ICP年報專用信息安全管理制度

1、xxxxxxx 有限公司信息安全管理制度第一章 總則第一條 為保證信息系統(tǒng)安全可靠穩(wěn)定運行，降低或阻 止人為或自然因素從物理層面對公司信息系統(tǒng)的保密性、完 整性、可用性帶來的安全威脅，結(jié)合公司實際，特制定本制 度。第二條 本制度適用于 xxxxxxx 有限公司以及所屬單位 的信息系統(tǒng)安全管理。第二章 職責第三條 相關(guān)部門、單位職責：一、信息中心（一）負責組織和協(xié)調(diào) xxxxxxx 有限公司的信息系統(tǒng) 安全管理工作；（二）負責建立 xxxxxxx 有限公司信息系統(tǒng)網(wǎng)絡(luò)成員 單位間的網(wǎng)絡(luò)訪問規(guī)則；對公司本部信息系統(tǒng)網(wǎng)絡(luò)終端的網(wǎng) 絡(luò)準入進行管理；（三）負責對 xxxxxxx 有限公司統(tǒng)一的兩個互聯(lián)網(wǎng)

2、出 口進行管理，配置防火墻等信息安全設(shè)備；會同保密處對公 司本部互聯(lián)網(wǎng)上網(wǎng)行為進行管理；（四）對 xxxxxxx 有限公司統(tǒng)一建設(shè)的信息系統(tǒng)制定 專項運維管理辦法，明確信息系統(tǒng)安全管理要求，界定兩級 單位信息安全管理責任；（五）負責 xxxxxxx 有限公司網(wǎng)絡(luò)邊界、 網(wǎng)絡(luò)拓撲等全 局性的信息安全管理。二、人力資源部（一） 負責人力資源安全相關(guān)管理工作。（二） 負責將信息安全策略培訓納入年度職工培訓計 劃，并組織實施。三、各部門（一） 負責本部門信息安全管理工作。（二） 配合和協(xié)助業(yè)務主管部門完善相關(guān)制度建設(shè)， 落 實日常管理工作。四、所屬各單位（一） 負責組織和協(xié)調(diào)本單位信息安全管理工作。（

3、二） 對本單位建設(shè)的信息系統(tǒng)制定專項運維管理辦 法，明確信息系統(tǒng)安全管理要求，報 xxxxxxx 有限公司信息 中心備案。第三章 信息安全策略的基本要求第四條 信息系統(tǒng)安全管理應遵循以下八個原則：一、主要領(lǐng)導人負責原則；二、規(guī)范定級原則；三、依法行政原則；四、以人為本原則；五、注重效費比原則；六、全面防范、突出重點原則；七、系統(tǒng)、動態(tài)原則；八、特殊安全管理原則。第五條 公司保密委應根據(jù)業(yè)務需求和相關(guān)法律法規(guī)， 組織制定公司信息安全策略，經(jīng)主管領(lǐng)導審批發(fā)布后，對員 工及相關(guān)方進行傳達和培訓。第六條 制定信息安全策略時應充分考慮信息系統(tǒng)安全 策略的“七定”要求，即定方案、定崗、定位、定員、定目 標

4、、定制度、定工作流程。第七條 信息安全策略主要包括以下內(nèi)容：一、信息網(wǎng)絡(luò)與信息系統(tǒng)必須在建設(shè)過程中進行安全 風險評估，并根據(jù)評估結(jié)果制定安全策略；二、對已投入運行且已建立安全體系的系統(tǒng)定期進行 漏洞掃描，以便及時發(fā)現(xiàn)系統(tǒng)的安全漏洞 ;三、對安全體系的各種日志 （ 如入侵檢測日志等 ） 審計 結(jié)果進行研究，以便及時發(fā)現(xiàn)系統(tǒng)的安全漏洞 ;四、定期分析信息系統(tǒng)的安全風險及漏洞、 分析當前黑 客非常入侵的特點，及時調(diào)整安全策略；五、制定人力資源、 物理環(huán)境、訪問控制、 操作、備份、 系統(tǒng)獲取及維護、業(yè)務連續(xù)性等方面的安全策略，并實施。第八條 公司保密委每年應組織對信息安全策略的適應 性、充分性和有效性

5、進行評審，必要時組織修訂；當公司的 組織架構(gòu)、生產(chǎn)經(jīng)營模式等發(fā)生重大變化時也應進行評審和 修訂。第九條 根據(jù)“誰主管、誰負責”的原則，公司建立信 息安全分級責任制，各層級落實信息系統(tǒng)安全責任。第四章 人力資源安全管理第十條 信息系統(tǒng)相關(guān)崗位設(shè)置應滿足以下要求：一、安全管理崗與其它任何崗位不得兼崗、混崗、代崗。二、系統(tǒng)管理崗、網(wǎng)絡(luò)管理崗與應用管理崗不得兼崗、 混崗。三、安全管理崗、系統(tǒng)管理崗、網(wǎng)絡(luò)管理崗、應用管理 崗、設(shè)備管理崗、技術(shù)檔案管理崗原則上有人員備份。四、以上崗位人員調(diào)離必須辦理交接手續(xù)，所掌握的口令應立刻更換或注銷該用戶。第十一條 人力資源部在相關(guān)崗位任職要求中應包含信 息安全管理的

6、相關(guān)條件和要求；將信息安全相關(guān)培訓納入年 度職工培訓計劃，并組織實施。第五章信息系統(tǒng)物理和環(huán)境安全管理第十二條信息系統(tǒng)物理安全指為了保證信息系統(tǒng)安全 可靠運行，不致受到人為或自然因素的危害，而對計算機設(shè) 備、設(shè)施（包括機房建筑、供電、空調(diào)）、環(huán)境、系統(tǒng)等采 取適當?shù)陌踩胧?。第十三條信息管理部門應采取切實可行的物理防護手 段或技術(shù)措施對物理周邊、物理入口、辦公及生產(chǎn)區(qū)域等進 行安全控制，防止無關(guān)人員未授權(quán)物理訪問、損壞和干擾。第十四條 信息管理部門應加強對信息系統(tǒng)機房及配線 間的安全管理，要求如下：一、工作人員需經(jīng)授權(quán)，方能且只能進入中心機房的授 權(quán)工作區(qū)；確因工作需要，需進入非授權(quán)工作區(qū)時，需由該授權(quán)工作區(qū)人員陪同； 做好機房出入登記 （格式見附錄 3-3 ）。二、工作人員必須嚴格按照規(guī)定操作， 未經(jīng)批準不得超 越自己職權(quán)范圍以外的操作；操作結(jié)束時，必須退出已進入 的操作畫面；最后離開工作區(qū)域的人員應將門關(guān)閉。三、非授權(quán)人員嚴禁操作中心機房 UPS專用空調(diào)、監(jiān)控、消防及UPS供配