信息安全管理制度

第九章附则 (9)

第一章关于信息安全的总述

第一条（制度的目的）为了维护公司信息的安全，确保公司不因信息安全问题遭受损失，根据公司章程及相关制度，特制定本制度。

第二条（信息安全的概念）本制度所称的信息安全是指在信息的收集、产生、处理、传递、存储等过程中，做到以下工作：1）确保信息保密，但在经过授权的人员需要得到信息时

维

4、与公司财务管理相关的财务类数据，如采购信息、资产信息、财务信息；

5、其他如公司各分子公司和外地办事结构的数据；公司员工对内、对外进行各种书面

的、口头的信息传播行为等。

第七条（信息安全工作的重要性）信息安全管理是公司内部管理的一项重要及长期性的工作，其贯穿整个公司各项业务与各个工作岗位，各个中心和部门必须积极配合该项工作的开展。

第二章信息安全管理的组织架构

第八条公司最高管理层是公司信息安全管理工作的最高领导者，负责全面把握公司信息安全管理工作的方向。

第九条公司CTO以及其领导的技术专家小组作为信息安全管理工作顾问小组，负责指导公司信息安全管理工作。

潜在影响。

第十六条公司各类经营管理信息均属公司无形资产，都必须按照规定的分级方式进行分级，并明确标注。

第十七条公司为每级信息制定最低安全操作原则，以指导各项具体操作手册的制定和具体信息操作。

第十八条注：详细的信息分级标准，以及最低安全操作原则，见《信息分级和管理标准》。

第五章信息安全管理准则

第一节实体和环境安全

第十九条关键或敏感信息的存放和处理设备需要放在安全的地方，并使用相应的安全防护设备和准入控制手段进行保护，确保这些信息或设备免受未经授权的访问、损害或者干扰。具体措施如下：

1. 存放或处理信息的设备，如服务器、存储设备等，应该放在公司内部机房或专业、

或其

第二十一条存放关键或敏感信息的介质或设备离开工作环境（安全区域），运输、携带或在外部使用，需采取保护手段，防止信息窃取和损坏。

第二十二条存放关键或敏感信息的介质或设备，如果不再使用或转作其他用途，应将其中的数据进行彻底销毁。应注意选择数据销毁手段，确保数据真正无法恢复。

第二节操作管理

第二十三条明确所有信息处理操作的流程，明确流程中每个环节的责任，确保信息处理过程安全无误。具体措施如下：

1. 信息处理过程或操作步骤应整理成正式文档，改动处理过程必须得到管理层授权，

操作人员必须按照信息处理的规定程序操作；

2. 信息处理职责划分清晰，并通过访问控制、接触限制机制确定授权人员身份；

认证。

第三十条信息的逻辑访问权仅应授予合法用户，信息系统应该满足以下要求：

1. 根据已经确定的业务访问控制策略来控制信息系统功能的用户访问权；

2. 防止能够越过系统访问控制措施的实用程序和操作系统软件的非法访问；

3. 不妨害其它与之共享信息资源的系统的安全；

4. 仅能向信息所有者、其它指定的合法个人或定义的用户组提供信息访问。

第四节系统开发和维护

第三十一条新系统和改进系统在建设过程中都应该考虑信息安全的需求，并采取相应的防范措施，包括：

应当严格遵守相关部门制定的信息发布政策。

第三十八条采取有效措施保护通过网络传送的关键或敏感信息，具体措施如下：

1、利用公共网络传送信息或进行交易处理，应评估可能的信息风险，确定信息传送的

完整性、机密性、身份鉴别及不可否认性等安全需求，并针对数据传输、网络线路与设备、与外部的网络接口及路由器等事项，采取妥善适当的安全控管措施。

2、开放外界连接的信息系统，应根据数据及系统重要性和价值，采用数据加密、身份

鉴别、电子签名、防火墙及安全漏洞侦测等不同安全类型的技术或措施，防止数据及系统被侵入、破坏、窜改、删除及未经授权的存取。

与外界网络连接的接口，应使用防火墙及其他必要的安全设施，控管外界与公司内部网络的数据传输与资源存取。

4、开放外界连接的信息系统，必要时应以代理服务器等方式提供外界存取数据，避免

外界直接进入信息系统或数据库存取数据。

5、存有关键或敏感信息的系统，应加强安全保护措施，防止关键或敏感信息遭不当或

第四十三条信息使用者必须确保信息使用环境的安全，并在使用完毕后妥善处理信息（视信息类型不同，采取归还、归档或者销毁等操作），在未经授权的情况下不得擅自传播信息。

第四十四条管理信息流转和使用的组织应致力于实现信息流转的程序化和自动化，减少信息流转环节，以及不必要的人为接触，提高信息安全和工作效率。

第六节安全事故和故障处理

第四十五条各个信息系统必须建立事故和故障的应急处理预案，尽量降低事故和故障对公司经营的影响。

第四十六条安全事故汇报，将影响安全的事故通过适当的管理渠道尽快向管理层汇报。

第四十七条安全部门定期发布安全漏洞报告，列举安全漏洞和安全风险，以及可以采取的解决措施，相关部门积极配合改进。

第五十三条信息安全风险评估主要由公司的安全部门和信息安全管理组织承担，由其制定相关风险评估模型并定期对各系统和流程进行评估。

第五十四条信息安全审计主要是为了审核各级组织和系统是否按照公司相关制度和流程进行信息安全管理。

第五十五条公司根据相关内部审计制度建立信息安全审计制度，各系统和组织、个人必须严格按照安全审计规范执行相关工作，对于关键信息在其生命周期内都需要进行安全审

计。

第五十六条任何涉及到信息安全的各系统和组织必须严格按照公司信息安全审计制度建立具体的可审计机制，任何关键信息的安全管理过程必须是可以被审计的。

第五十七条公司成立安全审计小组，定期审计各系统和组织的信息安全管理工作，各组织和个人必须积极配合公司信息安全审计工作。

第六十四条本制度由公司信息安全管理小组负责解释及颁布信息安全相关的公司级制度，具体工作所涉及安全管理操作规范和实施细则，由相关职能部门制订后经信息安全管理小组审核，最终由信息安全管理小组颁布实施。