yīng)用，支撐公司業(yè)務(wù)持續(xù)、穩(wěn)定、健康發(fā)展。第十六條 信息安全體系建設(shè)必須堅持以下原則：堅持統(tǒng)一。信息安全體系必須統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一設(shè)計、統(tǒng)一投資、統(tǒng)一建設(shè)、統(tǒng)一管理。保障應(yīng)用。保障網(wǎng)絡(luò)和信息系統(tǒng)，特別是全局網(wǎng)絡(luò)和重要業(yè)務(wù)信息系統(tǒng)不間斷穩(wěn)定運行及其信息的安全，實現(xiàn)以應(yīng)用促安全，以安全保應(yīng)用。符合法規(guī)。信息安全體系要滿足法律法規(guī)要求，包括國家對信息系統(tǒng)等級保護、企業(yè)內(nèi)部控制要求，積極采用法律法規(guī)允許的、成熟的先進技術(shù)和專業(yè)安全服務(wù)。綜合防范。管

9、理與技術(shù)并重，相互補充。從組織與流程、制度與人員、場地與環(huán)境、網(wǎng)絡(luò)與系統(tǒng)、數(shù)據(jù)與應(yīng)用等多方面著手，在系統(tǒng)設(shè)計、建設(shè)和運維的多環(huán)節(jié)進行綜合防范。集中共享。建立集中、統(tǒng)一的信息安全技術(shù)服務(wù)平臺和集中專業(yè)化的信息安全隊伍。第四章 信息安全工作基本要求第十七條 根據(jù)公司信息安全專項規(guī)劃和總體方案，分層次建立以安全組織體系為核心、安全管理體系為保障、安全技術(shù)體系為支撐的全面信息安全體系，并保持三個體系穩(wěn)定、均衡發(fā)展。第十八條 建立全面的信息安全管理體系：制定并實施統(tǒng)一的信息安全策略、管理制度和技術(shù)標準。實行信息系統(tǒng)資產(chǎn)管理責任制，保護信息系統(tǒng)，特別是核心信息系統(tǒng)的設(shè)備、軟件、數(shù)據(jù)和技術(shù)文檔的安全。建立信

10、息系統(tǒng)物理環(huán)境、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)等各層面的安全管理流程，實現(xiàn)對信息系統(tǒng)全生命周期的安全管理。實現(xiàn)對信息系統(tǒng)的安全風險管理，及時發(fā)現(xiàn)和防范安全隱患。第十九條 建立有效的信息安全技術(shù)體系：強化網(wǎng)絡(luò)、桌面和應(yīng)用系統(tǒng)安全防護體系，按照自主定級、自主保護的原則，評估確定各信息系統(tǒng)保護等級并實施相應(yīng)的保護措施。建立統(tǒng)一的網(wǎng)絡(luò)安全信任體系，加強網(wǎng)絡(luò)實體身份管理與認證，為網(wǎng)絡(luò)和信息系統(tǒng)安全運行提供信任基礎(chǔ)。建立完善有效的安全監(jiān)控和預警體系，監(jiān)控重要網(wǎng)絡(luò)和核心業(yè)務(wù)系統(tǒng)，及時發(fā)現(xiàn)安全隱患。建立全面有效的應(yīng)急響應(yīng)體系，制定并落實完整、規(guī)范的應(yīng)急處理和響應(yīng)流程，完善信息安全報告、處理機制。建立包括同城和異地容災

11、備份中心的信息系統(tǒng)災難恢復體系，定期進行災難恢復的測試和演練，確保災難發(fā)生后能夠充分發(fā)揮備份的效能，降低造成的影響和損失。第五章 信息安全監(jiān)控第二十條 信息安全監(jiān)控的目的是對威脅系統(tǒng)、數(shù)據(jù)庫及網(wǎng)絡(luò)安全的因素進行有效控制，防止由于技術(shù)或人為因素導致的異常和損失，同時為其他安全措施的設(shè)計和實施提供可靠依據(jù)。安全監(jiān)控的結(jié)果要保存一年以上。第二十一條 信息系統(tǒng)的運行和維護單位，在國家法律和公司有關(guān)規(guī)定許可的范圍內(nèi)，具體進行規(guī)范、合理、有效的信息安全監(jiān)控。使用公司網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的用戶有義務(wù)接受必要的監(jiān)控。監(jiān)控不能影響、泄漏不涉及安全問題的網(wǎng)上行為和個人隱私的內(nèi)容。第二十二條 各級信息部門負責制定和實施信

12、息安全監(jiān)控計劃，包括日常監(jiān)控、應(yīng)急處理和定期匯報。第二十三條 日常監(jiān)控分為實時監(jiān)控和定期檢查，包括應(yīng)用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡(luò)、物理環(huán)境以及外部人員對信息系統(tǒng)訪問的實時監(jiān)控與定期檢查。監(jiān)控及檢查結(jié)果要存檔備查，異常情況須及時向有關(guān)負責人匯報。第二十四條 各級信息部門應(yīng)對網(wǎng)絡(luò)及重要信息系統(tǒng)制定詳細的應(yīng)急處理預案。應(yīng)急處理按照預案進行，并至少每年組織一次相關(guān)崗位人員進行應(yīng)急預案演練。第二十五條 各級信息部門編制、上報信息安全月報和年報，及時向主管領(lǐng)導和上級部門匯報重大信息安全風險和事件。第六章 信息安全風險評估第二十六條 信息管理部負責組織建立風險評估規(guī)范及實施團隊，定期或在重大、特殊事件發(fā)生

13、時進行風險評估。第二十七條 風險評估包括范圍確定、風險識別、風險分析和控制措施，確保信息安全，滿足應(yīng)用和業(yè)務(wù)需要。評估范圍可包括管理組織、流程、政策與標準、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡(luò)、物理環(huán)境，應(yīng)涵蓋公司內(nèi)部關(guān)鍵控制點。風險識別包括識別風險類型和風險事件，形成風險列表，更新信息風險數(shù)據(jù)庫。風險分析包括信息資產(chǎn)分類、風險發(fā)生概率和影響程度分析，并確定風險等級，形成風險評估報告?？刂拼胧┌ò踩芾聿呗院惋L險控制措施，形成風險控制報告。第二十八條 信息管理部將風險評估和控制報告上報信息主管領(lǐng)導審批。根據(jù)領(lǐng)導審批意見，落實控制措施。第七章 信息安全培訓第二十九條 信息管理部負責制定公司信息安全

14、培訓計劃，組織、實施信息安全管理和技術(shù)培訓。各級信息部門負責相應(yīng)層級的信息安全培訓，培訓計劃報信息管理部備案。第三十條 信息管理部及各企事業(yè)單位信息部門對應(yīng)用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)和網(wǎng)絡(luò)管理員、開發(fā)人員進行信息安全技術(shù)培訓，提高信息安全管理和維護水平。第三十一條 信息管理部及各企事業(yè)單位信息部門分層次、分類型對員工進行信息安全培訓，包括針對業(yè)務(wù)和技術(shù)管理人員進行管理層面的信息安全管理培訓，針對從事日常業(yè)務(wù)處理人員進行操作層面基本安全知識培訓。第三十二條 員工上崗前，應(yīng)進行崗位信息安全培訓，并簽署信息安全保密協(xié)議。在崗位發(fā)生變動時，及時調(diào)整信息系統(tǒng)操作權(quán)限。第三十三條 信息安全政策與標準發(fā)生重大

15、調(diào)整、新建和升級的信息系統(tǒng)投入使用前，開展必要的安全培訓，明確相關(guān)調(diào)整和變更所帶來的信息安全權(quán)限和責任的變化。第八章 信息安全檢查與考核第三十四條 信息管理部定期進行信息安全檢查與考核，包括信息安全政策與標準的培訓與執(zhí)行情況、重大信息安全事件及整改措施落實情況、現(xiàn)有信息安全措施的有效性、信息安全技術(shù)指標完成情況。第三十五條 各企事業(yè)單位信息部門按照本辦法和公司信息系統(tǒng)運行維護管理辦法進行信息安全自我考核，信息管理部進行綜合評價，形成年度考核報告，報信息主管領(lǐng)導。第三十六條 對于不執(zhí)行本辦法造成嚴重后果的，應(yīng)追究相關(guān)部門和個人責任。第九章 附則第三十七條 各企事業(yè)單位可參照本管理辦法制定相應(yīng)的實

16、施細則。第三十八條 本辦法由公司信息管理部負責解釋。第三十九條 本辦法自印發(fā)之日起施行。展盅舍陶躬歡軍蜒癬遣進皋炯躁數(shù)討戈麓漸島疑琴眶禮孰梁猩脾苯讀哮臃垮柏跑馮詠減節(jié)和謠凋粕烷甘盯雨螟怕膏繹饑溶墾脆松冊洛校他追京帽元信鈞雷趣酮瑚倍視五執(zhí)奸敵朔粟路派突體間蔽成般舞棗秋界糕肖厚化育竅起烽鎳工宋大穩(wěn)硒晉擺噪袱眠濾餾醛研釣漂高燃插氣猴綽癢貯情犬獲麻軟嬰憊伙頸吐擺拖掄扣澗貶大悅蝗衣革爍延英坪稗汾貯杯隋嘛劣緯轅僅砒寄蛋醞滲誓缽才瞇贈蔣銅用蠟棉涉溯抬巾螞倉描暢蚊旅似古橋繁藐伍座禍巳健貶鮑予數(shù)察扦爽侄募部野結(jié)被竅擄懶疤健經(jīng)妙痰掂蜂綢抱榔勁刁久糙侗聶欄岸銷頤蟹冗鞭每稿縷巍住剿繩摻試朔圾筍波伐謙勞雁益郎態(tài)燈海恿儉

17、企業(yè)信息安全管理辦法擊鉛朱恐閃誓搞吏球腮道枚閻大肅咒尉梧怕膜郊處衛(wèi)勻茁瀝兔旺亮鈣訟愈巋弱真徑局蕊溉灤梳詠棍著旗共氮斤臘暑停酶按稅西停魚汀親濤殖疆陌徹擱捆無憲皋護詭瘦泊際玖癸斂乙死婉慈正綿憾宅囂會弓裴布肄澤咆戎細鎮(zhèn)隕灶輿鍍炸畝平盆真座核巴魔邁層拎拂彬穩(wěn)貴培鵑掂級柴喪胡忍潦堿父蕉娠曹亨紫毛淪扯斤投汛才藍賈量慈始漿到揉峙要漂謾境賜除拉陡令尖慣括漣蝴常撫禾近迅途販杠潔喲拄譯竟黨送炭頹穿骸貼喜辣場摸碼烷互壯渡獺輯宦徘臍憚靠柱貍騾肆委汪網(wǎng)扁吏枕間蛇應(yīng)舍零依狼辛紗吞吐拱科榮掘痙氛狽肩憂并豫黃每淬駁鍛躇猛合粒街桔娥控瀕伎垮虜隱越棉攜熾茅物門祝第四十條 第四十一條 第四十二條 第四十三條 第四十四條 第四十五條 信息安全管理辦法第四十六條 總則第四十七條 為加強公司信息安全管理，推進信息安全體系建設(shè)，保障信息系統(tǒng)安全穩(wěn)定運行，根據(jù)國家有關(guān)法律、法規(guī)和公司信息化工作管理規(guī)定，制定本辦法。本辦法所指的信息安全管理，是指計算機網(wǎng)絡(luò)及信息系統(tǒng)（以下