《信息安全管理制度》4

《《信息安全管理制度》4》由會(huì)員分享，可在線閱讀，更多相關(guān)《《信息安全管理制度》4（12頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

1、 《信息安全管理制度》4 《信息安全管理制度》 編號(hào)：第一章總則 第一條為加強(qiáng)XXX有限公司（以下簡稱“公司”）信息系統(tǒng) 安全管理，推進(jìn)信息系統(tǒng)安全體系建設(shè)，保障信息系統(tǒng)安全穩(wěn)定 運(yùn)行，根據(jù)國家有關(guān)法律、法規(guī)和公司相關(guān)規(guī)定，制定本辦法。 第二條本辦法所稱信息系統(tǒng)安全管理辦法，包括信息安全的 管理組織與職責(zé)、信息系統(tǒng)安全的治理規(guī)定、信息安全的監(jiān)控、 信息系統(tǒng)安全的風(fēng)險(xiǎn)評(píng)估。 第三條本制度著力解決的問題 制度空缺：公司缺少信息系統(tǒng)安全管理辦法。 明確信息系統(tǒng)安全管理過程中相關(guān)單位的職責(zé)。 第四條本辦法適用于公司各部門，各部門可參照本管理辦法 制定相應(yīng)的實(shí)施細(xì)則。 第二章管理組織

2、與職責(zé) 第五條信息中心職責(zé) 信息中心是公司信息系統(tǒng)安全管理的歸口部門，負(fù)責(zé)公司信 息系統(tǒng)安全政策、制度和體系建設(shè)規(guī)劃的審批，部署并協(xié)調(diào)信息 系統(tǒng)安全體系和等級(jí)保護(hù)建設(shè)工作，并負(fù)責(zé)落實(shí)具體工作。 第三章信息系統(tǒng)安全治理規(guī)定 第六條信息系統(tǒng)安全工作基本要求 根據(jù)公司信息系統(tǒng)安全總體方案，貫徹與實(shí)施國家信息安全 等級(jí)保護(hù)制度，分層次建立以安全組織體系為核心、安全管理體 系為保障、安全技術(shù)體系為支撐的全面信息系統(tǒng)安全體系，并保 持三個(gè)體系穩(wěn)定、均衡發(fā)展。 第七條信息系統(tǒng)安全崗位要求 信息系統(tǒng)安全崗位的設(shè)立應(yīng)遵循職責(zé)分離的要求，包括：制 度監(jiān)督者與執(zhí)行者分離、信息系統(tǒng)授權(quán)者與操作者分離、應(yīng)

3、用系 統(tǒng)管理員與數(shù)據(jù)庫管理員分離，程序開發(fā)人員不應(yīng)具備對(duì)生產(chǎn)環(huán) 境的訪問權(quán)限。 第八條信息系統(tǒng)安全管理體系 信息系統(tǒng)安全管理體系包括：統(tǒng)一的信息系統(tǒng)安全策略、管 理制度和技術(shù)標(biāo)準(zhǔn)；信息系統(tǒng)資產(chǎn)管理責(zé)任制；信息系統(tǒng)物理環(huán) 境、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)等各層面的安全管理流程；信息系 統(tǒng)的安全風(fēng)險(xiǎn)管理。 第九條信息系統(tǒng)安全技術(shù)體系 信息系統(tǒng)安全技術(shù)體系包括：網(wǎng)絡(luò)、桌面和應(yīng)用系統(tǒng)安全防 護(hù)措施；身份管理與認(rèn)證平臺(tái)；安全監(jiān)控和預(yù)警機(jī)制；應(yīng)急響應(yīng) 系統(tǒng)；同城和異地容災(zāi)備份中心。 第四章安全監(jiān)控 信息系統(tǒng)安全監(jiān)控的目的是對(duì)威脅系統(tǒng)、數(shù)據(jù)庫及網(wǎng)絡(luò)安全 的因素進(jìn)行有效控制，防止由于技術(shù)或人為因

4、素導(dǎo)致的異常和損 失，同 時(shí)為其他安全措施的設(shè)計(jì)和實(shí)施提供可靠依據(jù)。安全監(jiān)控的 結(jié)果應(yīng)保存一年以上。 第十一條信息系統(tǒng)安全的監(jiān)控職責(zé) 信息系統(tǒng)的運(yùn)行和維護(hù)單位，在國家法律規(guī)定和公司有關(guān)規(guī) 定 許可的范圍內(nèi)，具體進(jìn)行規(guī)范、合理、有效的信息系統(tǒng)安全 監(jiān)控。使用公司網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的用戶有義務(wù)接受必要的監(jiān)控。 監(jiān)控不能影響、泄漏不涉及安全問題的網(wǎng)上行為和個(gè)人隱私的內(nèi) 容。 第十二條信息系統(tǒng)安全的監(jiān)控檢查 日常監(jiān)控分為實(shí)時(shí)監(jiān)控和定期檢查，包括應(yīng)用系統(tǒng)、數(shù)據(jù)庫、 操作系統(tǒng)、網(wǎng)絡(luò)、物理環(huán)境以及外部人員對(duì)信息系統(tǒng)訪問的 實(shí)時(shí)監(jiān)控與定期檢查。監(jiān)控及檢查結(jié)果要存檔備查，異常情況須 及時(shí)向有關(guān)負(fù)責(zé)人匯

5、報(bào)。 第十三條建立信息系統(tǒng)安全事件處理機(jī)制 在全公司范圍建立信息系統(tǒng)安全意外事件通報(bào)處理機(jī)制，應(yīng) 據(jù)實(shí)際需要設(shè)立由信息部門和相關(guān)業(yè)務(wù)部門牽頭的虛擬的 信息系統(tǒng) 安全事件處理組織，人員可由業(yè)務(wù)和信息技術(shù)管理人員兼 任。 第十四條建立信息系統(tǒng)安全事件處理細(xì)則 信息系統(tǒng)管理部門組織制定、貫徹、執(zhí)行信息系統(tǒng)安全事件 識(shí)別、分級(jí)和處置細(xì)則，各信息系統(tǒng)的運(yùn)行和維護(hù)單位要對(duì)發(fā)生 的信息系統(tǒng)安全事件及時(shí)分級(jí)，及時(shí)通報(bào)，并采取有效措施避免 或降低事件對(duì)業(yè)務(wù)的負(fù)面影響，事后要編制事件處理報(bào)告并按程 序上報(bào)。 第十五條信息系統(tǒng)應(yīng)急演練 各級(jí)信息部門應(yīng)對(duì)網(wǎng)絡(luò)及重要信息系統(tǒng)制定詳細(xì)的應(yīng)急處 理預(yù)案。

6、 第十六條信息系統(tǒng)安全上報(bào) 信息部門編制、上報(bào)信息系統(tǒng)安全月報(bào)和年報(bào)，及時(shí)向主管 領(lǐng)導(dǎo)和上級(jí)部門匯報(bào)重大信息系統(tǒng)安全風(fēng)險(xiǎn)和事件。 第五章信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估 第十七條信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估總體要求 信息化部負(fù)責(zé)組織建立風(fēng)險(xiǎn)評(píng)估規(guī)范及實(shí)施團(tuán)隊(duì)，定期或在 重大、特殊事件發(fā)生后進(jìn)行風(fēng)險(xiǎn)評(píng)估。 第十八條信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估分析 風(fēng)險(xiǎn)評(píng)估包括范圍確定、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和控制措施， 確保信息系統(tǒng)安全滿足應(yīng)用和業(yè)務(wù)需要。 評(píng)估范圍包括管理組織、流程、政策與標(biāo)準(zhǔn)、應(yīng)用系統(tǒng)、數(shù) 據(jù)庫、操作系統(tǒng)、網(wǎng)絡(luò)、物理環(huán)境，應(yīng)涵蓋公司內(nèi)部關(guān)鍵控制點(diǎn)。 風(fēng)險(xiǎn)識(shí)別包括識(shí)別風(fēng)險(xiǎn)類型和風(fēng)險(xiǎn)事件，形成風(fēng)險(xiǎn)列表，更新

7、信 息風(fēng)險(xiǎn)數(shù)據(jù)庫。 風(fēng)險(xiǎn)分析包括信息資產(chǎn)分類、風(fēng)險(xiǎn)發(fā)生概率和影響程度分 析，并確定風(fēng)險(xiǎn)等級(jí)，形成風(fēng)險(xiǎn)評(píng)估報(bào)告。 控制措施包括安全管理策略和風(fēng)險(xiǎn)控制措施，形成風(fēng)險(xiǎn)控制 報(bào)告。 第十九條信息系統(tǒng)安全風(fēng)險(xiǎn)上報(bào) 信息化部負(fù)責(zé)將風(fēng)險(xiǎn)評(píng)估和控制報(bào)告上報(bào)信息主管領(lǐng)導(dǎo)審 批。根據(jù)領(lǐng)導(dǎo)審批意見，落實(shí)控制措施。 第六章培訓(xùn) 第二十條信息安全培訓(xùn) 信息化部負(fù)責(zé)制定公司信息系統(tǒng)安全培訓(xùn)計(jì)劃，組織、實(shí)施 信息系統(tǒng)安全管理和技術(shù)培訓(xùn)。 第七章檢查 第二十一條信息系統(tǒng)安全檢查 信息化部定期組織信息系統(tǒng)的安全檢查與考核，包括信息系 統(tǒng)安全政策與標(biāo)準(zhǔn)的培訓(xùn)與執(zhí)行情況、重大信息系統(tǒng)安全事件及 整改措施落實(shí)

8、情況現(xiàn)有信息系統(tǒng)安全措施的有效性、信息系統(tǒng)安 全技術(shù)指標(biāo)完成情況。 第八章附則 第二十二條本辦法由信息化部負(fù)責(zé)解釋。 第二十三條本辦法自印發(fā)之日起執(zhí)行。 《信息化安全保密管理制度》4 信息安全管理制度 一、信息安全管理制度 為維護(hù)公司信息安全，保證公司網(wǎng)絡(luò)環(huán)境的穩(wěn)定，特制定本 制度。第一條信息安全是指通過各種計(jì)算機(jī)、網(wǎng)絡(luò)（內(nèi)部信息平 臺(tái)）和密碼技術(shù)，保護(hù)信息在傳輸、交換和存儲(chǔ)過程中的機(jī)密性、 完整性和真實(shí)性。具體包括以下幾個(gè)方面。 1、信息處理和傳輸系統(tǒng)的安全。系統(tǒng)管理員應(yīng)對(duì)處理信息 的系統(tǒng)進(jìn)行詳細(xì)的安全檢查和定期維護(hù)，避免因?yàn)橄到y(tǒng)崩潰和損 壞而對(duì)系統(tǒng)內(nèi)存儲(chǔ)、處理和傳輸?shù)男畔⒃?/p>

9、成破壞和損失。 2、 信息內(nèi)容的安全。側(cè)重于保護(hù)信息的機(jī)密性、完整性和 真實(shí)性。系統(tǒng)管理員應(yīng)對(duì)所負(fù)責(zé)系統(tǒng)的安全性進(jìn)行評(píng)測，采取技 術(shù)措施對(duì)所發(fā)現(xiàn)的漏洞進(jìn)行補(bǔ)救，防止竊取、冒充信息等。 3、 信息傳播安全。要加強(qiáng)對(duì)信息的審查，防止和控制非法、 有害的信息通過本委的信息網(wǎng)絡(luò)（內(nèi)部信息平臺(tái)）系統(tǒng)傳播，避 免對(duì)國家利益、公共利益以及個(gè)人利益造成損害。 第二條涉及國家秘密信息的安全工作實(shí)行領(lǐng)導(dǎo)負(fù)責(zé)制。 第三條信息的內(nèi)部管理 1、 各科室（下屬單位）在向網(wǎng)絡(luò)（內(nèi)部信息平臺(tái)）系統(tǒng)提 交信息前要作好查毒、殺毒工作，確保信息文件無毒上載； 2、 根據(jù)情況，采取網(wǎng)絡(luò)（內(nèi)部信息平臺(tái)）病毒監(jiān)測、查毒、

10、 殺毒等技術(shù)措施，提高網(wǎng)絡(luò)（內(nèi)部信息平臺(tái)）的整體搞病毒能力； 3、 各信息應(yīng)用科室對(duì)本單位所負(fù)責(zé)的信息必須作好備份； 4、 各科室應(yīng)對(duì)本部門的信息進(jìn)行審查，網(wǎng)站各欄目信息的 負(fù)責(zé)科室必須對(duì)發(fā)布信息制定審查制度，對(duì)信息來源的合法性， 發(fā)布范圍，信息欄目維護(hù)的負(fù)責(zé)人等作出明確的規(guī)定。信息發(fā)布 后還要隨時(shí)檢查信息的完整性、合法性；如發(fā)現(xiàn)被刪改，應(yīng)及時(shí) 向信息安全協(xié)調(diào)科報(bào)告； 5、 涉及國家秘密的信息的存儲(chǔ)、傳輸?shù)葢?yīng)指定專人負(fù)責(zé)， 并嚴(yán)格按照國家有關(guān)保密的法律、法規(guī)執(zhí)行； 6、涉及國家秘密信息，未經(jīng)信息安全分管領(lǐng)導(dǎo)批準(zhǔn)不得在 網(wǎng)絡(luò)上發(fā)布和明碼傳輸； 7、涉密文件不可放置個(gè)人計(jì)算機(jī)中，非

11、涉密電子郵件的收 發(fā)也要實(shí)行病毒查殺。 第四條信息加密 1、 涉及國家秘密的信息，其電子文檔資料應(yīng)當(dāng)在涉密介質(zhì) 中加密單獨(dú)存儲(chǔ)； 2、 涉及國家和部門利益的敏感信息的電子文檔資料應(yīng)當(dāng)在 涉密介質(zhì)中加密單獨(dú)存儲(chǔ)； 3、 涉及社會(huì)安定的敏感信息的電子文檔資料應(yīng)當(dāng)在涉密介 質(zhì)中加密單獨(dú)存儲(chǔ);； 4、 涉及國家秘密、國家與部門利益和社會(huì)安定的秘密信息 和敏感信息在傳輸過程中視情況及國家的有關(guān)規(guī)定采用文件加 密傳輸或鏈路 傳輸加密。 第五條任何單位和個(gè)人不得從事以下活動(dòng) 1、 利用信息網(wǎng)絡(luò)系統(tǒng)制作、傳播、復(fù)制有害信息； 2、 入侵他人計(jì)算機(jī)； 3、 未經(jīng)允許使用他人在信息網(wǎng)絡(luò)系統(tǒng)中未

12、公開的信息； 4、 未經(jīng)授權(quán)對(duì)網(wǎng)絡(luò)（內(nèi)部信息平臺(tái)）系統(tǒng)中存儲(chǔ)、處理或 傳輸?shù)男畔ⅲòㄏ到y(tǒng)文件和應(yīng)用程序）進(jìn)行增加、修改、復(fù)制 和刪除等； 5、 未經(jīng)授權(quán)查閱他人郵件； 6、 盜用他人名義發(fā)送電子郵件； 7、 故意干擾網(wǎng)絡(luò)（內(nèi)部信息平臺(tái)）的暢通運(yùn)行； 8、 從事其他危害信息網(wǎng)絡(luò)（內(nèi)部信息平臺(tái)）系統(tǒng)安全的活 動(dòng)。 第六條本制度自發(fā)布之日起施行，凡與本制度有沖突的均以 本制度為準(zhǔn)。 二、計(jì)算機(jī)管理制度 為保證計(jì)算機(jī)的正常運(yùn)行，確保計(jì)算機(jī)安全運(yùn)行，根據(jù)國家、 省、市有關(guān)法律法規(guī)和政策規(guī)定，結(jié)合本項(xiàng)目部實(shí)際情況，制定 本制度。一、管理范圍劃分 本部計(jì)算機(jī)分為涉密和非涉密兩部分，

13、涉密計(jì)算機(jī)指主要用 于儲(chǔ)存或傳輸有關(guān)人事、財(cái)務(wù)、經(jīng)濟(jì)運(yùn)行、信息安全等涉及國家、 單位秘密、危害國家安全的圖文信息的計(jì)算機(jī)。非涉密計(jì)算機(jī)指 用于儲(chǔ)存或傳輸可以向社會(huì)公開發(fā)表或公布的圖文信息的計(jì)算 機(jī)。信息安全科、運(yùn)行 科、人事科和機(jī)關(guān)財(cái)務(wù)各一臺(tái)計(jì)算機(jī)按照涉密要求進(jìn)行管 理。 二、非涉密計(jì)算機(jī)日常管理 1、 各科室的計(jì)算機(jī)，科室負(fù)責(zé)人為管理第一責(zé)任人，承擔(dān) 本科室計(jì)算機(jī)操作的管理、保密和安全，以防止誤操作造成系統(tǒng) 紊亂、文件丟失等故障。 2、 計(jì)算機(jī)主要是用于業(yè)務(wù)數(shù)據(jù)的處理及信息傳輸，提高工作 效率。嚴(yán)禁上班時(shí)間用計(jì)算機(jī)玩游戲及運(yùn)行一切與工作無關(guān)的軟 件。 3、 新購的計(jì)算機(jī)、初次使

14、用的軟件、數(shù)據(jù)載體應(yīng)經(jīng)我部計(jì) 算機(jī)管理員檢測，確認(rèn)無病毒和有害數(shù)據(jù)后，方可投入使用。 4、 計(jì)算機(jī)操作人員發(fā)現(xiàn)本科室的計(jì)算機(jī)感染病毒，應(yīng)立即中 斷運(yùn)行，并與計(jì)算機(jī)管理員聯(lián)系及時(shí)消除。 5、 愛護(hù)機(jī)關(guān)計(jì)算機(jī)設(shè)備，保持計(jì)算機(jī)設(shè)備的干凈整潔。 三、涉密計(jì)算機(jī)日常管理 1、 涉密的計(jì)算機(jī)內(nèi)的重要文件由專人集中加密保存，不得隨 意復(fù)制和解密，未經(jīng)加密的重要文件不能存放在與國際聯(lián)網(wǎng)的計(jì) 算機(jī)上。 2、 對(duì)需要保存的涉密信息，可到信息安全科轉(zhuǎn)存到光盤或其 他可移動(dòng)的介質(zhì)上。存儲(chǔ)涉密信息的介質(zhì)應(yīng)當(dāng)按照所存儲(chǔ)信息的 最高密級(jí)標(biāo)明密級(jí),并按相應(yīng)密級(jí)的文件管理。 3、 存儲(chǔ)過國家秘密信息的計(jì)算機(jī)媒體的維

15、修應(yīng)保證所存儲(chǔ) 的國家秘密信息不被泄露。對(duì)報(bào)廢的磁盤和其他存儲(chǔ)設(shè)備中的秘 密信息由技術(shù)人員進(jìn)行徹底清除。 4、 涉密的計(jì)算機(jī)信息需打印輸出必須到信息安全科專用打 印機(jī)打印 輸出，打印出的文件應(yīng)當(dāng)按照相應(yīng)密級(jí)的文件管理；打印過 程中產(chǎn)生的殘、次、廢頁應(yīng)當(dāng)及時(shí)在信息安全科專用設(shè)備粉碎銷 毀。 5、 對(duì)信息載體（軟盤、光盤等）及計(jì)算機(jī)處理的業(yè)務(wù)報(bào)表、技 術(shù)數(shù)據(jù)、圖紙要有專人負(fù)責(zé)保存，按規(guī)定使用、借閱、移交、銷 毀。 四、其他 對(duì)違反以上規(guī)定的行為視情節(jié)輕重，結(jié)合國家、省、市及本 部相關(guān)規(guī)定處理，并追究有關(guān)人員的責(zé)任。 三、機(jī)房管理制度 為確保計(jì)算機(jī)網(wǎng)絡(luò)（內(nèi)部信息平臺(tái)）系統(tǒng)安全、高效

16、運(yùn)行和 各類設(shè)備運(yùn)行處于良好狀態(tài)，正確使用和維護(hù)各種設(shè)備、管理有 章、職責(zé)明確，特制定本制度。 一、一般規(guī)定 1、機(jī)房屬重要涉密崗位，必須嚴(yán)格執(zhí)行國家、省、市保密 局有關(guān)保守國家秘密和密碼工作的規(guī)定。 2、嚴(yán)禁在網(wǎng)絡(luò)服務(wù)器上安裝一切與工作無關(guān)的軟件。嚴(yán)禁 將外來不明的磁盤、光盤、軟件在網(wǎng)絡(luò)服務(wù)器上使用。嚴(yán)禁在網(wǎng) 絡(luò)上運(yùn)行或傳播一切法律法規(guī)禁止、有損國家機(jī)關(guān)形象以及涉及國家秘密、危害國家安全的軟件或圖文信息。 3、無關(guān)人員不準(zhǔn)進(jìn)入機(jī)房，不準(zhǔn)違規(guī)操作和使用機(jī)房設(shè)備， 不準(zhǔn)私自將機(jī)房設(shè)備帶離機(jī)房。機(jī)關(guān)科（室）需借用機(jī)房設(shè)備的， 機(jī)房工作人員必須上報(bào)，經(jīng)分管領(lǐng)導(dǎo)同意，并辦理有關(guān)登記手續(xù) 后方可借出。