摘要:有制度才有規(guī)矩,有約束���。企業(yè)要建立完善的企業(yè)信息安全管理系統(tǒng)�����,必須內(nèi)外兼修��,一方面要防止外部入侵�����,另一方面也要防范內(nèi)部人員泄密可能�。接下來,就來了解下企業(yè)信息安全管理制度��,企業(yè)信息安全管理辦法�。
信息安全管理辦法
第一章 總則
第一條 為加強公司信息安全管理,推進信息安全體系建設���,保障信息系統(tǒng)安全穩(wěn)定運行����,根據(jù)國家有關(guān)法律、法規(guī)和《公司信息化工作管理規(guī)定》����,制定本辦法。
第二條 本辦法所指的信息安全管理�����,是指計算機網(wǎng)絡及信息系統(tǒng)(以下簡稱信息系統(tǒng))的硬件�����、軟件���、數(shù)據(jù)及環(huán)境受到有效保護����,信息系統(tǒng)的連續(xù)����、穩(wěn)定��、安全運行得到可靠保障�。
第三條 公司信息安全管理堅持“誰主管誰負責��、 誰運行 誰負責”的基本原則���,各信息系統(tǒng)的主管部門、運營和使用單 位各自履行相關(guān)的信息系統(tǒng)安全建設和管理的義務與責任���。 第四條 信息安全管理�,包括管理組織與職責�、信息安 全目標與工作原則、 信息安全工作基本要求���、 信息安全監(jiān)控����、 信息安全風險評估����、信息安全培訓、信息安全檢查與考核�。
第二章信息安全管理組織與職責
第四條 公司信息化工作領導小組是信息安全工作的最高決策機構(gòu)���,負責信息安全政策、制度和體系建設規(guī)劃的審批��,部署并協(xié)調(diào)信息安全體系建設�����,領導信息系統(tǒng)等級保護工作��。
第五條 公司建立和健全由總部�、企事業(yè)單位以及信息技術(shù)支持單位三方面組成,協(xié)調(diào)一致��、密切配合的信息安全組織和責任體系����。各級信息安全組織均要明確主管領導,確定相關(guān)責任����,設置相應崗位,配備必要人員��。
第六條 信息管理部是公司信息安全的歸口管理部門,負責落實信息化工作領導小組的決策��,實施公司信息安全建設與管理�,確保重要信息系統(tǒng)的有效保護和安全運行。具體職責包括:組織制定和實施公司信息安全政策標準��、管理制度和體系建設規(guī)劃���,組織實施信息安全項目和培訓��,組織信息安全工作的監(jiān)督和檢查。
第七條 公司保密部門負責信息安全工作中有關(guān)保密工作的監(jiān)督��、檢查和指導�。
第八條 企事業(yè)單位信息部門負責本單位信息安全的管理,具體職責包括:在本單位宣傳和貫徹執(zhí)行信息安全政策與標準�,確保本單位信息系統(tǒng)的安全運行,實施本單位信息安全項目和培訓���,追蹤和查處本單位信息安全違規(guī)行為�����,組織本單位信息安全工作檢查����,完成公司部署的信息安全工作。
第九條 技術(shù)支持單位在信息管理部的領導下�,承擔所負責的信息系統(tǒng)和所在區(qū)域的信息安全管理任務,主要包括:在所維護系統(tǒng)和本區(qū)域內(nèi)宣傳和貫徹信息安全政策與標準���,確保所負責信息系統(tǒng)的安全運行����。
第十條 各級信息管理部門設立信息安全管理和技術(shù)崗位�����,包括信息安全�、應用系統(tǒng)、數(shù)據(jù)庫���、操作系統(tǒng)��、網(wǎng)絡負責人和管理員�����,重要崗位可設置兩個員工互為備份����。
第十一條 信息安全崗位的設立應遵循職責分離的要求,包括:制度監(jiān)督者與執(zhí)行者分離��,信息系統(tǒng)授權(quán)者與操作者分離�,應用系統(tǒng)管理員與數(shù)據(jù)庫管理員分離,程序開發(fā)人員不應具備對生產(chǎn)環(huán)境的訪問權(quán)限���。
第十二條 公司員工必須嚴格遵守公司信息安全政策����、管理制度��、技術(shù)標準和信息系統(tǒng)控制要求����,承擔相關(guān)安全義務和責任���,并及時報告信息安全事件�����。
第三章信息安全目標與工作原則
第十三條 信息安全工作的總體目標是:實施信息系統(tǒng)安全等級保護���,建立和健全先進實用��、完整可靠的信息安全體系���,保證系統(tǒng)和信息的完整性、真實性�、可用性、保密性和可控性�,保障信息化建設和應用,支撐公司業(yè)務持續(xù)����、穩(wěn)定、健康發(fā)展���。
第十四條 信息安全體系建設必須堅持以下原則:堅持統(tǒng)一����。信息安全體系必須統(tǒng)一規(guī)劃�、統(tǒng)一標準、統(tǒng)一設計����、統(tǒng)一投資�、統(tǒng)一建設���、統(tǒng)一管理�。保障應用��。保障網(wǎng)絡和信息系統(tǒng)�����,特別是全局網(wǎng)絡和重要業(yè)務信息系統(tǒng)不間斷穩(wěn)定運行及其信息的安全���,實現(xiàn)以應用促安全����,以安全保應用����。符合法規(guī)����。信息安全體系要滿足法律法規(guī)要求,包括國家對信息系統(tǒng)等級保護��、企業(yè)內(nèi)部控制要求,積極采用法律法規(guī)允許的��、成熟的先進技術(shù)和專業(yè)安全服務��。綜合防范���。管理與技術(shù)并重��,相互補充�。從組織與流程�����、制度與人員����、場地與環(huán)境、網(wǎng)絡與系統(tǒng)�、數(shù)據(jù)與應用等多方面著手,在系統(tǒng)設計���、建設和運維的多環(huán)節(jié)進行綜合防范�。集中共享��。建立集中、統(tǒng)一的信息安全技術(shù)服務平臺和集中專業(yè)化的信息安全隊伍���。第四章信息安全工作基本要求
第十五條 根據(jù)公司信息安全專項規(guī)劃和總體方案�,分層次建立以安全組織體系為核心��、安全管理體系為保障�、安全技術(shù)體系為支撐的全面信息安全體系,并保持三個體系穩(wěn)定�����、均衡發(fā)展�。
第十六條 建立全面的信息安全管理體系:制定并實施統(tǒng)一的信息安全策略、管理制度和技術(shù)標準����。實行信息系統(tǒng)資產(chǎn)管理責任制,保護信息系統(tǒng)��,特別是核心信息系統(tǒng)的設備��、軟件�、數(shù)據(jù)和技術(shù)文檔的安全���。建立信息系統(tǒng)物理環(huán)境����、網(wǎng)絡、系統(tǒng)�、應用、數(shù)據(jù)等各層面的安全管理流程�����,實現(xiàn)對信息系統(tǒng)全生命周期的安全管理���。實現(xiàn)對信息系統(tǒng)的安全風險管理�,及時發(fā)現(xiàn)和防范安全隱患����。
第十七條 建立有效的信息安全技術(shù)體系:強化網(wǎng)絡、桌面和應用系統(tǒng)安全防護體系�,按照自主定級、自主保護的原則��,評估確定各信息系統(tǒng)保護等級并實施相應的保護措施��。建立統(tǒng)一的網(wǎng)絡安全信任體系���,加強網(wǎng)絡實體身份管理與認證�����,為網(wǎng)絡和信息系統(tǒng)安全運行提供信任基礎�����。建立完善有效的安全監(jiān)控和預警體系�,監(jiān)控重要網(wǎng)絡和核心業(yè)務系統(tǒng),及時發(fā)現(xiàn)安全隱患�。建立全面有效的應急響應體系,制定并落實完整�����、規(guī)范的應急處理和響應流程�,完善信息安全報告、處理機制���。建立包括同城和異地容災備份中心的信息系統(tǒng)災難恢復體系����,定期進行災難恢復的測試和演練,確保災難發(fā)生后能夠充分發(fā)揮備份的效能��,降低造成的影響和損失�����。第五章信息安全監(jiān)控
第十八條 信息安全監(jiān)控的目的是對威脅系統(tǒng)���、數(shù)據(jù)庫及網(wǎng)絡安全的因素進行有效控制,防止由于技術(shù)或人為因素導致的異常和損失���,同時為其他安全措施的設計和實施提供可靠依據(jù)�����。安全監(jiān)控的結(jié)果要保存一年以上����。
第十九條 信息系統(tǒng)的運行和維護單位�����,在國家法律和公司有關(guān)規(guī)定許可的范圍內(nèi)��,具體進行規(guī)范、合理�、有效的信息安全監(jiān)控。使用公司網(wǎng)絡及應用系統(tǒng)的用戶有義務接受必要的監(jiān)控���。監(jiān)控不能影響���、泄漏不涉及安全問題的網(wǎng)上行為和個人隱私的內(nèi)容。
第二十條 各級信息部門負責制定和實施信息安全監(jiān)控計劃����,包括日常監(jiān)控、應急處理和定期匯報�����。
第二十一條 日常監(jiān)控分為實時監(jiān)控和定期檢查�����,包括應用系統(tǒng)�����、數(shù)據(jù)庫�、操作系統(tǒng)�����、網(wǎng)絡����、物理環(huán)境以及外部人員對信息系統(tǒng)訪問的實時監(jiān)控與定期檢查�����。監(jiān)控及檢查結(jié)果要存檔備查����,異常情況須及時向有關(guān)負責人匯報�����。
第二十二條 各級信息部門應對網(wǎng)絡及重要信息系統(tǒng)制定詳細的應急處理預案�。應急處理按照預案進行,并至少每年組織一次相關(guān)崗位人員進行應急預案演練��。
第二十三條 各級信息部門編制�、上報信息安全月報和年報,及時向主管領導和上級部門匯報重大信息安全風險和事件����。
第六章 信息安全風險評估
第二十四條 信息管理部負責組織建立風險評估規(guī)范及實施團隊���,定期或在重大、特殊事件發(fā)生時進行風險評估�����。
第二十五條 風險評估包括范圍確定�、風險識別、風險分析和控制措施��,確保信息安全��,滿足應用和業(yè)務需要�。評估范圍可包括管理組織、流程���、政策與標準����、應用系統(tǒng)����、數(shù)據(jù)庫��、操作系統(tǒng)���、網(wǎng)絡、物理環(huán)境���,應涵蓋公司內(nèi)部關(guān)鍵控制點�����。風險識別包括識別風險類型和風險事件�����,形成風險列表,更新信息風險數(shù)據(jù)庫��。風險分析包括信息資產(chǎn)分類���、風險發(fā)生概率和影響程度分析����,并確定風險等級�����,形成風險評估報告?���?刂拼胧┌ò踩芾聿呗院惋L險控制措施,形成風險控制報告���。
第二十六條 信息管理部將風險評估和控制報告上報信息主管領導審批�。根據(jù)領導審批意見����,落實控制措施。
第七章 信息安全培訓
第二十七條 信息管理部負責制定公司信息安全培訓計劃���,組織�����、實施信息安全管理和技術(shù)培訓�����。各級信息部門負責相應層級的信息安全培訓�,培訓計劃報信息管理部備案。
第二十八條 信息管理部及各企事業(yè)單位信息部門對應用系統(tǒng)��、數(shù)據(jù)庫�����、操作系統(tǒng)和網(wǎng)絡管理員��、開發(fā)人員進行信息安全技術(shù)培訓�,提高信息安全管理和維護水平。
第二十九條 信息管理部及各企事業(yè)單位信息部門分層次����、分類型對員工進行信息安全培訓,包括針對業(yè)務和技術(shù)管理人員進行管理層面的信息安全管理培訓���,針對從事日常業(yè)務處理人員進行操作層面基本安全知識培訓。
第三十條 員工上崗前���,應進行崗位信息安全培訓��,并簽署信息安全保密協(xié)議�����。在崗位發(fā)生變動時�,及時調(diào)整信息系統(tǒng)操作權(quán)限。
第三十一條 信息安全政策與標準發(fā)生重大調(diào)整��、新建和升級的信息系統(tǒng)投入使用前��,開展必要的安全培訓�����,明確相關(guān)調(diào)整和變更所帶來的信息安全權(quán)限和責任的變化�。
第八章 信息安全檢查與考核
第三十二條 信息管理部定期進行信息安全檢查與考核,包括信息安全政策與標準的培訓與執(zhí)行情況��、重大信息安全事件及整改措施落實情況����、現(xiàn)有信息安全措施的有效性、信息安全技術(shù)指標完成情況����。
第三十三條 各企事業(yè)單位信息部門按照本辦法和《公司信息系統(tǒng)運行維護管理辦法》進行信息安全自我考核,信息管理部進行綜合評價����,形成年度考核報告���,報信息主管領導。第三十六條對于不執(zhí)行本辦法造成嚴重后果的�,應追究相關(guān)部門和個人責任。第九章附則
第三十四條 各企事業(yè)單位可參照本管理辦法制定相應的實施細則���。
第三十五條 本辦法由公司信息管理部負責解釋����。
第三十六條 本辦法自印發(fā)之日起施行����。
