资产管理公司信息安全管理办法

资产管理公司信息安全管理办法第一章总则第一条为加强[资产管理公司名称]信息安全管理，保障公司信息系统的稳定运行，保护公司及客户的信息资产安全，依据国家相关法律法规以及行业标准，结合本公司实际情况，特制定本办法。第二条本办法适用于公司内部所有部门、员工以及与公司信息系统有交互的第三方机构和人员。第三条信息安全管理应遵循“安全第一、预防为主、综合治理”的方针，坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，实现信息安全管理的规范化、制度化和科学化。第二章信息安全管理机构与职责第四条公司设立信息安全管理委员会（以下简称“信安委”），作为公司信息安全管理的最高决策机构。信安委由公司高层领导、各部门主要负责人组成，负责制定公司信息安全战略、方针和政策，审议重大信息安全事项，协调解决信息安全工作中的重大问题。第五条信安委下设信息安全管理办公室（以下简称“信安办”），作为信安委的日常办事机构。信安办挂靠在公司信息技术部门，负责贯彻执行信安委的决策部署，组织制定和完善信息安全管理制度、流程和标准，开展信息安全风险评估、监测预警、应急处置等工作，对公司信息安全工作进行监督、检查和考核。第六条公司各部门应设立信息安全管理员，负责本部门信息安全日常管理工作，落实公司信息安全管理制度和要求，组织开展本部门信息安全培训和教育，及时报告本部门信息安全事件和隐患。第七条公司员工应遵守公司信息安全管理制度，妥善保管个人账号和密码，不得泄露公司信息资产，积极参与公司组织的信息安全培训和教育活动，发现信息安全问题应及时报告。第三章信息资产分类与分级第八条公司信息资产包括但不限于计算机设备、网络设备、通信设备、存储设备、软件系统、数据信息、文档资料等。第九条信息资产分类按照其表现形式可分为硬件资产、软件资产、数据资产、人员资产、文档资产等；按照其重要性和敏感性可分为核心资产、重要资产、普通资产等。第十条信息资产分级根据其一旦泄露、篡改或破坏可能对公司造成的损失程度以及对公司业务运营的影响程度，分为机密级、秘密级、内部公开级和公开级四个级别。第十一条公司信息技术部门应会同各业务部门定期对信息资产进行识别、分类和分级，并建立信息资产台账，明确信息资产的责任人、使用人、存放地点、安全等级等信息。第四章信息安全风险管理第十二条公司应建立信息安全风险评估机制，定期对信息系统进行风险评估，识别信息安全风险，分析风险发生的可能性和影响程度，制定风险处置措施。第十三条信息安全风险评估应至少每年进行一次，当信息系统发生重大变更、业务流程调整、法律法规变化等情况时，应及时进行风险评估。第十四条信息安全风险处置措施包括风险规避、风险降低、风险转移和风险接受等。公司应根据风险评估结果，选择合适的风险处置措施，制定风险处置计划，并跟踪风险处置效果。第十五条公司应建立信息安全监测预警机制，对信息系统的运行状态、网络流量、安全事件等进行实时监测，及时发现信息安全风险和隐患，发布预警信息，采取相应的防范措施。第十六条公司应建立信息安全应急处置机制，制定信息安全应急预案，定期组织应急演练，提高应急处置能力。当发生信息安全事件时，应按照应急预案及时进行处置，降低事件损失，并按照规定及时报告。第五章人员安全管理第十七条公司应建立人员安全管理制度，对员工的招聘、录用、培训、考核、离职等环节进行信息安全管理。第十八条公司在招聘员工时，应对应聘人员的身份背景、学历资质、工作经历等进行审查，确保其具备良好的职业道德和信息安全意识。对于涉及重要信息岗位的人员，应进行更为严格的背景审查。第十九条公司应对新入职员工进行信息安全培训，使其了解公司信息安全管理制度和要求，掌握基本的信息安全知识和技能。员工在转岗、晋升时，应根据新岗位的要求进行相应的信息安全培训。第二十条公司应定期对员工进行信息安全考核，考核结果与员工的绩效、晋升、奖惩等挂钩。对于违反信息安全管理制度的员工，应按照规定进行处理，情节严重的，依法追究其法律责任。第二十一条公司在员工离职时，应及时收回其使用的公司信息资产，如计算机设备、账号密码、门禁卡等，删除其在公司信息系统中的账号和权限，并对其工作期间涉及的信息资产进行交接和审查，确保信息资产的安全。第六章物理与环境安全管理第二十二条公司应建立物理与环境安全管理制度，保障信息系统所在机房、办公区域等物理环境的安全。第二十三条机房应具备防火、防水、防盗、防雷、防静电等安全防护措施，配备必要的消防设备和监控设备，并定期进行检查和维护。机房应实行门禁管理，限制无关人员进入，进入机房的人员应进行登记。第二十四条机房的供电系统应具备冗余备份，确保电力供应的稳定性和可靠性。机房应配备不间断电源（UPS），在市电中断时能够为信息系统提供一定时间的电力支持，保障信息系统的正常运行和数据安全。第二十五条办公区域应保持整洁、卫生，办公设备应摆放整齐，避免因物理环境因素导致信息资产损坏或丢失。员工应妥善保管个人办公设备和信息资产，下班时应关闭计算机、打印机等设备电源，锁好文件柜和抽屉。第七章网络与通信安全管理第二十六条公司应建立网络与通信安全管理制度，保障公司网络和通信系统的安全稳定运行。第二十七条公司网络应按照不同的安全区域进行划分，如核心业务区、办公区、互联网接入区等，并在不同区域之间设置防火墙、入侵检测系统（IDS）、入侵防范系统（IPS）等安全设备，进行访问控制和安全防护。第二十八条公司应加强对网络设备的管理，如路由器、交换机、防火墙等，定期进行设备巡检、配置备份、漏洞扫描和安全升级，确保设备的正常运行和安全性。第二十九条公司应规范员工的网络行为，禁止员工在公司网络上进行与工作无关的活动，如浏览非法网站、下载非法软件、使用P2P下载工具等，防止网络资源被滥用和网络安全事件的发生。第三十条公司应加强对通信系统的管理，保障公司内部电话、传真、电子邮件等通信方式的安全。对于电子邮件系统，应采用加密技术、防病毒技术等，防止邮件内容被窃取、篡改和传播恶意软件。第八章系统与应用安全管理第三十一条公司应建立系统与应用安全管理制度，保障公司信息系统和应用程序的安全可靠运行。第三十二条公司在信息系统和应用程序的开发过程中，应遵循安全设计原则，进行安全需求分析、安全设计、安全编码和安全测试，确保系统和应用程序不存在安全漏洞和缺陷。第三十三条公司应对信息系统和应用程序进行定期的漏洞扫描、安全评估和安全升级，及时发现和修复安全漏洞，防范黑客攻击和恶意软件入侵。第三十四条公司应建立信息系统和应用程序的访问控制机制，根据用户的角色和职责，为其分配相应的账号和权限，限制用户对信息资产的访问范围和操作权限。用户应妥善保管个人账号和密码，不得随意泄露给他人，定期更换密码，并采用复杂的密码策略，提高密码的安全性。第三十五条公司应加强对信息系统和应用程序的数据安全管理，采用数据加密技术、数据备份与恢复技术等，保障数据的保密性、完整性和可用性。数据应定期进行备份，并存储在安全的介质中，异地存放，防止因数据丢失或损坏导致业务中断。第九章第三方安全管理第三十六条公司在与第三方机构或人员合作过程中，如涉及信息系统的开发、维护、运营、数据处理等业务，应签订信息安全保密协议，明确双方的信息安全责任和义务，对第三方机构或人员的信息安全管理能力进行评估，确保其具备相应的信息安全保障措施。第三十七条公司应对第三方机构或人员在公司信息系统中的操作行为进行监控和审计，及时发现和制止违规行为。在合作结束后，应及时收回第三方机构或人员的账号和权限，删除其在公司信息系统中的数据信息，确保信息资产的安全。第十章安全事件管理第三十八条公司应建立信息安全事件管理制度，规范信息安全事件的报告、处置、调查和总结等工作流程。第三十九条信息安全事件分为特别重大事件（Ⅰ级）、重大事件（Ⅱ级）、较大事件（Ⅲ级）和一般事件（Ⅳ级）四个级别。信息安全事件的分级标准按照国家相关法律法规以及行业标准执行。第四十条公司员工发现信息安全事件后，应立即向本部门信息安全管理员报告，信息安全管理员应及时核实事件情况，并按照规定的报告流程向信安办报告。信安办接到报告后，应根据事件级别启动相应的应急预案，组织相关部门和人员进行应急处置。第四十一条信息安全事件处置结束后，信安办应组织相关部门和人员对事件进行调查，分析事件原因，评估事件损失，总结经验教训，提出改进措施，并形成信息安全事件调查报告。第四十二条公司应建立信息安全事件通报机制，对于重大信息安全事件，应按照规定及时向监管部门、客户以及合作伙伴进行通报，避免事件造成更大的影响。第十一章培训与教育第四十三条公司应制定信息安全培训与教育计划，定期组织员工进行信息安全培训与教育，提高员工的信息安全意识和技能。第四十四条信息安全培训与教育内容包括信息安全法律法规、公司信息安全管理制度、信息安全基础知识、网络安全防护技术、数据安全管理、应急处置等方面。培训方式可采用内部培训、外部培训、在线学习、专题讲座、案例分析等多种形式。第四十五条公司应鼓励员工自主学习信息安全知识，参加相关的培训和认证考试，对于取得信息安全相关证书的员工，给予一定的奖励和激励。第十二章监督与检查第四十六条信安办应定期对公司各部门的信息安全工作进行监督与检查，检查内容包括信息安全管理制度的执行情况、信息资产的安全状况、信息安全风险评估与处置情况、人员安全管理情况、物理与环境安全管理情况、网络与通信安全管理情况、系统与应用安全管理情况、第三方安全管理情况等。第四十七条监督与检查可采用自查、互查、专项检查、定期检查、不定期抽查等方式进行。检查过程中发现的问题应及时下达整改通知书，要求相关部门和人员