信息安全管理制度.docx

信息安全管理制度编号：第一章总则第一条为加强XXX有限公司（以下简称"公司"）信息系统安全管理，推进信息系统安全体系建设，保障信息系统安全稳定运行,根据国家有关法律、法规和公司相关规定，制定本办法。第二条本办法所称信息系统安全管理办法，包括信息安全的管理组织与职责、信息系统安全的治理规定、信息安全的监控、信息系统安全的风险评估。第三条本制度着力解决的问题制度空缺：公司缺少信息系统安全管理办法。明确信息系统安全管理过程中相关单位的职责。第四条本办法适用于公司各部门，各部门可参照本管理办法制定相应的实施细则。第二章管理组织与职责第五条信息中心职责信息中心是公司信息系统安全管理的归口部门，负责公司信息系统安全政策、制度和体系建设规划的审批，部署并协调信息系统安全体系和等级保护建设工作，并负责落实具体工作。第三章信息系统安全治理规定第六条信息系统安全工作基本要求根据公司信息系统安全总体方案，贯彻与实施国家信息安全等级保护制度，分层次建立以安全组织体系为核心、安全管理体系为保障、安全技术体系为支撑的全面信息系统安全体系，并保持三个体系稳定、均衡发展。第七条信息系统安全岗位要求信息系统安全岗位的设立应遵循职责分离的要求，包括：制度监督者与执行者分离、信息系统授权者与操作者分离、应用系统管理员与数据库管理员分离,程序开发人员不应具备对生产环境的访问权限。第八条信息系统安全管理体系信息系统安全管理体系包括：统一的信息系统安全策略、管理制度和技术标准；信息系统资产管理责任制；信息系统物理环境、网络、系统、应用、数据等各层面的安全管理流程；信息系统的安全风险管理。第九条信息系统安全技术体系信息系统安全技术体系包括：网络、桌面和应用系统安全防护措施；身份管理与认证平台；安全监控和预警机制；应急响应系统;同城和异地容灾备份中心。第四章安全监控第十条信息系统安全的监控目的信息系统安全监控的目的是对威胁系统、数据库及网络安全的因素进行有效控制，防止由于技术或人为因素导致的异常和损失，同时为其他安全措施的设计和实施提供可靠依据。安全监控的结果应保存一年以上。第十一条信息系统安全的监控职责信息系统的运行和维护单位，在国家法律规定和公司有关规定许可的范围内，具体进行规范、合理、有效的信息系统安全监控。使用公司网络及应用系统的用户有义务接受必要的监控。监控不能影响、泄漏不涉及安全问题的网上行为和个人隐私的内容。第十二条信息系统安全的监控检查日常监控分为实时监控和定期检查，包括应用系统、数据库、操作系统、网络、物理环境以及外部人员对信息系统访问的实时监控与定期检查。监控及检查结果要存档备查，异常情况须及时向有关负责人汇报。第十三条建立信息系统安全事件处理机制在全公司范围建立信息系统安全意外事件通报处理机制，应根据实际需要设立由信息部门和相关业务部门牵头的虚拟的信息系统安全事件处理组织，人员可由业务和信息技术管理人员兼任。第十四条建立信息系统安全事件处理细则信息系统管理部门组织制定、贯彻、执行信息系统安全事件识别、分级和处置细则，各信息系统的运行和维护单位要对发生的信息系统安全事件及时分级,及时通报，并采取有效措施避免或降低事件对业务的负面影响，事后要编制事件处理报告并按程序上报。第十五条信息系统应急演练各级信息部门应对网络及重要信息系统制定详细的应急处理预案。第十六条信息系统安全上报信息部门编制、上报信息系统安全月报和年报，及时向主管领导和上级部门汇报重大信息系统安全风险和事件。第五章信息系统安全风险评估第十七条信息系统安全风险评估总体要求信息化部负责组织建立风险评估规范及实施团队，定期或在重大、特殊事件发生后进行风险评估。第十八条信息系统安全风险评估分析风险评估包括范围确定、风险识别、风险分析和控制措施，确保信息系统安全满足应用和业务需要。评估范围包括管理组织、流程、政策与标准、应用系统、数据库、操作系统、网络、物理环境，应涵盖公司内部关键控制点。风险识别包括识别风险类型和风险事件，形成风险列表，更新信息风险数据库。风险分析包括信息资产分类、风险发生概率和影响程度分析，并确定风险等级，形成风险评估报告。控制措施包括安全管理策略和风险控制措施，形成风险控制报告。第十九条信息系统安全风险上报信息化部负责将风险评估和控制报告上报信息主管领导审批。根据领导审批意见，落实控制措施。第六章培训第二十条信息安全培训信息化部负责制定公司信息系统安全培训计划，组织、实施信息系统安全管理和技术培训I。第七章检查第二十一条信息系统安全检查信息化部定期组织信息系统的安全检查与考核，包括信息系统安全政策与标准的培训与执行情况、重大信息系统安全事件及整改措施落实情况现有信息系统安全措施的有效性、信息系统安全技术指标完成情况。第八章附则第二十二条本办法由信息化部负责解释。第二十三条本办法自印发之日起执行。