公司信息系统安全管理制度_第1页
公司信息系统安全管理制度_第2页
公司信息系统安全管理制度_第3页
公司信息系统安全管理制度_第4页
全文预览已结束

付费下载

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、 公司信息系统安全管理制度 总则 第一条 为加强和规范公司信息系统安全防护实施工作,确保信息系统的安全实施,提高信息系统整体安全防护水平,实现信息系统的可控、能控、在控。 第二条 本制度参照中华人民共和国计算机信息网络国际联网安全保护管理制度、互联网信息服务管理规定、xx集团暨股份公司信息系统安全管理制度(试行)为依据制定。第三条 本办法是公司制度体系的第二层级,其上一级为xx集团有限公司内部控制基本制度。适用于公司及子公司、分公司和项目经理部。所指的信息系统是指信息基础设施(包括软、硬件系统平台等)。第二章 内容与要求 第四条 本制度对信息系统安全防护策略、安全防护措施建设与对信息系统维护、

2、安全检查等管理工作做出具体规定。 第五条 信息系统安全防护实施工作应统一组织,坚持与信息化建设同时规划、同时建设、同时投入运行的“三同步”原则。 第六条 建立健全安全防护策略,落实各项安全防护措施,通过对信息系统进行信息安全检查,不断改善信息系统安全防护工作。 第三章 组织管理 第七条 信息系统安全防护工作按照“统一领导,分级负责”的原则,统一组织安全防护体系的实施工作。 第八条 公司信息安全管理领导小组是信息安全防护工作的管理主责机构,信息安全管理办公室具体负责组织本公司信息系统安全防护实施工作。 第九条 信息系统安全防护工作主要职责: 负责落实相关的标准、规范和管理要求; 负责建立信息系统

3、安全防护策略、制度、标准、规范体系; 负责指导、协调、检查、监督各单位的信息系统安全防护实施工作; 组织落实信息系统等级保护制度; 第十条 信息安全管理领导小组应定期对信息系统进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况。第四章 安全防护建设 第十一条 信息系统安全防护建设要与信息化建设同步规划、同步建设、同步投入运行,要按照信息系统等级保护要求,采取相应安全策略,实现相应安全功能。 第十二条 公司信息安全管理领导小组负责制定及审核信息系统建设过程中的安全防护措施,公司信息安全管理办公室负责具体实施。第五章 安全防护策略 第十三条

4、信息系统要落实安全防护等级保护制度,实行“系统分级、防护分域、预防为主、积极管控”的总体安全防护策略。 第十四条 按照规定,逐步进行信息系统安全防护等级保护工作,重点做好信息系统的安全等级防护工作。 第十五条 根据信息系统管理的重要程度,应对系统进行安全等级的划分,并采取不同强度的安全防护措施。 第十六条 信息系统安全防护工作应以预防为主,从信息安全风险管理的角度出发、从信息系统全生命周期各阶段的特点出发、从业务系统的安全特性出发,采取主动、严密的预防措施,达到防患于未然的目的。 第十七条 为全面应对信息安全事件需要建立积极的管控机制,融合技术和管理手段,实现对信息安全风险的主动跟踪、及时掌握

5、、有效处理,达到可控、能控、在控的管理效果。 第十八条 公司信息安全管理领导小组负责组织制定公司信息系统安全防护体系,负责确定信息系统各个部分的安全防护等级,以及要采取的安全策略、安全措施及管理制度等,制定信息系统安全防护方案和信息系统等级化实施方案,对各单位信息系统安全等级保护和安全域工作落实情况进行指导、组织开展等级化评估和备案管理,制定信息系统与设备接入、访问、授权、加固、审计、系统和数据备份等具体安全策略。第六章 安全防护技术 第十九条 应按照信息系统的特性,对其进行安全防护,可利用但不仅包括下列技术:1、应用适当技术手段,对远程接入访问进行认证和权限控制;2、对系统主机和数据库进行必

6、要的安全加固,通过合理地设置系统配置、服务、权限,减少安全弱点。系统服务器和客户端应严格控制操作系统及应用软件的安装与使用;3、建立数据备份机制,根据系统重要程度建立数据、系统及应用的备份策略。4、对重要和敏感信息实行加密传输和存储;对重要信息实行自动、定期备份。第七章 安全防护运行管理第二十条 制定安全管理相关制度,落实岗位责任制,加强安全工作。第二十一条 安全防护系统应由专人管理,根据信息系统的变更及时调整安全策略、更新代码、更改配置,加强日常运行监控。第二十二条 加强企业级信息系统的用户口令管理;对于主机、数据库、应用服务器等系统管理员口令应定期更改。第二十三条 加强对企业级信息系统的数据备份管理,制定并及时调整备份策略,落实备份制度。第二十四条 制定企业级信息系统的应急预案,不断改进薄弱环节。第二十五条 加强信息安全事件的应急管理,建立和规范信息安全事件的发现、预警、分析、通报、及处置的工作流程,确保一旦发生网络与信息安全事件时,能够及时有效处理。第二十六条 加强信息系统安全日志管理,严格执行系统审计。做好安全分析工作,消除安全隐患。第二十七条 建立员工信息安全与保密制度。对信息系统的访问严格按照访问权限进行控制和调整。对外来人员接入系统要严格管理,并对外来人员在信息系统的工作进行监控。第二十八条 制定安全审核和安全检查制度规范,并定期按照程序进行安全审核和安全检查活

人人文库> 全部分类> 行业资料 > 机电工程

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论