1、xxxxxxx 有限公司信息安全管理制度第一章 總則第一條 為保證信息系統(tǒng)安全可靠穩(wěn)定運(yùn)行，降低或阻 止人為或自然因素從物理層面對(duì)公司信息系統(tǒng)的保密性、完 整性、可用性帶來(lái)的安全威脅，結(jié)合公司實(shí)際，特制定本制 度。第二條 本制度適用于 xxxxxxx 有限公司以及所屬單位 的信息系統(tǒng)安全管理。第二章 職責(zé)第三條 相關(guān)部門、單位職責(zé)：一、信息中心（一）負(fù)責(zé)組織和協(xié)調(diào) xxxxxxx 有限公司的信息系統(tǒng) 安全管理工作；（二）負(fù)責(zé)建立 xxxxxxx 有限公司信息系統(tǒng)網(wǎng)絡(luò)成員 單位間的網(wǎng)絡(luò)訪問(wèn)規(guī)則；對(duì)公司本部信息系統(tǒng)網(wǎng)絡(luò)終端的網(wǎng) 絡(luò)準(zhǔn)入進(jìn)行管理；（三）負(fù)責(zé)對(duì) xxxxxxx 有限公司統(tǒng)一的兩個(gè)互聯(lián)網(wǎng)

2、出 口進(jìn)行管理，配置防火墻等信息安全設(shè)備；會(huì)同保密處對(duì)公 司本部互聯(lián)網(wǎng)上網(wǎng)行為進(jìn)行管理；（四）對(duì) xxxxxxx 有限公司統(tǒng)一建設(shè)的信息系統(tǒng)制定 專項(xiàng)運(yùn)維管理辦法，明確信息系統(tǒng)安全管理要求，界定兩級(jí) 單位信息安全管理責(zé)任；（五）負(fù)責(zé) xxxxxxx 有限公司網(wǎng)絡(luò)邊界、 網(wǎng)絡(luò)拓?fù)涞热?局性的信息安全管理。二、人力資源部（一） 負(fù)責(zé)人力資源安全相關(guān)管理工作。（二） 負(fù)責(zé)將信息安全策略培訓(xùn)納入年度職工培訓(xùn)計(jì) 劃，并組織實(shí)施。三、各部門（一） 負(fù)責(zé)本部門信息安全管理工作。（二） 配合和協(xié)助業(yè)務(wù)主管部門完善相關(guān)制度建設(shè)， 落 實(shí)日常管理工作。四、所屬各單位（一） 負(fù)責(zé)組織和協(xié)調(diào)本單位信息安全管理工作。（

3、二） 對(duì)本單位建設(shè)的信息系統(tǒng)制定專項(xiàng)運(yùn)維管理辦 法，明確信息系統(tǒng)安全管理要求，報(bào) xxxxxxx 有限公司信息 中心備案。第三章 信息安全策略的基本要求第四條 信息系統(tǒng)安全管理應(yīng)遵循以下八個(gè)原則：一、主要領(lǐng)導(dǎo)人負(fù)責(zé)原則；二、規(guī)范定級(jí)原則；三、依法行政原則；四、以人為本原則；五、注重效費(fèi)比原則；六、全面防范、突出重點(diǎn)原則；七、系統(tǒng)、動(dòng)態(tài)原則；八、特殊安全管理原則。第五條 公司保密委應(yīng)根據(jù)業(yè)務(wù)需求和相關(guān)法律法規(guī)， 組織制定公司信息安全策略，經(jīng)主管領(lǐng)導(dǎo)審批發(fā)布后，對(duì)員 工及相關(guān)方進(jìn)行傳達(dá)和培訓(xùn)。第六條 制定信息安全策略時(shí)應(yīng)充分考慮信息系統(tǒng)安全 策略的“七定”要求，即定方案、定崗、定位、定員、定目 標(biāo)

4、、定制度、定工作流程。第七條 信息安全策略主要包括以下內(nèi)容：一、信息網(wǎng)絡(luò)與信息系統(tǒng)必須在建設(shè)過(guò)程中進(jìn)行安全 風(fēng)險(xiǎn)評(píng)估，并根據(jù)評(píng)估結(jié)果制定安全策略；二、對(duì)已投入運(yùn)行且已建立安全體系的系統(tǒng)定期進(jìn)行 漏洞掃描，以便及時(shí)發(fā)現(xiàn)系統(tǒng)的安全漏洞 ;三、對(duì)安全體系的各種日志 （ 如入侵檢測(cè)日志等 ） 審計(jì) 結(jié)果進(jìn)行研究，以便及時(shí)發(fā)現(xiàn)系統(tǒng)的安全漏洞 ;四、定期分析信息系統(tǒng)的安全風(fēng)險(xiǎn)及漏洞、 分析當(dāng)前黑 客非常入侵的特點(diǎn)，及時(shí)調(diào)整安全策略；五、制定人力資源、 物理環(huán)境、 訪問(wèn)控制、 操作、備份、 系統(tǒng)獲取及維護(hù)、業(yè)務(wù)連續(xù)性等方面的安全策略，并實(shí)施。第八條 公司保密委每年應(yīng)組織對(duì)信息安全策略的適應(yīng) 性、充分性和有效

5、性進(jìn)行評(píng)審，必要時(shí)組織修訂；當(dāng)公司的 組織架構(gòu)、生產(chǎn)經(jīng)營(yíng)模式等發(fā)生重大變化時(shí)也應(yīng)進(jìn)行評(píng)審和 修訂。第九條 根據(jù)“誰(shuí)主管、誰(shuí)負(fù)責(zé)”的原則，公司建立信 息安全分級(jí)責(zé)任制，各層級(jí)落實(shí)信息系統(tǒng)安全責(zé)任。第四章 人力資源安全管理第十條 信息系統(tǒng)相關(guān)崗位設(shè)置應(yīng)滿足以下要求：一、安全管理崗與其它任何崗位不得兼崗、 混崗、代崗。二、系統(tǒng)管理崗、網(wǎng)絡(luò)管理崗與應(yīng)用管理崗不得兼崗、 混崗。三、安全管理崗、 系統(tǒng)管理崗、 網(wǎng)絡(luò)管理崗、 應(yīng)用管理 崗、設(shè)備管理崗、技術(shù)檔案管理崗原則上有人員備份。四、以上崗位人員調(diào)離必須辦理交接手續(xù)， 所掌握的口 令應(yīng)立刻更換或注銷該用戶。第十一條 人力資源部在相關(guān)崗位任職要求中應(yīng)包含信

6、 息安全管理的相關(guān)條件和要求；將信息安全相關(guān)培訓(xùn)納入年 度職工培訓(xùn)計(jì)劃，并組織實(shí)施。第五章 信息系統(tǒng)物理和環(huán)境安全管理第十二條 信息系統(tǒng)物理安全指為了保證信息系統(tǒng)安全 可靠運(yùn)行，不致受到人為或自然因素的危害，而對(duì)計(jì)算機(jī)設(shè) 備、設(shè)施（包括機(jī)房建筑、供電、空調(diào)）、環(huán)境、系統(tǒng)等采 取適當(dāng)?shù)陌踩胧５谑龡l 信息管理部門應(yīng)采取切實(shí)可行的物理防護(hù)手 段或技術(shù)措施對(duì)物理周邊、物理入口、辦公及生產(chǎn)區(qū)域等進(jìn) 行安全控制，防止無(wú)關(guān)人員未授權(quán)物理訪問(wèn)、損壞和干擾。第十四條 信息管理部門應(yīng)加強(qiáng)對(duì)信息系統(tǒng)機(jī)房及配線 間的安全管理，要求如下：一、工作人員需經(jīng)授權(quán)， 方能且只能進(jìn)入中心機(jī)房的授 權(quán)工作區(qū)；確因工作需要，需進(jìn)入非授權(quán)工作區(qū)時(shí)，需由該授權(quán)工作區(qū)人員陪同； 做好機(jī)房出入登記 （格式見(jiàn)附錄 3-3 ）。二、工作人員必須嚴(yán)格按照規(guī)定操作， 未經(jīng)批準(zhǔn)不得超 越自己職權(quán)范圍以外的操作；操作結(jié)束時(shí)，必須退出已進(jìn)入 的操作畫面；最后離開(kāi)工作區(qū)域的人員應(yīng)將門關(guān)閉。三、非授權(quán)人員嚴(yán)禁操作中心機(jī)房 UPS專用空調(diào)、監(jiān)控、消防及UPS供配電設(shè)備設(shè)施。四、未經(jīng)授權(quán)，任何人員不得擅自拷貝數(shù)據(jù)和文件等資料。