公司信息系統(tǒng)安全管理制度

1、 公司信息系統(tǒng)安全管理制度 總則 第一條 為加強(qiáng)和規(guī)范公司信息系統(tǒng)安全防護(hù)實(shí)施工作，確保信息系統(tǒng)的安全實(shí)施，提高信息系統(tǒng)整體安全防護(hù)水平，實(shí)現(xiàn)信息系統(tǒng)的可控、能控、在控。 第二條 本制度參照中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理制度、互聯(lián)網(wǎng)信息服務(wù)管理規(guī)定、xx集團(tuán)暨股份公司信息系統(tǒng)安全管理制度（試行）為依據(jù)制定。第三條 本辦法是公司制度體系的第二層級(jí),其上一級(jí)為xx集團(tuán)有限公司內(nèi)部控制基本制度。適用于公司及子公司、分公司和項(xiàng)目經(jīng)理部。所指的信息系統(tǒng)是指信息基礎(chǔ)設(shè)施（包括軟、硬件系統(tǒng)平臺(tái)等）。第二章 內(nèi)容與要求 第四條 本制度對(duì)信息系統(tǒng)安全防護(hù)策略、安全防護(hù)措施建設(shè)與對(duì)信息系統(tǒng)維護(hù)、

2、安全檢查等管理工作做出具體規(guī)定。 第五條 信息系統(tǒng)安全防護(hù)實(shí)施工作應(yīng)統(tǒng)一組織，堅(jiān)持與信息化建設(shè)同時(shí)規(guī)劃、同時(shí)建設(shè)、同時(shí)投入運(yùn)行的“三同步”原則。 第六條 建立健全安全防護(hù)策略，落實(shí)各項(xiàng)安全防護(hù)措施，通過對(duì)信息系統(tǒng)進(jìn)行信息安全檢查，不斷改善信息系統(tǒng)安全防護(hù)工作。 第三章 組織管理 第七條 信息系統(tǒng)安全防護(hù)工作按照“統(tǒng)一領(lǐng)導(dǎo)，分級(jí)負(fù)責(zé)”的原則，統(tǒng)一組織安全防護(hù)體系的實(shí)施工作。 第八條 公司信息安全管理領(lǐng)導(dǎo)小組是信息安全防護(hù)工作的管理主責(zé)機(jī)構(gòu)，信息安全管理辦公室具體負(fù)責(zé)組織本公司信息系統(tǒng)安全防護(hù)實(shí)施工作。 第九條 信息系統(tǒng)安全防護(hù)工作主要職責(zé)： 負(fù)責(zé)落實(shí)相關(guān)的標(biāo)準(zhǔn)、規(guī)范和管理要求； 負(fù)責(zé)建立信息系統(tǒng)

3、安全防護(hù)策略、制度、標(biāo)準(zhǔn)、規(guī)范體系； 負(fù)責(zé)指導(dǎo)、協(xié)調(diào)、檢查、監(jiān)督各單位的信息系統(tǒng)安全防護(hù)實(shí)施工作； 組織落實(shí)信息系統(tǒng)等級(jí)保護(hù)制度； 第十條 信息安全管理領(lǐng)導(dǎo)小組應(yīng)定期對(duì)信息系統(tǒng)進(jìn)行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況。第四章 安全防護(hù)建設(shè) 第十一條 信息系統(tǒng)安全防護(hù)建設(shè)要與信息化建設(shè)同步規(guī)劃、同步建設(shè)、同步投入運(yùn)行，要按照信息系統(tǒng)等級(jí)保護(hù)要求，采取相應(yīng)安全策略，實(shí)現(xiàn)相應(yīng)安全功能。 第十二條 公司信息安全管理領(lǐng)導(dǎo)小組負(fù)責(zé)制定及審核信息系統(tǒng)建設(shè)過程中的安全防護(hù)措施，公司信息安全管理辦公室負(fù)責(zé)具體實(shí)施。第五章 安全防護(hù)策略 第十三條

4、信息系統(tǒng)要落實(shí)安全防護(hù)等級(jí)保護(hù)制度，實(shí)行“系統(tǒng)分級(jí)、防護(hù)分域、預(yù)防為主、積極管控”的總體安全防護(hù)策略。 第十四條 按照規(guī)定，逐步進(jìn)行信息系統(tǒng)安全防護(hù)等級(jí)保護(hù)工作，重點(diǎn)做好信息系統(tǒng)的安全等級(jí)防護(hù)工作。 第十五條 根據(jù)信息系統(tǒng)管理的重要程度，應(yīng)對(duì)系統(tǒng)進(jìn)行安全等級(jí)的劃分，并采取不同強(qiáng)度的安全防護(hù)措施。 第十六條 信息系統(tǒng)安全防護(hù)工作應(yīng)以預(yù)防為主，從信息安全風(fēng)險(xiǎn)管理的角度出發(fā)、從信息系統(tǒng)全生命周期各階段的特點(diǎn)出發(fā)、從業(yè)務(wù)系統(tǒng)的安全特性出發(fā)，采取主動(dòng)、嚴(yán)密的預(yù)防措施，達(dá)到防患于未然的目的。 第十七條 為全面應(yīng)對(duì)信息安全事件需要建立積極的管控機(jī)制，融合技術(shù)和管理手段，實(shí)現(xiàn)對(duì)信息安全風(fēng)險(xiǎn)的主動(dòng)跟蹤、及時(shí)掌握

5、、有效處理，達(dá)到可控、能控、在控的管理效果。 第十八條 公司信息安全管理領(lǐng)導(dǎo)小組負(fù)責(zé)組織制定公司信息系統(tǒng)安全防護(hù)體系，負(fù)責(zé)確定信息系統(tǒng)各個(gè)部分的安全防護(hù)等級(jí)，以及要采取的安全策略、安全措施及管理制度等，制定信息系統(tǒng)安全防護(hù)方案和信息系統(tǒng)等級(jí)化實(shí)施方案，對(duì)各單位信息系統(tǒng)安全等級(jí)保護(hù)和安全域工作落實(shí)情況進(jìn)行指導(dǎo)、組織開展等級(jí)化評(píng)估和備案管理，制定信息系統(tǒng)與設(shè)備接入、訪問、授權(quán)、加固、審計(jì)、系統(tǒng)和數(shù)據(jù)備份等具體安全策略。第六章 安全防護(hù)技術(shù) 第十九條 應(yīng)按照信息系統(tǒng)的特性，對(duì)其進(jìn)行安全防護(hù)，可利用但不僅包括下列技術(shù)：1、應(yīng)用適當(dāng)技術(shù)手段，對(duì)遠(yuǎn)程接入訪問進(jìn)行認(rèn)證和權(quán)限控制；2、對(duì)系統(tǒng)主機(jī)和數(shù)據(jù)庫(kù)進(jìn)行必

6、要的安全加固，通過合理地設(shè)置系統(tǒng)配置、服務(wù)、權(quán)限，減少安全弱點(diǎn)。系統(tǒng)服務(wù)器和客戶端應(yīng)嚴(yán)格控制操作系統(tǒng)及應(yīng)用軟件的安裝與使用；3、建立數(shù)據(jù)備份機(jī)制，根據(jù)系統(tǒng)重要程度建立數(shù)據(jù)、系統(tǒng)及應(yīng)用的備份策略。4、對(duì)重要和敏感信息實(shí)行加密傳輸和存儲(chǔ)；對(duì)重要信息實(shí)行自動(dòng)、定期備份。第七章 安全防護(hù)運(yùn)行管理第二十條 制定安全管理相關(guān)制度，落實(shí)崗位責(zé)任制，加強(qiáng)安全工作。第二十一條 安全防護(hù)系統(tǒng)應(yīng)由專人管理，根據(jù)信息系統(tǒng)的變更及時(shí)調(diào)整安全策略、更新代碼、更改配置，加強(qiáng)日常運(yùn)行監(jiān)控。第二十二條 加強(qiáng)企業(yè)級(jí)信息系統(tǒng)的用戶口令管理；對(duì)于主機(jī)、數(shù)據(jù)庫(kù)、應(yīng)用服務(wù)器等系統(tǒng)管理員口令應(yīng)定期更改。第二十三條 加強(qiáng)對(duì)企業(yè)級(jí)信息系統(tǒng)的數(shù)據(jù)備份管理，制定并及時(shí)調(diào)整備份策略，落實(shí)備份制度。第二十四條 制定企業(yè)級(jí)信息系統(tǒng)的應(yīng)急預(yù)案，不斷改進(jìn)薄弱環(huán)節(jié)。第二十五條 加強(qiáng)信息安全事件的應(yīng)急管理，建立和規(guī)范信息安全事件的發(fā)現(xiàn)、預(yù)警、分析、通報(bào)、及處置的工作流程，確保一旦發(fā)生網(wǎng)絡(luò)與信息安全事件時(shí)，能夠及時(shí)有效處理。第二十六條 加強(qiáng)信息系統(tǒng)安全日志管理，嚴(yán)格執(zhí)行系統(tǒng)審計(jì)。做好安全分析工作，消除安全隱患。第二十七條 建立員工信息安全與保密制度。對(duì)信息系統(tǒng)的訪問嚴(yán)格按照訪問權(quán)限進(jìn)行控制和調(diào)整。對(duì)外來人員接入系統(tǒng)要嚴(yán)格管理，并對(duì)外來人員在信息系統(tǒng)的工作進(jìn)行監(jiān)控。第二十八條 制定安全審核和安全檢查制度規(guī)范，并定期按照程序進(jìn)行安全審核和安全檢查活