企業(yè)信息安全管理辦法1

1、信息平安管理方法總則為加強(qiáng)公司信息平安管理，推動(dòng)信息平安體系建設(shè)，保障信息系統(tǒng)平平穩(wěn)定運(yùn)行，依據(jù)國(guó)家有關(guān)法律、法規(guī)和公司信息化工作管理規(guī)定，制定本方法。本方法所指的信息平安管理，是指計(jì)算機(jī)網(wǎng)絡(luò)及信息系統(tǒng)（以下簡(jiǎn)稱信息系統(tǒng)）的硬件、軟件、數(shù)據(jù)及環(huán)境受到有效愛(ài)惜，信息系統(tǒng)的連續(xù)、穩(wěn)定、平安運(yùn)行得到牢靠保障。公司信息平安管理堅(jiān)持“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)”的基本原則，各信息系統(tǒng)的主管部門、運(yùn)營(yíng)和運(yùn)用單位各自履行相關(guān)的信息系統(tǒng)平安建設(shè)和管理的義務(wù)與責(zé)任。信息平安管理，包括管理組織與職責(zé)、信息平安目標(biāo)與工作原則、信息平安工作基本要求、信息平安監(jiān)控、信息平安風(fēng)險(xiǎn)評(píng)估、信息平安培訓(xùn)、信息平安檢查與考核。本

2、方法適用于公司總部、各企事業(yè)單位及其全體員工。信息平安管理組織與職責(zé)公司信息化工作領(lǐng)導(dǎo)小組是信息平安工作的最高決策機(jī)構(gòu)，負(fù)責(zé)信息平安政策、制度和體系建設(shè)規(guī)劃的審批，部署并協(xié)調(diào)信息平安體系建設(shè)，領(lǐng)導(dǎo)信息系統(tǒng)等級(jí)愛(ài)惜工作。公司建立和健全由總部、企事業(yè)單位以及信息技術(shù)支持單位三方面組成，協(xié)調(diào)一樣、密切協(xié)作的信息平安組織和責(zé)任體系。各級(jí)信息平安組織均要明確主管領(lǐng)導(dǎo)，確定相關(guān)責(zé)任，設(shè)置相應(yīng)崗位，配備必要人員。信息管理部是公司信息平安的歸口管理部門，負(fù)責(zé)落實(shí)信息化工作領(lǐng)導(dǎo)小組的決策，實(shí)施公司信息平安建設(shè)與管理，確保重要信息系統(tǒng)的有效愛(ài)惜和平安運(yùn)行。詳細(xì)職責(zé)包括：組織制定和實(shí)施公司信息平安政策標(biāo)準(zhǔn)、管理制度

3、和體系建設(shè)規(guī)劃，組織實(shí)施信息平安項(xiàng)目和培訓(xùn)，組織信息平安工作的監(jiān)督和檢查。公司保密部門負(fù)責(zé)信息平安工作中有關(guān)保密工作的監(jiān)督、檢查和指導(dǎo)。企事業(yè)單位信息部門負(fù)責(zé)本單位信息平安的管理，詳細(xì)職責(zé)包括：在本單位宣揚(yáng)和貫徹執(zhí)行信息平安政策與標(biāo)準(zhǔn)，確保本單位信息系統(tǒng)的平安運(yùn)行，實(shí)施本單位信息平安項(xiàng)目和培訓(xùn)，追蹤和查處本單位信息平安違規(guī)行為，組織本單位信息平安工作檢查，完成公司部署的信息平安工作。技術(shù)支持單位在信息管理部的領(lǐng)導(dǎo)下，擔(dān)當(dāng)所負(fù)責(zé)的信息系統(tǒng)和所在區(qū)域的信息平安管理任務(wù)，主要包括：在所維護(hù)系統(tǒng)和本區(qū)域內(nèi)宣揚(yáng)和貫徹信息平安政策與標(biāo)準(zhǔn)，確保所負(fù)責(zé)信息系統(tǒng)的平安運(yùn)行。各級(jí)信息管理部門設(shè)立信息平安管理和技術(shù)

4、崗位，包括信息平安、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、操作系統(tǒng)、網(wǎng)絡(luò)負(fù)責(zé)人和管理員，重要崗位可設(shè)置兩個(gè)員工互為備份。信息平安崗位的設(shè)立應(yīng)遵循職責(zé)分別的要求，包括：制度監(jiān)督者與執(zhí)行者分別，信息系統(tǒng)授權(quán)者與操作者分別，應(yīng)用系統(tǒng)管理員與數(shù)據(jù)庫(kù)管理員分別，程序開(kāi)發(fā)人員不應(yīng)具備對(duì)生產(chǎn)環(huán)境的訪問(wèn)權(quán)限。公司員工必需嚴(yán)格遵守公司信息平安政策、管理制度、技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)限制要求，擔(dān)當(dāng)相關(guān)平安義務(wù)和責(zé)任，并剛好報(bào)告信息平安事務(wù)。信息平安目標(biāo)與工作原則信息平安工作的總體目標(biāo)是：實(shí)施信息系統(tǒng)平安等級(jí)愛(ài)惜，建立和健全先進(jìn)好用、完整牢靠的信息平安體系，保證系統(tǒng)和信息的完整性、真實(shí)性、可用性、保密性和可控性，保障信息化建設(shè)和應(yīng)用，支撐公

5、司業(yè)務(wù)持續(xù)、穩(wěn)定、健康發(fā)展。信息平安體系建設(shè)必需堅(jiān)持以下原則：堅(jiān)持統(tǒng)一。信息平安體系必需統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一設(shè)計(jì)、統(tǒng)一投資、統(tǒng)一建設(shè)、統(tǒng)一管理。保障應(yīng)用。保障網(wǎng)絡(luò)和信息系統(tǒng)，特別是全局網(wǎng)絡(luò)和重要業(yè)務(wù)信息系統(tǒng)不間斷穩(wěn)定運(yùn)行及其信息的平安，實(shí)現(xiàn)以應(yīng)用促平安，以平安保應(yīng)用。符合法規(guī)。信息平安體系要滿足法律法規(guī)要求，包括國(guó)家對(duì)信息系統(tǒng)等級(jí)愛(ài)惜、企業(yè)內(nèi)部限制要求，主動(dòng)接受法律法規(guī)允許的、成熟的先進(jìn)技術(shù)和專業(yè)平安服務(wù)。綜合防范。管理與技術(shù)并重，相互補(bǔ)充。從組織與流程、制度與人員、場(chǎng)地與環(huán)境、網(wǎng)絡(luò)與系統(tǒng)、數(shù)據(jù)與應(yīng)用等多方面著手，在系統(tǒng)設(shè)計(jì)、建設(shè)和運(yùn)維的多環(huán)節(jié)進(jìn)行綜合防范。集中共享。建立集中、統(tǒng)一的信息平

6、安技術(shù)服務(wù)平臺(tái)和集中專業(yè)化的信息平安隊(duì)伍。信息平安工作基本要求依據(jù)公司信息平安專項(xiàng)規(guī)劃和總體方案，分層次建立以平安組織體系為核心、平安管理體系為保障、平安技術(shù)體系為支撐的全面信息平安體系，并保持三個(gè)體系穩(wěn)定、均衡發(fā)展。建立全面的信息平安管理體系：制定并實(shí)施統(tǒng)一的信息平安策略、管理制度和技術(shù)標(biāo)準(zhǔn)。實(shí)行信息系統(tǒng)資產(chǎn)管理責(zé)任制，愛(ài)惜信息系統(tǒng)，特別是核心信息系統(tǒng)的設(shè)備、軟件、數(shù)據(jù)和技術(shù)文檔的平安。建立信息系統(tǒng)物理環(huán)境、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)等各層面的平安管理流程，實(shí)現(xiàn)對(duì)信息系統(tǒng)全生命周期的平安管理。實(shí)現(xiàn)對(duì)信息系統(tǒng)的平安風(fēng)險(xiǎn)管理，剛好發(fā)覺(jué)和防范平安隱患。建立有效的信息平安技術(shù)體系：強(qiáng)化網(wǎng)絡(luò)、桌面和應(yīng)用系

7、統(tǒng)平安防護(hù)體系，依據(jù)自主定級(jí)、自主愛(ài)惜的原則，評(píng)估確定各信息系統(tǒng)愛(ài)惜等級(jí)并實(shí)施相應(yīng)的愛(ài)惜措施。建立統(tǒng)一的網(wǎng)絡(luò)平安信任體系，加強(qiáng)網(wǎng)絡(luò)實(shí)體身份管理與認(rèn)證，為網(wǎng)絡(luò)和信息系統(tǒng)平安運(yùn)行供應(yīng)信任基礎(chǔ)。建立完善有效的平安監(jiān)控和預(yù)警體系，監(jiān)控重要網(wǎng)絡(luò)和核心業(yè)務(wù)系統(tǒng)，剛好發(fā)覺(jué)平安隱患。建立全面有效的應(yīng)急響應(yīng)體系，制定并落實(shí)完整、規(guī)范的應(yīng)急處理和響應(yīng)流程，完善信息平安報(bào)告、處理機(jī)制。建立包括同城和異地容災(zāi)備份中心的信息系統(tǒng)災(zāi)難復(fù)原體系，定期進(jìn)行災(zāi)難復(fù)原的測(cè)試和演練，確保災(zāi)難發(fā)生后能夠充分發(fā)揮備份的效能，降低造成的影響和損失。信息平安監(jiān)控信息平安監(jiān)控的目的是對(duì)威逼系統(tǒng)、數(shù)據(jù)庫(kù)及網(wǎng)絡(luò)平安的因素進(jìn)行有效限制，防止由于技

8、術(shù)或人為因素導(dǎo)致的異樣和損失，同時(shí)為其他平安措施的設(shè)計(jì)和實(shí)施供應(yīng)牢靠依據(jù)。平安監(jiān)控的結(jié)果要保存一年以上。信息系統(tǒng)的運(yùn)行和維護(hù)單位，在國(guó)家法律和公司有關(guān)規(guī)定許可的范圍內(nèi)，詳細(xì)進(jìn)行規(guī)范、合理、有效的信息平安監(jiān)控。運(yùn)用公司網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的用戶有義務(wù)接受必要的監(jiān)控。監(jiān)控不能影響、泄漏不涉及平安問(wèn)題的網(wǎng)上行為和個(gè)人隱私的內(nèi)容。各級(jí)信息部門負(fù)責(zé)制定和實(shí)施信息平安監(jiān)控支配，包括日常監(jiān)控、應(yīng)急處理和定期匯報(bào)。日常監(jiān)控分為實(shí)時(shí)監(jiān)控和定期檢查，包括應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、操作系統(tǒng)、網(wǎng)絡(luò)、物理環(huán)境以及外部人員對(duì)信息系統(tǒng)訪問(wèn)的實(shí)時(shí)監(jiān)控與定期檢查。監(jiān)控及檢查結(jié)果要存檔備查，異樣狀況須剛好向有關(guān)負(fù)責(zé)人匯報(bào)。各級(jí)信息部門應(yīng)對(duì)網(wǎng)絡(luò)

9、及重要信息系統(tǒng)制定詳細(xì)的應(yīng)急處理預(yù)案。應(yīng)急處理依據(jù)預(yù)案進(jìn)行，并至少每年組織一次相關(guān)崗位人員進(jìn)行應(yīng)急預(yù)案演練。各級(jí)信息部門編制、上報(bào)信息平安月報(bào)和年報(bào)，剛好向主管領(lǐng)導(dǎo)和上級(jí)部門匯報(bào)重大信息平安風(fēng)險(xiǎn)和事務(wù)。信息平安風(fēng)險(xiǎn)評(píng)估信息管理部負(fù)責(zé)組織建立風(fēng)險(xiǎn)評(píng)估規(guī)范及實(shí)施團(tuán)隊(duì)，定期或在重大、特別事務(wù)發(fā)生時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估包括范圍確定、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和限制措施，確保信息平安，滿足應(yīng)用和業(yè)務(wù)須要。評(píng)估范圍可包括管理組織、流程、政策與標(biāo)準(zhǔn)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、操作系統(tǒng)、網(wǎng)絡(luò)、物理環(huán)境，應(yīng)涵蓋公司內(nèi)部關(guān)鍵限制點(diǎn)。風(fēng)險(xiǎn)識(shí)別包括識(shí)別風(fēng)險(xiǎn)類型和風(fēng)險(xiǎn)事務(wù)，形成風(fēng)險(xiǎn)列表，更新信息風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)。風(fēng)險(xiǎn)分析包括信息資產(chǎn)分類、

10、風(fēng)險(xiǎn)發(fā)生概率和影響程度分析，并確定風(fēng)險(xiǎn)等級(jí)，形成風(fēng)險(xiǎn)評(píng)估報(bào)告。限制措施包括平安管理策略和風(fēng)險(xiǎn)限制措施，形成風(fēng)險(xiǎn)限制報(bào)告。信息管理部將風(fēng)險(xiǎn)評(píng)估和限制報(bào)告上報(bào)信息主管領(lǐng)導(dǎo)審批。依據(jù)領(lǐng)導(dǎo)審批看法，落實(shí)限制措施。信息平安培訓(xùn)信息管理部負(fù)責(zé)制定公司信息平安培訓(xùn)支配，組織、實(shí)施信息平安管理和技術(shù)培訓(xùn)。各級(jí)信息部門負(fù)責(zé)相應(yīng)層級(jí)的信息平安培訓(xùn)，培訓(xùn)支配報(bào)信息管理部備案。信息管理部及各企事業(yè)單位信息部門對(duì)應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、操作系統(tǒng)和網(wǎng)絡(luò)管理員、開(kāi)發(fā)人員進(jìn)行信息平安技術(shù)培訓(xùn)，提高信息平安管理和維護(hù)水平。信息管理部及各企事業(yè)單位信息部門分層次、分類型對(duì)員工進(jìn)行信息平安培訓(xùn)，包括針對(duì)業(yè)務(wù)和技術(shù)管理人員進(jìn)行管理層面的信息平安管理培訓(xùn)，針對(duì)從事日常業(yè)務(wù)處理人員進(jìn)行操作層面基本平安學(xué)問(wèn)培訓(xùn)。員工上崗前，應(yīng)進(jìn)行崗位信息平安培訓(xùn)，并簽署信息平安保密協(xié)議。在崗位發(fā)生變動(dòng)時(shí)，剛好調(diào)整信息系統(tǒng)操作權(quán)限。信息平安政策與標(biāo)準(zhǔn)發(fā)生重大調(diào)整、新建和升級(jí)的信息系統(tǒng)投入運(yùn)用前，開(kāi)展必要的平安培訓(xùn)，明確相關(guān)調(diào)整和變更所帶來(lái)的信息平安權(quán)限和責(zé)任的變更。信息平安檢查與考核信息管理部定期進(jìn)行信息平安檢查與考核，包括信息平安政策與標(biāo)準(zhǔn)的培訓(xùn)與執(zhí)行狀況、重大信息平安事務(wù)及整改措施落實(shí)狀況、現(xiàn)有信息平安措施的