第一篇：企业信息安全管理条例

信息安全管理条例

第一章信息安全概述 1.1、公司信息安全管理体系

信息是一个组织的血液，它的存在方式各异。可以是打印，手写，也可以是电子，演示和口述的。当今商业竞争日趋激烈，来源于不同渠道的威胁，威胁到信息的安全性。这些威胁可能来自内部，外部，意外的，还可能是恶意的。随着信息存储、发送新技术的广泛使用，信息安全面临的威胁也越来越严重了。

信息安全不是有一个终端防火墙，或者找一个24小时提供信息安全服务的公司就可以达到的，它需要全面的综合管理。信息安全管理体系的引入，可以协调各个方面的信息管理，使信息管理更为有效。信息安全管理体系是系统地对组织敏感信息进行管理，涉及到人，程序和信息科技系统。

改善信息安全水平的主要手段有：

1)安全方针：为信息安全提供管理指导和支持； 2)安全组织：在公司内管理信息安全；

3)资产分类与管理：对公司的信息资产采取适当的保护措施； 4)人员安全：减少人为错误、偷窃、欺诈或滥用信息及处理设施的风险；

5)实体和环境安全：防止对商业场所及信息未授权的访问、损坏及干扰；

6)通讯与运作管理：确保信息处理设施正确和安全运行； 7)访问控制：妥善管理对信息的访问权限；

8)系统的获得、开发和维护：确保将安全纳入信息系统的整个生命周期；

9)安全事件管理：确保安全事件发生后有正确的处理流程与报告方式；

10)商业活动连续性管理：防止商业活动的中断，并保护关键的业务过程免受重大故障或灾害的影响；

11)符合法律：避免违反任何刑法和民法、法律法规或者合同义务以及任何安全要求。

1.2、信息安全建设的原则

1)领导重视，全员参与；

2)信息安全不仅仅是IT部门的工作，它需要公司全体员工的共同参与；

3)技术不是绝对的；

4)信息安全管理遵循“七分管理，三分技术”的管理原则； 5)信息安全事件符合“

二、八”原则；

6)20%的安全事件来自外部网络攻击，80%的安全事件发生在公司内部；

7)管理原则:管理为主，技术为辅，内外兼防，发现漏洞，消除隐患，确保安全。

1.3、信息安全管理体系建设的目的

1)保障ERP系统的安全运行，控制公司信息泄密风险； 2)提高企业员工对安全的认识和对安全管理的参与； 3)提高企业用户及合作伙伴对企业的信心、信任、满意程度； 4)提高企业信息安全管理的质量和水平； 5)使企业更有效地管理和处理信息安全事件； 6)遵守和通过相关法律法规的要求；

7)为将来企业充份利用电子商务打下重要的基础。

第二章员工信息安全规范 2.1、适用范围

本标准规定了公司员工必须遵循的个人计算机和其他方面的安全要求，规定了员工保护公司涉密信息的责任，并列出了大量可能遇到的情况下的安全要求。

本标准适用于公司所有员工，包括子公司的员工，以及其他经授权使用公司内部资源的人员。

2.2、计算机安全要求

1）计算机信息登记与使用维护：

每台由公司购买的计算机的领用、使用人变更、配置变更、报废等环节必须经过IT部的登记，严禁私自变更使用人和增减配置；

每位员工有责任保护公司的计算机资源和设备，以及包含的信息。每位员工必须把自己的计算机名字设置成固定的格式，一律采用AD域名_所属地区编号组成；

例如某台计算机名为SSSS_100201，SSSS为地区AD域名，100为地区编号，201代表该地区第201个账户。2）必须在所有个人计算机上激活下列安全控制：

所有计算机（包括便携电脑与台式机）必须设有系统密码；系统密码应当符合一定程度的复杂性要求，并不定期更换密码；存储在个人计算机中的包含有公司涉密信息的文件，需要加密存放。3）当员工离开办公室或工作区域时：

必须立即锁定计算机或者激活带密码保护的屏幕保护程序； 如果办公室或者工作区域能上锁，最后一个离开的员工请锁上办公室或工作区域；

妥善保管所有包含公司涉密内容的文件，如锁进文件柜。4）防范计算机病毒和其他有害代码：

每位员工由公司配备的计算机上都必须安装和运行公司授权使用的防病毒软件；

员工必须开启防病毒软件实时扫描保护功能，至少每周进行一次全硬盘扫描，在网络条件许可的情况下每天进行一次病毒库文件的更新；

如果员工发现未能处理的病毒，应立即断开局域网连接，以免病毒在局域网内部交叉感染，并及时向公司IT部门汇报。5）软件的使用：

员工不得私自在计算机上安装公司禁止的软件，公司禁止安装的软件包括但不限于：BT等P2P软件、Sniffer等流量监控软件及黑客软件、P2P终结者、网络执法官之类的网络管理软件；

工作用计算机禁止安装盗版杀毒软件和盗版防火墙软件； 公司员工的机器上必须安装并开启功能的软件有：金山企业版防病毒软件、Office2010、360浏览器、IE8.0升级包、Winrar、固网打印服务；

如果由于使用未经公司授权的且没有许可的软件造成公司损失，员工需要承担全部责任。6）文件的共享：

员工在使用文件共享时，必须将其设置为受限共享；

禁止使用基于互联网的P2P软件和共享服务，如：BT、eMule等； 不得在计算机上配置匿名FTP、TFTP、HTTP，或其他无需验证的服务；

例如：员工不得在公司的计算机上私自架设匿名FTP； 未经IT部门许可，不得在使用ERP系统的计算机上使用U盘或移动硬盘。如因业务需要，必须要访问其他人的硬盘。当定义共享权限时，员工必须设定用户权限、设定访问密码，并及时取消所定义的共享。

7）邮件的发送与接收：

禁止使用公司的计算机散布、回复、转发连锁邮件、恶作剧邮件； 禁止将涉及公司秘密的内部邮件转发到互联网上。8）公司涉密信息的保护：

公司涉密信息包括但不限于公司数据库中的秘密信息，与公司目前或未来产品、服务或研究有关的公司技术或科技信息，业务或营销计算、营销收益或其他财务资料、人事资料，以及软件等技术信息、经营信息等；

公司的员工会接触到公司的涉密信息。员工禁止在未经公司授权的情况下泄漏这些信息，并且必须遵守公司为保护此信息而制定的各项标准和流程；

每个员工只能接触使用与本岗位工作相关的涉密信息，禁止从非正常途径获取公司或部门的涉密信息；禁止非授权复制涉密信息；

对公司文档的保管、存档、发送、删除、销毁、复制等必须遵守公司相关的文档保密管理规定；

禁止使用提供翻译服务的互联网站来翻译公司的涉密信息； 公司涉密信息尽量避免通过互联网传送，但由于工作需要，需要通过电子邮件等方式发送公司涉密信息时，可以采用Winrar加密压缩的方式把涉密内容作为附件发送，然后通过其他渠道告知对方加密密码。

9）公司信箱的帐户及密码

所有的密码必须符合如下条件：

至少8个字符长，并且包含英文、数字及特殊字符； 禁止把用户名用作密码或其一部分；

旧密码中任何三个连续的字符尽量不要连续出现在新密码中； 公司要求员工至少每30天更换一次密码。10）内部网络使用规则

禁止在网络上伪装为他人身份；

不得私自安装网络管理软件，监控网络流量或者妨碍他人使用网络资源；

不得对公司网络或服务器以及网络中他人电脑运行安全扫描程序或者恶意攻击；

未经IT部允许，不得增加网络设备到公司的网络中，严禁私自购买路由器、交换机接入公司网络等行为； 宿舍区电脑大部分属于员工私人计算机，禁止将公司数据及其他涉及到公司机密的电子文件传入私人计算机中；

第三章公司信息安全管理检查执行规定

3.1．检查原则

根据违规行为的性质、造成的后果及违规人的主观意愿对违规行为进行处罚。对在公司信息安全管理制度和措施上贯彻、监控不力、权限审核不当，造成公司安全制度和措施难以落实，安全管理工作混乱的部门，部门负责人须承担领导责任。对违反信息安全管理规定者，如其直接领导有明显管理和指导不力的须承担连带责任。

3.2．检查方式

公司技术部门抽调网络管理人员，不定期对公司所属公司办公电脑进行抽查。分析信息安全日志文件，排查违规电脑，追究相关当事人。

3.3．检查结果

对于故意盗窃、泄露公司保密信息的，或故意违反信息安全管理规定，性质特别严重造成重大损失的，给予罚款、降薪、降职、辞退、直至开除的处理，并赔偿公司损失。对于触犯国家法律的，移交国家司法机关依法处理。?对违反公司信息安全制度规定，性质较轻，在公司内部系统给予点名通报批评，并记录在案，责令限期改正。

第二篇：浅谈如何加强企业信息安全风险管理

浅谈如何加强企业信息安全风险管理

摘要：随着全球信息化程度的提高，企业信息化程度也随之提高，企业信息安全风险管理也显得越发重要。企业网络的安全防范对于企业来说也是不容忽视的。本课题研究了企业所面临的信息安全风险，试图从企业管理的各个主要环节入手进行分析，认为可以构建一个安全的企业网络。

关键词：企业、信息安全、风险、管理

前言

随着国内经济建设的持续发展和知识经济模式的到来，企业得以高速发展，企业管理水平也亟待提高，不少企业也正以一种前所未有的热情来致力于企业内部管理素质与效率的提高；信息化的管理手段在网络经济迅速发展的时代显得尤为重要。

第一章:企业信息安全管理的重要性

信息化已经成为一个大型企业的发展战略，只有实现信息化,企业才有可能抓住机遇，实现企业的快速、健康发展。信息在企业的经营和发展中的作用由此可窥一斑，有时候信息甚至可以左右一个企业的存亡。如今，企业之间以及企业内部的信息传递越来越依赖于网络。在宽带网络建设得到飞速发展，信息得到快速传递的同时，因为企业信息安全问题而倒闭或蒙受巨大经济损失的案例也不胜枚举。2010年1月12日，baidu.com域名被劫持，此次网站被“黑”事件创下了百度创建以来最大的一次断网事故，也给民众和各企业敲响了警钟：网络信息安全问题不可忽视。

随着互联网的发展和网络技术的不断进步，企业信息安全问题已经成为每一个企业面对生死存亡必须要考虑的一个问题。由于互联网的开放性和通信协议原始设计的局限性的影响，企业信息因为诸多方面的原因容易造成外泄，给公司的正常运营带来安全隐患。企业在充分利用网络资源，享受信息传递的方便快捷的同时，降低企业安全信息管理风险显得尤为重要。

第二章：企业信息安全面对的风险

一、企业外部人员的信息窃取；内部服务器被非法访问，破坏传输信息的完整性。

黑客、木马的破坏性，相信很多企业的CTO都感受颇深。很多企业的局域网设计、办公自动化（OA）系统都存在着或多或少的漏洞。网络布线之后，局域网没有经过深思熟虑的规划，路由器密码为空或者没有经过修改，网关设臵过于简单等等。办公自动化（OA）系统方面，权限管理过于简单或者基本没有，用户名及密码明文传输等等，都会给日后的使用，埋下隐患的种子。

二、企业内部人员的故意或过错而造成的商业机密泄漏。黑客的攻击，或许只会对企业的局域网、以及办公系统带来破坏，很少能够有目的地，如其所愿地获取所希望的信息。企业核心信息的泄露，很大一部分，要归咎于企业内部管理的不规范，或者内部员工的有目的的向竞争对手提供企业重要信息。

企业的核心数据，也就是所谓的商业机密，一定要保证，除了核心管理层之外的人员，其他员工无权获取。对商业机密的保护不够重视，或者对企业信息访问权限缺乏强有力的约束，以及权限管理不健全，都会带来企业核心数据信息的外泄，无论是有意还是无意，都会给企业带来无法估计的损失。

因此，面对企业信息安全所面临的威胁，企业必须把信息安全风险降到最低，避免因企业信息外泄或被窃而给企业带来不可估量的损失。对当今的企业而言，必须通过加强企业信息安全风险管理，对可

3预见的风险加强防范，维护企业信息安全，避免造成不必要的损失，在保证企业信息正常流转的同时，保障企业的正常运行。

企业信息化建设的概念是发展的，它随着管理理念、实现手段等因素的发展而发展。因而管理也是企业信息安全得到保证的重要组成部分，也是防止来自内部网络入侵必需的重要部分。管理混乱、安全管理制度不健全等都可能引起企业信息安全风险。即除了从技术下功夫外，还得依靠管理来实现。

应对企业信息安全风险不只是给电脑设臵密码，安装杀毒软件那么简单，这需要企业的每一位员工以每一件小事，每一个细节为出发点，从工作的方方面面加强防范。加强企业信息安全风险管理，要求企业每位员工提高安全防范意识。

第三章：如何降低企业信息安全的风险

一、制定企业信息安全规范，并严格加以执行。

企业要重视局域网规划，完善网络设计、建设，首先从网络层面规范信息安全要求。企业内部的网络使用方面，要求员工不要随意到网上下载软件、不要打开不明邮件附件等等。企业内部管理人员或员工应该设臵用户口令，并且保证该口令不会因为过于简单而容易破解，并明确权限管理，把责任落实到个人，禁止信息泄密。

二、警惕对企业内部不满的员工和已离职员工。

员工离职之后及时更换管理员用户名及口令等信息。防止员工在把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险而造成经济损失。

三、加强对员工企业信息安全方面的培训。

提升安全技能，并通过运用企业信息方面危机的事例分析，逐步培养企业人员信息安全意识，使员工充分认识企业信息安全风险防范的必要性和重要性，并注重提高处理计算机系统安全问题的能力。

四、提高对计算机安全的重视程度。

企业网络管理人员应定期对计算机进行安全检查，并选择最适合自己公司需要的管理软件。

加强企业信息安全风险管理还要求企业员工从身边的细节加强防范，在日常工作中对办公邮箱加强管理，经常更换登录密码，并对重要数据进行备份。打印纸不随意丢弃，过期文件及时销毁。

结论

通过以上措施，我们基本上可以从里到外，从上级管理者到普通员工之间，形成一个立体的信息防护网，保护企业的重要信息不外泄，形成了企业信息安全的立体化防护。

第三篇：企业信息安全管理 先从内网管理着手

企业信息安全管理先从内网管理着手

随着互联网技术在企业的中大规模运用，现代化企业已经离不开网络，但是由于许多企业网络管理意识薄弱，越来越多的网络问题就在不断危害着企业的利益。网络问题会给企业带来什么样的危害呢？小草上网行为管理软路由从众多企业的反馈中，收集整理了一些。

首先员工对互联网的滥用使企业的生产力严重流失、工作效率降低。使用QQ、MSN等即时通信工具是目前最为普遍的网络使用形式之一。上自企业管理者，下至普通员工，均对此情有独钟。大量的时间被用来聊天、处理私事，经由聊天工具传播的病毒、恶意软件更是不胜枚举。企业花巨资打造的信息化工作平台成为员工的私人领地和病毒桃花源。

P2P等下载软件导致关键业务应用带宽无法保证。P2P下载技术使人们可以高速获取海量的网络资源，员工可以通过这些下载工具以最快捷的方式获得自己喜欢的资源(主要是影音娱乐文件)。企业组织有限的带宽资源成为这些员工获取娱乐享受的专用通道，一条条专用通道的建立使企业组织的IT系统建设事倍功半。

通过 E-mail、MSN或者移动硬盘造成文件流失、泄露。现在越来越多的泄密事件在网上流传，比如前段时间，由于一封著名企业的高管发给同事的内部邮件不慎泄露，其中相关内容在企业内部及业内均造成了重大影响，直接致使该高管离职。

这些泄密事件表明：通过论坛、外发邮件等导致的组织内部机密信息泄漏事件的发生越来越普遍，企业所建立的机密文件管理体系形同虚设。

网页和邮件中潜伏着病毒、木马、间谍程序。调查发现，很多病毒事件是因为员工访问一些非法网页、BBS论坛或下载通过即时通信软件传播的文件而引发的。这些病毒程序不仅会降低系统效率、侵占网络带宽，而且会使企业组织的网络门户洞开，受到各种形式的威胁，从而使企业网络处于高风险和不稳定的状态，企业组织网络成了病毒实验所。

面对这些问题，小草上网行为管理软路由能够轻松管理P2P软件下载、P2P视频、在线电影、网络电视;针对带宽拥堵难题，还可以智能分配带宽，同时能够根据总流量的限制合理管控带宽资源使用，更出色的是还可以为企业关键业务设置优先级带宽使用，从而最大程度保障公司业务流通顺畅。

小草上网行为管理软路由能够帮助企业管理者管控网络滥用问题，防止网络攻击、黑客入侵，提升网络使用效率，提高员工的工作效率。

第四篇：关于企业信息安全管理制度

关于企业信息安全管理制度

安全生产是企业的头等大事，必需坚持“安全第一，预防为主”的方针和群防群治制度，认真贯彻落实安全管理制度，切实加强安全管理，保证职工在生产过程中的安全与健康。根据国家和省有关法规、规定和文件，制定本企业信息安全管理制度。

一、计算机设备安全管理制度

计算机不同于其他办公设备，其有用性、严密性、操作技术性强，含量高、部件易受损，特殊是联网计算机，开放性程度比较高，电脑内部易受外界的愉窥、攻击和病毒感染。为确保计算机软、硬件及网络的正常使用，特制定本制度。

1、公司内全部计算机归网络部统一管理，配备计算机的员工只负责使用操作;

2、计算机管理涉及的范围

2.1全部硬件(包括外接设备)及网络联接线路:

2.2计算机及网络故障的排除:

2.3计算机及网络的维护与修理:

2.4操作系统的管理:

3、公司内全部计算机使用人员均为计算机操作员:

4、网络维护部负责对公司内全部计算机进行定期检查，一般每两月进行一次;

5、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。

6、非本单位技术人员对我单位的设备、系统等进行修理、维护时，必需由本单位相关技术人员现场全程监督。计算机设备送外修理，须经有关部门负责人批准。

7、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口，计算机出现故障时应准时向电脑负责部门报告，不允许私自处理或找非本单位技术人员进行修理及操作。

二、操作员安全管理制度

1、计算机原那么上由专人负责操作维护，不得串用设备。下班后必需按程序关闭主机和其他设备，切断电源。

2、为保证计算机信息安全，必需为计算机设置密码。

3、计算机操作员除使用操作计算机外，不允许有以下行为:

3.1硬件设备出现故障擅自拆开主机机箱盖板;

3.2更换计算机配件(如鼠标、键盘、耳麦):如有向网络管理员写设备申请单审批。

3.3删除计算机操作系统及公司指定的软件:

3.4使用带病毒的计算机软件;

3.5让外来人员进行有损于计算机的技术性操作;

4、不得使用来路不明或未经杀毒的盘片。计算机操作员定期对计算机进行杀毒。如觉察计算机有病毒时，应准时去除，去除不了的病毒，要准时上报，5、个人的公司重要文档、资料和数据保存时必需将资料储存在除操作系统外的其它磁盘空间，严禁将重要文件存放于桌面或C盘下。

6、工作时间内严禁工作人员在计算机上进行与工作无关的操作，不准上网与工作无关的聊天、玩电脑游戏、看影视、听音乐，迅雷下载等，7、电脑及网络设备所在环境应保持清洁、卫生、通风，留意防尘、防潮、防火。

8、公司全部计算机使用者，不得破坏网管员对计算机的安全设置。包括用户使用权限。

9、除服务器外，其他全部计算机下班后必需关机并切断电源;

10、计算机使用者离职时必需由网络管理员确认其计算机硬件设备完好、移动存储设备归还、信息系统管理帐户密码和资料未破坏、个人帐户密码去除后方可办理离职手续。

11、如工作人员不按规定操作，造成不良后果的，将按有关规定，由操作者承担相应责任，并追究科室负责人的有关责任。

12、操作员设置与管理

(1)网络管理员管理操作权限必需经过公司领导授权取得;根据不同部门的要求及岗位职责而设置:

[2)网络管理员负责故障恢复等管理及维护，必需有其上级授权:不得使用他人操作代码进行业务操作;

三、密码与权限安全管理制度

1、密码设置应具有安全性、保密性，不能使用简洁的代码和标记。密码是爱护系统和数据安全的把握代码，也是爱护用户自身权益的把握代码。密码分设为用户密码和操作密码，用户密码是登陆系统时所设的密码，操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日，重复、顺序、规律数字等简洁猜测的数字和字符串;

2、密码应定期修改，间隔时间不得超过一个月，如觉察或怀疑密码遗失或泄漏应马上修改，并在相应登记簿记录用户名、修改时间、修改人等内容。

3、服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理，并由密码设置人员将密码装入密码信封，在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊状况需要启用封存的密码，必需经过相关部门负责人同意，由密码使用人员向密码管理人员索取，使用完毕后，须马上更改并封存，同时在“密码管理登记簿”中登记，4、系统维护用户的密码应至少由两人共同设置、保管和使用管理制度，5、有关密码授权工作人员调离岗位，有关部门负责人须指定专人接替并对密码马上修改或用户删除，同时在“密码管理登记簿”中登记，四、数据安全管理制度

1、存放备份数据的介质必需具有明确的标识。备份数据必需异地存放。

2、留意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理，保证存储介质的物理安全，3、任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必需严格根据程序进行逐级审批，以保证备份数据安全完好，4、数据恢复前，必需对原环境的数据进行备份，防止有用数据的丢失。数据恢复过程中，出现问题时由技术部门进行现场技术支持。数据恢复后，必需进行验证、确认，确保数据恢复的完好性和可用性。

5、数据清理前必需对数据进行备份，在确认备份正确后方可进行清理操作。历次清理前的备份数据要进行定期保存或永久保存，并确保可以随时使用。数据清理的实施应避开业务高峰期，避开对联机业务运行造成影响。

6、需要长期保存的数据，数据管理部门需与相关部门制定转存，根据转存和查询使用方法要在介质有效期内进行转存，防止存储介质过期失效，通过有效的查询、使用方法保证数据的完好性和可用性。

7、非本单位技术人员对本公司的设备、系统等进行修理、维护时，必需由本公司相关技术人员现场全程监督。计算机设备送外修理，须经设备管理机构负责人批准。送修前，需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除，并进行登记。对修复的设备，设备修理人员应对设备进行验收、病毒检测。

8、管理部门应对报废设备中存有的程序、数据资料进行备份后去除，并妥当处理废弃无用的资料和介质，防止泄密。

9、运行维护部门需指定专人负责计算机病毒的防范工作，建立本单位的计算机病毒防治管理制度，常常进行计算机病毒检查，觉察病毒准时去除。

10、营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。

五、网络管理

1、网络系统属于公司无形资产，公司有权限制上网行为，根据工作需要限制各部门的上网行为。

2、公司网络管理员对计算机IP地址统一安排、登记、管理，严禁私自更改IP地址。

3、公司员工必需自觉遵守企业的有关保密法规，严禁利用网络有意或无意泄漏公司的涉密文件、资料和数据。不得非法复制、转移和破坏公司的文件、资料和数据，4、实行“绝密”文件、涉秘件与计算机网络确定隔离，不得在计算机网络中输入、打印、复制“绝密”文件和有关涉秘件;

5、网络维护部负责文字工作的计算操作人员必需遵守有关的保密制度，对保密的文件资料进行加密存放，不得上网共享。

六、附

1、本制度由网络部负责解释，2、本制度由总经理批准后生效，自公布之日起执行。

第五篇：企业信息安全管理办法

信息安全管理办法

第一章 总则

第一条

为加强公司信息安全管理，推进信息安全体系建设，保障信息系统安全稳定运行，根据国家有关法律、法规和《公司信息化工作管理规定》，制定本办法。

第二条

本办法所指的信息安全管理，是指计算机网络及信息系统（以下简称信息系统）的硬件、软件、数据及环境受到有效保护，信息系统的连续、稳定、安全运行得到可靠保障。

第三条

公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则，各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。

第四条

信息安全管理，包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。

第五条

本办法适用于公司总部、各企事业单位及其全体员工。

第二章 信息安全管理组织与职责

第六条

公司信息化工作领导小组是信息安全工作的最高决策机构，负责信息安全政策、制度和体系建设规划的审批，部署并协调信息安全体系建设，领导信息系统等级保护工作。

第七条

公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成，协调一致、密切配合的信息安全组织和责任体系。各级信息安全组织均要明确主管领导，确定相关责任，设置相应岗位，配备必要人员。

第八条

信息管理部是公司信息安全的归口管理部门，负责落实信息化工作领导小组的决策，实施公司信息安全建设与管理，确保重要信息系统的有效保护和安全运行。具体职责包括：组织制定和实施公司信息安全政策标准、管理制度和体系建设规划，组织实施信息安全项目和培训，组织信息安全工作的监督和检查。

第九条

公司保密部门负责信息安全工作中有关保密工作的监督、检查和指导。

第十条

企事业单位信息部门负责本单位信息安全的管理，具体职责包括：在本单位宣传和贯彻执行信息安全政

策与标准，确保本单位信息系统的安全运行，实施本单位信息安全项目和培训，追踪和查处本单位信息安全违规行为，组织本单位信息安全工作检查，完成公司部署的信息安全工作。

第十一条

技术支持单位在信息管理部的领导下，承担所负责的信息系统和所在区域的信息安全管理任务，主要包括：在所维护系统和本区域内宣传和贯彻信息安全政策与标准，确保所负责信息系统的安全运行。

第十二条

各级信息管理部门设立信息安全管理和技术岗位，包括信息安全、应用系统、数据库、操作系统、网络负责人和管理员，重要岗位可设置两个员工互为备份。

第十三条

信息安全岗位的设立应遵循职责分离的要求，包括：制度监督者与执行者分离，信息系统授权者与操作者分离，应用系统管理员与数据库管理员分离，程序开发人员不应具备对生产环境的访问权限。

第十四条

公司员工必须严格遵守公司信息安全政策、管理制度、技术标准和信息系统控制要求，承担相关安全义务和责任，并及时报告信息安全事件。

第三章 信息安全目标与工作原则

第十五条

信息安全工作的总体目标是：实施信息系统安全等级保护，建立和健全先进实用、完整可靠的信息安全体系，保证系统和信息的完整性、真实性、可用性、保密性和可控性，保障信息化建设和应用，支撑公司业务持续、稳定、健康发展。

第十六条

信息安全体系建设必须坚持以下原则： 坚持统一。信息安全体系必须统一规划、统一标准、统一设计、统一投资、统一建设、统一管理。

保障应用。保障网络和信息系统，特别是全局网络和重要业务信息系统不间断稳定运行及其信息的安全，实现以应用促安全，以安全保应用。

符合法规。信息安全体系要满足法律法规要求，包括国家对信息系统等级保护、企业内部控制要求，积极采用法律法规允许的、成熟的先进技术和专业安全服务。

综合防范。管理与技术并重，相互补充。从组织与流程、制度与人员、场地与环境、网络与系统、数据与应用等多方面着手，在系统设计、建设和运维的多环节进行综合防范。

集中共享。建立集中、统一的信息安全技术服务平台和

集中专业化的信息安全队伍。

第四章 信息安全工作基本要求

第十七条

根据公司信息安全专项规划和总体方案，分层次建立以安全组织体系为核心、安全管理体系为保障、安全技术体系为支撑的全面信息安全体系，并保持三个体系稳定、均衡发展。

第十八条

建立全面的信息安全管理体系：

制定并实施统一的信息安全策略、管理制度和技术标准。

实行信息系统资产管理责任制，保护信息系统，特别是核心信息系统的设备、软件、数据和技术文档的安全。

建立信息系统物理环境、网络、系统、应用、数据等各层面的安全管理流程，实现对信息系统全生命周期的安全管理。

实现对信息系统的安全风险管理，及时发现和防范安全隐患。

第十九条

建立有效的信息安全技术体系：

强化网络、桌面和应用系统安全防护体系，按照自主定级、自主保护的原则，评估确定各信息系统保护等级并实施

相应的保护措施。

建立统一的网络安全信任体系，加强网络实体身份管理与认证，为网络和信息系统安全运行提供信任基础。

建立完善有效的安全监控和预警体系，监控重要网络和核心业务系统，及时发现安全隐患。

建立全面有效的应急响应体系，制定并落实完整、规范的应急处理和响应流程，完善信息安全报告、处理机制。

建立包括同城和异地容灾备份中心的信息系统灾难恢复体系，定期进行灾难恢复的测试和演练，确保灾难发生后能够充分发挥备份的效能，降低造成的影响和损失。

第五章 信息安全监控

第二十条

信息安全监控的目的是对威胁系统、数据库及网络安全的因素进行有效控制，防止由于技术或人为因素导致的异常和损失，同时为其他安全措施的设计和实施提供可靠依据。安全监控的结果要保存一年以上。

第二十一条

信息系统的运行和维护单位，在国家法律和公司有关规定许可的范围内，具体进行规范、合理、有效的信息安全监控。使用公司网络及应用系统的用户有义务接受

必要的监控。监控不能影响、泄漏不涉及安全问题的网上行为和个人隐私的内容。

第二十二条

各级信息部门负责制定和实施信息安全监控计划，包括日常监控、应急处理和定期汇报。

第二十三条

日常监控分为实时监控和定期检查，包括应用系统、数据库、操作系统、网络、物理环境以及外部人员对信息系统访问的实时监控与定期检查。监控及检查结果要存档备查，异常情况须及时向有关负责人汇报。

第二十四条

各级信息部门应对网络及重要信息系统制定详细的应急处理预案。应急处理按照预案进行，并至少每年组织一次相关岗位人员进行应急预案演练。

第二十五条

各级信息部门编制、上报信息安全月报和年报，及时向主管领导和上级部门汇报重大信息安全风险和事件。

第六章 信息安全风险评估

第二十六条

信息管理部负责组织建立风险评估规范及实施团队，定期或在重大、特殊事件发生时进行风险评估。

第二十七条

风险评估包括范围确定、风险识别、风险分析和控制措施，确保信息安全，满足应用和业务需要。

评估范围可包括管理组织、流程、政策与标准、应用系统、数据库、操作系统、网络、物理环境，应涵盖公司内部关键控制点。

风险识别包括识别风险类型和风险事件，形成风险列表，更新信息风险数据库。

风险分析包括信息资产分类、风险发生概率和影响程度分析，并确定风险等级，形成风险评估报告。

控制措施包括安全管理策略和风险控制措施，形成风险控制报告。

第二十八条

信息管理部将风险评估和控制报告上报信息主管领导审批。根据领导审批意见，落实控制措施。

第七章 信息安全培训

第二十九条

信息管理部负责制定公司信息安全培训计划，组织、实施信息安全管理和技术培训。各级信息部门负责相应层级的信息安全培训，培训计划报信息管理部备案。

第三十条

信息管理部及各企事业单位信息部门对应用系统、数据库、操作系统和网络管理员、开发人员进行信息安全技术培训，提高信息安全管理和维护水平。

第三十一条

信息管理部及各企事业单位信息部门分层次、分类型对员工进行信息安全培训，包括针对业务和技术管理人员进行管理层面的信息安全管理培训，针对从事日常业务处理人员进行操作层面基本安全知识培训。

第三十二条

员工上岗前，应进行岗位信息安全培训，并签署信息安全保密协议。在岗位发生变动时，及时调整信息系统操作权限。

第三十三条

信息安全政策与标准发生重大调整、新建和升级的信息系统投入使用前，开展必要的安全培训，明确相关调整和变更所带来的信息安全权限和责任的变化。

第八章 信息安全检查与考核

第三十四条

信息管理部定期进行信息安全检查与考核，包括信息安全政策与标准的培训与执行情况、重大信息安全事件及整改措施落实情况、现有信息安全措施的有效性、信息安全技术指标完成情况。

第三十五条

各企事业单位信息部门按照本办法和《公司信息系统运行维护管理办法》进行信息安全自我考核，信息管理部进行综合评价，形成考核报告，报信息主管领导。

第三十六条

对于不执行本办法造成严重后果的，应追究相关部门和个人责任。

第九章 附则

第三十七条

各企事业单位可参照本管理办法制定相应的实施细则。

第三十八条 第三十九条

本办法由公司信息管理部负责解释。本办法自印发之日起施行。