信息安全管理办法政府部门要求

下面是小编为大家整理的信息安全管理办法政府部门要求,供大家参考。

　信息安全管理办法政府部门要求

　 信息安全管理办法

　第一章总则

　第一条

　为加强公司信息安全管理，推进信息安全体系建设，保障信息系统安全稳固运行，根据国家有关法律、法规与《公司信息化工作管理规定》，制定本办法。

　第二条

　本办法所指的信息安全管理，是指计算机网络及信息系统（下列简称信息系统）的硬件、软件、数据及环境受到有效保护，信息系统的连续、稳固、安全运行得到可靠保障。

　第三条

　公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则，各信息系统的主管部门、运营与使用单位各自履行有关的信息系统安全建设与管理的义务与责任。

　第四条

　信息安全管理，包含管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。

　第五条

　本办法适用于公司总部、各企事业单位及其全体员工。

　第二章信息安全管理组织与职责

　第六条

　公司信息化工作领导小组是信息安全工作的最高决策机构，负责信息安全政策、制度与体系建设规划的审批，部署并协调信息安全体系建设，领导信息系统等级保护工作。

　第七条

　公司建立与健全由总部、企事业单位与信息技术支持单位三方面构成，协调一致、密切配合的信息安全组织与责任体系。各级信息安全组织均要明确主管领导，确定有关责任，设置相应岗位，配备必要人员。

　第八条

　信息管理部是公司信息安全的归口管理部门，负责落实信息化工作领导小组的决策，实施公司信息安全建设与管理，确保重要信息系统的有效保护与安全运行。具体职责包含：组织制定与实施公司信息安全政策标准、管理制度与体系建设规划，组织实施信息安全项目与培训，组织信息安全工作的监督与检查。

　第九条

　公司保密部门负责信息安全工作中有关保密工作的监督、检查与指导。

　第十条

　企事业单位信息部门负责本单位信息安全的管理，具体职责

　包含：在本单位宣传与贯彻执行信息安全政

　策与标准，确保本单位信息系统的安全运行，实施本单位信息安全项目与培训，追踪与查处本单位信息安全违规行为，组织本单位信息安全工作检查，完成公司部署的信息安全工作。

　第十一条

　技术支持单位在信息管理部的领导下，承担所负责的信息系统与所在区域的信息安全管理任务，要紧包含：在所保护系统与本区域内宣传与贯彻信息安全政策与标准，确保所负责信息系统的安全运行。

　第十二条

　各级信息管理部门设立信息安全管理与技术岗位，包含信息安全、应用系统、数据库、操作系统、网络负责人与管理员，重要岗位可设置两个员工互为备份。

　第十三条

　信息安全岗位的设立应遵循职责分离的要求，包含。制度监督者与执行者分离，信息系统授权者与操作者分离，应用系统管理员与数据库管理员分离，程序开发人员不应具备对生产环境的访问权限。

　第十四条

　公司员工务必严格遵守公司信息安全政策、管理制度、技术标准与信息系统操纵要求，承担有关安全义务与责任，并及时报

　告信息安全事件。

　第三章信息安全目标与工作原则

　第十五条

　信息安全工作的总体目标是。实施信息系统安全等级保护，建立与健全先进有用、完整可靠的信息安全体系，保证系统与信息的完整性、真实性、可用性、保密性与可控性，保障信息化建设与应用，支撑公司业务持续、稳固、健康进展。

　第十六条

　信息安全体系建设务必坚持下列原则。坚持统一。信息安全体系务必统一规划、统一标准、统一设计、统一投资、统一建设、统一管理。

　保障应用。保障网络与信息系统，特别是全局网络与重要业务信息系统不间断稳固运行及其信息的安全，实现以应用促安全，以安全保应用。

　符合法规。信息安全体系要满足法律法规要求，包含国家对信息系统等级保护、企业内部操纵要求，积极使用法律法规同意的、成熟的先进技术与专业安全服务。

　综合防范。管理与技术并重，相互补充。从组织与流程、制度与人员、场地与环境、网络与系统、数据与应用等多方面着手，在系统设计、建设与运维的多环节进行综合防范。

　集中共享。建立集中、统一的信息安全技术服务平台与

　集中专业化的信息安全队伍。

　第四章信息安全工作基本要求

　第十七条

　根据公司信息安全专项规划与总体方案，分层次建立以安全组织体系为核心、安全管理体系为保障、安全技术体系为支撑的全面信息安全体系，并保持三个体系稳固、均衡进展。

　第十八条

　建立全面的信息安全管理体系：

　制定并实施统一的信息安全策略、管理制度与技术标准。

　实行信息系统资产管理责任制，保护信息系统，特别是核心信息系统的设备、软件、数据与技术文档的安全。

　建立信息系统物理环境、网络、系统、应用、数据等各层面的安全管理流程，实现对信息系统全生命周期的安全管理。

　实现对信息系统的安全风险管理，及时发现与防范安全隐患。

　第十九条

　建立有效的信息安全技术体系：

　强化网络、桌面与应用系统安全防护体系，按照自主定级、自主保护的原则，评估确定各信息系统保护等级并实施

　相应的保护措施。

　建立统一的网络安全信任体系，加强网络实体身份管理与认证，为网络与信息系统安全运行提供信任基础。

　建立完善有效的安全监控与预警体系，监控重要网络与核心业务系统，及时发现安全隐患。

　建立全面有效的应急响应体系，制定并落实完整、规范的应急处理与响应流程，完善信息安全报告、处理机制。

　建立包含同城与异地容灾备份中心的信息系统灾难恢复体系，定期进行灾难恢复的测试与演练，确保灾难发生后能够充分发挥备份的效能，降低造成的影响与缺失。

　第五章信息安全监控

　第二十条

　信息安全监控的目的是对威胁系统、数据库及网络安全的因素进行有效操纵，防止由于技术或者人为因素导致的特殊与缺失，同时为其他安全措施的设计与实施提供可靠根据。安全监控的结果要储存一年以上。

　第二十一条

　信息系统的运行与保护单位，在国家法律与公司有关规定许可的范围内，具体进行规范、合理、有效的信息安全监控。使用公司网络及应用系统的用户有义务同意

　必要的监控。监控不能影响、泄漏不涉及安全问题的网上行为与个人隐私的内容。

　第二十二条

　各级信息部门负责制定与实施信息安全监控计划，包含日常

　监控、应急处理与定期汇报。

　第二十三条

　日常监控分为实时监控与定期检查，包含应用系统、数据库、操作系统、网络、物理环境与外部人员对信息系统访问的实时监控与定期检查。监控及检查结果要存档备查，特殊情况须及时向有关负责人汇报。

　第二十四条

　各级信息部门应对网络及重要信息系统制定全面的应急处理预案。应急处理按照预案进行，并至少每年组织一次有关岗位人员进行应急预案演练。

　第二十五条

　各级信息部门编制、上报信息安全月报与年报，及时向主管领导与上级部门汇报重大信息安全风险与事件。

　第六章信息安全风险评估

　第二十六条

　信息管理部负责组织建立风险评估规范及实施团队，定期或者在重大、特殊事件发生时进行风险评估。

　第二十七条

　风险评估包含范围确定、风险识别、风险分析与操纵措施，确保信息安全，满足应用与业务需要。

　评估范围可包含管理组织、流程、政策与标准、应用系统、

　数据库、操作系统、网络、物理环境，应涵盖公司内部关键操纵点。

　风险识别包含识别风险类型与风险事件，形成风险列表，更新信息风险数据库。

　风险分析包含信息资产分类、风险发生概率与影响程度分析，并确定风险等级，形成风险评估报告。

　操纵措施包含安全管理策略与风险操纵措施，形成风险操纵报告。

　第二十八条

　信息管理部将风险评估与操纵报告上报信息主管领导审批。根据领导审批意见，落实操纵措施。

　第七章信息安全培训

　第二十九条

　信息管理部负责制定公司信息安全培训计划，组织、实施信息安全管理与技术培训。各级信息部门负责相应层级的信息安全培训，培训计划报信息管理部备案。

　第三十条

　信息管理部及各企事业单位信息部门对应用系统、数据库、操作系统与网络管理员、开发人员进行信息安全技术培训，提高信息安全管理与保护水平。

　第三十一条

　信息管理部及各企事业单位信息部门分层次、分类型对员工进行信息安全培训，包含针对业务与技术管理人员进行管理层面的信息安全管理培训，针对从事日常业务处理人员进行操作层面基本安全知识培训。

　第三十二条

　员工上岗前，应进行岗位信息安全培训，并签署信息安全保密协议。在岗位发生变动时，及时调整信息系统操作权限。

　第三十三条

　信息安全政策与标准发生重大调整、新建与升级的信息系统投入使用前，开展必要的安全培训，明确有关调整与变更所带来的信息安全权限与责任的变化。

　第八章信息安全检查与考核

　第三十四条

　信息管理部定期进行信息安全检查与考核，包含信息安全政策与标准的培训与执行情况、重大信息安全事件及整改措施落实情况、现有信息安全措施的有效性、信息安全技术指标完成情况。

　第三十五条

　各企事业单位信息部门按照本办法与《公司信息系统运行保护管理办法》进行信息安全自我考核，信息管理部进行综合评价，形成年度考核报告，报信息主管领导。

　第三十六条

　关于不执行本办法造成严重后果的，应追究有关部门与个人责任。

　第九章附则

　第三十七条

　各企事业单位可参照本管理办法制定相应的实施细则。

　第三十八条第三十九条

　本办法由公司信息管理部负责解释。本办法自印发之日起施行。