国有企业信息安全管理办法.docx

国有企业信息安全治理方法国有企业信息安全治理方法1 根本要求1.1 为标准和加强公司信息安全工作，有效提高信息安全治理水平和技术保障力量，有效掌握信息安全风险，确保信息根底设施和信息系统安全、牢靠、稳定运行，依据集团公司信息安全治理方法，制定本方法 1.2 内容定义信息安全是指对物理环境、硬件、软件、数据等的保护。在信息工程建设和信息系统运行过程中保护信息系统的安全，防止信息系统因意外或恶意缘由而遭到破坏、更改或泄露，保证系统的持续牢靠运行。1.3 治理原则信息安全治理遵循“全员参与、全面预防、持续改进、风险掌握”的方针。信息安全保护和系统建设坚持“同步规划、同步建设、同步运行”的原则和“三同步、适度保护”的原则。实施信息系统安全等级保护系统，实施信息系统安全风险治理。信息安全的闭环治理应贯穿于信息工程的整个生命周期，防止系统带病运行。本治理规定适用于公司范围内的全部联网计算机设备 1.3 总体目标建立和完善信息系统安全治理和技术体系，落实国家信息系统安全要求，掌握信息系统安全风险，确保信息化建设和应用以及两者的融合，支持公司业务的可持续进展 1.4 管控方式信息系统安全治理实行分级集中负责。公司信息领导小组领导统一治理，分机关和单位两级治理。依据“谁主管、谁负责建设、谁负责运行维护、谁负责使用”的原则，各信息系统的主管部门、应用和运行维护单位应各自担当相应的安全责任。2 职责2.1 信息领导小组公司信息领导小组主要负责人是公司信息系统安全工作的第一责任人，负责建立健全公司信息系统安全治理机构，落实公司信息系统安全工作责任制争论打算本单位安全工作的重大事项，打算信息安全工作的年度部署，审批信息安全治理的有关事项；负责建立健全本单位信息系统安全治理机构，落实本单位信息系统安全工作责任制检查年度信息安全工作部署的完成状况，监视检查本单位信息安全规章制度的执行状况负责落实信息运行维护费用中的信息安全专项资金年度 预算，用于日常安全检查、同等保护评估、风险评估、安全事故应急处置和隐患整改等。2.2 科技进展部2.2.1 在公司信息领导小组的领导下，依据公司信息安全的总体部署， 具体负责公司信息系统安全的统一治理。负责执行公司信息系统安全相关的规章制度和技术标准，依据公司信息安全治理方法中“信息系统生命周期安全治理”的要求，建立和完善公司信息系统安全体系和标准标准。2.2.2 设置信息系统安全治理员来治理公司的信息系统安全。依据不兼容原则，信息系统设置安全治理员，负责落实信息系统安全治理系统的相关要求，检查信息系统安全治理的日常工作，帮助处理安全威逼、违规等信息安全突发大事 2.2.3 负责制定公司信息系统安全建设打算，建立和完善安全技术保护体系，实施信息系统级保护体系，负责信息系统的应急处置，定期组织开展信息系统风险评估和安全检查等工作。2.2.4 负责组织开展公司信息系统安全培训和宣传工作 2.2.5负责组织信息系统安全教育培训和人员安全治理 2.2.6 负责组织公司信息系统建设安全要求、技术框架、保护方案等的论证和审批。2.2.7 负责监视信息系统建设单位(部门)，认真落实信息系统信息安全保护方案，会同相关业务主管部门进展专项信息安全验收工作2.2.8 信息系统验收合格后，负责验证和检查信息安全方案设计的实施状况；负责信息系统的在线安全检查；依据集团公司信息安全评估标准，负责组织开展公司信息安全评估工作。2.2.9 负责组织公司信息系统信息安全专项检查工作 2.2.10 负责组织、指导和监视信息系统应急预案的编制和实施2.3 信息系统业务治理部的职责2.3.1 信息系统业务治理部是信息系统所承载业务的归口治理部门2.3.2 负责定义信息系统的信息安全保护对象，如关键业务流程和操作、关键业务用户、关键业务数据等。，依据业务特点和重要性提出信息安全需求，包括信息系统变更和废弃时的相应需求。2.3.3 负责信息系统安全等级保护的分级。依据系统效劳中中断、信息篡改或泄露等大事对公司和社会造成的影响程度，形成预先确定的等级保护报告，提交科技进展部审核。2.3.4 帮助科技进展部审核安全设计方案；参与在线/验收前的信息安全检查，确认信息系统中信息安全要求的实现；协作开展信息系统安全评估和风险评估等工作。2 年 3 月 5 日负责组织制定信息系统业务应急预案和演练，并负责应急预案实施的资源保障2.3.6 负责组织信息系统安全使用培训 2.4 信息系统建设单位(部门) 职责2.4.1 信息系统建设部门是负责信息系统需求分析、系统设计、开发、实施和交付的单位2.4.2 负责具体落实公司信息安全与系统同步设计、同步建设和同步运行的“三同步”原则，依据国家和公司相关信息安全技术标准进展安全建设2.4.3 负责身份认证、权限治理、数据保护、综合审计等安全方案的总体设计。依据信息系统业务主管部门确定的信息安全要求和信息安全防护等级。2.4.5 依据公司信息工程治理的相关要求，负责信息安全方案的实施， 并对架构设计、开发环境、代码实施和系统测试等方面进展标准约束， 确保实施过程的安全性和可控性。2.4.6 在系统上线/验收前，协作开展信息安全检查和评估工作，负责问题整改，确保安全防护措施与信息系统同时投入使用 2.4.7 负责信息系统投入运行后及正式移交前的安全运行和维护责任。当涉及系统变更时，应严格依据变更流程执行。2.4.8 协作制定与信息系统相关的信息安全系统、流程、标准和标准2.4.9 协作信息系统应急预案的制定和演练工作，并依据演练结果更相关信息系统应急预案 2.5 信息系统用户部的职责2.5.1 信息系统用户部是信息系统用户所在的单位 2.5.2 负责明确本部门使用信息系统的人员范围和用户角色，开展用户权限的申请、变更和删除等治理工作，并定期审核用户权限2.5.3 负责治理本部门人员的日常安全操作行为，并协作信息安全教育和培训工作。2.5.4 负责报告信息系统使用中觉察的安全问题 2.6 信息技术中心2.6.1 信息系统运行维护部是负责信息系统日常运行维护的单位2.6.2 负责机房、设备和存储介质、用户权限、系统运行监控、病毒防范等的日常安全运行和维护。2.6.3 负责定期开展信息系统安全自查，开展漏洞扫描、恶意代码检测、安全策略审查、安全配置验证等工作，准时觉察潜在安全风险并予以订正。2.6.4 负责信息系统运行维护变更，严格依据变更流程实施变更操作， 对重大变更进展安全风险评估2.6.5 协作制定与信息系统相关的信息安全系统、流程、标准和标准； 协作开展信息系统应急演练、安全评估和风险评估等。；协作应用系统安全事故的调查和处理2 年 6 月 6 日负责信息系统废弃阶段的信息安全工作，确保系统离线和数据安全。2 年 6 月 7 日负责信息系统应用安全工作，协作科技进展部组织开展业务应用系统安全分类工作，协作制定业务应急预案 2.6.8 协作业务应用用户的信息安全和保密培训，帮助业务应用人员的办公计算机安全治理。2 年 6 月 9 日为保证信息系统的安全运行，依据总部的要求，设置信息安全员等岗位。3 治理内容和要求3.1 信息系统生命周期安全治理 3.1.1 安全治理3.1.1.1 信息系统级保护和分级工作应在信息工程启动阶段进展科学技术进展部负责确定其信息系统的保护级别，并编写分级审查材料。第一类和其次类工程报闻部进展分级审查。第三类工程由科学和技术进展部组织进展分级审查。3.1.1.2 科技进展部依据防护等级组织制定安全打算一类和二类工程的安全打算应提交信息部进展组织评审。三类工程中二级(含二级)以下信息系统的安全保护打算由科技进展部审核，并报信息部备案。信息部门应组织对三类工程中 3 级(含)以上等级保护的信息系统安全方案进展评审。假设安全打算审查失败，该工程将不予批准。在3.1.1.3 信息工程投资中，必需确保信息安全根底设施建设、信息安全专项建设、应用系统信息安全配套建设、信息安全在线检查与评估等信息安全建设的配套资金。3.1.2 施工实施阶段安全治理3.1.2.1 科技进展部负责信息系统施工实施过程的安全治理，做好架构设计、代码实施、系统测试、部署和交付方面的安全工作，严格执行信息安全打算和安全基线，确保工程开发、测试、安全