安全風(fēng)險(xiǎn)分級管控信息管理制度

PAGEPAGE1安全風(fēng)險(xiǎn)分級管控信息管理制度一、制度目的為了保障企業(yè)信息安全，規(guī)范企業(yè)安全風(fēng)險(xiǎn)分級管控，特制定本制度。二、適用范圍本制度適用于所有企業(yè)員工。三、管理原則1.信息安全是企業(yè)的重要戰(zhàn)略資產(chǎn)，應(yīng)得到高度重視。2.安全風(fēng)險(xiǎn)分級管控應(yīng)以風(fēng)險(xiǎn)管理為基礎(chǔ)，做到因風(fēng)險(xiǎn)分類，因客制化而差異化。3.實(shí)行“責(zé)任到人、手到位、扎實(shí)有力”的安全管理措施。4.注重防范，防范為主，全員參與，層層把關(guān)、發(fā)現(xiàn)、報(bào)告、應(yīng)急。5.各級別信息安全事件均應(yīng)按照事件等級和安全事故等級進(jìn)行處理。四、風(fēng)險(xiǎn)等級分類根據(jù)企業(yè)的實(shí)際情況，以及考慮到信息重要性、泄露可能性等多個(gè)因素，將企業(yè)信息安全風(fēng)險(xiǎn)進(jìn)行分級，分為高、中、低三級，具體如下：1.高風(fēng)險(xiǎn)級別：指企業(yè)保密的核心、重要數(shù)據(jù)，包括財(cái)務(wù)報(bào)表、合同、戰(zhàn)略計(jì)劃等，如果泄露或遺失，將會(huì)嚴(yán)重影響企業(yè)的利益甚至生存。2.中風(fēng)險(xiǎn)級別：指企業(yè)的一般性管理信息，包括人事信息、客戶信息等，如果泄露或遺失可能對企業(yè)產(chǎn)生一定影響。3.低風(fēng)險(xiǎn)級別：指企業(yè)的日常工作、通用信息，包括公開信息等，如果泄露或遺失影響較小。五、管控措施1.針對高、中、低三個(gè)級別的信息安全風(fēng)險(xiǎn)實(shí)行不同的管控措施。對高、中風(fēng)險(xiǎn)級別的信息，應(yīng)采取更嚴(yán)格的管控措施，包括：（1）嚴(yán)格的權(quán)限管理：管理人員應(yīng)根據(jù)不同的崗位，設(shè)置不同的權(quán)限，以實(shí)現(xiàn)信息的“可讀可寫可執(zhí)行”等精準(zhǔn)管控。（2）加強(qiáng)物理隔離保護(hù)：對于高風(fēng)險(xiǎn)的信息，應(yīng)設(shè)置物理隔離保護(hù)，設(shè)置安全圍欄，防止未經(jīng)授權(quán)人員接觸。（3）修改密碼策略：對于高風(fēng)險(xiǎn)級別的信息，在密碼強(qiáng)度設(shè)置上應(yīng)更高，例如要求使用大小寫字母、數(shù)字及符號等。（4）強(qiáng)化審驗(yàn)措施：所有的高、中風(fēng)險(xiǎn)級別的信息，必須通過審驗(yàn)措施，例如定期審核、跟蹤反饋等審驗(yàn)手段。2.加強(qiáng)安全意識宣傳：企業(yè)應(yīng)加強(qiáng)安全意識宣傳，定期進(jìn)行相關(guān)的安全培訓(xùn)，提高員工安全意識，使其認(rèn)識到信息安全的重要性。3.建立應(yīng)急處理預(yù)案：企業(yè)應(yīng)建立相應(yīng)的應(yīng)急處理預(yù)案，以應(yīng)對風(fēng)險(xiǎn)事件的發(fā)生，提供緊急處理措施。4.安全演習(xí)：企業(yè)應(yīng)定期組織安全演習(xí)，對應(yīng)急預(yù)案進(jìn)行測試，并進(jìn)行調(diào)整，以保證其有效性。六、責(zé)任制度1.企業(yè)安全管理員負(fù)責(zé)信息安全風(fēng)險(xiǎn)分級管理工作，及時(shí)提出相關(guān)措施。2.崗位人員應(yīng)嚴(yán)格執(zhí)行相關(guān)規(guī)定，不得違規(guī)操作。3.安全事件應(yīng)有專人負(fù)責(zé)，及時(shí)處理。4.對于督促是不履行安全管理職責(zé)的人員，應(yīng)進(jìn)行相應(yīng)的處罰。七、違規(guī)處理對于未遵循本制度規(guī)定的，企業(yè)將視情況進(jìn)行從輕到重的處罰，如口頭警告、書面警告甚至辭退等處理。以上是安全風(fēng)險(xiǎn)分級管控信息管理制度