信息系统安全保护制度

信息系统安全保护制度第一章总则第一条本制度依据《中华人民共和国网络安全法》《数据安全法》《个人信息保护法》等相关法律法规，参照行业信息安全防护标准及集团母公司关于信息安全管理的规定，结合公司信息系统建设与运行的实际需求，为有效防控信息安全风险、规范信息系统使用行为、保障公司信息资产安全，制定本制度。第二条本制度适用于公司各部门、下属单位及全体员工，涵盖公司信息系统规划、建设、运维、应用、管理及应急响应等全过程，涉及办公系统、业务系统、数据资源等各类信息资产的管理场景。第三条本制度中下列术语含义：（一）“信息系统专项管理”指公司为确保信息系统安全稳定运行，围绕数据安全、网络安全、应用安全等方面开展的制度建设、风险防控、合规审查、应急保障等活动。（二）“信息系统安全风险”指因信息系统设计缺陷、运维不当、操作违规、外部攻击等原因可能导致的信息泄露、系统瘫痪、业务中断或数据篡改等潜在威胁。（三）“合规要求”指公司信息系统管理必须遵循的法律法规、行业标准及内部管理规定，包括但不限于数据分类分级、访问控制、安全审计、应急响应等内容。第四条信息系统安全保护管理应遵循以下原则：（一）全面覆盖：信息系统安全保护范围覆盖公司所有信息系统及关联数据资源，实现无死角管控。（二）责任到人：明确各层级、各岗位信息安全责任，确保安全工作落实到具体人员。（三）风险导向：以风险防控为核心，优先治理高风险领域，动态优化安全策略。（四）持续改进：根据内外部环境变化，定期评估并完善信息系统安全管理体系。第二章管理组织机构与职责第五条公司主要负责人对信息系统安全保护工作负总责，负责统筹决策、资源保障及重大风险处置；分管信息化工作的领导对信息系统安全保护工作负直接责任，负责日常管理、制度落实及监督考核。第六条设立公司信息系统安全保护领导小组，由公司主要负责人担任组长，分管领导担任副组长，成员包括信息化管理部、审计合规部、各业务部门负责人及下属单位代表。领导小组负责统筹协调信息系统安全保护工作，审议重大安全策略，监督考核各部门履职情况。第七条领导小组主要职责包括：（一）审议信息系统安全保护战略规划及重大制度；（二）统筹协调跨部门信息系统安全风险处置；（三）监督考核各部门信息系统安全保护工作成效；（四）定期听取专项工作报告，决策重大事项。第八条信息化管理部为信息系统安全保护的牵头部门，主要职责包括：（一）统筹制定信息系统安全保护制度及操作规范；（二）组织信息系统安全风险评估与隐患排查；（三）监督信息系统安全策略落实情况，开展合规检查；（四）统筹信息系统安全应急演练与处置；（五）开展信息系统安全培训与宣传。第九条审计合规部为信息系统安全保护的专责部门，主要职责包括：（一）审核信息系统安全保护制度的合规性；（二）监督信息系统安全审计工作，出具评估报告；（三）对信息系统安全违规行为进行调查处理；（四）推动信息系统安全管理体系优化。第十条各业务部门及下属单位为信息系统安全保护的责任主体，主要职责包括：（一）落实本领域信息系统安全保护要求；（二）开展信息系统日常运维及风险排查；（三）配合完成安全审计与应急响应工作；（四）加强部门内部员工安全意识培训。第十一条基层执行岗位人员应履行以下安全责任：（一）严格遵守信息系统操作规程，签署岗位合规承诺；（二）及时上报信息系统异常情况及潜在安全风险；（三）妥善保管账号密码及敏感信息，禁止非授权操作；（四）参与信息系统安全培训，提升风险防范能力。第三章专项管理重点内容与要求第十二条系统规划与建设管理：信息系统规划应遵循安全优先原则，同步设计安全功能，明确数据分类分级标准。系统建设需通过安全验收后方可上线运行，禁止擅自接入非授权系统。第十三条访问控制管理：实行基于角色的最小权限控制，禁止越权访问。定期审查账号权限，及时回收离职人员或闲置账号的访问权限。核心系统应启用多因素认证，禁止使用生日、手机号等易猜密码。第十四条数据安全管理：对核心数据进行分类分级，敏感数据需加密存储与传输。禁止将敏感数据存储在个人设备或公共云平台。数据跨境传输应评估合规风险，必要时采取脱敏或授权措施。第十五条网络安全管理：定期开展网络漏洞扫描，及时修复高危漏洞。禁止在办公网络中擅自使用未经审批的设备。远程访问需通过VPN加密传输，禁止使用弱口令或明文传输。第十六条应用安全管理：定期开展应用安全测试，禁止开发过程中忽视安全需求。禁止通过浏览器下载或执行未知来源文件，禁止在系统间交叉引用未授权数据。第十七条安全审计管理：核心系统需启用操作日志记录，日志保存期限不低于三年。禁止擅自篡改或删除日志，审计专员定期核查异常操作。第十八条应急响应管理：建立信息系统安全事件分级标准，一般事件由部门自行处置，重大事件上报领导小组统筹应对。禁止隐瞒或迟报安全事件，应急方案需每年演练一次。第四章专项管理运行机制第十九条制度动态更新机制：每年至少修订一次信息系统安全保护制度，根据法律法规变化、技术迭代及业务调整及时补充条款，修订需经领导小组审议通过。第二十条风险识别预警机制：每季度开展信息系统安全风险排查，采用定性与定量结合的方法评估风险等级，发布预警通知时应明确整改时限与责任人。第二十一条合规审查机制：信息系统上线、变更或采购需经审计合规部审查，未经审查的禁止实施。审查内容包括安全策略符合性、操作流程合规性及应急预案有效性。第二十二条风险应对机制：一般风险由责任部门限期整改，重大风险需启动应急预案，由领导小组统筹处置。禁止将风险转嫁至其他部门或下属单位。第二十三条责任追究机制：对违反本制度的行为，根据情节严重程度采取警告、通报、降级或纪律处分。违规行为纳入绩效考核，情节恶劣的按合同约定追究法律责任。第二十四条评估改进机制：每年组织信息系统安全管理体系有效性评估，重点检查制度落实率、风险整改完成率及应急响应能力，评估结果用于优化管理流程。第五章专项管理保障措施第二十五条组织保障：各层级领导应定期听取信息系统安全工作汇报，亲自部署重大安全任务，禁止以会议代替实际落实。第二十六条考核激励机制：将信息系统安全保护情况纳入部门年度考核，优秀单位优先获取信息化资源支持，连续两年考核不合格的取消评优资格。第二十七条培训宣传机制：新员工入职必须接受信息系统安全培训，核心岗位人员需每年考核一次；通过内部平台发布安全提示，定期开展案例警示教育。第二十八条信息化支撑：通过系统工具实现账号权限自动审计、安全日志智能分析，禁止使用人工手段替代技术监控。第二十九条文化建设：每年发布信息系统安全合规手册，组织全员签署安全承诺书，通过宣传栏、内网专栏等形式营造全员参与的氛围。第三十条报告制度：每月汇总信息系统安全事件，季度向领导小组汇报管理情况，年度向审计合规部提交合规报告，报告内容应包含风险趋势、处置成效及改