信息系统安全管理办法.docx

1 信息系统安全管理的基本要求1.1 信息系统安全管理按照“三同步”原则进行，即同步设计、同步建设、同步运行。1.2 信息系统的安全管理包括：组织和人员管理、信息系统建设安全管理、运行维护安全管理和信息安全风险评估等。1.3 依据国家计算机信息系统安全保护等级划分准则，结合公司实际情况，信息系统实行等级化保护和等级化管理。适用于公司所属各二级单位、机关各部室。2 职责与分工2.1 为保证信息系统安全运行，建立公司、二级单位两级信息系统安全管理体系，本着“谁主管谁负责，谁运行谁负责”的原则，在公司设立信息安全领导小组，接受公司信息化领导小组和公司保密委员会的指导，信息部全面负责公司信息系统安全管理工作，机关各部室和各二级单位分别设立信息系统安全管理组织，各司其责，做好本部门或本单位信息系统安全管理工作。2.2 公司信息部负责对公司信息系统安全的统一管理。组织制定并执行信息系统安全规划、策略、标准、流程、应急计划；行使防范与保护、监控与检查、响应与处置职能；负责对公司重大信息安全项目实行集中决策，统一部署，优化配置资源，建设全局性的信息系统安全体系；负责对公司信息系统建设项目验收的信息安全评估与审批；负责落实信息系统安全宣传教育与培训计划等。2.3 各二级单位和机关各部室应建立信息系统安全管理组织或兼职管理员。负责信息安全管理实施细则和要求的落实；检查信息系统安全管理的日常工作；修改完善信息安全策略规范；关注信息安全风险；加强对内部信息系统使用人员的安全管理，在岗位职责中明确其信息安全责任；监督信息系统建设、运行、维护第三方单位属地的信息安全工作；协调处理安全威胁、违例行为和其他信息安全突发事件。2.4 电信事业部和档案管理中心应配合公司信息部做好信息系统安全工作。按照中国石化信息系统关键岗位安全管理办法，设立并加强对本单位信息系统安全管理员、系统管理员、数据库管理员、网络管理员、系统维护人员、重要应用系统的开发、操作人员等信息系统关键岗位人员资格、职责、权限、培训、考核、监督的管理。定期组织开展应急预案演练工作。3 信息系统安全管理内容与方法3.1 信息系统安全保护等级划分3.1.1 公司的信息系统安全保护等级总体定为三个级别，分为三级、二级和一级，其中三级的信息安全保护等级最高。信息系统安全等级定为二级以上的信息系统在本管理办法中定义为重要信息系统。3.1.2 信息安全保护等级为一级：信息系统所处理的信息为一般信息。系统所管理、控制和处理的信息资产，在遭到攻击和破坏时，系统所承载的业务以及单位利益造成较小的负面影响。3.1.3 信息安全保护等级为二级：信息系统处理信息为日常业务信息。系统所管理、控制和处理的信息资产，在遭到攻击和破坏时，会对系统所承载的业务以及单位利益带来一定的损失或破坏。3.1.4 信息安全保护等级为三级：信息系统处理信息为核心业务信息。系统所管理、控制和处理的信息资产，在遭到攻击和破坏时，会对系统所承载的业务、单位利益以及社会公共利益带来严重的损失或破坏，对社会稳定、国家安全产生负面影响。 3.1.5 各级信息系统安全管理组织或兼职管理员根据以上分级标准，对信息系统进行分级保护。具体信息系统安全等级的确定要以应用系统为核心进行，用于支撑应用系统的公共应用平台、操作系统平台和网络平台的安全等级应不低于应用系统的安全等级。3.2 信息系统建设3.2.1 信息安全是信息系统建设的重要组成部分，信息安全建设应与业务系统“同步设计、同步建设、同步运行”。3.2.2 重要信息系统应有安全性设计、论证和评估，包括安全需求、安全功能、安全措施、性能指标等内容，公司信息部负责组织审查。3.2.3 重要信息系统建设项目验收，必须包括对其信息系统安全内容的验收 。3.2.4 信息系统建设项目中信息安全相关内容文档由各级信息系统安全管理组织统一备案管理。3.2.5 信息安全建设项目由公司信息部负责统一组织规划、立项、设计、实施、验收。3.2.6 信息系统建设、运行、维护的第三方单位必须经过公司信息部组织的资格审查，并签订信息安全协议书，承诺所承担的信息安全保密责任和义务。3.3 运行维护管理3.3.1 建立信息系统日常运行维护的相关安全管理办法。制订日常运行维护操作和变更控制流程，规范日常运行维护操作。3.3.2 建立用户帐户申请、创建、交付、冻结、注销的审批与操作流程。用户权限的分配、变更应及时进行记录。根据系统的实际情况严格密码管理，强化密码强度。3.3.3 临时用户的设置与删除必须经过业务主管部门和信息部的审批，并记录备案。3.3.4 建立健全信息系统病毒预防和控制体系，实现对用户终端保护的统一部署和病毒定义文件的自动升级。3.3.5 加强补丁管理工作，包括补丁的跟踪、获取、测试、加载、验证和归档等环节。3.3.6 操作系统、数据库、应用系统的初始密码必须在系统投用前修改，数据库管理员、操作系统管理员、应用系统管理员必须定期更改密码。3.3.7 关系到主干网或企业核心信息系统的信息安全系统（防火墙、入侵检测系统、防病毒系统、加密设备等）的部署和调整，须经公司信息部审批并备案。3.3.8 加强对信息安全系统的运行管理，安全策略须经过业务主管部门和信息部的审核，配置、变更须严格遵守规范流程，认真进行配置与变更的记录、日志的审核。3.3.9 涉密载体维修及数据修复须依照有关保密工作规定，送定点许可单位进行维修或修复。3.3.10 信息设备磁盘、磁带等存储介质上的敏感数据，在外送维修前必须删除，并经相应业务部门确认。3.4 信息安全风险评估和信息安全事件处理3.4.1 各级信息系统安全管理组织或兼职管理员负责组织、协调本单位的信息安全风险评估管理工作，采用自评估与公司信息部检查评估相结合的形式，对信息系统面临的威胁进行分析，选择适度的安全措施。公司信息部每年组织对关键信息基础设施进行风险分析和评估，产生风险分析报告。3.4.2 各级信息系统安全管理组织会同有关业务部门对信息系统进行安全风险分析与评估，提交正式的风险分析报告。风险分析报告中应明确管理上、技术上存在的问题与对策。3.4.3 各级信息系统安全管理组织或兼职管理员负责接报本部门或本单位的信息安全事件报告，并及时进行处理。重大事件须24小时内向公司信息部报告。3.5 应急预案演练3.5.1 加强对信息系统安全应预案的演练工作，每年至少进行一次应急预案演练。3.5.2 应急预案演练方案的制定，要切合公司信息系统运行的实际情况，方案具有可操性。3.5.3 应急预案的演练应做好记录，演练后要做好总结，针对演练中发现的问题及时进行整改。4 信息系统安全监督、检查与考核 4.1 监督与检查内容信息系统安全监督与检查内容包括信息系统安全和组织人员情况、信息系统安全等级保护情况、信息系统建设、