系统安全管理制度

系统安全管理制度
为了保障公司运营的安全和稳定，有效防范和控制各类信息系统安全风险，保障信息及相关资源的保密性、完整性和可用性，制定系统安全管理制度。

一、制度目的
本制度的目的是为建立健全信息系统安全管理制度，确保公司信息系统安全、保障信息安全技术、加强数据的安全防护，防范和控制各类信息系统安全风险，保障信
息及相关资源的保密性、完整性和可用性。

二、适用范围
本制度适用于所有使用公司信息系统、管理公司信息系统的员工和外来访客、承包商等。

三、安全管理体系
1.信息安全管理目标
确保公司信息系统安全，保障信息安全技术，加强数据的安全防护。

2.信息安全管理职责
1）信息安全负责人：制定和实施信息安全管理制度，负责信息安全的宏观决策
和分配资源的决策，对信息安全事件负主要责任。

2）信息安全管理员：实施信息安全策略，控制各业务系统的安全，保证项目信
息安全。

3）系统管理员：负责维护各业务系统的系统安全，并能迅速准确地处理永久系
统发生的问题。

4）普通员工：有责任保护公司所有的信息。

四、系统访问控制
1.角色管理
公司根据职能划分各种角色，按照各种角色的不同需求提供不同的权限。

2.口令管理
1）口令定义：口令应包括大小写字母、数字和特殊字符，长度建议不少于八位。

2）口令更换：定期变更口令，建议三个月左右更换一次。

3）口令不得重复使用。

五、网络与设备安全
1.网络安全管理
1）网络拓扑：公司网络应采用物理隔离的方式。

2）防火墙：公司要设立防火墙，对进入、退出网络的信息进行监控。

3）病毒防范：公司必须采取有效的病毒防范措施，禁止使用未知来源的软件或
文件。

4）网站安全：公司网站所运用的技术、软件必须定期升级，安全性要得到保障。

2.设备安全管理
1）设备管理：设备应有安全、稳定的运行环境，保证设备的安全稳定运行。

2）设备监控：对设备进行实时监控，提高安全性和稳定性。

六、信息安全管理
1.信息审计
公司应设立专门的信息审计岗位，对所有业务部门信息进行审计。

2.备份管理
1）数据分类：对关键数据、重要数据、一般数据进行分类处理。

2）备份周期：对数据的重要性进行判断，定期备份重要数据。

3）备份存储：备份数据必须储存于安全的地方，不能私自存储于个人电脑或其
他地方。

七、信息安全风险管理
公司进行风险评估、制定风险控制措施，以保障运营业务过程的安全和有效性。

八、应急预案管理
1.应急预案的制定
公司应就各种应急情况制定应急预案。

2.应急预案的执行
应急事件发生时，应按照应急预案执行，以减少损失。

九、违规处理
1.违规处理原则
公司有权根据违规情况给予相应的处罚，以警示他人。

2.违规处理程序
违规处理应按照程序进行，要有科学性，公正性。

以上是本公司的系统安全管理制度，职员应遵守公司规定，保护公司的安全。