1、信息安全管理組織機構和人員安全管理辦法第一章總則第1條為加強本公司信息安全管理工作，保障網絡與信息系統的正 常運行，依據有關法律、法規及信息安全標準，特制定本辦法。第2條本辦法適用于本公司的信息安全組織機構和人員職責的管理。第二章信息安全領導小組第1條公司成立信息安全領導小組。領導小組是信息安全的最高決 策機構，下設辦公室掛靠在公司技術部，負責信息安全領導小組的日 常事務。第2條信息安全領導小組下設兩個工作組：信息安全工作組應急處理工作組第3條信息安全領導小組的職責主要包括：根據國家和行業有關信息安全的政策、法律和法規，批準公司信 息安全總體策略規劃、管理規范和技術標準；確定公司信息安全各有關

2、部門工作職責，指導、監督信息安全工 作。第三章信息安全工作組第1條信息安全工作組組長由公司技術部的負責人擔任。第2條信息安全工作組的主要職責包括：貫徹執行公司信息安全領導小組的決議，協調和規范公司信息安 全工作；根據信息安全領導小組的工作部署，對信息安全工作進行具體安 排、落實；組織對重大的信息安全工作制度和技術操作策略進行審查，擬訂 信息安全總體策略規劃，并監督執行；負責協調、督促各職能部門和有關單位的信息安全工作，參與信 息系統工程建設中的安全規劃，監督安全措施的執行；組織信息安全工作檢查，分析信息安全總體狀況，提出分析報告 和安全風險的防范對策；負責接受各單位的緊急信息安全事件報告，組織

3、進行事件調查， 分析原因、涉及范圍，并評估安全事件的嚴重程度，提出信息安全事 件防范措施；及時向信息安全工作領導小組和上級有關部門、單位報告信息安 全事件。跟蹤先進的信息安全技術，組織信息安全知識的培訓和宣 傳工作。第四章應急處理工作組第1條應急處理工作組組長由公司技術部的主要負責人擔任。第2條應急處理工作組的主要職責包括：審定公司網絡與信息系統的安全應急策略及應急預案；決定相應應急預案的啟動，負責現場指揮，并組織相關人員排除 故障，恢復系統；每年組織對信息安全應急策略和應急預案進行測試和演練。第五章信息安全人員基本要求第1條信息安全管理人員和專（兼）職信息安全技術人員應當政治 可靠、業務素質

4、高、遵紀守法、恪盡職守。第2條信息安全管理人員及專職和兼職信息安全技術人員應有計算 機專業工作三年以上經歷，具備專科以上學歷。第3條違反國家法律、法規和行業規章受到處罰的人員，不得從事 信息安全管理與技術工作。第六章信息安全人員管理第1條信息安全人員的配備和變更情況，應向總經理報告、備案。第2條信息安全人員調離崗位，必須嚴格辦理調離手續，承諾其調 離后的保密義務。第七章信息安全人員職責范圍 第1條信息安全人員應履行以下職責：負責信息安全管理的日常工作；開展信息安全檢查工作，對要害崗位人員安全工作進行指導和監 督；負責維護和審查有關安全審計記錄，及時發現存在問題，提出安 全風險防范對策；開展信息

5、安全知識的培訓和宣傳工作；監控信息安全總體狀況，提出信息安全分析報告；及時向信息安全工作領導小組和有關部門、單位報告信息安全事 件。第2條信息安全人員在行使職責時，確因工作需要，經批準，可了 解涉及經營與管理有關的信息系統的機密信息。第3條信息安全人員發現本單位重大信息安全隱患，有權向公司總 經理報告。第4條信息安全人員發現信息系統要害崗位人員使用不當，應及時 建議公司進行調整。第5條信息安全人員必須嚴格遵守國家有關法律、法規和公司有關 規章制度，嚴守公司商業秘密。第八章要害崗位人員管理 第1條信息系統要害崗位人員，是指與重要信息系統直接相關的系 統管理人員、網絡管理人員、重要應用開發人員、系

6、統維護人員、重 要業務操作人員等崗位人員。第2條重要信息系統，是指涉及公司生產、建設與經營、管理等核 心業務且有保密要求的信息系統。第3條要害崗位人員上崗前必須經單位人事部門進行政治素質審查， 技術部門進行業務技能考核，工作經歷和工作經驗考查等，合格者方 可上崗。第4條要害崗位人員有責任保護信息系統的秘密，并以簽署保密協 議的方式作出安全承諾。第5條要害崗位人員上崗必須實行“權限分散、不得交叉覆蓋”的 原則。系統管理人員、網絡管理人員、系統開發人員、系統維護人員 不得兼任業務操作員；系統開發人員原則上不應兼任系統管理員。第6條對要害崗位人員應實行定期考查制度，要害崗位人員應定期 接受安全培訓，

7、加強自身安全意識和風險防范意識。第7條要害崗位人員調離崗位，必須嚴格辦理調離手續，承諾其調離后的保密義務。涉及公司業務保密信息的要害崗位人員調離單位， 必須進行離崗審計，在規定的脫密期后，方可調離。第8條要害崗位人員離崗后，必須即刻更換操作密碼或注銷用戶。第九章要害崗位安全責任第1條系統管理員安全責任負責系統的運行管理，實施系統安全運行細則；嚴格用戶權限管理，維護系統安全正常運行；認真記錄系統安全事項，及時向信息安全人員報告安全事件；對進行系統操作的其他人員予以安全監督。第2條網絡管理員安全責任負責網絡的運行管理，實施網絡安全策略和安全運行細則；安全配置網絡參數，嚴格控制網絡用戶訪問權限，維護

8、網絡安全 正常運行；監控網絡關鍵設備、網絡端口、網絡物理線路，防范黑客入侵， 及時向信息安全人員報告安全事件；對操作網絡管理功能的其他人員進行安全監督。第3條系統開發員安全責任系統開發建設中，應嚴格執行系統安全策略，保證系統安全功能 的準確實現；系統投產運行前，應完整移交系統源代碼和相關涉密資料；不得對系統設置“后門”；對系統核心技術保密第4條系統維護員安全責任負責系統維護，及時解除系統故障，確保系統正常運行；不得擅自改變系統功能；不得安裝與系統無關的其他計算機程序；維護過程中，發現安全漏洞應及時報告信息安全人員。第5條業務操作員安全責任嚴格執行系統操作規程和運行安全管理制度；不得向他人提供自

9、己的操作密碼；及時向系統管理員報告系統各種異常事件。第6條各要害崗位人員必須嚴格遵守保密法規和有關信息安全管理規定。第十章第三方人員管理第1條第三方人員包括軟件開發商，硬件供應商，系統集成商，設 備維護商和服務提供商，以及實習學生和臨時工作人員。第2條應對第三方人員的物理訪問和邏輯訪問實施訪問控制，根據 其在系統中完成工作的時間、性質、范圍、內容等方面的需要給予最 低授權。第3條第三方人員的現場工作或遠程維護工作內容應在合同中明確 規定，如工作涉及機密或秘密信息內容，應要求其簽署保密協議。第4條一般情況下第三方人員的現場工作，如數據庫、系統、漏洞 掃描、入侵檢測、白客滲透以及其他軟件的安裝等，不許接入自帶的 設備。第5條第三方人員的現場工作應在本單位信息部門有關人員的陪同 和監督下完成。第三方人員自帶設備接入信息系統應得到特別授權， 其操作應受到審計。第6條第三方人員工作結束后，應及時清除有關賬戶、過程記錄等 信息。第十一章培訓與教育第1條信息安全人員應定期參加下列信息安全知識和技能的培訓：信息安全法律法規及行業規章制度的培訓；信息安全基本知識的培訓；信息安全專門