信息系统安全管理办法汇总.docx

1 信息系统安全管理的基本要求1.1 信息系统安全管理按照“三同步”原则进行，即同步设计、同步建设、同步运行。1.2 信息系统的安全管理包括：组织和人员管理、信息系统建设安全管理、运行维护安全管理和信息安全风险评估等。1.3 依据国家《计算机信息系统安全保护等级划分准则》，结合公司实际情况，信息系统实行等级化保护和等级化管理。适用于公司所属各二级单位、机关各部室。2 职责与分工2.1 为保证信息系统安全运行，建立公司、二级单位两级信息系统安全管理体系，本着“谁主管谁负责，谁运行谁负责”的原则，在公司设立信息安全领导小组，接受公司信息化领导小组和公司必威体育官网网址委员会的指导，信息部全面负责公司信息系统安全管理工作，机关各部室和各二级单位分别设立信息系统安全管理组织，各司其责，做好本部门或本单位信息系统安全管理工作。2.2 公司信息部负责对公司信息系统安全的统一管理。组织制定并执行信息系统安全规划、策略、标准、流程、应急计划；行使防范与保护、监控与检查、响应与处置职能；负责对公司重大信息安全项目实行集中决策，统一部署，优化配置资源，建设全局性的信息系统安全体系；负责对公司信息系统建设项目验收的信息安全评估与审批；负责落实信息系统安全宣传教育与培训计划等。2.3 各二级单位和机关各部室应建立信息系统安全管理组织或兼职管理员。负责信息安全管理实施细则和要求的落实；检查信息系统安全管理的日常工作；修改完善信息安全策略规范；关注信息安全风险；加强对内部信息系统使用人员的安全管理，在岗位职责中明确其信息安全责任；监督信息系统建设、运行、维护第三方单位属地的信息安全工作；协调处理安全威胁、违例行为和其他信息安全突发事件。2.4 电信事业部和档案管理中心应配合公司信息部做好信息系统安全工作。按照《中国石化信息系统关键岗位安全管理办法》，设立并加强对本单位信息系统安全管理员、系统管理员、数据库管理员、网络管理员、系统维护人员、重要应用系统的开发、操作人员等信息系统关键岗位人员资格、职责、权限、培训、考核、监督的管理。定期组织开展应急预案演练工作。3 信息系统安全管理内容与方法3.1 信息系统安全保护等级划分3.1.1 公司的信息系统安全保护等级总体定为三个级别，分为三级、二级和一级，其中三级的信息安全保护等级最高。信息系统安全等级定为二级以上的信息系统在本管理办法中定义为重要信息系统。3.1.2 信息安全保护等级为一级：信息系统所处理的信息为一般信息。系统所管理、控制和处理的信息资产，在遭到攻击和破坏时，系统所承载的业务以及单位利益造成较小的负面影响。3.1.3 信息安全保护等级为二级：信息系统处理信息为日常业务信息。系统所管理、控制和处理的信息资产，在遭到攻击和破坏时，会对系统所承载的业务以及单位利益带来一定的损失或破坏。3.1.4 信息安全保护等级为三级：信息系统处理信息为核心业务信息。系统所管理、控制和处理的信息资产，在遭到攻击和破坏时，会对系统所承载的业务、单位利益以及社会公共利益带来严重的损失或破坏，对社会稳定、国家安全产生负面影响。3.1.5 各级信息系统安全管理组织或兼职管理员根据以上分级标准，对信息系统进行分级保护。具体信息系统安全等级的确定要以应用系统为核心进行，用于支撑应用系统的公共应用平台、操作系统平台和网络平台的安全等级应不低于应用系统的安全等级。3.2 信息系统建设3.2.1 信息安全是信息系统建设的重要组成部分，信息安全建设应与业务系统“同步设计、同步建设、同步运行”。3.2.2 重要信息系统应有安全性设计、论证和评估，包括安全需求、安全功能、安全措施、性能指标等内容，公司信息部负责组织审查。3.2.3 重要信息系统建设项目验收，必须包括对其信息系统安全内容的验收。3.2.4 信息系统建设项目中信息安全相关内容文档由各级信息系统安全管理组织统一备案管理。3.2.5 信息安全建设项目由公司信息部负责统一组织规划、立项、设计、实施、验收。3.2.6 信息系统建设、运行、维护的第三方单位必须经过公司信息部组织的资格审查，并签订信息安全协议书，承诺所承担的信息安全必威体育官网网址责任和义务。3.3 运行维护管理3.3.1 建立信息系统日常运行维护的相关安全管理办法。制订日常运行维护操作和变更控制流程，规范日常运行维护操作。3.3.2 建立用户帐户申请、创建、交付、冻结、注销的审批与操作流程。用户权限的分配、变更应及时进行记录。根据系统的实际情况严格密码管理，强化密码强度。3.3.3 临时用户的设置与删除必须经过业务主管部门和信息部的审批，并记录备案。3.3.4 建立健全信息系统病毒预防和控制体系，实现对用户终端保护的统一部署和病毒定义文件的自动升级。3.3.5 加强补丁管理工作，包括补丁的