东航信息安全管理制度

第一章总则
第一条为加强我国东方航空公司（以下简称“东航”）的信息安全管理工作，确保公司信息安全，维护公司合法权益，根据《中华人民共和国网络安全法》等相关法律法规，结合公司实际情况，特制定本制度。

第二条本制度适用于东航所有员工、供应商、合作伙伴及第三方服务提供商，涉及公司所有信息系统、数据资源、网络设施等。

第三条本制度旨在建立健全信息安全管理体系，明确信息安全责任，提高信息安全意识，保障公司信息系统安全稳定运行。

第二章组织架构与职责
第四条成立东航信息安全工作领导小组，负责公司信息安全工作的统筹规划、组织实施和监督管理。

第五条信息安全工作领导小组下设信息安全管理部门，负责具体实施信息安全管理工作。

第六条各部门负责人为本部门信息安全第一责任人，负责本部门信息安全工作的组织实施和监督。

第七条信息安全管理部门职责：
（一）制定、修订和实施公司信息安全管理制度；
（二）组织信息安全培训，提高员工信息安全意识；
（三）监督、检查公司信息安全制度执行情况；
（四）组织开展信息安全风险评估和应急响应；
（五）协调处理信息安全事件；
（六）其他与信息安全相关的工作。

第三章信息安全管理制度
第八条信息安全管理制度应包括以下内容：
（一）信息系统安全管理制度；
（二）数据安全管理制度；
（三）网络安全管理制度；
（四）物理安全管理制度；
（五）人员安全管理规定；
（六）信息安全事件应急预案。

第九条信息系统安全管理制度应包括：
（一）操作系统、数据库、中间件等软件的安全配置和升级；（二）服务器、网络设备、存储设备等硬件设备的安全管理；（三）信息系统访问控制策略；
（四）信息系统安全审计和日志管理。

第十条数据安全管理制度应包括：
（一）数据分类分级管理；
（二）数据备份和恢复；
（三）数据加密和脱密；
（四）数据安全事件调查和处理。

第十一条网络安全管理制度应包括：
（一）网络安全设备配置和管理；
（二）网络安全事件监控和处置；
（三）网络安全漏洞管理；
（四）网络安全防护策略。

第十二条物理安全管理制度应包括：
（一）机房安全管理制度；
（二）设备安全管理；
（三）出入管理；
（四）消防安全管理。

第十三条人员安全管理规定应包括：
（一）员工信息安全培训；
（二）员工信息安全考核；
（三）离职员工信息安全交接。

第十四条信息安全事件应急预案应包括：
（一）信息安全事件分类；
（二）信息安全事件报告和通报；
（三）信息安全事件调查和处理；
（四）信息安全事件恢复和重建。

第四章信息安全教育与培训
第十五条定期组织信息安全教育培训，提高员工信息安全意识，增强员工信息安
全技能。

第十六条对新入职员工进行信息安全培训，确保其了解并遵守公司信息安全制度。

第十七条对关键岗位人员进行信息安全专项培训，提高其信息安全防护能力。

第五章信息安全检查与考核
第十八条定期开展信息安全检查，发现安全隐患及时整改。

第十九条对信息安全工作进行考核，考核结果纳入部门和个人绩效考核。

第六章附则
第二十条本制度由东航信息安全工作领导小组负责解释。

第二十一条本制度自发布之日起施行。

原有制度与本制度不一致的，以本制度为准。