内容发布更新时间 : 2024/6/27 0:55:00星期一 下面是文章的全部内容请认真阅读。

XX公司信息安全管理制度（试行）

第一章 总则

第一条 为保证信息系统安全可靠稳定运行，降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁，结合公司实际，特制定本制度。

第二条 本制度适用于XX公司以及所属单位的信息系统安全管理。

第二章 职责

第三条 相关部门、单位职责： 一、 信息中心

（一） 负责组织和协调XX公司的信息系统安全管理工作； （二） 负责建立XX公司信息系统网络成员单位间的网络访问规则；对公司本部信息系统网络终端的网络准入进行管理；

（三） 负责对XX公司统一的两个互联网出口进行管理，配置防火墙等信息安全设备；会同保密处对公司本部互联网上网行为进行管理；

（四） 对XX公司统一建设的信息系统制定专项运维管理办法，明确信息系统安全管理要求，界定两级单位信息安全管理责任；

精选

（五） 负责XX公司网络边界、网络拓扑等全局性的信息安全管理。

二、 人力资源部

（一） 负责人力资源安全相关管理工作。

（二） 负责将信息安全策略培训纳入年度职工培训计划，并组织实施。

三、 各部门

（一） 负责本部门信息安全管理工作。

（二） 配合和协助业务主管部门完善相关制度建设，落实日常管理工作。

四、 所属各单位

（一） 负责组织和协调本单位信息安全管理工作。 （二） 对本单位建设的信息系统制定专项运维管理办法，明确信息系统安全管理要求，报XX公司信息中心备案。

第三章 信息安全策略的基本要求

第四条 信息系统安全管理应遵循以下八个原则： 一、 主要领导人负责原则； 二、 规范定级原则； 三、 依法行政原则； 四、 以人为本原则； 五、 注重效费比原则； 六、 全面防范、突出重点原则；

七、 系统、动态原则； 八、 特殊安全管理原则。

第五条 公司保密委应根据业务需求和相关法律法规，组织制定公司信息安全策略，经主管领导审批发布后，对员工及相关方进行传达和培训。

第六条 制定信息安全策略时应充分考虑信息系统安全策略的“七定”要求，即定方案、定岗、定位、定员、定目标、定制度、定工作流程。

第七条 信息安全策略主要包括以下内容：

一、 信息网络与信息系统必须在建设过程中进行安全风险评估，并根据评估结果制定安全策略；

二、 对已投入运行且已建立安全体系的系统定期进行漏洞扫描，以便及时发现系统的安全漏洞;

三、 对安全体系的各种日志(如入侵检测日志等)审计结果进行研究，以便及时发现系统的安全漏洞;

四、 定期分析信息系统的安全风险及漏洞、分析当前黑客非常入侵的特点，及时调整安全策略；

五、 制定人力资源、物理环境、访问控制、操作、备份、系统获取及维护、业务连续性等方面的安全策略，并实施。

第八条 公司保密委每年应组织对信息安全策略的适应性、充分性和有效性进行评审，必要时组织修订；当公司的组织架构、生产经营模式等发生重大变化时也应进行评审和修订。

精选