企業(yè)信息安全管理制度(試行)

1、—1—XX公司信息安全管理制度（試行）第一章總則第一條為保證信息系統(tǒng)安全可靠穩(wěn)定運(yùn)行，降低或阻止人為或自然因素從物理層面對公司信息系統(tǒng)的保密性、完整性、可用性帶來的安全威脅，結(jié)合公司實(shí)際，特制定本制度。第二條本制度適用于XX公司以及所屬單位的信息系統(tǒng)安全管理。第二章職責(zé)第三條相關(guān)部門、單位職責(zé)：一、信息中心（一）負(fù)責(zé)組織和協(xié)調(diào)XX公司的信息系統(tǒng)安全管理工作；（二）負(fù)責(zé)建立XX公司信息系統(tǒng)網(wǎng)絡(luò)成員單位間的網(wǎng)絡(luò)訪問規(guī)則；對公司本部信息系統(tǒng)網(wǎng)

2、絡(luò)終端的網(wǎng)絡(luò)準(zhǔn)入進(jìn)行管理；（三）負(fù)責(zé)對XX公司統(tǒng)一的兩個互聯(lián)網(wǎng)出口進(jìn)行管理，配置防火墻等信息安全設(shè)備；會同保密處對公司本部互聯(lián)網(wǎng)上網(wǎng)行為進(jìn)行管理；—3—四、以人為本原則；五、注重效費(fèi)比原則；六、全面防范、突出重點(diǎn)原則；七、系統(tǒng)、動態(tài)原則；八、特殊安全管理原則。第五條公司保密委應(yīng)根據(jù)業(yè)務(wù)需求和相關(guān)法律法規(guī)，組織制定公司信息安全策略，經(jīng)主管領(lǐng)導(dǎo)審批發(fā)布后，對員工及相關(guān)方進(jìn)行傳達(dá)和培訓(xùn)。第六條制定信息安全策略時應(yīng)充分考慮信息系統(tǒng)安全策略的“七

3、定”要求，即定方案、定崗、定位、定員、定目標(biāo)、定制度、定工作流程。第七條信息安全策略主要包括以下內(nèi)容：一、信息網(wǎng)絡(luò)與信息系統(tǒng)必須在建設(shè)過程中進(jìn)行安全風(fēng)險評估，并根據(jù)評估結(jié)果制定安全策略；二、對已投入運(yùn)行且已建立安全體系的系統(tǒng)定期進(jìn)行漏洞掃描，以便及時發(fā)現(xiàn)系統(tǒng)的安全漏洞三、對安全體系的各種日志(如入侵檢測日志等)審計結(jié)果進(jìn)行研究，以便及時發(fā)現(xiàn)系統(tǒng)的安全漏洞四、定期分析信息系統(tǒng)的安全風(fēng)險及漏洞、分析當(dāng)前黑客非常入侵的特點(diǎn)，及時調(diào)整安全策略；