2018ICP年報專用信息安全管理制度

1、xxxxxxx有限公司信息安全管理制度第一章 總則第一條 為保證信息系統(tǒng)安全可靠穩(wěn)定運行，降低或阻止人為或自然因素從物理層面對公司信息系統(tǒng)的保密性、完整性、可用性帶來的安全威脅，結(jié)合公司實際，特制定本制度。第二條 本制度適用于xxxxxxx有限公司以及所屬單位的信息系統(tǒng)安全管理。第二章 職責第三條 相關(guān)部門、單位職責：一、 信息中心（一） 負責組織和協(xié)調(diào)xxxxxxx有限公司的信息系統(tǒng)安全管理工作；（二） 負責建立xxxxxxx有限公司信息系統(tǒng)網(wǎng)絡(luò)成員單位間的網(wǎng)絡(luò)訪問規(guī)則；對公司本部信息系統(tǒng)網(wǎng)絡(luò)終端的網(wǎng)絡(luò)準入進行管理；（三） 負責對xxxxxxx有限公司統(tǒng)一的兩個互聯(lián)網(wǎng)出口進行管理，配置防火墻

2、等信息安全設(shè)備；會同保密處對公司本部互聯(lián)網(wǎng)上網(wǎng)行為進行管理；（四） 對xxxxxxx有限公司統(tǒng)一建設(shè)的信息系統(tǒng)制定專項運維管理辦法，明確信息系統(tǒng)安全管理要求，界定兩級單位信息安全管理責任；（五） 負責xxxxxxx有限公司網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)拓撲等全局性的信息安全管理。二、 人力資源部（一） 負責人力資源安全相關(guān)管理工作。（二） 負責將信息安全策略培訓(xùn)納入年度職工培訓(xùn)計劃，并組織實施。三、 各部門（一） 負責本部門信息安全管理工作。（二） 配合和協(xié)助業(yè)務(wù)主管部門完善相關(guān)制度建設(shè)，落實日常管理工作。四、 所屬各單位（一） 負責組織和協(xié)調(diào)本單位信息安全管理工作。（二） 對本單位建設(shè)的信息系統(tǒng)制定專項運維

3、管理辦法，明確信息系統(tǒng)安全管理要求，報xxxxxxx有限公司信息中心備案。第三章 信息安全策略的基本要求第四條 信息系統(tǒng)安全管理應(yīng)遵循以下八個原則：一、 主要領(lǐng)導(dǎo)人負責原則； 二、 規(guī)范定級原則； 三、 依法行政原則； 四、 以人為本原則； 五、 注重效費比原則； 六、 全面防范、突出重點原則；七、 系統(tǒng)、動態(tài)原則； 八、 特殊安全管理原則。第五條 公司保密委應(yīng)根據(jù)業(yè)務(wù)需求和相關(guān)法律法規(guī)，組織制定公司信息安全策略，經(jīng)主管領(lǐng)導(dǎo)審批發(fā)布后，對員工及相關(guān)方進行傳達和培訓(xùn)。第六條 制定信息安全策略時應(yīng)充分考慮信息系統(tǒng)安全策略的“七定”要求，即定方案、定崗、定位、定員、定目標、定制度、定工作流程。第七條

4、 信息安全策略主要包括以下內(nèi)容：一、 信息網(wǎng)絡(luò)與信息系統(tǒng)必須在建設(shè)過程中進行安全風(fēng)險評估，并根據(jù)評估結(jié)果制定安全策略；二、 對已投入運行且已建立安全體系的系統(tǒng)定期進行漏洞掃描，以便及時發(fā)現(xiàn)系統(tǒng)的安全漏洞;三、 對安全體系的各種日志(如入侵檢測日志等)審計結(jié)果進行研究，以便及時發(fā)現(xiàn)系統(tǒng)的安全漏洞;四、 定期分析信息系統(tǒng)的安全風(fēng)險及漏洞、分析當前黑客非常入侵的特點，及時調(diào)整安全策略；五、 制定人力資源、物理環(huán)境、訪問控制、操作、備份、系統(tǒng)獲取及維護、業(yè)務(wù)連續(xù)性等方面的安全策略，并實施。第八條 公司保密委每年應(yīng)組織對信息安全策略的適應(yīng)性、充分性和有效性進行評審，必要時組織修訂；當公司的組織架構(gòu)、生產(chǎn)

5、經(jīng)營模式等發(fā)生重大變化時也應(yīng)進行評審和修訂。第九條 根據(jù)“誰主管、誰負責”的原則，公司建立信息安全分級責任制，各層級落實信息系統(tǒng)安全責任。第四章 人力資源安全管理第十條 信息系統(tǒng)相關(guān)崗位設(shè)置應(yīng)滿足以下要求：一、 安全管理崗與其它任何崗位不得兼崗、混崗、代崗。二、 系統(tǒng)管理崗、網(wǎng)絡(luò)管理崗與應(yīng)用管理崗不得兼崗、混崗。三、 安全管理崗、系統(tǒng)管理崗、網(wǎng)絡(luò)管理崗、應(yīng)用管理崗、設(shè)備管理崗、技術(shù)檔案管理崗原則上有人員備份。四、 以上崗位人員調(diào)離必須辦理交接手續(xù)，所掌握的口令應(yīng)立刻更換或注銷該用戶。第十一條 人力資源部在相關(guān)崗位任職要求中應(yīng)包含信息安全管理的相關(guān)條件和要求；將信息安全相關(guān)培訓(xùn)納入年度職工培訓(xùn)計

6、劃，并組織實施。第五章 信息系統(tǒng)物理和環(huán)境安全管理第十二條 信息系統(tǒng)物理安全指為了保證信息系統(tǒng)安全可靠運行，不致受到人為或自然因素的危害，而對計算機設(shè)備、設(shè)施（包括機房建筑、供電、空調(diào)）、環(huán)境、系統(tǒng)等采取適當?shù)陌踩胧５谑龡l 信息管理部門應(yīng)采取切實可行的物理防護手段或技術(shù)措施對物理周邊、物理入口、辦公及生產(chǎn)區(qū)域等進行安全控制，防止無關(guān)人員未授權(quán)物理訪問、損壞和干擾。第十四條 信息管理部門應(yīng)加強對信息系統(tǒng)機房及配線間的安全管理，要求如下：一、 工作人員需經(jīng)授權(quán)，方能且只能進入中心機房的授權(quán)工作區(qū)；確因工作需要，需進入非授權(quán)工作區(qū)時，需由該授權(quán)工作區(qū)人員陪同；做好機房出入登記（格式見附錄3-3）。二、 工作人員必須嚴格按照規(guī)定操作，未經(jīng)批準不得超越自己職權(quán)范圍以外的操作；操作結(jié)束時，必須退出已進入的操作畫面；最后離開工作區(qū)域的人員應(yīng)將門關(guān)閉。三、 非授權(quán)人員嚴禁操作中心機房UPS、專用空調(diào)、監(jiān)控、消防及UPS供