企业信息安全管理规定

精心整理

信息安全管理办法

第一章总则

第一条为加强公司信息安全管理，推进信息安全体系建设，保障信息系统安全稳定运行，根据国家有关法律、法规和《公司信息化工作管理

第二章信息安全管理组织与职责

第六条公司信息化工作领导小组是信息安全工作的最高决策机构，负责信息安全政策、制度和体系建设规划的审批，部署并协调信息安全体系建设，领导信息系统等级保护工作。

员。

包括：在本单位宣传和贯彻执行信息安全政策与标准，确保本单位信息系统的安全运行，实施本单位信息安全项目和培训，追踪和查处本单位信息安全违规行为，组织本单位信息安全工作检查，完成公司部署的信息安全工作。

第十一条技术支持单位在信息管理部的领导下，承担所负责的信息系统和所在区域的信息安全管理任务，主要包括：在所维护系统和本区域内宣传和贯彻信息安全政策与标准，确保所负责信息系统的安全运行。

第十二条各级信息管理部门设立信息安全管理和技术岗位，包括信息安全、应用系统、数据库、操作系统、网络负责人和管理员，重要岗位可

制度监

技术

性、真实性、可用性、保密性和可控性，保障信息化建设和应用，支撑公司业务持续、稳定、健康发展。

第十六条信息安全体系建设必须坚持以下原则：

坚持统一。信息安全体系必须统一规划、统一标准、统一设计、统一

投资、统一建设、统一管理。

保障应用。保障网络和信息系统，特别是全局网络和重要业务信息系统不间断稳定运行及其信息的安全，实现以应用促安全，以安全保应用。

符合法规。信息安全体系要满足法律法规要求，包括国家对信息系统等级保护、企业内部控制要求，积极采用法律法规允许的、成熟的先进技

第十八条建立全面的信息安全管理体系：

制定并实施统一的信息安全策略、管理制度和技术标准。

实行信息系统资产管理责任制，保护信息系统，特别是核心信息系统的设备、软件、数据和技术文档的安全。

建立信息系统物理环境、网络、系统、应用、数据等各层面的安全管理流程，实现对信息系统全生命周期的安全管理。

实现对信息系统的安全风险管理，及时发现和防范安全隐患。

第十九条建立有效的信息安全技术体系：

强化网络、桌面和应用系统安全防护体系，按照自主定级、自主保护

第二十条信息安全监控的目的是对威胁系统、数据库及网络安全的因素进行有效控制，防止由于技术或人为因素导致的异常和损失，同时为其

他安全措施的设计和实施提供可靠依据。安全监控的结果要保存一年以上。

第二十一条信息系统的运行和维护单位，在国家法律和公司有关规定许可的范围内，具体进行规范、合理、有效的信息安全监控。使用公司网络及应用系统的用户有义务接受必要的监控。监控不能影响、泄漏不涉及

包括日

数据管领导和上级部门汇报重大信息安全风险和事件。

第六章信息安全风险评估

第二十六条信息管理部负责组织建立风险评估规范及实施团队，定期或在重大、特殊事件发生时进行风险评估。

第二十七条风险评估包括范围确定、风险识别、风险分析和控制措施，

第二十九条信息管理部负责制定公司信息安全培训计划，组织、实施信息安全管理和技术培训。各级信息部门负责相应层级的信息安全培训，培训计划报信息管理部备案。

第三十条信息管理部及各企事业单位信息部门对应用系统、数据库、操作系统和网络管理员、开发人员进行信息安全技术培训，提高信息安全管理和维护水平。

第三十一条信息管理部及各企事业单位信息部门分层次、分类型对员工进行信息安全培训，包括针对业务和技术管理人员进行管理层面的信息

训。

现有信息安全措施的有效性、信息安全技术指标完成情况。

第三十五条各企事业单位信息部门按照本办法和《公司信息系统运行维护管理办法》进行信息安全自我考核，信息管理部进行综合评价，形成年度考核报告，报信息主管领导。

第三十六条对于不执行本办法造成严重后果的，应追究相关部门和个人责任。

第九章附则

第三十七条各企事业单位可参照本管理办法制定相应的实施细则。