国有企业信息安全管理办法

国有企业信息安全管理办法

1 基本要求

1.1 为规范和加强公司信息安全工作，切实提高信息安全管理水平和技术防护能力，有效控制信息安全风险，保障信息化基础设施和信息系统安全、可靠、稳定运行，依据《集团公司信息安全管理办法》制定本办法。 1.2 内容界定

信息安全是指在信息化项目建设和信息系统运行过程中对信息系统的物理环境、硬件、软件、数据等进行保护，保护信息系统不因偶然的或者恶意的原因而遭到破坏、更改、泄露，保障系统连续可靠运行。 1.3 管理原则

信息安全管理遵循“全员参与、综合防范、持续改进、控制风险”的指导方针，信息安全防护与系统建设坚持“同步规划、同步建设、同步运行”，的“三同步”原则和适度保护原则，执行信息系统安全等级保护制度，实施信息系统安全风险管理。在信息化项目全生命周期中对信息安全实行闭环管理，杜绝系统带病运行。本管理规定适用于公司范围内的所有联网的计算机设备。 1.3 总体目标

建立健全信息系统安全管理和技术体系，落实国家信息系统安全要求，控制信息系统安全风险，保障信息化及两化融合建设和应用，支撑公司业务可持续发展。 1.4 管控方式

信息系统安全管理实行归口管理、分级负责，由公司信息

化领导小组统一领导，分机关、单位两级进行管理。按照“谁主管谁负责、谁建设谁负责、谁运维谁负责、谁使用谁负责”的原则，各信息系统的主管部门、应用和运维单位各自承担相关的安全责任。 2 职责

2.1 信息化领导小组

公司信息化领导小组主要负责人是公司信息系统安全工作第一责任人，负责建立健全公司信息系统安全管理组织机构，落实公司信息系统安全工作责任制。研究决定本单位安全工作重大事项，决定年度信息安全工作部署，审查审批信息安全管理有关事项；负责建立健全本单位信息系统安全管理组织机构，落实本单位信息系统安全工作责任制。检查年度信息安全工作部署完成情况，监督和检查本单位信息安全规章制度的落实情况。负责落实每年在信息化运行维护费用中安排信息安全保障专项资金预算，用于日常安全检查、等保测评、风险评估、安全事件应急处置和隐患整改等工作。 2.2 科技开发处

2.2.1在公司信息化领导小组领导下，根据集团公司信息安全整体部署，具体负责公司信息系统安全的统一管理工作，按照公司信息安全管理办法中“信息系统生命周期安全管理“要求，负责落实公司信息系统安全相关规章制度和技术标准，建立健全公司信息系统安全制度和标准规范。

2.2.2设立信息系统安全管理员，对公司信息系统安全实施管理。依据不相容原则，信息系统设置安全管理员，负责落实信息系统安全管理制度的有关要求，检查信息系统安全管理日常工作，

协助处理安全威胁、违例行为和其他信息安全突发事件。 2.2.3负责制定公司信息系统安全建设计划，建立完善安全技术防护体系，落实信息系统等级保护制度，负责信息系统的应急处置，定期组织开展信息系统风险评估和安全检查等工作。 2.2.4负责组织开展公司信息系统安全培训和宣传工作。 2.2.5 负责组织开展信息系统安全教育培训和人员安全管理。 2.2.6负责组织对公司信息系统建设的安全需求、技术框架、防护方案等的论证和审定工作。

2.2.7负责督导信息系统建设单位（部门），切实落实信息系统的信息安全防护方案，负责会同有关业务主管部门进行信息安全专项验收工作。

2.2.8信息系统验收时，负责对信息安全方案设计的实现进行验证检查；负责信息系统上线安全检查；负责根据集团公司信息安全考核评价标准，组织开展公司信息安全考核评价工作。 2.2.9负责组织公司的信息系统信息安全专项检查工作。 2.2.10负责组织、指导、监督信息系统应急预案的编制和演练工作。

2.3信息系统业务主管部门职责

2.3.1信息系统业务主管部门是信息系统所承载业务的归口管理部门。

2.3.2负责明确信息系统信息安全保护对象，如关键业务流程和操作、关键业务用户、关键业务数据等，根据业务特点和重要程度提出信息安全需求，包括信息系统变更和废弃时相应的需求。

2.3.3负责信息系统安全等级保护的定级工作，根据系统服务中

断、信息被篡改或泄露等事件对公司和社会造成的影响程度，形成等级保护预定级报告，提交科技开发处审核。

2.3.4协助科技开发处审核安全设计方案；参加上线/验收前的信息安全检查，确认信息安全需求在信息系统中的实现；配合开展信息系统安全测评和风险评估等工作。

2.3.5负责组织制定信息系统业务应急预案和演练工作，负责应急计划执行的资源保障。

2.3.6负责组织信息系统安全使用的培训工作。 2.4信息系统建设单位（部门）职责

2.4.1信息系统建设部门是承担信息系统需求分析、系统设计、开发实施和交付的单位。

2.4.2负责具体落实公司信息安全与系统同步设计、同步建设、同步运行“三同步”原则，根据国家和公司相关信息安全技术标准开展安全建设工作。

2.4.3负责根据信息系统业务主管部门确定的信息安全需求和信息安全等级保护级别，对身份认证、权限管理、数据保护、综合审计等进行安全方案总体设计。

2.4.5负责根据公司信息化项目管理的相关要求，进行信息安全方案的实施工作，对架构设计、开发环境、代码实现和系统测试等环节进行规范约束，确保实施过程安全可控。

2.4.6配合开展系统上线/验收前的信息安全检查和测评工作，负责问题整改，确保安全防护措施与信息系统同步投用。 2.4.7负责信息系统上线运行后、正式移交前的安全运维职责，涉及到系统变更时，严格按照变更流程执行。

2.4.8配合信息系统相关信息安全制度、流程、标准和规范的制定

工作。

2.4.9配合信息系统应急预案制定及演练工作，根据演练结果，配合更新相关信息系统应急方案。 2.5信息系统使用部门职责

2.5.1信息系统使用部门是信息系统使用者所在的单位。 2.5.2负责明确本部门使用信息系统的人员范围和用户角色，开展用户权限申请、变更、删除等管理工作，定期进行用户权限复核。

2.5.3负责本部门人员日常安全操作行为的管理，配合信息安全教育培训工作。

2.5.4负责报告信息系统使用过程中发现的安全问题。 2.6 IT技术中心

2.6.1信息系统运维部门是承担信息系统日常运行维护的单位。 2.6.2负责机房、设备和存储介质、用户权限、系统运行监控、病毒防范等日常安全运维工作。

2.6.3负责定期对信息系统进行安全自查，开展漏洞扫描、恶意代码检测、安全策略审核、安全配置核查等工作，及时发现安全隐患并整改。

2.6.4负责信息系统运维变更工作，严格按照变更流程执行变更操作，对重大变更进行安全风险评估。

2.6.5配合信息系统相关信息安全制度、流程、标准和规范的制定工作；配合开展信息系统应急演练、安全测评和风险评估等工作；配合应用系统安全事故的调查和处理。

2.6.6负责信息系统废弃阶段的信息安全工作，确保系统下线和数据安全。

2.6.7负责信息系统应用安全工作，配合科技开发处组织开展业务应用系统安全等级定级工作，配合制定业务应急处理预案。 2.6.8配合开展业务应用使用人员信息安全和保密培训工作，协助开展业务应用人员办公计算机安全管理。

2.6.9为保证信息系统的运行安全，需按照总部要求设置信息安全员等岗位。 3管理内容和要求

3.1信息系统生命周期安全管理 3.1.1 立项阶段安全管理

3.1.1.1信息化项目立项阶段应开展信息系统等级保护定级工作。科技开发处负责确定所属信息系统等级保护级别、编制定级评审材料，一类、二类项目报信息部组织定级评审，三类项目由科技开发处组织定级评审。

3.1.1.2科技开发处根据等级保护级别组织制定安全方案。一类、二类项目的安全方案报信息部组织审查；三类项目中等级保护二级（含）以下信息系统的安全方案由科技开发处组织审查，报信息部备案；三类项目中等级保护三级（含）以上信息系统安全方案由信息部组织审查。安全方案审查未通过，不予立项。 3.1.1.3信息化项目投资中须保证配套的信息安全建设资金，用于信息安全基础设施建设、信息安全专项建设、应用系统的信息安全配套建设、信息安全上线检查及测评等工作。 3.1.2 建设实施阶段安全管理

3.1.2.1科技开发处负责信息系统建设实施过程的安全管理，做好架构设计、代码实现、系统测试、部署交付等环节的安全工作，严格落实信息安全方案、安全基线，确保项目开发、测试、

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库国有企业信息安全管理办法在线全文阅读。