1、實用文檔信息安全管理制度編號：第一章總則第一條為加強XXX有限公司（以下簡稱“公司”）信息系統安 全管理，推進信息系統安全體系建設，保障信息系統安全穩定運行， 根據國家有關法律、法規和公司相關規定，制定本辦法。第二條本辦法所稱信息系統安全管理辦法，包括信息安全的管 理組織與職責、信息系統安全的治理規定、信息安全的監控、信息系 統安全的風險評估。第三條本制度著力解決的問題制度空缺：公司缺少信息系統安全管理辦法。明確信息系統安全管理過程中相關單位的職責。第四條 本辦法適用于公司各部門，各部門可參照本管理辦法制 定相應的實施細則。第二章管理組織與職責第五條信息中心職責信息中心是公司信息系統安全管理的

2、歸口部門，負責公司信息 系統安全政策、制度和體系建設規劃的審批，部署并協調信息系統安 全體系和等級保護建設工作，并負責落實具體工作。第三章信息系統安全治理規定第六條信息系統安全工作基本要求實用文檔根據公司信息系統安全總體方案，貫徹與實施國家信息安全等 級保護制度，分層次建立以安全組織體系為核心、安全管理體系為保 障、安全技術體系為支撐的全面信息系統安全體系，并保持三個體系 穩定、均衡發展。第七條信息系統安全崗位要求信息系統安全崗位的設立應遵循職責分離的要求，包括：制度 監督者與執行者分離、信息系統授權者與操作者分離、應用系統管理 員與數據庫管理員分離，程序開發人員不應具備對生產環境的訪問權 限

3、。第八條信息系統安全管理體系信息系統安全管理體系包括：統一的信息系統安全策略、管理 制度和技術標準；信息系統資產管理責任制；信息系統物理環境、網 絡、系統、應用、數據等各層面的安全管理流程；信息系統的安全風 險管理。第九條信息系統安全技術體系信息系統安全技術體系包括：網絡、桌面和應用系統安全防護 措施；身份管理與認證平臺；安全監控和預警機制；應急響應系統； 同城和異地容災備份中心。第四章安全監控第十條信息系統安全的監控目的信息系統安全監控的目的是對威脅系統、數據庫及網絡安全的 因素進行有效控制，防止由于技術或人為因素導致的異常和損失，同實用文檔時為其他安全措施的設計和實施提供可靠依據。安全監控

4、的結果應保 存一年以上。第十一條信息系統安全的監控職責信息系統的運行和維護單位，在國家法律規定和公司有關規定 許可的范圍內，具體進行規范、合理、有效的信息系統安全監控。使 用公司網絡及應用系統的用戶有義務接受必要的監控。監控不能影 響、泄漏不涉及安全問題的網上行為和個人隱私的內容。第十二條信息系統安全的監控檢查日常監控分為實時監控和定期檢查，包括應用系統、數據庫、 操作系統、網絡、物理環境以及外部人員對信息系統訪問的實時監控 與定期檢查。監控及檢查結果要存檔備查，異常情況須及時向有關負 責人匯報。第十三條建立信息系統安全事件處理機制在全公司范圍建立信息系統安全意外事件通報處理機制，應根 據實際

5、需要設立由信息部門和相關業務部門牽頭的虛擬的信息系統 安全事件處理組織，人員可由業務和信息技術管理人員兼任。第十四條建立信息系統安全事件處理細則信息系統管理部門組織制定、貫徹、執行信息系統安全事件識 別、分級和處置細則，各信息系統的運行和維護單位要對發生的信息 系統安全事件及時分級，及時通報，并釆取有效措施避免或降低事件 對業務的負面影響，事后要編制事件處理報告并按程序上報。第十五條信息系統應急演練實用文檔各級信息部門應對網絡及重要信息系統制定詳細的應急處理預 案。第十六條信息系統安全上報信息部門編制、上報信息系統安全月報和年報，及時向主管領 導和上級部門匯報重大信息系統安全風險和事件。第五章

6、信息系統安全風險評估第十七條信息系統安全風險評估總體要求信息化部負責組織建立風險評估規范及實施團隊，定期或在重 大、特殊事件發生后進行風險評估。第十八條信息系統安全風險評估分析風險評估包括范圍確定、風險識別、風險分析和控制措施，確 保信息系統安全滿足應用和業務需要。評估范圍包括管理組織、流程、政策與標準、應用系統、數據 庫、操作系統、網絡、物理環境，應涵蓋公司內部關鍵控制點。風險 識別包括識別風險類型和風險事件，形成風險列表，更新信息風險數 據庫。風險分析包括信息資產分類、風險發生概率和影響程度分析， 并確定風險等級，形成風險評估報告。控制措施包括安全管理策略和風險控制措施，形成風險控制報 告。第十九條信息系統安全風險上報實用文檔信息化部負責將風險評估和控制報告上報信息主管領導審批。 根據領導審批意見，落實控制措施。第六章培訓第二十條信息安全培訓信息化部負責制定公司信息系統安全培訓計劃，組織、實施信 息系統安全管理和技術培訓。第七章檢查第二十一條信息系統安全檢查信息化部定期組織信息系統的安全檢查與考核，包括信息系統 安全政策與