企业内部信息安全与保密管理指南

企业内部信息安全与保密管理指南第1章信息安全管理体系概述1.1信息安全的重要性信息安全是企业核心竞争力的重要组成部分，根据ISO/IEC27001标准，信息安全管理是组织实现其业务目标并保障信息资产安全的关键保障机制。信息安全风险不仅影响企业运营效率，还可能引发法律诉讼、商誉受损及财务损失等严重后果，如2017年某大型金融企业因信息泄露导致的巨额罚款和品牌信誉危机。信息安全是组织数字化转型的基础，据麦肯锡报告显示，全球企业中73%的高管认为信息安全是数字化转型的核心要素。信息安全保障体系的建立，能够有效降低信息泄露、数据篡改和恶意攻击带来的风险，确保组织在信息时代保持稳健发展。信息安全的重要性在2022年《全球企业信息安全报告》中被多次强调，企业需将信息安全纳入战略规划，以应对日益复杂的网络安全威胁。1.2信息安全管理体系的建立信息安全管理体系（ISMS）是组织为实现信息安全目标而建立的一套系统化管理框架，其核心是风险管理与持续改进。依据ISO/IEC27001标准，ISMS包括信息安全方针、风险管理、风险评估、安全措施、合规性管理等多个维度，形成闭环管理机制。企业建立ISMS需明确信息安全目标，制定信息安全政策，并通过定期评估和改进，确保体系的有效性与适应性。根据ISO27001标准，ISMS的建立应包括信息安全组织架构、职责划分、流程设计及持续改进机制，确保全员参与和协同执行。信息安全管理体系的建立需结合企业实际，根据业务特点和风险状况，制定符合自身需求的ISMS，以实现信息安全的系统化管理。1.3信息安全风险评估信息安全风险评估是识别、分析和评估信息系统面临的安全威胁和脆弱性，以确定其潜在风险等级。根据ISO27005标准，风险评估应包括识别风险源、评估风险影响、量化风险概率和影响，最终形成风险等级分类。风险评估可采用定量与定性相结合的方法，如使用定量分析法（如风险矩阵）或定性分析法（如风险等级划分）。信息安全风险评估的结果可用于制定安全策略、分配资源、优化安全措施，并为后续的持续改进提供依据。依据《信息安全风险评估规范》（GB/T22239-2019），企业应定期进行风险评估，确保信息安全策略与业务发展同步。1.4信息安全政策与制度信息安全政策是组织对信息安全管理的总体指导方针，应涵盖信息安全目标、范围、责任、措施及合规要求。根据ISO27001标准，信息安全政策应明确信息安全的总体目标，并与组织的业务战略相一致，确保信息安全与业务发展同步推进。信息安全制度是具体实施信息安全政策的规范性文件，包括信息安全事件处理流程、数据分类分级、访问控制、密码管理等。信息安全制度需覆盖信息资产的全生命周期，从信息采集、存储、传输、处理到销毁，确保每个环节都符合安全要求。信息安全政策与制度应定期更新，结合企业实际业务变化和外部环境变化，确保其有效性与适用性。第2章信息安全管理基础2.1信息分类与分级管理信息分类是依据其内容、用途、敏感程度等属性，将信息划分为不同类别，如公开信息、内部信息、机密信息、绝密信息等。根据《信息安全技术信息安全分类分级指南》（GB/T35273-2020），信息分为秘密、机密、机密级、绝密四级，分别对应不同的保密等级。信息分级管理是根据信息的敏感性、重要性及泄露可能带来的影响，对信息进行分级，并制定相应的安全策略。例如，绝密信息需在专用系统中存储，且仅限授权人员访问，而公开信息则可采用通用的存储与传输方式。信息分类与分级管理是信息安全管理体系（ISMS）的基础，有助于明确信息的处理与保护责任，确保不同级别的信息得到适当的保护措施。根据ISO/IEC27001标准，信息分类与分级应贯穿于信息生命周期管理中。信息分类与分级管理需结合业务需求与技术环境，例如在金融、医疗等行业，信息分级标准通常参照《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019）中的三级保护标准。通过信息分类与分级管理，可以有效识别信息风险，制定针对性的防护策略，提升整体信息安全水平，减少信息泄露和滥用的可能性。2.2信息存储与备份管理信息存储需遵循“最小化原则”，即仅存储必要的信息，避免冗余存储。根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019），信息系统应根据其安全等级确定存储介质与存储方式。信息备份应采用定期备份与增量备份相结合的方式，确保数据在发生故障或灾难时能够快速恢复。根据《信息技术信息存储与备份管理规范》（GB/T36024-2018），备份应包括完整备份、差异备份和增量备份，并应记录备份时间、备份内容及备份责任人。信息存储应采用加密技术，确保数据在存储过程中不被非法访问。根据《信息安全技术数据安全技术信息存储安全要求》（GB/T35114-2019），存储介质应具备物理和逻辑双重加密机制，防止数据被篡改或泄露。信息备份应定期进行测试与验证，确保备份数据的完整性与可用性。根据《信息技术信息存储与备份管理规范》（GB/T36024-2018），备份恢复测试应每年至少一次，并记录测试结果。信息存储与备份管理应纳入组织的灾难恢复计划（DRP）中，确保在发生重大事故时，信息能够快速恢复，减少业务中断时间。2.3信息传输与加密管理信息传输过程中应采用加密技术，确保数据在传输过程中不被窃听或篡改。根据《信息安全技术信息传输安全技术要求》（GB/T35114-2019），信息传输应采用加密算法，如AES-256、RSA-2048等，以保障数据的机密性与完整性。信息传输应遵循“传输加密”原则，即在数据传输过程中对信息进行加密处理，防止中间人攻击。根据《信息安全技术信息传输安全技术要求》（GB/T35114-2019），传输加密应采用对称加密与非对称加密结合的方式，确保传输过程的安全性。信息传输应采用安全协议，如TLS1.3、SSL3.0等，确保数据在传输过程中的安全性。根据《信息技术信息传输安全技术要求》（GB/T35114-2019），传输协议应符合国家相关标准，并定期进行安全评估与更新。信息传输过程中应设置访问控制机制，确保只有授权用户才能访问信息。根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019），信息传输应结合身份认证与访问控制技术，防止未授权访问。信息传输与加密管理应结合组织的网络安全策略，定期进行安全审计与风险评估，确保信息传输过程符合安全要求。2.4信息访问与权限管理信息访问应遵循“最小权限原则”，即仅授予用户完成其工作所需的最低权限，避免权限过度开放。根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019），信息访问应结合身份认证与权限控制，确保用户只能访问其授权范围内的信息。信息权限管理应通过角色权限分配（RBAC）实现，即根据用户角色分配相应的访问权限。根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019），权限管理应结合组织的业务流程，确保权限分配合理且动态调整。信息访问应结合身份认证机制，如多因素认证（MFA），确保用户身份的真实性。根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019），身份认证应采用加密技术，防止身份冒用与篡改。信息权限管理应定期进行权限审计与更新，确保权限配置符合当前业务需求。根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019），权限管理应结合组织的变更管理流程，定期评估权限配置的合理性。信息访问与权限管理应纳入组织的访问控制策略中，确保信息的机密性、完整性和可用性，防止信息泄露、篡改或非法访问。根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019），权限管理应结合安全审计与监控机制，确保权限使用符合安全规范。第3章保密管理制度与执行3.1保密工作职责与分工依据《中华人民共和国保守国家秘密法》及相关法律法规，企业应明确各级管理人员和员工的保密职责，确保保密工作责任到人、落实到位。保密工作实行“谁主管、谁负责”原则，各部门负责人需对本部门信息保密工作承担直接责任，同时需与相关部门建立协同机制，形成闭环管理。企业应制定保密岗位职责清单，明确涉密岗位人员的保密义务，如涉密人员需定期接受保密培训并签署保密承诺书。保密工作应纳入绩效考核体系，将保密工作成效与员工晋升、评优等挂钩，确保保密责任落实到具体岗位和人员。企业应定期开展保密责任落实情况检查，发现问题及时整改，确保保密制度执行到位。3.2保密信息的分类与管理保密信息按其敏感程度分为绝密、机密、秘密和内部资料四类，分别对应不同的保密等级和管理要求。《中华人民共和国保守国家秘密法》规定，绝密级信息涉密人员需经过专门培训并签订保密协议，确保信息不外泄。企业应建立保密信息分类管理制度，明确各类信息的保密期限、使用范围及审批流程，防止信息滥用或误用。保密信息的分类管理应结合业务实际，如财务数据、技术文档、客户资料等，需根据其重要性进行分级处理。保密信息的管理应采用电子化、标准化手段，如使用加密传输、权限控制等技术手段，确保信息在流转过程中的安全性。3.3保密信息的传递与存储保密信息的传递应通过加密通信渠道进行，如使用专用加密邮件、加密文件传输工具等，防止信息在传输过程中被截获或篡改。企业应建立保密信息传递流程，明确传递方式、审批权限和责任人，确保信息在传递过程中的可控性与安全性。保密信息的存储应采用物理和数字双重防护，如使用加密存储设备、设置访问权限、定期备份等，防止信息丢失或被非法访问。保密信息的存储环境应符合安全标准，如机房需具备防电磁泄露、防盗窃、防破坏等安全措施，确保信息存储环境安全可靠。企业应定期对保密信息存储系统进行安全评估，发现漏洞及时修复，确保信息存储的安全性和完整性。3.4保密信息的销毁与处置保密信息的销毁应遵循“一事一档”原则，确保销毁过程可追溯、可验证，防止信息在销毁后仍被非法获取。《中华人民共和国保守国家秘密法》规定，涉密信息销毁需经保密部门批准，并采用物理销毁或信息销毁两种方式，确保信息彻底消除。企业应建立保密信息销毁流程，明确销毁责任人、销毁方式、销毁记录及后续处理要求，确保销毁过程合规合法。保密信息销毁后，应做好销毁记录存档，作为保密工作管理的重要依据，便于后续审计与追溯。企业应定期开展保密信息销毁工作检查，确保销毁流程符合国家保密标准，防止因销毁不当导致信息泄露风险。第4章信息安全事件管理4.1信息安全事件的分类与等级信息安全事件按照其影响范围和严重程度，通常分为五级：特别重大（Ⅰ级）、重大（Ⅱ级）、较大（Ⅲ级）、一般（Ⅳ级）和较小（Ⅴ级）。这一分类依据《信息安全技术信息安全事件分级指南》（GB/T22239-2019）中的标准，确保事件管理的有序性和优先级。Ⅰ级事件通常涉及国家级机密或重大数据泄露，需由国家相关部门直接介入处理；Ⅱ级事件则可能影响企业核心业务或关键系统，需由企业内部信息安全领导小组启动应急响应机制。Ⅲ级事件一般涉及企业内部敏感数据泄露或系统故障，需由信息安全部门启动内部响应流程，并在24小时内向相关管理层汇报。Ⅳ级事件通常为一般数据泄露或系统异常，需由信息安全团队在48小时内完成初步分析，并在72小时内提交事件报告。依据ISO27001信息安全管理体系标准，事件分类应结合事件类型、影响范围、恢复难度及潜在风险等因素综合判断，确保分类科学、客观。4.2信息安全事件的报告与响应信息安全事件发生后，应立即启动应急预案，由信息安全负责人或指定人员在1小时内向信息安全委员会报告事件详情，包括时间、地点、事件类型、影响范围及初步处理措施。事件报告需包含事件发生的过程、影响、已采取的措施、潜在风险及后续建议，确保信息透明、责任明确。企业应建立标准化的事件报告流程，包括事件发现、初步评估、分级上报、应急响应及信息通报等环节，确保事件处理的高效性和可追溯性。根据《信息安全事件分类分级指南》，事件报告应遵循“先报告、后调查、再处理”的原则，避免信息滞后影响应急响应效果。事件响应需结合《信息安全事件应急处置指南》（GB/T22240-2019）的要求，明确响应团队职责，确保事件处理符合规范并有效控制损失。4.3信息安全事件的调查与处理事件发生后，信息安全团队应立即开展事件调查，收集相关证据，包括系统日志、网络流量、用户操作记录等，以确定事件原因和影响范围。调查需遵循“四不放过”原则：事件原因未查清不放过、整改措施未落实不放过、责任人员未处理不放过、教训未吸取不放过。调查过程中应保持客观公正，避免主观臆断，确保调查结果真实、完整，为后续处理提供依据。事件处理需根据事件类型和影响程度，采取补救措施，如数据恢复、系统加固、用户通知、法律合规处理等，确保问题得到根本性解决。根据《信息安全事件处置规范》（GB/T22239-2019），事件处理应形成书面报告，明确责任人、处理措施、时间线及后续改进计划。4.4信息安全事件的整改与预防事件发生后，应针对事件原因制定整改方案，包括技术加固、流程优化、人员培训等，确保问题不再复发。整改方案需经信息安全委员会审批，并由相关部门执行，确保整改措施落实到位。整改过程中应定期进行效果评估，通过监控系统、审计日志等方式验证整改措施的有效性。企业应建立信息安全风险评估机制，定期开展漏洞扫描、渗透测试等，识别潜在风险并进行预防性处理。根据《信息安全风险评估规范》（GB/T22239-2019），企业应结合自身业务特点，制定年度信息安全风险评估计划，持续优化信息安全管理体系。第5章信息安全培训与意识提升5.1信息安全培训的重要性信息安全培训是企业防范信息泄露、维护数据安全的重要保障，符合《信息安全技术个人信息安全规范》（GB/T35273-2020）中关于“持续安全”的要求。研究表明，70%的网络安全事件源于员工的操作失误，如未遵循密码策略或未识别钓鱼邮件，因此培训能有效降低人为风险。《企业信息安全培训指南》指出，定期培训可提高员工对信息安全的认知水平，减少因误操作导致的系统风险。据美国计算机协会（ACM）统计，实施系统性信息安全培训的企业，其数据泄露事件发生率降低约40%。信息安全培训不仅是技术层面的提升，更是企业文化建设的重要组成部分，有助于构建全员信息安全意识。5.2信息安全培训的内容与形式信息安全培训内容应涵盖法律法规、风险防范、密码管理、数据分类、网络钓鱼识别等核心领域，符合《信息安全培训内容与实施指南》（GB/T38511-2020）的要求。培训形式应多样化，包括线上课程、线下讲座、模拟演练、案例分析、互动问答等，以增强学习效果。企业可采用“分层培训”模式，针对不同岗位设置差异化内容，如IT人员侧重技术规范，管理层侧重战略与合规。研究显示，结合情景模拟与实战演练的培训方式，员工记忆留存率可达60%以上，远高于传统讲授式培训。培训内容需定期更新，结合最新安全威胁与技术变化，确保培训的时效性和针对性。5.3信息安全意识的培养与考核信息安全意识的培养应贯穿于员工日常工作中，通过日常提醒、案例警示、安全提示等方式强化其责任意识。企业可采用“安全积分制”或“行为审计”机制，对员工的安全行为进行量化评估，作为晋升、调岗的重要依据。信息安全考核应包含理论测试与实操考核，如密码设置规范、钓鱼邮件识别、数据访问控制等，确保培训效果落地。《信息安全意识评估与培训效果研究》指出，定期考核可提高员工的安全意识水平，降低违规操作率。建议将信息安全意识纳入员工年度绩效评估，作为企业文化建设的重要指标。5.4信息安全培训的持续改进企业应建立培训效果评估机制，通过问卷调查、行为数据分析、事故复盘等方式，持续优化培训内容与形式。培训效果评估应涵盖知识掌握度、行为改变、安全事件发生率等多维度指标，确保培训真正发挥作用。建议采用“PDCA”循环法（计划-执行-检查-改进），定期回顾培训计划，调整培训策略，提升培训质量。企业可引入外部专家或第三方机构进行培训效果评估，提高培训的专业性和公信力。培训体系应与企业战略目标相结合，形成闭环管理，确保信息安全培训与企业发展同步推进。第6章信息安全技术应用6.1信息安全技术的选型与应用信息安全技术选型应遵循“最小权限原则”和“风险导向”原则，根据企业业务特点和安全需求选择合适的加密算法、访问控制机制和网络防护设备。根据ISO/IEC27001标准，企业应通过风险评估确定技术选型，确保技术方案符合行业最佳实践。信息安全技术应结合企业信息化建设阶段进行分阶段部署，如数据加密、身份认证、入侵检测等，应参考NIST的《网络安全框架》（NISTSP800-53）进行技术选型与配置，确保技术方案与业务流程高度匹配。企业应建立技术选型评估机制，包括技术成熟度、成本效益、兼容性、可扩展性等维度，可参考IEEE1682标准进行技术选型评审，确保所选技术具备长期适用性。信息安全技术的应用应结合业务场景，如金融行业应采用国密算法（SM2、SM3、SM4）进行数据加密，而互联网行业则应优先选用TLS1.3协议进行通信加密，确保技术应用的针对性和有效性。企业应定期对技术选型进行复审，根据技术演进和业务变化调整技术方案，确保技术选型的动态适应性，避免因技术落后导致的安全风险。6.2信息安全技术的实施与维护信息安全技术的实施需遵循“先规划、后建设、再部署”的原则，实施过程中应进行系统集成测试，确保技术方案与现有系统兼容，符合ISO27001中的系统实施要求。信息安全技术的维护应建立定期巡检机制，包括日志审计、漏洞扫描、系统更新等，可参考CIS（中国信息安全产业联盟）的《信息安全技术信息系统安全等级保护实施指南》进行运维管理。企业应建立技术运维团队，负责技术方案的日常运行、故障排查和应急响应，确保技术系统稳定运行，符合GB/T22239-2019《信息安全技术信息系统安全等级保护基本要求》中的运维规范。信息安全技术的维护应结合业务需求变化进行动态调整，如用户权限变更、系统升级等，应参考ISO/IEC27001中的持续改进流程，确保技术维护的持续性和有效性。企业应建立技术运维日志和问题反馈机制，确保技术问题能够及时发现和处理，避免因技术故障导致的信息泄露或业务中断，符合ISO27001中的事件管理要求。6.3信息安全技术的更新与升级信息安全技术的更新应基于技术演进和安全威胁的变化，定期进行技术评估和升级，确保技术方案与最新的安全标准和规范一致，如参考NIST的《网络安全技术成熟度模型》（CMMI）进行技术升级。企业应建立技术更新机制，包括软件补丁更新、硬件设备升级、安全协议替换等，确保技术方案的持续有效性，符合ISO/IEC27001中的技术更新要求。信息安全技术的升级应结合业务发展和安全需求变化，如引入驱动的威胁检测系统、零信任架构等，提升技术防护能力，符合IEEE1682标准中的技术演进方向。企业应建立技术升级评估和决策机制，包括技术可行性、成本效益、风险评估等，确保技术升级的科学性和合理性，避免因技术升级导致的业务中断或系统兼容性问题。信息安全技术的更新应纳入企业整体IT战略，与业务发展同步推进，确保技术更新与业务目标一致，符合ISO27001中的战略管理要求。6.4信息安全技术的审计与评估信息安全技术的审计应采用系统化的方法，如风险评估、漏洞扫描、日志分析等，确保技术方案的有效性和合规性，符合ISO27001中的审计要求。企业应建立技术审计机制，包括定期审计技术方案的实施效果、技术配置的合规性、技术更新的及时性等，确保技术应用符合安全标准，如参考NIST的《信息安全技术安全评估框架》（CISA）进行技术审计。信息安全技术的评估应结合定量和定性分析，如使用定量指标评估技术防护效果，使用定性分析评估技术方案的适用性，确保技术评估的全面性和科学性。企业应建立技术评估报告和改进机制，根据审计结果优化技术方案，确保技术应用的持续改进，符合ISO27001中的持续改进要求。信息安全技术的审计与评估应纳入企业安全管理体系，与安全事件响应、安全培训等环节联动，确保技术应用的全面性和有效性，符合ISO27001中的管理要求。第7章信息安全监督与审计7.1信息安全监督的职责与机制信息安全监督是组织内部对信息安全管理工作的执行与落实情况进行检查与指导的过程，其核心职责包括制定监督计划、定期检查制度执行情况、识别风险点并提出改进建议。根据《信息安全技术信息安全风险评估规范》（GB/T20984-2007），监督工作应遵循“事前预防、事中控制、事后评估”的原则。信息安全监督通常由信息安全部门牵头，联合技术、业务及合规部门共同参与，形成跨部门协作机制。例如，某大型企业通过建立“信息安全监督小组”，实现对数据访问、系统变更、第三方合作等关键环节的全过程跟踪。监督机制应包括定期检查、专项审计和应急响应等不同形式。根据《信息安全风险管理指南》（GB/T22239-2019），监督应覆盖信息资产分类、权限管理、数据备份、应急响应等关键领域。监督活动需建立标准化流程，如制定监督检查表、明确检查内容、设定检查频次，并通过记录与分析形成监督报告，为后续改进提供依据。信息安全监督应与绩效考核、奖惩机制相结合，确保监督结果能够有效推动信息安全管理水平的提升。7.2信息安全审计的流程与方法信息安全审计是通过系统化、规范化的方式，评估组织信息安全政策、制度、措施及执行情况的过程。根据《信息系统审计准则》（ISO27001:2013），审计应涵盖制度建设、技术实施、人员培训、应急响应等多方面内容。审计流程通常包括计划制定、现场检查、数据收集、分析评估、报告撰写与整改落实等环节。例如，某金融机构在年度审计中，通过“问题溯源—风险评估—整改跟踪”三步法，确保审计结果的准确性和可操作性。审计方法可采用定性与定量结合的方式，如访谈、文档审查、系统日志分析、漏洞扫描等。根据《信息安全审计技术规范》（GB/T35273-2020），审计应结合技术手段与管理手段，实现全面覆盖。审计过程中需重点关注数据完整性、保密性、可用性及合规性，确保审计结果能够真实反映信息安全状况。例如，某企业通过审计发现其内部系统存在权限失控问题，进而推动了权限管理机制的优化。审计结果应形成正式报告，并提出整改建议，整改落实情况需在规定时间内反馈，确保审计目标的实现。7.3信息安全审计的报告与整改信息安全审计报告应包含审计背景、发现的问题、风险等级、整改建议及后续跟踪措施等内容。根据《信息安全审计报告规范》（GB/T35274-2020），报告需具备客观性、完整性和可操作性，确保信息准确无误。审计报告需通过内部会议、管理层沟通等方式传达，确保相关部门及时了解问题并采取行动。例如，某企业通过审计报告向管理层汇报了数据泄露风险，促使公司加快了数据安全体系建设。整改措施应明确责任人、时间节点和验收标准，确保问题得到彻底解决。根据《信息安全事件管理指南》（GB/T22238-2019），整改需形成闭环管理，包括问题确认、整改实施、验证复查和归档记录。整改过程中需建立跟踪机制，如定期复查、验收评估和反馈机制，确保整改措施有效落实。例如，某企业通过建立“整改跟踪表”，实现了对整改进度的实时监控。整改结果需纳入绩效考核体系，作为员工绩效评估和部门考核的重要依据，确保整改工作持续改进。7.4信息安全监督的持续改进信息安全监督应建立动态改进机制，根据审计结果、风险评估和外部环境变化不断优化管理策略。根据《信息安全管理体系要求》（ISO27001:2013），监督应与管理体系的持续改进相结合，形成PDCA（计划-执行-检查-处理）循环。建立定期评估机制，如每季度或年度进行信息安全监督评估，确保监督工作与组织战略目标保持一致。例如，某企业通过年度信息安全监督评估，发现其在数据分类管理上存在不足，进而推动了分类标准的更新。监督工作应结合技术发展和管理需求，引入智能化工具，如自动化监控、风险预警等，提升监督效率和准确性。根据《信息安全技术信息安全风险评估规范》（GB/T20984-2007），技术手段应与管理手段协同作用，实现风险动态控制。监督体系应与组织的信息化建设、业务流程优化和合规要求相适应，确保监督机制与组织发展同步推进。例如，某企业通过监督体系的优化，实现了对业务数据流动的全面监控，提升了信息安全水平。监督工作应注重人员培训与文化建设，提升全员信息安全意识，确保监督机制的有效运行。根据《信息安全文化建设指南》（GB/T35275-2020），信息安全监督不仅是技术层面的管理，更是组织文化的重要组成部分。第8章信息安全责任与奖惩机制8.1信息安全责任的界定与落实信息安全责任应遵循“谁主管、谁负责、谁泄露、谁担责”的原则，明确各级管理人员和员工在信息安全