2018ICP年報(bào)專用信息安全管理制度

1、xxxxxxx有限公司信息安全管理制度第一章 總則第一條 為保證信息系統(tǒng)安全可靠穩(wěn)定運(yùn)行，降低或阻止人為或自然因素從物理層面對公司信息系統(tǒng)的保密性、完整性、可用性帶來的安全威脅，結(jié)合公司實(shí)際，特制定本制度。第二條 本制度適用于xxxxxxx有限公司以及所屬單位的信息系統(tǒng)安全管理。第二章 職責(zé)第三條 相關(guān)部門、單位職責(zé)：一、 信息中心（一） 負(fù)責(zé)組織和協(xié)調(diào)xxxxxxx有限公司的信息系統(tǒng)安全管理工作；（二） 負(fù)責(zé)建立xxxxxxx有限公司信息系統(tǒng)網(wǎng)絡(luò)成員單位間的網(wǎng)絡(luò)訪問規(guī)則；對公司本部信息系統(tǒng)網(wǎng)絡(luò)終端的網(wǎng)絡(luò)準(zhǔn)入進(jìn)行管理；（三） 負(fù)責(zé)對xxxxxxx有限公司統(tǒng)一的兩個(gè)互聯(lián)網(wǎng)出口進(jìn)行管理，配置防火墻

2、等信息安全設(shè)備；會同保密處對公司本部互聯(lián)網(wǎng)上網(wǎng)行為進(jìn)行管理；（四） 對xxxxxxx有限公司統(tǒng)一建設(shè)的信息系統(tǒng)制定專項(xiàng)運(yùn)維管理辦法，明確信息系統(tǒng)安全管理要求，界定兩級單位信息安全管理責(zé)任；（五） 負(fù)責(zé)xxxxxxx有限公司網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)拓?fù)涞热中缘男畔踩芾?。二?人力資源部（一） 負(fù)責(zé)人力資源安全相關(guān)管理工作。（二） 負(fù)責(zé)將信息安全策略培訓(xùn)納入年度職工培訓(xùn)計(jì)劃，并組織實(shí)施。三、 各部門（一） 負(fù)責(zé)本部門信息安全管理工作。（二） 配合和協(xié)助業(yè)務(wù)主管部門完善相關(guān)制度建設(shè)，落實(shí)日常管理工作。四、 所屬各單位（一） 負(fù)責(zé)組織和協(xié)調(diào)本單位信息安全管理工作。（二） 對本單位建設(shè)的信息系統(tǒng)制定專項(xiàng)運(yùn)維

3、管理辦法，明確信息系統(tǒng)安全管理要求，報(bào)xxxxxxx有限公司信息中心備案。第三章 信息安全策略的基本要求第四條 信息系統(tǒng)安全管理應(yīng)遵循以下八個(gè)原則：一、 主要領(lǐng)導(dǎo)人負(fù)責(zé)原則； 二、 規(guī)范定級原則； 三、 依法行政原則； 四、 以人為本原則； 五、 注重效費(fèi)比原則； 六、 全面防范、突出重點(diǎn)原則；七、 系統(tǒng)、動態(tài)原則； 八、 特殊安全管理原則。第五條 公司保密委應(yīng)根據(jù)業(yè)務(wù)需求和相關(guān)法律法規(guī)，組織制定公司信息安全策略，經(jīng)主管領(lǐng)導(dǎo)審批發(fā)布后，對員工及相關(guān)方進(jìn)行傳達(dá)和培訓(xùn)。第六條 制定信息安全策略時(shí)應(yīng)充分考慮信息系統(tǒng)安全策略的“七定”要求，即定方案、定崗、定位、定員、定目標(biāo)、定制度、定工作流程。第七條

4、 信息安全策略主要包括以下內(nèi)容：一、 信息網(wǎng)絡(luò)與信息系統(tǒng)必須在建設(shè)過程中進(jìn)行安全風(fēng)險(xiǎn)評估，并根據(jù)評估結(jié)果制定安全策略；二、 對已投入運(yùn)行且已建立安全體系的系統(tǒng)定期進(jìn)行漏洞掃描，以便及時(shí)發(fā)現(xiàn)系統(tǒng)的安全漏洞;三、 對安全體系的各種日志(如入侵檢測日志等)審計(jì)結(jié)果進(jìn)行研究，以便及時(shí)發(fā)現(xiàn)系統(tǒng)的安全漏洞;四、 定期分析信息系統(tǒng)的安全風(fēng)險(xiǎn)及漏洞、分析當(dāng)前黑客非常入侵的特點(diǎn)，及時(shí)調(diào)整安全策略；五、 制定人力資源、物理環(huán)境、訪問控制、操作、備份、系統(tǒng)獲取及維護(hù)、業(yè)務(wù)連續(xù)性等方面的安全策略，并實(shí)施。第八條 公司保密委每年應(yīng)組織對信息安全策略的適應(yīng)性、充分性和有效性進(jìn)行評審，必要時(shí)組織修訂；當(dāng)公司的組織架構(gòu)、生產(chǎn)

5、經(jīng)營模式等發(fā)生重大變化時(shí)也應(yīng)進(jìn)行評審和修訂。第九條 根據(jù)“誰主管、誰負(fù)責(zé)”的原則，公司建立信息安全分級責(zé)任制，各層級落實(shí)信息系統(tǒng)安全責(zé)任。第四章 人力資源安全管理第十條 信息系統(tǒng)相關(guān)崗位設(shè)置應(yīng)滿足以下要求：一、 安全管理崗與其它任何崗位不得兼崗、混崗、代崗。二、 系統(tǒng)管理崗、網(wǎng)絡(luò)管理崗與應(yīng)用管理崗不得兼崗、混崗。三、 安全管理崗、系統(tǒng)管理崗、網(wǎng)絡(luò)管理崗、應(yīng)用管理崗、設(shè)備管理崗、技術(shù)檔案管理崗原則上有人員備份。四、 以上崗位人員調(diào)離必須辦理交接手續(xù)，所掌握的口令應(yīng)立刻更換或注銷該用戶。第十一條 人力資源部在相關(guān)崗位任職要求中應(yīng)包含信息安全管理的相關(guān)條件和要求；將信息安全相關(guān)培訓(xùn)納入年度職工培訓(xùn)計(jì)

6、劃，并組織實(shí)施。第五章 信息系統(tǒng)物理和環(huán)境安全管理第十二條 信息系統(tǒng)物理安全指為了保證信息系統(tǒng)安全可靠運(yùn)行，不致受到人為或自然因素的危害，而對計(jì)算機(jī)設(shè)備、設(shè)施（包括機(jī)房建筑、供電、空調(diào)）、環(huán)境、系統(tǒng)等采取適當(dāng)?shù)陌踩胧?。第十三條 信息管理部門應(yīng)采取切實(shí)可行的物理防護(hù)手段或技術(shù)措施對物理周邊、物理入口、辦公及生產(chǎn)區(qū)域等進(jìn)行安全控制，防止無關(guān)人員未授權(quán)物理訪問、損壞和干擾。第十四條 信息管理部門應(yīng)加強(qiáng)對信息系統(tǒng)機(jī)房及配線間的安全管理，要求如下：一、 工作人員需經(jīng)授權(quán)，方能且只能進(jìn)入中心機(jī)房的授權(quán)工作區(qū)；確因工作需要，需進(jìn)入非授權(quán)工作區(qū)時(shí)，需由該授權(quán)工作區(qū)人員陪同；做好機(jī)房出入登記（格式見附錄3-3）。二、 工作人員必須嚴(yán)格按照規(guī)定操作，未經(jīng)批準(zhǔn)不得超越自己職權(quán)范圍以外的操作；操作結(jié)束時(shí)，必須退出已進(jìn)入的操作畫面；最后離開工作區(qū)域的人員應(yīng)將門關(guān)閉。三、 非授權(quán)人員嚴(yán)禁操作中心機(jī)房UPS、專用空調(diào)、監(jiān)控、消防及UPS供