XX集团信息安全管理规定

XX集团信息安全管理规定

总则

第一条为满足国家信息安全相关法律法规和外部监管单位相关要求，提高XX集团信息安全保障能力，保障业务的持续运行与信息资产的安全，明确XX集团

在信息安全工作方面的总体要求，特制定本规定。

第二条XX集团信息安全总体目标：实现信息安全的可知、可控，确保信息资产的安全性，为业务持续、稳健的发展提供安全保障。

第三条XX集团信息安全方针：“服务业务、政策合规、风险导向、适度安全”。

第四条本制度涉及的系统范围不包含XX集团涉密信息系统和工业控制系统。

第五条本制度适用于集团总部及各下属公司。

信息安全管理职责

第六条各单位应按照“谁建设谁负责，谁运营谁负责”的原则履行信息安全管理职责。

第七条集团总部主要履行下列职责：

(一)制定全集团信息安全总体规划和工作计划；

(二)建立并维护集团层面信息安全管理制度；

(三)组织实施集团层面信息安全相关项目；

(四)监督、指导重大及以上信息安全突发事件的处置。重大及以上信息安全突

发事件的标准参照中央网信办印发的《国家网络安全事件应急预案》；

(五)推动全集团信息系统等级保护工作并落实集团总部信息系统等级保护工

作；

(六)组织开展全集团信息安全宣贯和培训工作；

(七)组织开展全集团信息安全通报工作，相关工作参见本规定分册一；

(八)开展全集团其它信息安全管理工作。

第八条各下属公司主要履行下列职责：

(一)成立由本下属公司主要负责人为领导的信息安全工作决策机构，指定信

息安全工作归口管理部门，明确信息安全职责；

(二)配备专职信息安全管理人员，具体负责本下属公司的信息安全工作；

(三)制定本下属公司信息安全规划和工作计划；

(四)遵守集团信息安全规章制度，并建立健全本下属公司信息安全制度，保

障本下属公司信息系统安全，管理本下属公司用户的信息安全行为；

(五)组织实施本下属公司信息安全相关项目；

(六)制定本下属公司信息安全突发事件专项应急预案和自建信息系统现场处

置方案，并加强应急演练，根据演练效果、环境变化等情况进行修订；

(七)负责本下属公司信息安全突发事件的处置，及时向集团报送信息安全突

发事件；

(八)落实本下属公司信息系统等级保护工作；

(九)组织开展本下属公司信息安全宣贯和培训工作，完善信息安全人才队

伍；

(十)向集团汇报本下属公司信息安全工作情况；

(十一)指定专人接收集团发布的信息安全通报并及时有效落实。汇总、分析本下属公司信息安全通报工作落实情况，并向集团报送。相关工作参

见本规定分册一；

(十二)落实集团要求的其它信息安全工作。

信息系统建设安全管理

第九条各单位在信息系统建设时应充分考虑相应的信息安全管理措施，应做到“三同步”原则，即在信息系统规划、建设和使用时，“同步规划、同步建设、

同步使用”安全管理措施。

第十条各单位在信息系统项目规划、设计、实施和运维等阶段，应充分考虑信息安全要求。

第十一条在上线阶段，所有信息系统均须进行上线前信息安全自查，并将自查结果存档备查。

信息安全检查

第十二条各单位应对本单位信息安全工作情况进行自查，发现信息安全问题或隐患要及时整改。

第十三条集团将不定期对各单位信息安全工作进行抽查或专项检查。各单位应配合集团开展检查工作，并按集团要求对检查中发现的问题限期整改。第十四条对于集团检查发现存在安全问题且未能按期完成整改的系统，各单位应立即关停，待整改完成后再行开放；集团将对检查中发现问题严重或整

改不力的单位进行通报批评；紧急情况下，集团有权强制关停相关系

统。

附则

第十五条本规定由XX集团财务部信息化管理中心负责解释。

第十六条本规定自发布之日起执行。

分册一：信息安全通报管理细则

总则

第一条为建立健全XX集团信息安全事件通报机制，规范信息安全事件通报工作，特制定本细则。

第二条XX集团信息安全通报工作包含信息安全通报和信息安全报送两种形式。本细则所称“信息安全通报”是指集团以书面文件、传真、电子邮件或会议等

形式将信息安全事件有关情况通告各下属公司。“信息安全报送”是指各下

属公司以书面文件、传真、电子邮件或电话等形式将信息安全有关情况报告

至集团财务部信息化管理中心。

信息安全通报

第三条XX集团信息安全通报按照“自上而下，逐级通报”的原则执行，集团财务部信息化管理中心向各下属公司发布或转发信息安全通报，各下属公司须指

定专人接收通报并按照要求办理。通报格式参考附件1。

通报内容包括但不限于：

(一)信息安全预警信息；

(二)信息安全突发事件信息；

(三)信息安全专项工作督办；

(四)转发监管机构发布的信息安全通报；

(五)其它需要向各单位通报的信息。

信息安全报送

第四条XX集团信息安全报送工作按照“自下而上，逐级报送”的原则执行，各下属公司向集团财务部信息化管理中心报送。报送格式参考附件2。

报送内容包括但不限于：

(一)重点保障时期（以下简称重保时期，是指上级监管单位要求的特殊时

期），本单位网络和信息系统重点保障工作情况；

(二)信息安全突发事件信息；

(三)信息安全专项工作执行情况；

(四)其它需要及时报送的信息。

第五条各下属公司报送应遵循“及时、客观、真实、准确、完整”的原则，不得迟报、谎报、瞒报、漏报。

第六条重保时期，集团执行每日“零报告”机制，各下属公司须及时报送本单位信息安全情况，报告中应包括但不限于：

(一)信息安全突发事件描述及处理情况；

(二)通过本单位网站或电子邮件等传播的有关反动、有害信息情况；

(三)计算机病毒、网络攻击、系统漏洞等情况；

(四)由于信息安全原因造成的网络或信息系统资源使用异常；

(五)其它需要说明的情况。