《企业信息安全管理办法.pdf》由会员分享,可在线阅读,更多相关《企业信息安全管理办法.pdf(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息平安管理方法第一章总那么第一条第一条为加强公司信息平安管理,推进信息平安体系建立,保障信息系统平安稳定运行,根据国家有关法律、法规和?公司信息化工作管理规定?,制定本方法。第二条第二条本方法所指的信息平安管理,是指计算机网络及信息系统 以下简称信息系统 的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、平安运行得到可靠保障。第三条第三条公司信息平安管理坚持“谁主管谁负责、谁运行谁负责的根本原那么,各信息系统的主管部门、运营和使用单位各自履行相关的信息系统平安建立和管理的义务与责任。第四条第四条信息平安管理,包括管理组织与职责、信息平安目标与工作原那么、信息平安工作根本要求、信息平
2、安监控、信息平安风险评估、信息平安培训、信息平安检查与考核。第五条第五条本方法适用于公司总部、各企事业单位及其全体员工。第二章信息平安管理组织与职责第六条第六条公司信息化工作领导小组是信息平安工作的最高决策机构,负责信息平安政策、制度和体系建立规划的审批,部署并协调信息平安体系建立,领导信息系统等级保护工作。第七条第七条公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成,协调一致、密切配合的信息平安组织和责任体系。各级信息平安组织均要明确主管领导,确定相关责任,设置相应岗位,配备必要人员。第八条第八条信息管理部是公司信息平安的归口管理部门,负责落实信息化工作领导小组的决策,实施公司
3、信息平安建立与管理,确保重要信息系统的有效保护和平安运行。具体职责包括:组织制定和实施公司信息平安政策标准、管理制度和体系建立规划,组织实施信息平安工程和培训,组织信息平安工作的监视和检查。第九条第九条公司保密部门负责信息平安工作中有关保密工作的监视、检查和指导。第十条第十条企事业单位信息部门负责本单位信息平安的管理,具体职责包括:在本单位宣传和贯彻执行信息平安政策与标准,确保本单位信息系统的页脚下载后可删除,如有侵权请告知删除!平安运行,实施本单位信息平安工程和培训,追踪和查处本单位信息平安违规行为,组织本单位信息平安工作检查,完成公司部署的信息平安工作。第十一条第十一条技术支持单位在信息管
4、理部的领导下,承当所负责的信息系统和所在区域的信息平安管理任务,主要包括:在所维护系统和本区域内宣传和贯彻信息平安政策与标准,确保所负责信息系统的平安运行。第十二条第十二条各级信息管理部门设立信息平安管理和技术岗位,包括信息平安、应用系统、数据库、操作系统、网络负责人和管理员,重要岗位可设置两个员工互为备份。第十三条第十三条信息平安岗位的设立应遵循职责别离的要求,包括:制度监视者与执行者别离,信息系统授权者与操作者别离,应用系统管理员与数据库管理员别离,程序开发人员不应具备对生产环境的访问权限。第十四条第十四条安事件。公司员工必须严格遵守公司信息平安政策、管理制度、技术标准和信息系统控制要求,
5、承当相关平安义务和责任,并及时报告信息平第三章信息平安目标与工作原那么第十五条第十五条信息平安工作的总体目标是:实施信息系统平安等级保护,建立和健全先进实用、完整可靠的信息平安体系,保证系统和信息的完整性、真实性、可用性、保密性和可控性,保障信息化建立和应用,支撑公司业务持续、稳定、安康开展。第十六条第十六条信息平安体系建立必须坚持以下原那么:坚持统一。信息平安体系必须统一规划、统一标准、统一设计、统一投资、统一建立、统一管理。保障应用。保障网络和信息系统,特别是全局网络和重要业务信息系统不连续稳定运行及其信息的平安,实现以应用促平安,以平安保应用。符合法规。信息平安体系要满足法律法规要求,包
6、括国家对信息系统等级保护、企业内部控制要求,积极采用法律法规允许的、成熟的先进技术和专业平安效劳。综合防范。管理与技术并重,相互补充。从组织与流程、制度与人员、场地与环境、网络与系统、数据与应用等多方面着手,在系统设计、建立和运维的多环节进展综合防范。集中共享。建立集中、统一的信息平安技术效劳平台和集中专业化的信息平安队伍。页脚下载后可删除,如有侵权请告知删除!第四章信息平安工作根本要求第十七条第十七条根据公司信息平安专项规划和总体方案,分层次建立以平安组织体系为核心、平安管理体系为保障、平安技术体系为支撑的全面信息平安体系,并保持三个体系稳定、均衡开展。第十八条第十八条建立全面的信息平安管理
7、体系:制定并实施统一的信息平安策略、管理制度和技术标准。实行信息系统资产管理责任制,保护信息系统,特别是核心信息系统的设备、软件、数据和技术文档的平安。建立信息系统物理环境、网络、系统、应用、数据等各层面的平安管理流程,实现对信息系统全生命周期的平安管理。实现对信息系统的平安风险管理,及时发现和防范平安隐患。第十九条第十九条建立有效的信息平安技术体系:强化网络、桌面和应用系统平安防护体系,按照自主定级、自主保护的原那么,评估确定各信息系统保护等级并实施相应的保护措施。建立统一的网络平安信任体系,加强网络实体身份管理与认证,为网络和信息系统平安运行提供信任根底。建立完善有效的平安监控和预警体系,
8、监控重要网络和核心业务系统,及时发现平安隐患。建立全面有效的应急响应体系,制定并落实完整、标准的应急处理和响应流程,完善信息平安报告、处理机制。建立包括同城和异地容灾备份中心的信息系统灾难恢复体系,定期进展灾难恢复的测试和演练,确保灾难发生后能够充分发挥备份的效能,降低造成的影响和损失。第五章信息平安监控第二十条第二十条信息平安监控的目的是对威胁系统、数据库及网络平安的因素进展有效控制,防止由于技术或人为因素导致的异常和损失,同时为其他平安措施的设计和实施提供可靠依据。平安监控的结果要保存一年以上。第二十一条第二十一条信息系统的运行和维护单位,在国家法律和公司有关规定许可的范围内,具体进展标准
9、、合理、有效的信息平安监控。使用公司网络及应用系统的用户有义务承受必要的监控。监控不能影响、泄漏不涉及平安问题的网上行为和个人隐私的内容。页脚下载后可删除,如有侵权请告知删除!第二十二条第二十二条各级信息部门负责制定和实施信息平安监控方案,包括日常监控、应急处理和定期汇报。第二十三条第二十三条日常监控分为实时监控和定期检查,包括应用系统、数据库、操作系统、网络、物理环境以及外部人员对信息系统访问的实时监控与定期检查。监控及检查结果要存档备查,异常情况须及时向有关负责人汇报。第二十四条第二十四条各级信息部门应对网络及重要信息系统制定详细的应急处理预案。应急处理按照预案进展,并至少每年组织一次相关
10、岗位人员进展应急预案演练。第二十五条第二十五条各级信息部门编制、上报信息平安月报和年报,及时向主管领导和上级部门汇报重大信息平安风险和事件。第六章信息平安风险评估第二十六条第二十六条信息管理部负责组织建立风险评估标准及实施团队,定期或在重大、特殊事件发生时进展风险评估。第二十七条第二十七条风险评估包括范围确定、风险识别、风险分析和控制措施,确保信息平安,满足应用和业务需要。评估范围可包括管理组织、流程、政策与标准、应用系统、数据库、操作系统、网络、物理环境,应涵盖公司内部关键控制点。风险识别包括识别风险类型和风险事件,形成风险列表,更新信息风险数据库。风险分析包括信息资产分类、风险发生概率和影
11、响程度分析,并确定风险等级,形成风险评估报告。控制措施包括平安管理策略和风险控制措施,形成风险控制报告。第二十八条第二十八条信息管理部将风险评估和控制报告上报信息主管领导审批。根据领导审批意见,落实控制措施。第七章信息平安培训第二十九条第二十九条信息管理部负责制定公司信息平安培训方案,组织、实施信息平安管理和技术培训。各级信息部门负责相应层级的信息平安培训,培训方案报信息管理部备案。第三十条第三十条管理和维护水平。信息管理部及各企事业单位信息部门对应用系统、数据库、操作系统和网络管理员、开发人员进展信息平安技术培训,提高信息平安页脚下载后可删除,如有侵权请告知删除!第三十一条第三十一条信息管理
12、部及各企事业单位信息部门分层次、分类型对员工进展信息平安培训,包括针对业务和技术管理人员进展管理层面的信息平安管理培训,针对从事日常业务处理人员进展操作层面根本平安知识培训。第三十二条第三十二条员工上岗前,应进展岗位信息平安培训,并签署信息平安保密协议。在岗位发生变动时,及时调整信息系统操作权限。第三十三条第三十三条信息平安政策与标准发生重大调整、新建和升级的信息系统投入使用前,开展必要的平安培训,明确相关调整和变更所带来的信息平安权限和责任的变化。第八章信息平安检查与考核第三十四条第三十四条信息管理部定期进展信息平安检查与考核,包括信息平安政策与标准的培训与执行情况、重大信息平安事件及整改措施落实情况、现有信息平安措施的有效性、信息平安技术指标完成情况。第三十五条第三十五条各企事业单位信息部门按照本方法和?公司信息系统运行维护管理方法?进展信息平安自我考核,信息管理部进展综合评价,形成年度考核报告,报信息主管领导。第三十六条第三十六条对于不执行本方法造成严重后果的,应追究相关部门和个人责任。第九章附那么第三十七条第三十七条各企事业单位可参照本管理方法制定相应的实施细那么。第三十八条第三十八条本方法由公司信息管理部负责解释。第三十九条第三十九条本方法自印发之日起施行。页脚下载后可删除,如有侵权请告知删除!