公司信息系統(tǒng)安全管理制度

1、 公司信息系統(tǒng)安全管理制度 總則 第一條 為加強和規(guī)范公司信息系統(tǒng)安全防護實施工作，確保信息系統(tǒng)的安全實施，提高信息系統(tǒng)整體安全防護水平，實現(xiàn)信息系統(tǒng)的可控、能控、在控。 第二條 本制度參照中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理制度、互聯(lián)網(wǎng)信息服務(wù)管理規(guī)定、xx集團暨股份公司信息系統(tǒng)安全管理制度（試行）為依據(jù)制定。第三條 本辦法是公司制度體系的第二層級,其上一級為xx集團有限公司內(nèi)部控制基本制度。適用于公司及子公司、分公司和項目經(jīng)理部。所指的信息系統(tǒng)是指信息基礎(chǔ)設(shè)施（包括軟、硬件系統(tǒng)平臺等）。第二章 內(nèi)容與要求 第四條 本制度對信息系統(tǒng)安全防護策略、安全防護措施建設(shè)與對信息系統(tǒng)維護、

2、安全檢查等管理工作做出具體規(guī)定。 第五條 信息系統(tǒng)安全防護實施工作應(yīng)統(tǒng)一組織，堅持與信息化建設(shè)同時規(guī)劃、同時建設(shè)、同時投入運行的“三同步”原則。 第六條 建立健全安全防護策略，落實各項安全防護措施，通過對信息系統(tǒng)進行信息安全檢查，不斷改善信息系統(tǒng)安全防護工作。 第三章 組織管理 第七條 信息系統(tǒng)安全防護工作按照“統(tǒng)一領(lǐng)導(dǎo)，分級負責(zé)”的原則，統(tǒng)一組織安全防護體系的實施工作。 第八條 公司信息安全管理領(lǐng)導(dǎo)小組是信息安全防護工作的管理主責(zé)機構(gòu)，信息安全管理辦公室具體負責(zé)組織本公司信息系統(tǒng)安全防護實施工作。 第九條 信息系統(tǒng)安全防護工作主要職責(zé)： 負責(zé)落實相關(guān)的標準、規(guī)范和管理要求； 負責(zé)建立信息系統(tǒng)

3、安全防護策略、制度、標準、規(guī)范體系； 負責(zé)指導(dǎo)、協(xié)調(diào)、檢查、監(jiān)督各單位的信息系統(tǒng)安全防護實施工作； 組織落實信息系統(tǒng)等級保護制度； 第十條 信息安全管理領(lǐng)導(dǎo)小組應(yīng)定期對信息系統(tǒng)進行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況。第四章 安全防護建設(shè) 第十一條 信息系統(tǒng)安全防護建設(shè)要與信息化建設(shè)同步規(guī)劃、同步建設(shè)、同步投入運行，要按照信息系統(tǒng)等級保護要求，采取相應(yīng)安全策略，實現(xiàn)相應(yīng)安全功能。 第十二條 公司信息安全管理領(lǐng)導(dǎo)小組負責(zé)制定及審核信息系統(tǒng)建設(shè)過程中的安全防護措施，公司信息安全管理辦公室負責(zé)具體實施。第五章 安全防護策略 第十三條

4、信息系統(tǒng)要落實安全防護等級保護制度，實行“系統(tǒng)分級、防護分域、預(yù)防為主、積極管控”的總體安全防護策略。 第十四條 按照規(guī)定，逐步進行信息系統(tǒng)安全防護等級保護工作，重點做好信息系統(tǒng)的安全等級防護工作。 第十五條 根據(jù)信息系統(tǒng)管理的重要程度，應(yīng)對系統(tǒng)進行安全等級的劃分，并采取不同強度的安全防護措施。 第十六條 信息系統(tǒng)安全防護工作應(yīng)以預(yù)防為主，從信息安全風(fēng)險管理的角度出發(fā)、從信息系統(tǒng)全生命周期各階段的特點出發(fā)、從業(yè)務(wù)系統(tǒng)的安全特性出發(fā)，采取主動、嚴密的預(yù)防措施，達到防患于未然的目的。 第十七條 為全面應(yīng)對信息安全事件需要建立積極的管控機制，融合技術(shù)和管理手段，實現(xiàn)對信息安全風(fēng)險的主動跟蹤、及時掌握

5、、有效處理，達到可控、能控、在控的管理效果。 第十八條 公司信息安全管理領(lǐng)導(dǎo)小組負責(zé)組織制定公司信息系統(tǒng)安全防護體系，負責(zé)確定信息系統(tǒng)各個部分的安全防護等級，以及要采取的安全策略、安全措施及管理制度等，制定信息系統(tǒng)安全防護方案和信息系統(tǒng)等級化實施方案，對各單位信息系統(tǒng)安全等級保護和安全域工作落實情況進行指導(dǎo)、組織開展等級化評估和備案管理，制定信息系統(tǒng)與設(shè)備接入、訪問、授權(quán)、加固、審計、系統(tǒng)和數(shù)據(jù)備份等具體安全策略。第六章 安全防護技術(shù) 第十九條 應(yīng)按照信息系統(tǒng)的特性，對其進行安全防護，可利用但不僅包括下列技術(shù)：1、應(yīng)用適當技術(shù)手段，對遠程接入訪問進行認證和權(quán)限控制；2、對系統(tǒng)主機和數(shù)據(jù)庫進行必

6、要的安全加固，通過合理地設(shè)置系統(tǒng)配置、服務(wù)、權(quán)限，減少安全弱點。系統(tǒng)服務(wù)器和客戶端應(yīng)嚴格控制操作系統(tǒng)及應(yīng)用軟件的安裝與使用；3、建立數(shù)據(jù)備份機制，根據(jù)系統(tǒng)重要程度建立數(shù)據(jù)、系統(tǒng)及應(yīng)用的備份策略。4、對重要和敏感信息實行加密傳輸和存儲；對重要信息實行自動、定期備份。第七章 安全防護運行管理第二十條 制定安全管理相關(guān)制度，落實崗位責(zé)任制，加強安全工作。第二十一條 安全防護系統(tǒng)應(yīng)由專人管理，根據(jù)信息系統(tǒng)的變更及時調(diào)整安全策略、更新代碼、更改配置，加強日常運行監(jiān)控。第二十二條 加強企業(yè)級信息系統(tǒng)的用戶口令管理；對于主機、數(shù)據(jù)庫、應(yīng)用服務(wù)器等系統(tǒng)管理員口令應(yīng)定期更改。第二十三條 加強對企業(yè)級信息系統(tǒng)的數(shù)據(jù)備份管理，制定并及時調(diào)整備份策略，落實備份制度。第二十四條 制定企業(yè)級信息系統(tǒng)的應(yīng)急預(yù)案，不斷改進薄弱環(huán)節(jié)。第二十五條 加強信息安全事件的應(yīng)急管理，建立和規(guī)范信息安全事件的發(fā)現(xiàn)、預(yù)警、分析、通報、及處置的工作流程，確保一旦發(fā)生網(wǎng)絡(luò)與信息安全事件時，能夠及時有效處理。第二十六條 加強信息系統(tǒng)安全日志管理，嚴格執(zhí)行系統(tǒng)審計。做好安全分析工作，消除安全隱患。第二十七條 建立員工信息安全與保密制度。對信息系統(tǒng)的訪問嚴格按照訪問權(quán)限進行控制和調(diào)整。對外來人員接入系統(tǒng)要嚴格管理，并對外來人員在信息系統(tǒng)的工作進行監(jiān)控。第二十八條 制定安全審核和安全檢查制度規(guī)范，并定期按照程序進行安全審核和安全檢查活