信息系统安全保护管理规定

三二一（北京）科技有限公司信息系统安全保护管理规定

2016年8月

版本控制

第一章总则

第一条为了规范信息系统安全保护管理，提高信息安全保障能力和水平，维护信息系统安全运行，保障和促进信息化建设，特制定本规定。

第二条本规定适用于脐橙金融网络借贷信息中介信息系统建设过程，管理对象为信息系统建设过程中所有管理人员、维护人员、使用人员以及第三方服务机构。

第二章组织职责

第三条信息安全管理委员会负责信息安全工作的监督、检查、指导并协调各个部门之间的协同工作，支持和推动信息安全保护工作在整个公司范围内的实施。

第四条信息技术部在信息安全管理委员会的指导下负责落实信息安全保护工作的监督、检查、指导等。

第五条安全管理员负责协调组织公司信息安全保护工作，包括方案设计、等级测评或信息安全风险评估等工作。

第六条公司相关部门或人员协助配合安全管理员进行信息系统安全建设工作。

第三章安全检查报告

第七条安全方案设计阶段的目标是根据信息系统的重要程度、信息系统承载业务情况，通过分析明确信息系统安全需求，设计合理的、满足信息安全要求的总体安全方案，并制定出安全实施计划，以

指导后续的信息系统安全建设工程实施。对于已运营（运行）的信息系统，需求分析应当首先分析判断信息系统的安全保护现状与相关标准要求之间的差距。

第八条安全管理员协调相关部门或人员对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划。

第九条安全管理员协调相关部门或人员根据信息系统的重要程度，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案。

第十条信息技术部负责组织相关部门和有关安全技术专家对系统安全设计方案进行评审和论证。

第十一条根据等级测评、安全评估的结果由安全管理员协调相关人员定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。

第四章信息系统建设

第十二条产品采购和使用应按照国家相关部门要求和公司相关管理制度进行产品采购。

第十三条对于自行、外包软件开发以及项目工程实施过程应按照《脐橙金融网络借贷信息中介信息系统项目实施管理制度》相关要求进行管理。

第十四条系统建设完成后可委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报告；根据设计方案或合同要求等制订测试验收方案，在测试验收过程中应详细记录测试验收结果，

对不符合等级保护要求的及时进行整改，并形成测试验收报告。

第十五条安全管理员负责对第三方测试单位进行管理，并按照《三二一（北京）科技有限公司第三方人员安全管理规定》对第三方人员行为准则进行严格管理。

第十六条安全管理员组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认。

第五章信息系统安全测评

第十七条测评机构应具有国家相关技术资质和安全资质的测评单位进行等级测评。

第十八条安全管理员负责对测评机构等级测评过程按照公司相关规定进行管理，负责对测评人员安全保密进行要求，必要时与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。

第十九条在系统运行过程中，应定期进行安全测评或信息安全风险评估，本公司重要信息系统至少每年对系统进行一次安全测评或评估，发现不符合相应信息安全标准要求的及时整改。

第二十条在系统发生变更时及时对系统进行安全测评或评估，发现不符合相应信息安全标准要求的及时整改。

第六章信息系统终止

第二十一条信息系统被转移、终止或废弃时，由安全管理员组织系统相关管理人员提出系统终止申请，并填写《系统转移、终止或

废弃申请表》，由公司信息安全管理委员会进行审批，方可执行系统转移、终止或废弃。

第二十二条审批通过后由安全管理员对系统所属软、硬件和介质等敏感信息按照相关规定进行处理。

第七章持续改进

第二十三条为了保证本策略文件的时效性、可有性，必须根据相关审核规定进行评审和修订，修订后重新发布。

第八章附则

第二十四条本文件由信息技术部负责制定、解释和修改。

第二十五条本规定自发布之日起生效。