xx信息系统安全管理办法

1 信息系统安全管理的基本要求

1.1 信息系统安全管理按照“三同步”原则进行，即同步设计、同步建设、同步运行。

1.2 信息系统的安全管理包括：组织和人员管理、信息系统建设安全管理、运行维护安全管理和信息安全风险评估等。

1.3 依据国家《计算机信息系统安全保护等级划分准则》，结合公司实际情况，信息系统实行等级化保护和等级化管理。适用于公司所属各二级单位、机关各部室。

2 职责与分工

2.1 为保证信息系统安全运行，建立公司、二级单位两级信息系统安全管理体系，本着“谁主管谁负

责，谁运行谁负责”的原则，在公司设立信息安全领导小组，接受公司信息化领导小组和公司保密委员会的指导，信息部全面负责公司信息系统安全管理工作，机关各部室和各二级单位分别设立信息系统安全管理组织，各司其责，做好本部门或本单位信息系统安全管理工作。

2.2 公司信息部负责对公司信息系统安全的统一管理。组织制定并执行信息系统安全规划、策略、标

准、流程、应急计划；行使防范与保护、监控与检查、响应与处置职能；负责对公司重大信息安全项目实行集中决策，统一部署，优化配置资源，建设全局性的信息系统安全体系；负责对公司信息系统建设项目验收的信息安全评估与审批；负责落实信息系统安全宣传教育与培训计划等。

2.3 各二级单位和机关各部室应建立信息系统安全管理组织或兼职管理员。负责信息安全管理实施细

则和要求的落实；检查信息系统安全管理的日常工作；修改完善信息安全策略规范；关注信息安全风险；加强对内部信息系统使用人员的安全管理，在岗位职责中明确其信息安全责任；监督信息系统建设、运行、维护第三方单位属地的信息安全工作；协调处理安全威胁、违例行为和其他信息安全突发事件。

2.4 电信事业部和档案管理中心应配合公司信息部做好信息系统安全工作。按照《中国石化信息系统XXX 远程安全接入解决方案 NeoAccel SSL VPN 美国新安 VPN-Plus 网关前言企业需求 2.1 访问现

关键岗位安全管理办法》，设立并加强对本单位信息系统安全管理员、系统管理员、数据库管理员、网络管理员、系统维护人员、重要应用系统的开发、操作人员等信息系统关键岗位人员资格、职责、权限、培训、考核、监督的管理。定期组织开展应急预案演练工作。

3 信息系统安全管理内容与方法

3.1 信息系统安全保护等级划分

3.1.1 公司的信息系统安全保护等级总体定为三个级别，分为三级、二级和一级，其中三级的信息安全保护等级最高。信息系统安全等级定为二级以上的信息系统在本管理办法中定义为重要信息系统。

3.1.2 信息安全保护等级为一级：信息系统所处理的信息为一般信息。系统所管理、控制和处理的信息资产，在遭到攻击和破坏时，系统所承载的业务以及单位利益造成较小的负面影响。

3.1.3 信息安全保护等级为二级：信息系统处理信息为日常业务信息。系统所管理、控制和处理的信息资产，在遭到攻击和破坏时，会对系统所承载的业务以及单位利益带来一定的损失或破坏。

3.1.4 信息安全保护等级为三级：信息系统处理信息为核心业务信息。系统所管理、控制和处理的信

息资产，在遭到攻击和破坏时，会对系统所承载的业务、单位利益以及社会公共利益带来严重的损失或破坏，对社会稳定、国家安全产生负面影响。

3.1.5 各级信息系统安全管理组织或兼职管理员根据以上分级标准，对信息系统进行分级保护。具体

信息系统安全等级的确定要以应用系统为核心进行，用于支撑应用系统的公共应用平台、操作系统平台和网络平台的安全等级应不低于应用系统的安全等级。

3.2 信息系统建设

3.2.1 信息安全是信息系统建设的重要组成部分，信息安全建设应与业务系统“同步设计、同步建设、同步运行”。

3.2.2 重要信息系统应有安全性设计、论证和评估，包括安全需求、安全功能、安全措施、性能指标XXX 远程安全接入解决方案 NeoAccel SSL VPN 美国新安 VPN-Plus 网关前言企业需求 2.1 访问现