【導讀】理性和多效用性，使其對于人類具有特別重要的意義。干擾和破壞，即保證信息的安全性。表現(xiàn)在知識性、中介性、可轉化性、可再生性和無限應用性。系統(tǒng)的不安全性，給企業(yè)的信息化建設帶來不利影響。被篡改或破壞；可用性，能夠按照用戶需要提供可用信息；可控性，進行否認；可審查性，對出現(xiàn)的網(wǎng)絡安全問題提供調查的依據(jù)和手段。一是由于信息基礎設施的固有特點導致的信息安全的脆弱性。不是封閉的、保密的。礎設施的建設與因特網(wǎng)的普及而迅速擴大。造成了病毒極易滋生和傳播，從而導致信息危害。和定罪帶來困難。整個網(wǎng)絡容易受病毒的攻擊，使網(wǎng)絡處于相當不安全的環(huán)境。輕則數(shù)據(jù)丟失，重則網(wǎng)絡癱瘓，所有工作與業(yè)務將無法進行。制設備，只有一個邊界路由器作為保護，而邊界路由器易受攻擊。當邊界路由器被攻擊，分支機構與業(yè)務網(wǎng)絡將淪陷，容易導致非法的入侵，從而引起被授權的攻擊及數(shù)據(jù)竊取。我國企業(yè)的信息化建設發(fā)展迅速，各個企業(yè)紛紛設立自己的網(wǎng)站，

　　

【正文】 第三條 公司信息安全管理堅持“誰主管誰負責、誰運行誰負責”的基本原則，各信息系統(tǒng)的主管部門、運營和使用單位各自履行相關的信息系統(tǒng)安全建設和管理的義務與責任。 第四條 信息安全管理，包括管理組織與職責、信息安全目標與工作原則、信息安全工作基本要求、信息安全監(jiān)控、信息 安全風險評估、信息安全培訓、信息安全檢查與考核。 第五條 本辦法適用于公司總部、各企事業(yè)單位及其全體員工。 第二章信息安全管理組織與職責 第六條 公司信息化工作領導小組是信息安全工作的最高決策機構，負責信息安全政策、制度和體系建設規(guī)劃的審批，部署并協(xié)調信息安全體系建設，領導信息系統(tǒng)等級保護工作。 第七條 公司建立和健全由總部、企事業(yè)單位以及信息技術支持單位三方面組成，協(xié)調一致、密切配合的信息安全組織和責任體系。各級信息安全組織均要明確主管領導，確定相關責任，設置相應崗位，配備必要人員。 第八條 信息管理部是公司信息安全的歸口管理部門，負責落實信息化工作領導小組的決策，實施公司信息安全建設與管理，確保重要信息系統(tǒng)的有效保護和安全運行。具體職責包括：組織制定和實施公司信息安全政策標準、管理制度和體系建設規(guī)劃，組織實施信息安全項目和培訓，組織信息安全工作的監(jiān)督和檢查。 第九條 公司保密部門負責信息安全工作中有關保密工作的監(jiān)督、檢查和指導。 第十條 企事業(yè)單位信息部門負責本單位信息安全的管理，具體職責包括：在本單位宣傳和貫徹執(zhí)行信息安全政 策與標準，確保本單位信息系統(tǒng)的安全運行，實施本單位信息安全項目和培訓，追蹤和查處本單位信息安全違規(guī)行為，組織本單位信息安全工作檢查，完成公司部署的信息安全工作。 第十一條 技術支持單位在信息管理部的領導下，承擔所負責的信息系統(tǒng)和所在區(qū)域的信息安全管理任務，主要包括：在所維護系統(tǒng)和本區(qū)域內宣傳和貫徹信息安全政策與標準，確保所負責信息系統(tǒng)的安全運行。 第十二條 各級信息管理部門設立信息安全管理和技術崗位，包括信息安全、應用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡負責人和管理員，重要崗位可設置兩個員工互為備份。 第十三條 信息安全崗位的設立應遵循職責分離的要求，包括：制度監(jiān)督者與執(zhí)行者分離，信息系統(tǒng)授權者與操作者分離，應用系統(tǒng)管理員與數(shù)據(jù)庫管理員分離，程 序開發(fā)人員不應具備對生產(chǎn)環(huán)境的訪問權限。 第十四條 公司員工必須嚴格遵守公司信息安全政策、管理制度、技術標準和信息系統(tǒng)控制要求，承擔相關安全義務和責任，并及時報告信息安全事件。 第三章信息安全目標與工作原則 第十五條 信息安全工作的總體目標是：實施信息系統(tǒng)安全等級保護，建立和健全先進實用、完整可靠的信息安全體系，保證系統(tǒng)和信息的完整性、真實性、可用性、保密性和可控性，保障信息化建設和應用，支撐公司業(yè)務持續(xù)、穩(wěn)定、健康發(fā)展。 第十六條 信息安全體系建設必 須堅持以下原則：堅持統(tǒng)一。信息安全體系必須統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一設計、統(tǒng)一投資、統(tǒng)一建設、統(tǒng)一管理。 保障應用。保障網(wǎng)絡和信息系統(tǒng)，特別是全局網(wǎng)絡和重要業(yè)務信息系統(tǒng)不間斷穩(wěn)定運行及其信息的安全，實現(xiàn)以應用促安全，以安全保應用。 符合法規(guī)。信息安全體系要滿足法律法規(guī)要求，包括國家對信息系統(tǒng)等級保護、企業(yè)內部控制要求，積極采用法律法規(guī)允許的、成熟的先進技術和專業(yè)安全服務。 綜合防范。管理與技術并重，相互補充。從組織與流程、制度與人員、場地與環(huán)境、網(wǎng)絡與系統(tǒng)、數(shù)據(jù)與應用等多方面著手，在系 統(tǒng)設計、建設和運維的多環(huán)節(jié)進行綜合防范。 集中共享。建立集中、統(tǒng)一的信息安全技術服務平臺和 集中專業(yè)化的信息安全隊伍。 第四章信息安全工作基本要求 第十七條 根據(jù)公司信息安全專項規(guī)劃和總體方案，分層次建立以安全組織體系為核心、安全管理體系為保障、安全技術體系為支撐的全面信息安全體系，并保持三個體系穩(wěn)定、均衡發(fā)展。 第十八條 建立全面的信息安全管理體系： 制定并實施統(tǒng)一的信息安全策略、管理制度和技術標準。 實行信息系統(tǒng)資產(chǎn)管理責任制，保護 信息系統(tǒng)，特別是核心信息系統(tǒng)的設備、軟件、數(shù)據(jù)和技術文檔的安全。 建立信息系統(tǒng)物理環(huán)境、網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)等各層面的安全管理流程，實現(xiàn)對信息系統(tǒng)全生命周期的安全管理。 實現(xiàn)對信息系統(tǒng)的安全風險管理，及時發(fā)現(xiàn)和防范安全隱患。 第十九條 建立有效的信息安全技術體系： 強化網(wǎng)絡、桌面和應用系統(tǒng)安全防護體系，按照自主定級、自主保護的原則，評估確定各信息系統(tǒng)保護等級并實施 相應的保護措施。 建立統(tǒng)一的網(wǎng)絡安全信任體系，加強網(wǎng)絡實體身份管理與認證，為網(wǎng)絡和信息系統(tǒng)安全運行提供信任基礎。 建立完善有效的安全監(jiān)控和預警體系，監(jiān)控重要網(wǎng)絡和核心業(yè)務系統(tǒng)，及時發(fā)現(xiàn)安全隱患。 建立全面有效的應急響應體系，制定并落實完整、規(guī)范的應急處理和響應流程，完善信息安全報告、處理機制。 建立包括同城和異地容災備份中心的信息系統(tǒng)災難恢復體系，定期進行災難恢復的測試和演練，確保災難發(fā)生后能夠充分發(fā)揮備份的效能，降低造成的影響和損失。 第五章信息安全監(jiān)控 第二十條 信息安全監(jiān)控的目的是對威脅系統(tǒng)、數(shù)據(jù)庫及網(wǎng)絡安全的因素進行有效控制，防止由于技術或人為因素導致的異常和損失，同時為其他安全措施的設計和實施提供可靠依據(jù)。安全監(jiān)控的結果要保存一年以上。 第二十一條 信息系統(tǒng)的運行和維護單位，在國家法律和公司有關規(guī)定許可的范圍內，具體進行規(guī)范、合理、有效的信息安全監(jiān)控。使用公司網(wǎng)絡及應用系統(tǒng)的用戶有義務接受 必要的監(jiān)控。監(jiān)控不能影響、泄漏不涉及安全問題的網(wǎng)上行為和個人隱私的內容。 第二十二條 各級信息部門負責制定和實施信息安全監(jiān)控 計劃，包括日常監(jiān)控、應急處理和定期匯報。 第二十三條 日常監(jiān)控分為實時監(jiān)控和定期檢查，包括應用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡、物理環(huán)境以及外部人員對信息系統(tǒng)訪問的實時監(jiān)控與定期檢查。監(jiān)控及檢查結果要存檔備查，異常情況須及時向有關負責人匯報。 第二十四條 各級信息部門應對網(wǎng)絡及重要信息系統(tǒng)制定詳細的應急處理預案。應急處理按照預案進行，并至少每年組織一次相關崗位人員進行應急預案演練。 第二十五條 各級信息部門編制、上報信息安全月報和年報，及時向主管領導和上級部門匯報 重大信息安全風險和事件。 第六章信息安全風險評估 第二十六條 信息管理部負責組織建立風險評估規(guī)范及實施團隊，定期或在重大、特殊事件發(fā)生時進行風險評估。 第二十七條 風險評估包括范圍確定、風險識別、風險分析和控制措施，確保信息安全，滿足應用和業(yè)務需要。 評估范圍可包括管理組織、流程、政策與標準、應用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡、物理環(huán)境，應涵蓋公司內部關鍵控制點。 風險識別包括識別風險類型和風險事件，形成風險列表，更新信息風險數(shù)據(jù)庫。 風險分析包 括信息資產(chǎn)分類、風險發(fā)生概率和影響程度分析，并確定風險等級，形成風險評估報告。 控制措施包括安全管理策略和風險控制措施，形成風險控制報告。 第二十八條 信息管理部將風險評估和控制報告上報信息主管領導審批。根據(jù)領導審批意見，落實控制措施。 第七章信息安全培訓 第二十九條 信息管理部負責制定公司信息安全培訓計劃，組織、實施信息安全管理和技術培訓。各級信息部門負責相應層級的信息安全培訓，培訓計劃報信息管理部備案。 第三十條 信息管理部及各企事業(yè)單位信息部門對應用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)和網(wǎng)絡管理員、開發(fā)人員進行信息安全技術培訓，提高信息安全管理和維護水平。 第三十一條 信息管理部及各企事業(yè)單位信息部門分層次、分類型對員工進行信息安全培訓，包括針對業(yè)務和技術管理人員進行管理層面的信息安全管理培訓，針對從事日常業(yè)務處理人員進行操作層面基本安全知識培訓。 第三十二條 員工上崗前，應進行崗位信息安全培訓，并簽署信息安全保密協(xié)議。在崗位發(fā)生變動時，及時調整信息系統(tǒng)操作權限。 第三十三條 信息安全政策與標準發(fā)生重大調整、新建和升級的信息系統(tǒng)投入使用前，開展必要的安全培訓，明確相關調整和變更所帶來的信息安全權限和責任的變化。 第八章信息安全檢查與考核 第三十四條 信息管理部定期進行信息安全檢查與考核，包括信息安全政策與標準的培訓與執(zhí)行情況、重大信息安全事件及整改措施落實情況、現(xiàn)有信息安全措施的有效性、信息安全技術指標完成情況。 第三十五條 各企事業(yè)單位信息部門按照本辦法和《公司信息系統(tǒng)運行維護管理辦法》進行信息安全自我考核，信息管理部進行綜合評價，形 成考核報告，報信息主管領導。 第三十六條 對于不執(zhí)行本辦法造成嚴重后果的，應追究相關部門和個人責任。 第九章附則 第三十七條 各企事業(yè)單位可參照本管理辦法制定相應的實施細則。 第三十八條第三十九條 本辦法由公司信息管理部負責解釋。本辦法自印發(fā)之日起施行。