1、信息安全管理制度4doc信息安全管理制度4信息安全管理制度编号:第一章总则第一条为加强XXX有限公司(以下简称“公司”)信息系统 安全管理,推进信息系统安全体系建设,保障信息系统安全稳定 运行,根据国家有关法律、法规和公司相关规定,制定本办法。第二条本办法所称信息系统安全管理办法,包括信息安全的 管理组织与职责、信息系统安全的治理规定、信息安全的监控、 信息系统安全的风险评估。第三条本制度着力解决的问题制度空缺:公司缺少信息系统安全管理办法。明确信息系统安全管理过程屮相关单位的职责。第四条本办法适用于公司各部门,各部门可参照本管理办法 制定相应的实施细则。第二章管理组织与职责第五条信息屮心职责
2、信息屮心是公司信息系统安全管理的归口部门,负责公司信 息系统安全政策、制度和体系建设规划的审批,部署并协调信息 系统安全体系和等级保护建设工作,并负责落实具体工作。第六条信息系统安全工作基本要求根据公司信息系统安全总体方案,贯彻与实施国家信息安全 等级保护制度,分层次建立以安全组织体系为核心、安全管理体 系为保障、安全技术体系为支撑的全面信息系统安全体系,并保 持三个体系稳定、均衡发展。第七条信息系统安全岗位要求信息系统安全岗位的设立应遵循职责分离的要求,包括:制 度监督者与执行者分离、信息系统授权者与操作者分离、应用系 统管理员与数据库管理员分离,程序开发人员不应具备对生产环 境的访问权限。
3、第八条信息系统安全管理体系信息系统安全管理体系包括:统一的信息系统安全策略、管 理制度和技术标准;信息系统资产管理责任制;信息系统物理环 境、网络、系统、应用、数据等各层面的安全管理流程;信息系 统的安全风险管理。第九条信息系统安全技术体系信息系统安全技术体系包括:网络、桌面和应用系统安全防 护措施;身份管理与认证平台;安全监控和预警机制;应急响应 系统;同城和异地容灾备份中心。第四章安全监控信息系统安全监控的目的是对威胁系统、数据库及网络安全 的因素进行有效控制,防止由于技术或人为因素导致的异常和损 失,同时为其他安全措施的设计和实施提供可靠依据。安全监控的 结果应保存一年以上。第十一条信息
4、系统安全的监控职责信息系统的运行和维护单位,在国家法律规定和公司有关规 定许可的范围内,具体进行规范、合理、有效的信息系统安全 监控。使用公司网络及应用系统的用户有义务接受必要的监控。 监控不能影响、泄漏不涉及安全问题的网上行为和个人隐私的内 容。第十二条信息系统安全的监控检查日常监控分为实时监控和定期检查,包括应用系统、数据库、操作系统、网络、物理环境以及外部人员对信息系统访问的 实时监控与定期检查。监控及检查结果要存档备查,异常情况须 及时向有关负责人汇报。第十三条建立信息系统安全事件处理机制在全公司范围建立信息系统安全意外事件通报处理机制,应据实际需要设立由信息部门和相关业务部门牵头的虚
5、拟的 信息系统安全事件处理组织,人员可由业务和信息技术管理人员兼 任。第十四条建立信息系统安全事件处理细则信息系统管理部门组织制定、贯彻、执行信息系统安全事件 识别、分级和处置细则,各信息系统的运行和维护单位要对发生 的信息系统安全事件及时分级,及时通报,并采取有效措施避免 或降低事件对业务的负面影响,事后要编制事件处理报告并按程 序上报。第十五条信息系统应急演练各级信息部门应对网络及重要信息系统制定详细的应急处 理预案。第十六条信息系统安全上报信息部门编制、上报信息系统安全月报和年报,及时向主管 领导和上级部门汇报重大信息系统安全风险和事件。第五章信息系统安全风险评估第十七条信息系统安全风险
6、评估总体要求信息化部负责组织建立风险评估规范及实施团队,定期或在 重大、特殊事件发生后进行风险评估。风险评估包括范围确定、风险识别、风险分析和控制措施, 确保信息系统安全满足应用和业务需要。评估范围包括管理组织、流程、政策与标准、应用系统、数 据库、操作系统、网络、物理环境,应涵盖公司内部关键控制点。 风险识别包括识别风险类型和风险事件,形成风险列表,更新信 息风险数据库。风险分析包括信息资产分类、风险发生概率和影响程度分 析,并确定风险等级,形成风险评估报告。控制措施包括安全管理策略和风险控制措施,形成风险控制 报告。第十九条信息系统安全风险上报信息化部负责将风险评估和控制报告上报信息主管领
7、导审 批。根据领导审批意见,落实控制措施。第六章培训第二十条信息安全培训信息化部负责制定公司信息系统安全培训计划,组织、实施 信息系统安全管理和技术培训。第七章检查第二十一条信息系统安全检查信息化部定期组织信息系统的安全检查与考核,包括信息系 统安全政策与标准的培训与执行情况、重大信息系统安全事件及 整改措施落实情况现有信息系统安全措施的有效性、信息系统安 全技术指标完成情况。第八章附则第二十二条本办法由信息化部负责解释。第二十三条本办法自印发之日起执行。信息化安全保密管理制度4信息安全管理制度一、信息安全管理制度为维护公司信息安全,保证公司网络环境的稳定,特制定本 制度。第一条信息安全是指通
8、过各种计算机、网络(内部信息平 台)和密码技术,保护信息在传输、交换和存储过程屮的机密性、 完整性和真实性。具体包括以下几个方面。1、信息处理和传输系统的安全。系统管理员应对处理信息 的系统进行详细的安全检查和定期维护,避免因为系统崩溃和损 坏而对系统内存储、处理和传输的信息造成破坏和损失。2、 信息内容的安全。侧重于保护信息的机密性、完整性和 真实性。系统管理员应对所负责系统的安全性进行评测,采取技 术措施对所发现的漏洞进行补救,防止窃取、冒充信息等。3、 信息传播安全。要加强对信息的审查,防止和控制非法、 有害的信息通过本委的信息网络(内部信息平台)系统传播,避 免对国家利益、公共利益以及
9、个人利益造成损害。第二条涉及国家秘密信息的安全工作实行领导负责制。第三条信息的内部管理1、 各科室(下属单位)在向网络(内部信息平台)系统提 交信息前要作好查毒、杀毒工作,确保信息文件无毒上载;2、 根据情况,采取网络(内部信息平台)病毒监测、查毒、 杀毒等技术措施,提高网络(内部信息平台)的整体搞病毒能力;3、 各信息应用科室对本单位所负责的信息必须作好备份;4、 各科室应对本部门的信息进行审查,网站各栏目信息的 负责科室必须对发布信息制定审查制度,对信息来源的合法性, 发布范围,信息栏目维护的负责人等作出明确的规定。信息发布 后还要随时检查信息的完整性、合法性;如发现被删改,应及时 向信息
10、安全协调科报告;5、 涉及国家秘密的信息的存储、传输等应指定专人负责, 并严格按照国家有关保密的法律、法规执行;6、涉及国家秘密信息,未经信息安全分管领导批准不得在网络上发布和明码传输;7、涉密文件不可放置个人计算机屮,非涉密电子邮件的收 发也要实行病毒查杀。第四条信息加密1、 涉及国家秘密的信息,其电子文档资料应当在涉密介质 中加密单独存储;2、 涉及国家和部门利益的敏感信息的电子文档资料应当在 涉密介质中加密单独存储;3、 涉及社会安定的敏感信息的电子文档资料应当在涉密介 质屮加密单独存储;4、 涉及国家秘密、国家与部门利益和社会安定的秘密信息 和敏感信息在传输过程屮视情况及国家的有关规定
11、采用文件加 密传输或链路传输加密。第五条任何单位和个人不得从事以下活动1、 利用信息网络系统制作、传播、复制有害信息;2、 入侵他人计算机;3、 未经允许使用他人在信息网络系统中未公开的信息;4、 XX对网络(内部信息平台)系统中存储、处理或 传输的信息(包括系统文件和应用程序)进行增加、修改、复制和删除等;5、 XX查阅他人邮件;6、 盗用他人名义发送电子邮件;7、 故意干扰网络(内部信息平台)的畅通运行;8、 从事其他危害信息网络(内部信息平台)系统安全的活 动。第六条本制度自发布Z日起施行,凡与本制度有冲突的均以 本制度为准。二、计算机管理制度为保证计算机的正常运行,确保计算机安全运行,
12、根据国家、 省、市有关法律法规和政策规定,结合本项目部实际情况,制定 本制度。一、管理范围划分本部计算机分为涉密和非涉密两部分,涉密计算机指主要用 于储存或传输有关人事、财务、经济运行、信息安全等涉及国家、 单位秘密、危害国家安全的图文信息的计算机。非涉密计算机指 用于储存或传输可以向社会公开发表或公布的图文信息的计算 机。信息安全科、运行科、人事科和机关财务各一台计算机按照涉密要求进行管 理。二、非涉密计算机日常管理1、 各科室的计算机,科室负责人为管理第一责任人,承担 本科室计算机操作的管理、保密和安全,以防止误操作造成系统 紊乱、文件丢失等故障。2、 计算机主要是用于业务数据的处理及信息
13、传输,提高工作 效率。严禁上班时间用计算机玩游戏及运行一切与工作无关的软 件。3、 新购的计算机、初次使用的软件、数据载体应经我部计 算机管理员检测,确认无病毒和有害数据后,方可投入使用。4、 计算机操作人员发现本科室的计算机感染病毒,应立即屮 断运行,并与计算机管理员联系及时消除。5、 爱护机关计算机设备,保持计算机设备的干净整洁。三、涉密计算机日常管理1、 涉密的计算机内的重要文件由专人集屮加密保存,不得随 意复制和解密,未经加密的重要文件不能存放在与国际联网的计 算机上。2、 对需要保存的涉密信息,可到信息安全科转存到光盘或其 他可移动的介质上。存储涉密信息的介质应当按照所存储信息的 最
14、高密级标明密级,并按相应密级的文件管理。3、 存储过国家秘密信息的计算机媒体的维修应保证所存储 的国家秘密信息不被泄露。对报废的磁盘和其他存储设备屮的秘 密信息由技术人员进行彻底清除。4、 涉密的计算机信息需打印输出必须到信息安全科专用打 印机打印输出,打印出的文件应当按照相应密级的文件管理;打印过 程屮产生的残、次、废页应当及时在信息安全科专用设备粉碎销 毁。5、 对信息载体(软盘、光盘等)及计算机处理的业务报表、技 术数据、图纸要有专人负责保存,按规定使用、借阅、移交、销 毁。四、其他对违反以上规定的行为视情节轻重,结合国家、省、市及本 部相关规定处理,并追究有关人员的责任。三、机房管理制
15、度为确保计算机网络(内部信息平台)系统安全、高效运行和 各类设备运行处于良好状态,正确使用和维护各种设备、管理有 章、职责明确,特制定本制度。一、一般规定1、 机房属重要涉密岗位,必须严格执行国家、省、市保密 局有关保守国家秘密和密码工作的规定。2、 严禁在网络服务器上安装一切与工作无关的软件。严禁 将外来不明的磁盘、光盘、软件在网络服务器上使用。严禁在网 络上运行或传播一切法律法规禁止、有损国家机关形彖以及涉及 国家秘密、危害国家安全的软件或图文信息。3、无关人员不准进入机房,不准违规操作和使用机房设备, 不准私自将机房设备带离机房。机关科(室)需借用机房设备的, 机房工作人员必须上报,经分管领导同意,并办理有关登记手续 后方可借出。
