《信息安全管理制度》

1、实用文档信息安全管理制度编号：第一章总则第一条为加强XXX有限公司（以下简称“公司”）信息系统安 全管理，推进信息系统安全体系建设，保障信息系统安全稳定运行， 根据国家有关法律、法规和公司相关规定，制定本办法。第二条本办法所称信息系统安全管理办法，包括信息安全的管 理组织与职责、信息系统安全的治理规定、信息安全的监控、信息系 统安全的风险评估。第三条本制度着力解决的问题制度空缺：公司缺少信息系统安全管理办法。明确信息系统安全管理过程中相关单位的职责。第四条 本办法适用于公司各部门，各部门可参照本管理办法制 定相应的实施细则。第二章管理组织与职责第五条信息中心职责信息中心是公司信息系统安全管理的

2、归口部门，负责公司信息 系统安全政策、制度和体系建设规划的审批，部署并协调信息系统安 全体系和等级保护建设工作，并负责落实具体工作。第三章信息系统安全治理规定第六条信息系统安全工作基本要求实用文档根据公司信息系统安全总体方案，贯彻与实施国家信息安全等 级保护制度，分层次建立以安全组织体系为核心、安全管理体系为保 障、安全技术体系为支撑的全面信息系统安全体系，并保持三个体系 稳定、均衡发展。第七条信息系统安全岗位要求信息系统安全岗位的设立应遵循职责分离的要求，包括：制度 监督者与执行者分离、信息系统授权者与操作者分离、应用系统管理 员与数据库管理员分离，程序开发人员不应具备对生产环境的访问权 限

3、。第八条信息系统安全管理体系信息系统安全管理体系包括：统一的信息系统安全策略、管理 制度和技术标准；信息系统资产管理责任制；信息系统物理环境、网 络、系统、应用、数据等各层面的安全管理流程；信息系统的安全风 险管理。第九条信息系统安全技术体系信息系统安全技术体系包括：网络、桌面和应用系统安全防护 措施；身份管理与认证平台；安全监控和预警机制；应急响应系统； 同城和异地容灾备份中心。第四章安全监控第十条信息系统安全的监控目的信息系统安全监控的目的是对威胁系统、数据库及网络安全的 因素进行有效控制，防止由于技术或人为因素导致的异常和损失，同实用文档时为其他安全措施的设计和实施提供可靠依据。安全监控

4、的结果应保 存一年以上。第十一条信息系统安全的监控职责信息系统的运行和维护单位，在国家法律规定和公司有关规定 许可的范围内，具体进行规范、合理、有效的信息系统安全监控。使 用公司网络及应用系统的用户有义务接受必要的监控。监控不能影 响、泄漏不涉及安全问题的网上行为和个人隐私的内容。第十二条信息系统安全的监控检查日常监控分为实时监控和定期检查，包括应用系统、数据库、 操作系统、网络、物理环境以及外部人员对信息系统访问的实时监控 与定期检查。监控及检查结果要存档备查，异常情况须及时向有关负 责人汇报。第十三条建立信息系统安全事件处理机制在全公司范围建立信息系统安全意外事件通报处理机制，应根 据实际

5、需要设立由信息部门和相关业务部门牵头的虚拟的信息系统 安全事件处理组织，人员可由业务和信息技术管理人员兼任。第十四条建立信息系统安全事件处理细则信息系统管理部门组织制定、贯彻、执行信息系统安全事件识 别、分级和处置细则，各信息系统的运行和维护单位要对发生的信息 系统安全事件及时分级，及时通报，并釆取有效措施避免或降低事件 对业务的负面影响，事后要编制事件处理报告并按程序上报。第十五条信息系统应急演练实用文档各级信息部门应对网络及重要信息系统制定详细的应急处理预 案。第十六条信息系统安全上报信息部门编制、上报信息系统安全月报和年报，及时向主管领 导和上级部门汇报重大信息系统安全风险和事件。第五章

6、信息系统安全风险评估第十七条信息系统安全风险评估总体要求信息化部负责组织建立风险评估规范及实施团队，定期或在重 大、特殊事件发生后进行风险评估。第十八条信息系统安全风险评估分析风险评估包括范围确定、风险识别、风险分析和控制措施，确 保信息系统安全满足应用和业务需要。评估范围包括管理组织、流程、政策与标准、应用系统、数据 库、操作系统、网络、物理环境，应涵盖公司内部关键控制点。风险 识别包括识别风险类型和风险事件，形成风险列表，更新信息风险数 据库。风险分析包括信息资产分类、风险发生概率和影响程度分析， 并确定风险等级，形成风险评估报告。控制措施包括安全管理策略和风险控制措施，形成风险控制报 告。第十九条信息系统安全风险上报实用文档信息化部负责将风险评估和控制报告上报信息主管领导审批。 根据领导审批意见，落实控制措施。第六章培训第二十条信息安全培训信息化部负责制定公司信息系统安全培训计划，组织、实施信 息系统安全管理和技术培训。第七章检查第二十一条信息系统安全检查信息化部定期组织信息系统的安全检查与考核，包括信息系统 安全政策与