信息安全管理辦法
第一章 總則
第一條 為加強公司信息安全管理,推進信息安全體系建設,保障信息系統安全穩定運行,根據國家有關法律、法規和《公司信息化工作管理規定》,制定本辦法。
第二條 本辦法所指的信息安全管理,是指計算機網絡及信息系統(以下簡稱信息系統)的硬件、軟件、數據及環境受到有效保護,信息系統的連續、穩定、安全運行得到可靠保障。
第三條 公司信息安全管理堅持“誰主管誰負責、 誰運行 誰負責”的基本原則,各信息系統的主管部門、運營和使用單 位各自履行相關的信息系統安全建設和管理的義務與責任。 第四條 信息安全管理,包括管理組織與職責、信息安 全目標與工作原則、 信息安全工作基本要求、 信息安全監控、 信息安全風險評估、信息安全培訓、信息安全檢查與考核。
第二章信息安全管理組織與職責
第四條 公司信息化工作領導小組是信息安全工作的最高決策機構,負責信息安全政策、制度和體系建設規劃的審批,部署并協調信息安全體系建設,領導信息系統等級保護工作。
第五條 公司建立和健全由總部、企事業單位以及信息技術支持單位三方面組成,協調一致、密切配合的信息安全組織和責任體系。各級信息安全組織均要明確主管領導,確定相關責任,設置相應崗位,配備必要人員。
第六條 信息管理部是公司信息安全的歸口管理部門,負責落實信息化工作領導小組的決策,實施公司信息安全建設與管理,確保重要信息系統的有效保護和安全運行。具體職責包括:組織制定和實施公司信息安全政策標準、管理制度和體系建設規劃,組織實施信息安全項目和培訓,組織信息安全工作的監督和檢查。
第七條 公司保密部門負責信息安全工作中有關保密工作的監督、檢查和指導。
第八條 企事業單位信息部門負責本單位信息安全的管理,具體職責包括:在本單位宣傳和貫徹執行信息安全政策與標準,確保本單位信息系統的安全運行,實施本單位信息安全項目和培訓,追蹤和查處本單位信息安全違規行為,組織本單位信息安全工作檢查,完成公司部署的信息安全工作。
第九條 技術支持單位在信息管理部的領導下,承擔所負責的信息系統和所在區域的信息安全管理任務,主要包括:在所維護系統和本區域內宣傳和貫徹信息安全政策與標準,確保所負責信息系統的安全運行。
第十條 各級信息管理部門設立信息安全管理和技術崗位,包括信息安全、應用系統、數據庫、操作系統、網絡負責人和管理員,重要崗位可設置兩個員工互為備份。
第十一條 信息安全崗位的設立應遵循職責分離的要求,包括:制度監督者與執行者分離,信息系統授權者與操作者分離,應用系統管理員與數據庫管理員分離,程序開發人員不應具備對生產環境的訪問權限。
第十二條 公司員工必須嚴格遵守公司信息安全政策、管理制度、技術標準和信息系統控制要求,承擔相關安全義務和責任,并及時報告信息安全事件。
第三章信息安全目標與工作原則
第十三條 信息安全工作的總體目標是:實施信息系統安全等級保護,建立和健全先進實用、完整可靠的信息安全體系,保證系統和信息的完整性、真實性、可用性、保密性和可控性,保障信息化建設和應用,支撐公司業務持續、穩定、健康發展。
第十四條 信息安全體系建設必須堅持以下原則:堅持統一。信息安全體系必須統一規劃、統一標準、統一設計、統一投資、統一建設、統一管理。保障應用。保障網絡和信息系統,特別是全局網絡和重要業務信息系統不間斷穩定運行及其信息的安全,實現以應用促安全,以安全保應用。符合法規。信息安全體系要滿足法律法規要求,包括國家對信息系統等級保護、企業內部控制要求,積極采用法律法規允許的、成熟的先進技術和專業安全服務。綜合防范。管理與技術并重,相互補充。從組織與流程、制度與人員、場地與環境、網絡與系統、數據與應用等多方面著手,在系統設計、建設和運維的多環節進行綜合防范。集中共享。建立集中、統一的信息安全技術服務平臺和集中專業化的信息安全隊伍。第四章信息安全工作基本要求
第十五條 根據公司信息安全專項規劃和總體方案,分層次建立以安全組織體系為核心、安全管理體系為保障、安全技術體系為支撐的全面信息安全體系,并保持三個體系穩定、均衡發展。
第十六條 建立全面的信息安全管理體系:制定并實施統一的信息安全策略、管理制度和技術標準。實行信息系統資產管理責任制,保護信息系統,特別是核心信息系統的設備、軟件、數據和技術文檔的安全。建立信息系統物理環境、網絡、系統、應用、數據等各層面的安全管理流程,實現對信息系統全生命周期的安全管理。實現對信息系統的安全風險管理,及時發現和防范安全隱患。
第十七條 建立有效的信息安全技術體系:強化網絡、桌面和應用系統安全防護體系,按照自主定級、自主保護的原則,評估確定各信息系統保護等級并實施相應的保護措施。建立統一的網絡安全信任體系,加強網絡實體身份管理與認證,為網絡和信息系統安全運行提供信任基礎。建立完善有效的安全監控和預警體系,監控重要網絡和核心業務系統,及時發現安全隱患。建立全面有效的應急響應體系,制定并落實完整、規范的應急處理和響應流程,完善信息安全報告、處理機制。建立包括同城和異地容災備份中心的信息系統災難恢復體系,定期進行災難恢復的測試和演練,確保災難發生后能夠充分發揮備份的效能,降低造成的影響和損失。第五章信息安全監控
第十八條 信息安全監控的目的是對威脅系統、數據庫及網絡安全的因素進行有效控制,防止由于技術或人為因素導致的異常和損失,同時為其他安全措施的設計和實施提供可靠依據。安全監控的結果要保存一年以上。
第十九條 信息系統的運行和維護單位,在國家法律和公司有關規定許可的范圍內,具體進行規范、合理、有效的信息安全監控。使用公司網絡及應用系統的用戶有義務接受必要的監控。監控不能影響、泄漏不涉及安全問題的網上行為和個人隱私的內容。
第二十條 各級信息部門負責制定和實施信息安全監控計劃,包括日常監控、應急處理和定期匯報。
第二十一條 日常監控分為實時監控和定期檢查,包括應用系統、數據庫、操作系統、網絡、物理環境以及外部人員對信息系統訪問的實時監控與定期檢查。監控及檢查結果要存檔備查,異常情況須及時向有關負責人匯報。
第二十二條 各級信息部門應對網絡及重要信息系統制定詳細的應急處理預案。應急處理按照預案進行,并至少每年組織一次相關崗位人員進行應急預案演練。
第二十三條 各級信息部門編制、上報信息安全月報和年報,及時向主管領導和上級部門匯報重大信息安全風險和事件。
第六章 信息安全風險評估
第二十四條 信息管理部負責組織建立風險評估規范及實施團隊,定期或在重大、特殊事件發生時進行風險評估。
第二十五條 風險評估包括范圍確定、風險識別、風險分析和控制措施,確保信息安全,滿足應用和業務需要。評估范圍可包括管理組織、流程、政策與標準、應用系統、數據庫、操作系統、網絡、物理環境,應涵蓋公司內部關鍵控制點。風險識別包括識別風險類型和風險事件,形成風險列表,更新信息風險數據庫。風險分析包括信息資產分類、風險發生概率和影響程度分析,并確定風險等級,形成風險評估報告。控制措施包括安全管理策略和風險控制措施,形成風險控制報告。
第二十六條 信息管理部將風險評估和控制報告上報信息主管領導審批。根據領導審批意見,落實控制措施。
第七章 信息安全培訓
第二十七條 信息管理部負責制定公司信息安全培訓計劃,組織、實施信息安全管理和技術培訓。各級信息部門負責相應層級的信息安全培訓,培訓計劃報信息管理部備案。
第二十八條 信息管理部及各企事業單位信息部門對應用系統、數據庫、操作系統和網絡管理員、開發人員進行信息安全技術培訓,提高信息安全管理和維護水平。
第二十九條 信息管理部及各企事業單位信息部門分層次、分類型對員工進行信息安全培訓,包括針對業務和技術管理人員進行管理層面的信息安全管理培訓,針對從事日常業務處理人員進行操作層面基本安全知識培訓。
第三十條 員工上崗前,應進行崗位信息安全培訓,并簽署信息安全保密協議。在崗位發生變動時,及時調整信息系統操作權限。
第三十一條 信息安全政策與標準發生重大調整、新建和升級的信息系統投入使用前,開展必要的安全培訓,明確相關調整和變更所帶來的信息安全權限和責任的變化。
第八章 信息安全檢查與考核
第三十二條 信息管理部定期進行信息安全檢查與考核,包括信息安全政策與標準的培訓與執行情況、重大信息安全事件及整改措施落實情況、現有信息安全措施的有效性、信息安全技術指標完成情況。
第三十三條 各企事業單位信息部門按照本辦法和《公司信息系統運行維護管理辦法》進行信息安全自我考核,信息管理部進行綜合評價,形成年度考核報告,報信息主管領導。第三十六條對于不執行本辦法造成嚴重后果的,應追究相關部門和個人責任。第九章附則
第三十四條 各企事業單位可參照本管理辦法制定相應的實施細則。
第三十五條 本辦法由公司信息管理部負責解釋。
第三十六條 本辦法自印發之日起施行。
