[0707]公司信息安全管理制度

公司信息安全管理制度第1章总则第1条为保证信息系统安全可靠稳定运行，降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁，结合公司实际，特制定本制度。第2条本制度适用于XX公司以及所属单位的信息系统安全管理。第2章职责第3条相关部门、单位职责：1、信息中心（1）负责组织和协调XX公司的信息系统安全管理工作；（2）负责建立XX公司信息系统网络成员单位间的网络访问规则；对公司本部信息系统网络终端的网络准入进行管理；（3）负责对XX公司统一的两个互联网出口进行管理，配置防火墙等信息安全设备；会同保密处对公司本部互联网上网行为进行管理；（4）对XX公司统一建设的信息系统制定专项运维管理办法，明确信息系统安全管理要求，界定两级单位信息安全管理责任；（5）负责XX公司网络边界、网络拓扑等全局性的信息安全管理。2、人力资源部（1）负责人力资源安全相关管理工作。（2）负责将信息安全策略培训纳入年度职工培训计划，并组织实施。3、各部门（1）负责本部门信息安全管理工作。（2）配合和协助业务主管部门完善相关制度建设，落实日常管理工作。4、所属各单位（1）负责组织和协调本单位信息安全管理工作。（2）对本单位建设的信息系统制定专项运维管理办法，明确信息系统安全管理要求，报XX公司信息中心备案。第3章信息安全策略的基本要求第4条信息系统安全管理应遵循以下八个原则：1、主要领导人负责原则；2、规范定级原则；3、依法行政原则；4、以人为本原则；5、注重效费比原则；6、全面防范、突出重点原则；7、系统、动态原则；8、特殊安全管理原则。第5条公司保密委应根据业务需求和相关法律法规，组织制定公司信息安全策略，经主管领导审批发布后，对员工及相关方进行传达和培训。第6条制定信息安全策略时应充分考虑信息系统安全策略的“七定”要求，即定方案、定岗、定位、定员、定目标、定制度、定工作流程。第7条信息安全策略主要包括以下内容：1、信息网络与信息系统必须在建设过程中进行安全风险评估，并根据评估结果制定安全策略；2、对已投入运行且已建立安全体系的系统定期进行漏洞扫描，以便及时发现系统的安全漏洞;3、对安全体系的各种日志(如入侵检测