企业信息安全管理办法.doc

: .
信息平安管理方法
第一早
总那么
第一条 为加强公司信息平安管理，推进信理部的领导下，承当所负责的信
息系统和所在区域的信息平安管理任务，主要包括：在所维护系统和本区域内 宣传和贯彻信息平安政策与标准，确保所负责信息系统的平安运行。
第十二条 各级信息管理部门设立信息平安管理和技术岗位，包括
信息平安、应用系统、数据库、操作系统、网络负责人和管理员，重要岗位可 设置两个员工互为备份。
第十三条 信息平安岗位的设立应遵循职责别离的要求，包括：制
度监视者与执行者别离，信息系统授权者与操作者别离，应用系统管理员与数 据库管理员别离，程序开发人员不应具备对生产环境的访问权限。
第十四条 公司员工必须严格遵守公司信息平安政策、管理制度、 技术标准和信息系统控制要求，承当相关平安义务和责任，并及时报告信息平 安事件。
第三章 信息平安目标与工作原那么
第十五条 信息平安工作的总体目标是：实施信息系统平安等级保
护，建立和健全先进实用、完整可靠的信息平安体系，保证系统和信息的完整 性、真实性、可用性、保密性和可控性，保障信息化建立和应用，支撑公司业 务持续、稳定、安康开展。
第十六条 信息平安体系建立必须坚持以下原那么：
坚持统一。信息平安体系必须统一规划、统一标准、统一设计、统一投 资、统一建立、统一管理。
保障应用。保障网络和信息系统，特别是全局网络和重要业务信息系统不 连续稳定运行及其信息的平安，实现以应用促平安，以平安保应用。
符合法规。信息平安体系要满足法律法规要求，包括国家对信息系统等级 保护、企业内部控制要求，积极采用法律法规允许的、成熟的先进技术和专业 平安效劳。
综合防范。管理与技术并重，相互补充。从组织与流程、制度与人员、场 地与环境、网络与系统、数据与应用等多方面着手，在系统设计、建立和运维 的多环节进展综合防范。
集中共享。建立集中、统一的信息平安技术效劳平台和集中专业化的信息 平安队伍。
第四章 信息平安工作根本要求
第十七条 根据公司信息平安专项规划和总体方案，分层次建立以
平安组织体系为核心、平安管理体系为保障、平安技术体系为支撑的全面信息 平安体系，并保持二个体系稳定、均衡开展。
第十八条 建立全面的信息平安管理体系：
制定并实施统一的信息平安策略、管理制度和技术标准。
实行信息系统资产管理责任制，保护信息系统，特别是核心信息系统的设 备、软件、数据和技术文档的平安。
建立信息系统物理环境、网络、系统、应用、数据等各层面的平安管理流 程，实现对信息系统全生命周期的平安管理。
实现对信息系统的平安风险管理，及时发现和防范平安隐患。
第十九条 建立有效的信息平安技术体系：
强化网络、桌面和应用系统平安防护体系，按照自主定级、自主保护的原 那么，评估确定各信息系统保护等级并实施相应的保护措施。
建立统一的网络平安信任体系，加强网络实体身份管理与认证，为网络和 信息系统平安运行提供信任根底。
建立完善有效的平安监控和预警体系，监控重要网络和核心业务系统，及 时发现平安隐患。
建立全面有效的应急响应体系，制定并落实完整、