内容发布更新时间 : 2024/12/25 23:40:27星期一 下面是文章的全部内容请认真阅读。
XX公司信息安全管理制度(试行)
第一章 总则
第一条 为保证信息系统安全可靠稳定运行,降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁,结合公司实际,特制定本制度。
第二条 本制度适用于XX公司以及所属单位的信息系统安全管理。
第二章 职责
第三条 相关部门、单位职责: 一、 信息中心
(一) 负责组织和协调XX公司的信息系统安全管理工作; (二) 负责建立XX公司信息系统网络成员单位间的网络访问规则;对公司本部信息系统网络终端的网络准入进行管理;
(三) 负责对XX公司统一的两个互联网出口进行管理,配置防火墙等信息安全设备;会同保密处对公司本部互联网上网行为进行管理;
(四) 对XX公司统一建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,界定两级单位信息安全管理责任;
精选
(五) 负责XX公司网络边界、网络拓扑等全局性的信息安全管理。
二、 人力资源部
(一) 负责人力资源安全相关管理工作。
(二) 负责将信息安全策略培训纳入年度职工培训计划,并组织实施。
三、 各部门
(一) 负责本部门信息安全管理工作。
(二) 配合和协助业务主管部门完善相关制度建设,落实日常管理工作。
四、 所属各单位
(一) 负责组织和协调本单位信息安全管理工作。 (二) 对本单位建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,报XX公司信息中心备案。
第三章 信息安全策略的基本要求
第四条 信息系统安全管理应遵循以下八个原则: 一、 主要领导人负责原则; 二、 规范定级原则; 三、 依法行政原则; 四、 以人为本原则; 五、 注重效费比原则; 六、 全面防范、突出重点原则;
七、 系统、动态原则; 八、 特殊安全管理原则。
第五条 公司保密委应根据业务需求和相关法律法规,组织制定公司信息安全策略,经主管领导审批发布后,对员工及相关方进行传达和培训。
第六条 制定信息安全策略时应充分考虑信息系统安全策略的“七定”要求,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。
第七条 信息安全策略主要包括以下内容:
一、 信息网络与信息系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略;
二、 对已投入运行且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞;
三、 对安全体系的各种日志(如入侵检测日志等)审计结果进行研究,以便及时发现系统的安全漏洞;
四、 定期分析信息系统的安全风险及漏洞、分析当前黑客非常入侵的特点,及时调整安全策略;
五、 制定人力资源、物理环境、访问控制、操作、备份、系统获取及维护、业务连续性等方面的安全策略,并实施。
第八条 公司保密委每年应组织对信息安全策略的适应性、充分性和有效性进行评审,必要时组织修订;当公司的组织架构、生产经营模式等发生重大变化时也应进行评审和修订。
精选