两化融合信息安全管理程序

1.目的

为加强XXX集团股份有限公司（以下简称“公司”）的信息设备管理，明确岗位职责，规范操作流程，维护网络正常运行，确保计算机信息安全，特制订本办法。

2.适用范围

在企业中组织建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理程序，提供必要的技术条件和设备设施保障，识别和管理可能存在的信息安全风险，确保信息安全事件的有效处理。

3.职责

信息中心负责公司两化融合信息安全管理工作，包括网络安全、终端安全、数据安全、机房安全和第三方人员管理。

3.1负责公司网络安全和运维工作，对公司信息网络的运行管理进行维护和检查。

3.2负责公司终端安全管理，为公司终端安全管理建设提供指导，提高对于分散终端的安全管理能力，规范系统中终端用户的行为，降低来自终端的安全威胁。

3.3负责公司电子数据安全管理，其中特指对主要信息系统相关的重要数据，采取适当的保护措施。

3.4负责机房安全管理，对可能影响机房安全的各种因素进行控制，确保机房内计算机系统、网络设备以及其他设施的正常运行，保障机房工作人员的人身安全。

3.5负责第三方人员安全管理，减少第三方人员对信息系统带来的安全风险。

4.正文

4.1 运行

4.1.1信息安全风险评估计划和控制

信息中心对信息安全风险评估工作进行规划和控制，并实施风险处置计划，确保信息安全目标的达成。

4.1.2 信息安全风险评估实施

公司每年开展 1 次信息资产识别和信息安全风险评估的工作，当出现下列情况时，管理者代表可以决定增加风险评估的次数：

公司的信息安全风险评估工作在公司整体风险管理的框架下进行，与公司整体风险管理的年度工作同步进行，评估所发现的风险作为公司整体风险的一部分。

4.1.3 信息安全风险控制措施实施

公司针对评估出的信息安全风险应制定并实施信息安全风险处置计划，并保留信息安全风险处置结果文档化信息以作为证据。

4.2安全管控

4.2.1网络安全管理

信息网络指公司的网络系统和网络应用系统等，包括网络服务系统、网络安全设施、网络存储系统等。

公司信息网络设备的管理与部署在网络中应合理部署入侵保护系统，入侵保护系统要求覆盖主要网络边界与主要服务器。

网络出口处必须安装硬件防火墙，并配置严格的访问策略，确保网络不受攻击。对于其它设备的接入，征得信息中心同意后由网络管理员负责具体的设备入网。

4.2.2网站安全管理

4.2.2.1信息中心指定专人即“网站管理员”负责官网整体运维管理，集团各信息提供部门负责本部门对应栏目相关信息的采集、报送，确保网站栏目信息的及时更新。4.2.2.2网站管理员必须严格执行公司安全保密制度，不得利用官网危害国家安全、泄露公司机密、从事违反国家法律法规等犯罪活动和违反公司规章制度的活动；不允许利用网站传播违反四项基本原则的信息；不得制作、查阅、复制和传播有损社会主义精神文明、有碍社会治安和有伤风化的信息。

4.2.3数据安全管理

4.2.3.1数据安全保护的范围是指主要信息系统执行过程中产生的运营支撑数据、业务支撑数据和管理支撑数据等需要保护的重要数据。

4.2.3.2信息中心设置系统管理员，负责主要信息系统的数据安全管理。系统管理员应定期接受专业技术培训和考核，并与公司签订保密协议。详情请见《中心机房数据备份管理》

4.2.4机房安全管理

机房特指信息中心所属核心机房和中心机房以及配线间机房。详情请见《中心机房管理规定》

4.2.5第三方人员安全管理

4.2.

5.1第三方人员是指外部来访人员，包括业务合作伙伴以及软件开发合作伙伴、系统集成商、服务商和产品供应商等。

4.2.

5.2第三方人员来访之前，信息中心应做好必要准备工作，事先统筹安排包括信息安全相关在内的事务，特别是对第三方用户帐号进行定期检查，保证第三方帐号得到有效控制。

4.2.

5.3外部来访人员应全面遵守公司保密制度。如在公司进行相关业务工作，必须签订保密协议，就有关事项承诺保密，明确在业务交往中获得的公司相关保密信息，无授权不向第三方透露。

4.2.6突发安全事件应急预案

为科学应对网络与信息安全突发事件，建立健全信息安全应急响应机制，有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响，处理流程详见《中心机房管理规定》

4.2.7密码规则

本密码规则适用于操作系统、业务系统和数据库。

服务器操作系统和应用系统数据库密码每季度更改一次并书面备案，其中核心业务系统数据库密码书面报信息中心负责人备案。密码设置规则详见《中心机房管理规定》。

5.相关文件

《中心机房管理规定》

《运维故障巡检和处理》

《机房设备的安装调试和维护》

《中心机房数据备份管理》

《计算机网络安全管理办法》

电脑及终端设备保修申请

机房巡查报告

机房访问登记