公司信息安全管理规定范文集团企业工作制度

xx公司信息安全管理规定第一章总则第一条为规范公司信息安全事件管理过程，提高信息安全事件处置能力，最大程度降低信息安全事件对公司管理与业务造成的影响，保障管理与业务工作有序开展，特制定本规定。第二条本规定适用于xx公司和各子公司及实际管理单位（以下统称：各单位）。第二章术语定义第三条本规定涉及的术语包括信息资产和信息安全事件。（一）信息资产：对组织具有价值的信息或资源，是安全策略保护的对象；（二）信息安全事件：由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的事件。第三章管理方针与目标第四条信息安全管理方针为：全员参与、纵深防御、严控风险、持续改进。第五条各单位要明确信息安全管理组织、完善信息安全制度建设、增强信息安全技术手段。通过开展信息安全风险识别、落实信息安全事件上报、提高应急处置能力，保障业务安全稳定运行。第四章工作原则与管理职责第六条信息技术部是各单位信息安全的归口管理部门，组织制定和实施公司信息安全政策标准、管理制度和体系建设规划，负责实施信息安全相关系统建设与维护，负责公司机房、网络、应用系统等信息安全管理，组织实施信息安全培训，组织信息安全工作的监督和检查，确保重要信息系统的有效保护和安全运行。信息技术部应配备信息安全管理专岗，不得兼任，负责各单位的信息安全管理日常工作。第七条各单位须由主要负责人承担信息安全管理第一责任人职责，负责结合本规范监督开展信息安全管理工作。不断加深对信息安全管理是“一把手工程”的认识，增强全员信息安全意识。第八条各单位负有本单位信息安全管理的义务与责任，包括个人管理的设备安全、用户及密码安全、文档安全、介质安全和防病毒管理等。第九条各单位须在结合内外部监管要求和自身业务特点的基础上形成包含行业监管要求、国内外标准依据、自身信息安全管理制度文件等的制度体系。制订覆盖应用安全、数据安全、网络安全和物理安全的管理策略。第十条信息技术部应完善安全技术手段，对安全风险加以防控，加强事前防范、事中控制、事后审计，构建覆盖设施、设备、网络、数据、应用和对外门户的纵深防御体系。第五章法律合规要求第十一条各单位须依照《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》等法律法规要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。第十二条《中华人民共和国网络安全法》申明国家实行网络安全等级保护制度。各单位应依照GB/T25058-2019《信息安全技术网络安全等级保护实施指南》及相关行业标准持续开展信息系统定级、备案、测评和防护工作。第六章信息资产管理第十三条信息技术部应对信息资产实施分类分级保护，确保信息资产在其生命周期内的管控措施符合所属行业监管要求和自身信息安全管理要求。信息资产清单应体现各项资产所属分类分级，并对各类各级信息资产的保护措施进行说明，并将保护措施形成管理制度加以落实。第十四条信息资产分类包括但不限于：数据（电子、纸质）、软件、硬件、服务、人员。分类示例数据保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等软件系统软件：操作系统、数据库管理系统、语句包、开发系统等应用软件：办公软件、数据库软件、各类工具软件等源程序：各种共享源代码、自行或合作开发的各种代码等硬件网络设备：路由器、网关、交换机等计算机设备：大型机，小型机、服务器、工作站、台式计算机、便携计算机等存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路：光纤、双绞线等保障设备：UPS、变电设备、空调、保险柜、文件柜、门禁、消防设施等安全设备：防火墙、入侵检测系统、身份鉴别等其他：打印机、复印机、扫描仪、传真机等服务信息服务：对外依赖该系统开展的各类服务网络服务：各种网络设备、设施提供的网络连接服务办公服务：为提高效率而开发的管理信息系统，包括各种内部配置管理、文件流转管理等服务人员掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等第十五条信息资产分级时宜结合机密性、完整性、可用性要求，可分为核心商密、普通商密、内部公开、对外公开等级别。第十六条各单位须采取管理措施、技术手段对经营数据、客户信息等重要、敏感数据的采集、处理、存储、传输、分发、备份、恢复、清理和销毁等过程进行保护。所有管理过程都应具备流程审批和操作记录。第七章信息安全风险管理第十七条各单位应树立以风险管理为导向的信息安全管理理念，加强对信息安全风险识别、评估、控制过程的控制。第十八条信息技术部应根据集团要求，不定期针对现存信息资产开展信息安全检查，形成信息安全风险评估报告。对信息资产的脆弱性、风险发生的可能性和风险的严重性做出判定。判定标准宜参照GB/T20984-2007《信息安全技术信息安全风险评估规范》。第十九条信息技术部根据信息安全风险评估报告，结合既定的信息安全风险管理原则，确定风险应对方式，制定风险应对方案和计划,明确风险应对的责任主体，充分配置资源，确保风险应对工作有效开展。第二十条信息技术部应对信息安全风险应对的结果进行核查和跟踪。在应对措施实施后，须进行剩余风险评价，确保风险识别、评估和应对等过程的全部文件记录得以妥善保存。第八章信息安全事件管理第二十一条明确信息安全事件的管理职责和流程，确保信息安全事件发生后能得到快速响应,将信息安全事件造成的影响降至最低。第二十二条制定信息安全事件分类和分级标准。信息安全事件分级标准制定时宜参照GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》。重点关注信息系统的重要程度、系统损失和社会影响等要素。第二十三条加强信息系统内部分级管理。考虑信息系统所承载的业务对国家安全、经济建设、社会生活的重要性以及业务对信息系统的依赖程度，划分为核心信息系统、重要信息系统和一般信息系统。第二十四条信息安全等级保护定级为三级以上（含三级）的信息系统应归为核心或重要信息系统加强日常安全管理。第二十五条系统损失是指由于信息安全事件对信息系统的软硬件、功能及数据的破坏，导致系统业务中断，从而给事发组织所造成的损失，其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价，划分为特别严重的系统损失、严重的系统损失、较大的系统损失和较小的系统损失，说明如下：系统损失分级描述特别严重的系统损失造成系统大面积瘫痪，使其丧失业务处理能力，或系统关键数据的保密性、完整性、可用性遭到严重破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大，对于事发组织是不可承受的。严重的系统损失造成系统长时间中断或局部瘫痪，使其业务处理能力受到极大影响，或系统关键数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大，但对于事发组织是可承受的。较大的系统损失造成系统中断，明显影响系统效率，使重要信息系统或一般信息系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价较大，但对于事发组织是完全可以承受的。较小的系统损失造成系统短暂中断，影响系统效率，使系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到影响，恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。第二十六条根据信息安全事件的分级考虑要素，将信息安全事件划分为四个级别：特别重大事件、重大事件、较大事件和一般事件。事件分级描述特别重大事件特别重大事件是指能够导致特别严重影响或破坏的信息安全事件，包括以下情况：a)会使核心信息系统遭受特别严重的系统损失；b)对公司社会形象和正常经营发展产生特别重大的影响。重大事件重大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况：a)会使核心信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失；b)对公司社会形象和正常经营发展产生重大的影响。较大事件较大事件是指能够导致较严重影响或破坏的信息安全事件，包括以下情况：a)会使核心信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失、一般信息信息系统遭受特别严重的系统损失；b)对公司社会形象和正常经营发展产生较大的影响。一般事件一般事件是指不满足以上条件的信息安全事件，包括以下情况：a)会使核心信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失、一般信息系统遭受严重或严重以下级别的系统损失；b)对公司社会形象和正常经营发展产生一般的影响。第二十七条各单位应当在启动重大及以上级别信息安全事件应急处置的半小时内