企业信息安全管理制度(修订版)

XX公司信息安全管理制度

第一章总则

第一条为保证信息系统安全可靠稳定运行，降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁，结合公司实际，特制定本制度。

第二条本制度适用于XX公司以及所属单位的信息系统安全管理。

第二章职责

第三条相关部门、单位职责：

一、信息中心

（一）负责组织和协调XX公司的信息系统安全管理工作；

（二）负责建立XX公司信息系统网络成员单位间的网络访问规则；对公司本部信息系统网络终端的网络准入进行管理；

（三）负责对XX公司统一的两个互联网出口进行管理，配置防火墙等信息安全设备；会同保密处对公司本部互联网上网行为进行管理；

（四）对XX公司统一建设的信息系统制定专项运维管理办法，明确信息系统安全管理要求，界定两级单位信息安全管理责

—1 —

任；

（五）负责XX公司网络边界、网络拓扑等全局性的信息安全管理。

二、人力资源部

（一）负责人力资源安全相关管理工作。

（二）负责将信息安全策略培训纳入年度职工培训计划，并组织实施。

三、各部门

（一）负责本部门信息安全管理工作。

（二）配合和协助业务主管部门完善相关制度建设，落实日常管理工作。

四、所属各单位

（一）负责组织和协调本单位信息安全管理工作。

（二）对本单位建设的信息系统制定专项运维管理办法，明确信息系统安全管理要求，报XX公司信息中心备案。

第三章信息安全策略的基本要求

第四条信息系统安全管理应遵循以下八个原则：

一、主要领导人负责原则；

二、规范定级原则；

三、依法行政原则；

四、以人为本原则；

五、注重效费比原则；

六、全面防范、突出重点原则；

七、系统、动态原则；

八、特殊安全管理原则。

第五条公司保密委应根据业务需求和相关法律法规，组织制定公司信息安全策略，经主管领导审批发布后，对员工及相关方进行传达和培训。

第六条制定信息安全策略时应充分考虑信息系统安全策略的“七定”要求，即定方案、定岗、定位、定员、定目标、定制度、定工作流程。

第七条信息安全策略主要包括以下内容：

一、信息网络与信息系统必须在建设过程中进行安全风险评估，并根据评估结果制定安全策略；

二、对已投入运行且已建立安全体系的系统定期进行漏洞扫描，以便及时发现系统的安全漏洞;

三、对安全体系的各种日志(如入侵检测日志等)审计结果进行研究，以便及时发现系统的安全漏洞;

四、定期分析信息系统的安全风险及漏洞、分析当前黑客非常入侵的特点，及时调整安全策略；

五、制定人力资源、物理环境、访问控制、操作、备份、系统获取及维护、业务连续性等方面的安全策略，并实施。

第八条公司保密委每年应组织对信息安全策略的适应性、充分性和有效性进行评审，必要时组织修订；当公司的组织架构、

—3 —

生产经营模式等发生重大变化时也应进行评审和修订。

第九条根据“谁主管、谁负责”的原则，公司建立信息安全分级责任制，各层级落实信息系统安全责任。

第四章人力资源安全管理

第十条信息系统相关岗位设置应满足以下要求：

一、安全管理岗与其它任何岗位不得兼岗、混岗、代岗。

二、系统管理岗、网络管理岗与应用管理岗不得兼岗、混岗。

三、安全管理岗、系统管理岗、网络管理岗、应用管理岗、设备管理岗、技术档案管理岗原则上有人员备份。

四、以上岗位人员调离必须办理交接手续，所掌握的口令应立刻更换或注销该用户。

第十一条人力资源部在相关岗位任职要求中应包含信息安全管理的相关条件和要求；将信息安全相关培训纳入年度职工培训计划，并组织实施。

第五章信息系统物理和环境安全管理

第十二条信息系统物理安全指为了保证信息系统安全可靠运行，不致受到人为或自然因素的危害，而对计算机设备、设施（包括机房建筑、供电、空调）、环境、系统等采取适当的安全措施。

第十三条信息管理部门应采取切实可行的物理防护手段或