信息系统安全保护管理规定

三二一（北京）科技有限公司信息系统安全保护管理规定2016年8月版本控制版本修改时间修改内容修改人员审核人员V1.02016-08-25新增陈达隆吴为问I第一章 总则第一条 为了规范信息系统安全保护管理，提高信息安全保障能力和水平，维护信息系统安全运行，保障和促进信息化建设，特制定本规定。第二条 本规定适用于脐橙金融网络借贷信息中介信息系统建设过程，管理对象为信息系统建设过程中所有管理人员、维护人员、使用人员以及第三方服务机构。第二章 组织职责第三条 信息安全管理委员会负责信息安全工作的监督、检查、指导并协调各个部门之间的协同工作，支持和推动信息安全保护工作在整个公司范围内的实施。第四条 信息技术部在信息安全管理委员会的指导下负责落实信息安全保护工作的监督、检查、指导等。 第五条 安全管理员负责协调组织公司信息安全保护工作，包括方案设计、等级测评或信息安全风险评估等工作。第六条 公司相关部门或人员协助配合安全管理员进行信息系统安全建设工作。第三章 安全检查报告第七条 安全方案设计阶段的目标是根据信息系统的重要程度、信息系统承载业务情况，通过分析明确信息系统安全需求，设计合理的、满足信息安全要求的总体安全方案，并制定出安全实施计划，以指导后续的信息系统安全建设工程实施。对于已运营（运行）的信息系统，需求分析应当首先分析判断信息系统的安全保护现状与相关标准要求之间的差距。第八条 安全管理员协调相关部门或人员对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划。第九条 安全管理员协调相关部门或人员根据信息系统的重要程度，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案。第十条 信息技术部负责组织相关部门和有关安全技术专家对系统安全设计方案进行评审和论证。第十一条 根据等级测评、安全评估的结果由安全管理员协调相关人员定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。第四章 信息系统建设第十二条 产品采购和使用应按照国家相关部门要求和公司相关管理制度进行产品采购。第十三条 对于自行、外包软件开发以及项目工程实施过程应按照脐橙金融网络借贷信息中介信息系统项目实施管理制度相关要求进行管理。第十四条 系统建设完成后可委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报告；根据设计方案或合同要求等制订测试验收方案，在测试验收过程中应详细记录测试验收结果，对不符合等级保护要求的及时进行整改，并形成测试验收报告。第十五条 安全管理员负责对第三方测试单位进行管理，并按照三二一（北京）科技有限公司第三方人员安全管理规定对第三方人员行为准则进行严格管理。第十六条 安全管理员组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认。第五章 信息系统安全测评第十七条 测评机构应具有国家相关技术资质和安全资质的测评单位进行等级测评。第十八条 安全管理员负责对测评机构等级测评过程按照公司相关规定进行管理，负责对测评人员安全保密进行要求，必要时与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。第十九条 在系统运行过程中，应定期进行安全测评或信息安全风险评估，本公司重要信息系统至少每年对系统进行一次安全测评或评估，发现不符合相应信息安全标准要求的及时整改。第二十条 在系统发生变更时及时对系统进行安全测评或评估，发现不符合相应信息安全标准要求的及时整改。第六章 信息系统终止第二十一条 信息系统被转移、终止或废弃时，由安全管理员组织系统相关管理人员提出系统终止申请，并填写系统转移、终止或废弃申请表，由公司信息安全管理委员会进行审批，方可执行系统转移、终止或废弃。第二十二条 审批通过后由安全管理员对系统所属软、硬件和介质等敏感信息按照相关规定进行处理。第七章 持续改进第二十三条 为了保证本策略文件的