資訊保安管理制度

2023-01-13 11:06:03 字數 2421 閱讀 5844

編號:第一章總則

第一條為加強*******(以下簡稱「公司」)資訊系統安全管理,推進資訊系統安全體系建設,保障資訊系統安全穩定執行,根據國家有關法律、法規和公司相關規定,制定本辦法。

第二條本辦法所稱資訊系統安全管理辦法,包括資訊保安的管理組織與職責、資訊系統安全的治理規定、資訊保安的監控、資訊系統安全的風險評估。

第三條本制度著力解決的問題

制度空缺:公司缺少資訊系統安全管理辦法。

明確資訊系統安全管理過程中相關單位的職責。

第四條本辦法適用於公司各部門,各部門可參照本管理辦法制定相應的實施細則。

第二章管理組織與職責

第五條資訊中心職責

資訊中心是公司資訊系統安全管理的歸口部門,負責公司資訊系統安全政策、制度和體系建設規劃的審批,部署並協調資訊系統安全體系和等級保護建設工作,並負責落實具體工作。

第三章資訊系統安全治理規定

第六條資訊系統安全工作基本要求

根據公司資訊系統安全總體方案,貫徹與實施國家資訊保安等級保護制度,分層次建立以安全組織體系為核心、安全管理體系為保障、安全技術體系為支撐的全面資訊系統安全體系,並保持三個體系穩定、均衡發展。

第七條資訊系統安全崗位要求

資訊系統安全崗位的設立應遵循職責分離的要求,包括:制度監督者與執行者分離、資訊系統授權者與操作者分離、應用系統管理員與資料庫管理員分離,程式開發人員不應具備對生產環境的訪問許可權。

第八條資訊系統安全管理體系

資訊系統安全管理體系包括:統一的資訊系統安全策略、管理制度和技術標準;資訊系統資產管理責任制;資訊系統物理環境、網路、系統、應用、資料等各層面的安全管理流程;資訊系統的安全風險管理。

第九條資訊系統安全技術體系

資訊系統安全技術體系包括:網路、桌面和應用系統安全防護措施;身份管理與認證平台;安全監控和預警機制;應急響應系統;同城和異地容災備份中心。

第四章安全監控

第十條資訊系統安全的監控目的

資訊系統安全監控的目的是對威脅系統、資料庫及網路安全的因素進行有效控制,防止由於技術或人為因素導致的異常和損失,同時為其他安全措施的設計和實施提供可靠依據。安全監控的結果應儲存一年以上。

第十一條資訊系統安全的監控職責

資訊系統的執行和維護單位,在國家法律規定和公司有關規定許可的範圍內,具體進行規範、合理、有效的資訊系統安全監控。使用公司網路及應用系統的使用者有義務接受必要的監控。監控不能影響、洩漏不涉及安全問題的網上行為和個人隱私的內容。

第十二條資訊系統安全的監控檢查

日常監控分為實時監控和定期檢查,包括應用系統、資料庫、作業系統、網路、物理環境以及外部人員對資訊系統訪問的實時監控與定期檢查。監控及檢查結果要存檔備查,異常情況須及時向有關負責人匯報。

第十三條建立資訊系統安全事件處理機制

在全公司範圍建立資訊系統安全意外事件通報處理機制,應根據實際需要設立由資訊部門和相關業務部門牽頭的虛擬的資訊系統安全事件處理組織,人員可由業務和資訊科技管理人員兼任。

第十四條建立資訊系統安全事件處理細則

資訊系統管理部門組織制定、貫徹、執行資訊系統安全事件識別、分級和處置細則,各資訊系統的執行和維護單位要對發生的資訊系統安全事件及時分級,及時通報,並採取有效措施避免或降低事件對業務的負面影響,事後要編制事件處理報告並按程式上報。

第十五條資訊系統應急演練

各級資訊部門應對網路及重要資訊系統制定詳細的應急處理預案。

第十六條資訊系統安全上報

資訊部門編制、上報資訊系統安全月報和年報,及時向主管領導和上級部門匯報重大資訊系統安全風險和事件。

第五章資訊系統安全風險評估

第十七條資訊系統安全風險評估總體要求

資訊化部負責組織建立風險評估規範及實施團隊,定期或在重大、特殊事件發生後進行風險評估。

第十八條資訊系統安全風險評估分析

風險評估包括範圍確定、風險識別、風險分析和控制措施,確保資訊系統安全滿足應用和業務需要。

評估範圍包括管理組織、流程、政策與標準、應用系統、資料庫、作業系統、網路、物理環境,應涵蓋公司內部關鍵控制點。風險識別包括識別風險型別和風險事件,形成風險列表,更新資訊風險資料庫。

風險分析包括資訊資產分類、風險發生概率和影響程度分析,並確定風險等級,形成風險評估報告。

控制措施包括安全管理策略和風險控制措施,形成風險控制報告。

第十九條資訊系統安全風險上報

資訊化部負責將風險評估和控制報告上報資訊主管領導審批。根據領導審批意見,落實控制措施。

第六章培訓

第二十條資訊保安培訓

資訊化部負責制定公司資訊系統安全培訓計畫,組織、實施資訊系統安全管理和技術培訓。

第七章檢查

第二十一條資訊系統安全檢查

資訊化部定期組織資訊系統的安全檢查與考核,包括資訊系統安全政策與標準的培訓與執**況、重大資訊系統安全事件及整改措施落實情況現有資訊系統安全措施的有效性、資訊系統安全技術指標完成情況。

第八章附則

第二十二條本辦法由資訊化部負責解釋。

第二十三條本辦法自印發之日起執行。

資訊保安管理制度

為加強公司各資訊系統管理,保證資訊系統安全,根據 中華人民共和國保守國家秘密法 和國家保密局 計算機資訊系統保密管理暫行規定 國家保密局 計算機資訊系統國際聯網保密管理規定 及上級資訊管理部門的相關規定和要求,結合公司實際,制定本制度。本制度包括網路安全管理 資訊系統安全保密制度 資訊保安風險應急預...

資訊保安管理制度

為維護公司資訊保安,保證公司網路環境的穩定,特制定本制度。第一條資訊保安是指通過各種計算機 網路 內部資訊平台 和密碼技術,保護資訊在傳輸 交換和儲存過程中的機密性 完整性和真實性。具體包括以下幾個方面。1 資訊處理和傳輸系統的安全。系統管理員應對處理資訊的系統進行詳細的安全檢查和定期維護,避免因為...

資訊保安管理制度

一 計算機安全管理 1 醫院計算機操作人員必須按照計算機正確的使用方法操作計算機系統。嚴禁暴力使用計算機或蓄意破壞計算機軟硬體。2 未經許可,不得擅自拆裝計算機硬體系統,若須拆裝,則通知資訊科技術人員進行。3 計算機的軟體安裝和解除安裝工作必須由資訊科技術人員進行。4 計算機的使用必須由其合法授權者...