【正文】 多環(huán)節(jié)進行綜合防范。 集中共享。建立集中、統(tǒng)一的信息安全技術(shù)服務(wù)平臺和 集中專業(yè)化的信息安全隊伍。 第四章信息安全工作基本要求 第十七條 根據(jù)公司信息安全專項規(guī)劃和總體方案，分層次建立以安全組織體系為核心、安全管理體系為保障、安全技術(shù)體系為支撐的全面信息安全體系，并保持三個體系穩(wěn)定、均衡發(fā)展。 第十八條 建立全面的信息安全管理體系： 制定并實施統(tǒng)一的信息安全策略、管理制度和技術(shù)標(biāo)準(zhǔn)。 實行信息系統(tǒng)資產(chǎn)管理責(zé)任制，保護信息系統(tǒng)，特別是核心信息系統(tǒng)的設(shè)備、軟件、數(shù)據(jù)和技術(shù)文檔的安全。 建立信息系統(tǒng)物理環(huán)境、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)等各層面的安全管理流程，實現(xiàn)對信息系統(tǒng)全生命周期的安全管理。 實現(xiàn)對信息系統(tǒng)的安全風(fēng)險管理，及時發(fā)現(xiàn)和防范安全隱患。 第十九條 建立有效的信息安全技術(shù)體系： 強化網(wǎng)絡(luò)、桌面和應(yīng)用系統(tǒng)安全防護體系，按照自主定級、自主保護的原則，評估確定各信息系統(tǒng)保護等級并實施 相應(yīng)的保護措施。 建立統(tǒng)一的網(wǎng)絡(luò)安全信任體系，加強網(wǎng)絡(luò)實體身份管理與認(rèn)證，為網(wǎng)絡(luò)和信息系統(tǒng)安全運行提供信任基礎(chǔ)。 建立完善有效的安全監(jiān)控和預(yù)警體系，監(jiān)控重要網(wǎng)絡(luò)和核心業(yè)務(wù)系統(tǒng)，及時發(fā)現(xiàn)安全隱患。 建立全面有效的應(yīng)急響應(yīng)體系，制定并落實完整、規(guī)范的應(yīng)急處理和響應(yīng)流程，完善信息安全報告、處理機制。 建立包括同城和異地容災(zāi)備份中心的信息系統(tǒng)災(zāi)難恢復(fù)體系，定期進行災(zāi)難恢復(fù)的測試和演練，確保災(zāi)難發(fā)生后能夠充分發(fā)揮備份的效能，降低造成的影響和損失。 第五章信息安全監(jiān)控 第二十條 信息安全監(jiān)控的目的是對威脅系統(tǒng)、數(shù)據(jù)庫及網(wǎng)絡(luò)安全的因素進行有效控制，防止由于技術(shù)或人為因素導(dǎo)致的異常和損失，同時為其他安全措施的設(shè)計和實施提供可靠依據(jù)。安全監(jiān)控的結(jié)果要保存一年以上。 第二十一條 信息系統(tǒng)的運行和維護單位，在國家法律和公司有關(guān)規(guī)定許可的范圍內(nèi)，具體進行規(guī)范、合理、有效的信息安全監(jiān)控。使用公司網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的用戶有義務(wù)接受 必要的監(jiān)控。監(jiān)控不能影響、泄漏不涉及安全問題的網(wǎng)上行為和個人隱私的內(nèi)容。 第二十二條 各級信息部門負(fù)責(zé)制定和實施信息安全監(jiān)控計劃，包括日常監(jiān)控、應(yīng)急處理和定期匯報。 第二十三條 日常監(jiān)控分為實時監(jiān)控和定期檢查，包括應(yīng)用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡(luò)、物理環(huán)境以及外部人員對信息系統(tǒng)訪問的實時監(jiān)控與定期檢查。監(jiān)控及檢查結(jié)果要存檔備查，異常情況須及時向有關(guān)負(fù)責(zé)人匯報。 第二十四條 各級信息部門應(yīng)對網(wǎng)絡(luò)及重要信息系統(tǒng)制定詳細的應(yīng)急處理預(yù)案。應(yīng)急處理按照預(yù)案進行，并至少每年組織一次相關(guān)崗位人員進行應(yīng)急預(yù)案演練。 第二十五條 各級信息部門編制、上報信息安全月報和年報，及時向主管領(lǐng)導(dǎo)和上級部門匯報重大信息安全風(fēng)險和事件。 第六章信息安全風(fēng)險評估 第二十六條 信息管理部負(fù)責(zé)組織建立風(fēng)險評估規(guī)范及實施團隊，定期或在重大、特殊事件發(fā)生時進行風(fēng)險評估。 第二十七條 風(fēng)險評估包括范圍確定、風(fēng)險識別、風(fēng)險分析和控制措施，確保信息安全，滿足應(yīng)用和業(yè)務(wù)需要。 評估范圍可包括管理組織、流程、政策與標(biāo)準(zhǔn)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡(luò)、物理環(huán)境，應(yīng)涵蓋公司內(nèi)部關(guān)鍵控制點。 風(fēng)險識別包括識別風(fēng)險類型和風(fēng)險事件，形成風(fēng)險列表，更新信息風(fēng)險數(shù)據(jù)庫。 風(fēng)險分析包括信息資產(chǎn)分類、風(fēng)險發(fā)生概率和影響程度分析，并確定風(fēng)險等級，形成風(fēng)險評估報告。 控制措施包括安全管理策略和風(fēng)險控制措施，形成風(fēng)險控制報告。 第二十八條 信息管理部將風(fēng)險評估和控制報告上報信息主管領(lǐng)導(dǎo)審批。根據(jù)領(lǐng)導(dǎo)審批意見，落實控制措施。 第七章信息安全培訓(xùn) 第二十九條 信息管理部負(fù)責(zé)制定公司信息安全培訓(xùn)計劃，組織、實施信息安全管理和技術(shù)培訓(xùn)。各級信息部門負(fù)責(zé)相應(yīng)層級的信息安全培訓(xùn)，培訓(xùn)計劃報信息管理部備案。 第三十條 信息管理部及各企事業(yè)單位信息部門對應(yīng)用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)和網(wǎng)絡(luò)管理員、開發(fā)人員進行信息安全技術(shù)培訓(xùn)，提高信息安全管理和維護水平。 第三十一條 信息管理部及各企事業(yè)單位信息部門分層次、分類型對員工進行信息安全培訓(xùn)，包括針對業(yè)務(wù)和技術(shù)管理人員進行管理層面的信息安全管理培訓(xùn)，針對從事日常業(yè)務(wù)處理人員進行操作層面基本安全知識培訓(xùn)。 第三十二條 員工上崗前，應(yīng)進行崗位信息安全培訓(xùn)，并簽署信息安全保密協(xié)議。在崗位發(fā)生變動時，及時調(diào)整信息系統(tǒng)操作權(quán)限。 第三十三條 信息安全政策與標(biāo)準(zhǔn)發(fā)生重大調(diào)整、新建和升級的信息系統(tǒng)投入使用前，開展必要的安全培訓(xùn)，明確相關(guān)調(diào)整和變更所帶來的信息安全權(quán)限和責(zé)任的變化。 第八章信息安全檢查與考核 第三十四條 信息管理部定期進行信息安全檢查與考核，包括信息安全政策與標(biāo)準(zhǔn)的培訓(xùn)與執(zhí)行情況、重大信息安全事件及整改措施落實情況、現(xiàn)有信息安全措施的有效性、信息安全技術(shù)指標(biāo)完成情況。 第三十五條 各企事業(yè)單位信息部門按照本辦法和《公司信息系統(tǒng)運行維護管理辦法》進行信息安全自我考核，信息管理部進行綜合評價，形成年度考核報告，報信息主管領(lǐng)導(dǎo)。 第三十六條 對于不執(zhí)行本辦法造成嚴(yán)重后果的，應(yīng)追究相關(guān)部門和個人責(zé)任。 第九章附則 第三十七條 各企事業(yè)單位可參照本管理辦法制定相應(yīng)的實施細則。 第三十八條第三十九條 本辦法由公司信息管理部負(fù)責(zé)解釋。本辦法自印發(fā)之日起施行。 第26頁 共26頁