企业信息安全管理办法范文2完整篇.doc

企业信息安全管理办法范文1第2页

相应的保护措施。

建立统一的网络安全信任体系，加强网络实体身份管理与认证，为网络和信息系统安全运行提供信任基础。

建立完善有效的安全监控和预警体系，监控重要网络和核心业务系统，及时发现安全隐患。

建立全面有效的应急响应体系，制定并落实完整、规范的应急处理和响应流程，完善信息安全报告、处理机制。

建立包括同城和异地容灾备份中心的信息系统灾难恢复体系，定期进行灾难恢复的测试和演练，确保灾难发生后能够充分发挥备份的效能，降低造成的影响和损失。

第五章信息安全监控

第二十条信息安全监控的目的是对威胁系统、数据库及网络安全的因素进行有效控制，防止由于技术或人为因素导致的异常和损失，同时为其他安全措施的设计和实施提供可靠依据。安全监控的结果要保存一年以上。

第二十一条信息系统的运行和维护单位，在国家法律和公司有关规定许可的范围内，具体进行规范、合理、有效的信息安全监控。使用公司网络及应用系统的用户有义务接受

必要的监控。监控不能影响、泄漏不涉及安全问题的网上行为和个人隐私的内容。

第二十二条各级信息部门负责制定和实施信息安全监控计划，包括日常监控、应急处理和定期汇报。

第二十三条日常监控分为实时监控和定期检查，包括应用系统、数据库、操作系统、网络、物理环境以及外部人员对信息系统访问的实时监控与定期检查。监控及检查结果要存档备查，异常情况须及时向有关负责人汇报。

第二十四条各级信息部门应对网络及重要信息系统制定详细的应急处理预案。应急处理按照预案进行，并至少每年组织一次相关岗位人员进行应急预案演练。

第二十五条各级信息部门编制、上报信息安全月报和年报，及时向主管领导和上级部门汇报重大信息安全风险和事件。

第六章信息安全风险评估

第二十六条信息管理部负责组织建立风险评估规范及实施团队，定期或在重大、特殊事件发生时进行风险评估。

第二十七条风险评估包括范围确定、风险识别、风险分析和控制措施，确保信息安全，满足应用和业务需要。

评估范围可包括管理组织、流程、政策与标准、应用系统、数据库、操作系统、网络、物理环境，应涵盖公司内部关键控制点。

风险识别包括识别风险类型和风险事件，形成风险列表，更新信息风险数据库。

风险分析包括信息资产分类、风险发生概率和影响程度分析，并确定风险等级，形成风险评估报告。

控制措施包括安全管理策略和风险控制措施，形成风险控制报告。

第二十八条信息管理部将风险评估和控制报告上报信息主管领导审批。根据领导审批意见，落实控制措施。

第七章信息安全培训

第二十九条信息管理部负责制定公司信息安全培训计划，组织、实施信息安全管理和技术培训。各级信息部门负责相应层级的信息安全培训，培训计划报信息管理部备案。

第三十条信息管理部及各企事业单位信息部门对应用系统、数据库、操作系统和网络管理员、开发人员进行信息安全技术培训，提高信息安全管理和维护水平。

第三十一条信息管理部及各企事业单位信息部门分层次、分类型对员工进行信息安全培训，包括针对业务和技术管理人员进行管理层面的信息安全管理培训，针对从事日常业务处理人员进行操作层面基本安全知识培训。

第三十二条员工上岗前，应进行岗位信息安全培训，并签署信息安全保密协议。在岗位发生变动时，及时调整信息系统操作权限。

第三十三条信息安全政策与标准发生重大调整、新建和升级的信息系统投入使用前，开展必要的安全培训，明确相关调整和

变更所带来的信息安全权限和责任的变化。

第八章信息安全检查与考核

第三十四条信息管理部定期进行信息安全检查与考核，包括信息安全政策与标准的培训与执行情况、重大信息安全事件及整改措施落实情况、现有信息安全措施的有效性、信息安全技术指标完成情况。

第三十五条各企事业单位信息部门按照本办法和《公司信息系统运行维护管理办法》进行信息安全自我考核，信息管理部进行综合评价，形成年度考核报告，报信息主管领导。

第三十六条对于不执行本办法造成严重后果的，应追究相关部门和个人责任。

第九章附则

第三十七条各企事业单位可参照本管理办法制定相应的实施细则。

第三十八条本办法由公司信息管理部负责解释。

第三十九条本办法自印发之日起施行。