《ICP年报专用信息安全管理制度.docx》由会员分享,可在线阅读,更多相关《ICP年报专用信息安全管理制度.docx(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、XXXXXXX信息安全治理制度第一章总则第一条为保证信息系统安全牢靠稳定运行,降低或阻 挡人为或自然因素从物理层面对公司信息系统的保密性、完 整性、可用性带来的安全威逼,结合公司实际,特制定本制 度。其次条 本制度适用于XXXXXXX以及所属单位的信息系 统安全治理。其次章职责第三条 相关部门、单位职责:一、信息中心(一)负责组织和协调XXXXXXX的信息系统安全治理 工作;(二)负责建立XXXXXXX信息系统网络成员单位间的网 络访问规章;对公司本部信息系统网络终端的网络准入进展 治理;(三)负责对XXXXXXX统一的两个互联网出口进展治理, 配置防火墙等信息安全设备;会同保密处对公司本部互
2、联网 上网行为进展治理;(四)对XXXXXXX统一建设的信息系统制定专项运维 治理方法,明确信息系统安全治理要求,界定两级单位信息 安全治理责任;(五)负责XXXXXXX网络边界、网络拓扑等全局性的信息安全治理。二、人力资源部(一)负责人力资源安全相关治理工作。(二)负责将信息安全策略培训纳入年度职工培训打算, 并组织实施。三、各部门(一)负责本部门信息安全治理工作。(二)协作和帮助业务主管部门完善相关制度建设,落实 日常治理工作。四、所属各单位(一)负责组织和协调本单位信息安全治理工作。(二) 对本单位建设的信息系统制定专项运维治理方法, 明确信息系统安全治理要求,报XXXXXXX信息中心备
3、案。第三章信息安全策略的根本要求第四条 信息系统安全治理应遵循以下八个原则:一、主要领导人负责原则;二、标准定级原则;三、依法行政原则;四、以人为本原则;五、留意效费比原则;六、全面防范、突出重点原则;七、系统、动态原则;八、特别安全治理原则。第五条 公司保密委应依据业务需求和相关法律法规, 组织制定公司信息安全策略,经主管领导审批公布后,对员 工及相关方进展传达和培训。第六条制定信息安全策略时应充分考虑信息系统安全 策略的“七定”要求,即定方案、定岗、定位、定员、定目 标、定制度、定工作流程。第七条信息安全策略主要包括以下内容:一、信息网络与信息系统必需在建设过程中进展安全 风险评估,并依据
4、评估结果制定安全策略;二、对已投入运行且已建立安全体系的系统定期进展 漏洞扫描,以便准时觉察系统的安全漏洞;三、对安全体系的各种日志(如入侵检测日志等)审计结 果进展争论,以便准时觉察系统的安全漏洞;四、定期分析信息系统的安全风险及漏洞、分析当前黑 客格外入侵的特点,准时调整安全策略;五、制定人力资源、物理环境、访问掌握、操作、备份、 系统猎取及维护、业务连续性等方面的安全策略,并实施。第八条公司保密委每年应组织对信息安全策略的适应 性、充分性和有效性进展评审,必要时组织修订;当公司的 组织架构、生产经营模式等发生重大变化时也应进展评审和 修订。第九条依据“谁主管、谁负责”的原则,公司建立信
5、息安全分级责任制,各层级落实信息系统安全责任。第四章人力资源安全治理第十条信息系统相关岗位设置应满足以下要求:一、安全治理岗与其它任何岗位不得兼岗、混岗、代岗。二、系统治理岗、网络治理岗与应用治理岗不得兼岗、 混岗。三、安全治理岗、系统治理岗、网络治理岗、应用治理 岗、设备治理岗、技术档案治理岗原则上有人员备份。四、以上岗位人员调离必需办理交接手续,所把握的口 令应马上更换或注销该用户。第十一条 人力资源部在相关岗位任职要求中应包含信 息安全治理的相关条件和要求;将信息安全相关培训纳入年 度职工培训打算,并组织实施。第五章 信息系统物理和环境安全治理第十二条信息系统物理安全指为了保证信息系统安
6、全 牢靠运行,不致受到人为或自然因素的危害,而对计算机设 备、设施(包括机房建筑、供电、空调)、环境、系统等采 取适当的安全措施。第十三条信息治理部门应实行切实可行的物理防护手 段或技术措施对物理周边、物理入口、办公及生产区域等进 行安全掌握,防止无关人员未授权物理访问、损坏和干扰。第十四条 信息治理部门应加强对信息系统机房及配线 间的安全治理,要求如下:一、工作人员需经授权,方能且只能进入中心机房的授 权工作区;确因工作需要,需进入非授权工作区时,需由该授权工作区人员伴随;做好机房出入登记(格式见附录3-3)。二、 工作人员必需严格依据规定操作,未经批准不得超越自己职权范围以外的操作;操作完毕时,必需退出已进入 的操作画面;最终离开工作区域的人员应将门关闭。三、非授权人员严禁操作中心机房UPS、专用空调、监控、消防及UPS供配电设备设施。四、 未经授权,任何人员不得擅自拷贝数据和文件等资料。五、 严禁将易燃、易爆、强磁性物品带入中心机房;严禁在机房内吸烟。六、发生意外状况应马上实行应急措施,并准时向有关部门和领导报告。