用户权益保障管理制度

一、总则

为加强公司信息安全管理,推进信息安全体系建设,保障信息系统安全稳定运行,根据国家有关法律、法规特制定本办法。

1.本办法所指的信息安全管理,是指计算机网络及信息系统(以下简称信息系统)的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。

2.公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则,各信息系统的主管部门、运营和使用部门各自履行相关的信息系统安全建设和管理的义务与责任。

3.信息安全管理,包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查。

4.本办法适用于公司总部、区域办事处及其全体员工。

二、信息安全管理组织与职责

1.公司信息化工作领导小组是信息安全工作的最高决策机构,负责信息安全政策、制度和体系建设规划的审批,部署并协调信息安全体系建设,领导信息系统等级保护工作。              公司信息化工作领导小组由执行董事黎金龙、总经理任义兵、常务副总李卫平和信息技术支持部谢智组成。

2.公司建立和健全由总部、区域办事处以及信息技术支持部门三方面组成,协调一致、密切配合的信息安全组织和责任体系。各级信息安全组织均要明确主管领导,确定相关责任,设置相应岗位,配备必要人员。

3.信息技术支持部是公司信息安全的归口管理部门,负责落实信息化工作领导小组的决策,实施公司信息安全建设与管理,确保重要信息系统的有效保护和安全运行。具体职责包括:组织制定和实施公司信息安全政策标准、管理制度和体系建设规划,组织实施信息安全项目和培训,组织信息安全工作的监督和检查。

4.公司综合部门负责信息安全工作中有关保密工作的监督、检查和指导。

5.各区域办事处负责本办事处信息安全的管理,具体职责包括:在本办事处宣传和贯彻执行信息安全政策与标准,确保本办事处信息系统的安全运行,实施本办事处信息安全项目和培训,追踪和查处本办事处信息安全违规行为,组织本办事处信息安全工作检查,完成公司部署的信息安全工作。

5.信息技术支持部承担所负责的信息系统和所在区域的信息安全管理任务,主要包括:在所维护系统和本区域内宣传和贯彻信息安全政策与标准,确保所负责信息系统的安全运行。

6.各办事处设立信息安全管理和技术岗位,包括信息安全、应用系统、数据库、操作系统、网络负责人和管理员,重要岗位可设置两个员工互为备份。

7.信息安全岗位的设立应遵循职责分离的要求,包括:制度监督者与执行者分离,信息系统授权者与操作者分离,应用系统管理员与数据库管理员分离,程序开发人员不应具备对生产环境的访问权限。

8.公司员工必须严格遵守公司信息安全政策、管理制度、技术标准和信息系统控制要求,承担相关安全义务和责任,并及时报告信息安全事件。

三、信息安全目标与工作原则

(一)、信息安全工作的总体目标是:实施信息系统安全等级保护,建立和健全先进实用、完整可靠的信息安全体系,保证系统和信息的完整性、真实性、可用性、保密性和可控性,保障信息化建设和应用,支撑公司业务持续、稳定、健康发展。

(二)、信息安全体系建设必须坚持以下原则:

1.坚持统一。信息安全体系必须统一规划、统一标准、统一设计、统一投资、统一建设、统一管理。

2.保障应用。保障网络和信息系统,特别是全局网络和重要业务信息系统不间断稳定运行及其信息的安全,实现以应用促安全,以安全保应用。

3.符合法规。信息安全体系要满足法律法规要求,包括国家对信息系统等级保护、企业内部控制要求,积极采用法律法规允许的、成熟的先进技术和专业安全服务。

4.综合防范。管理与技术并重,相互补充。从组织与流程、制度与人员、场地与环境、网络与系统、数据与应用等多方面着手,在系统设计、建设和运维的多环节进行综合防范。

5.集中共享。建立集中、统一的信息安全技术服务平台和集中专业化的信息安全队伍。

四、信息安全工作基本要求

(一)、根据公司信息安全专项规划和总体方案,分层次建立以安全组织体系为核心、安全管理体系为保障、安全技术体系为支撑的全面信息安全体系,并保持三个体系稳定、均衡发展。

(二)、建立全面的信息安全管理体系:

1.制定并实施统一的信息安全策略、管理制度和技术标准。

2.实行信息系统资产管理责任制,保护信息系统,特别是核心信息系统的设备、软件、数据和技术文档的安全。

3.建立信息系统物理环境、网络、系统、应用、数据等各层面的安全管理流程,实现对信息系统全生命周期的安全管理。

4.实现对信息系统的安全风险管理,及时发现和防范安全隐患。

(三)、建立有效的信息安全技术体系:

1.强化网络、桌面和应用系统安全防护体系,按照自主定级、自主保护原则,评估确定各信息系统保护等级并实施相应保护措施。

2.建立统一的网络安全信任体系,加强网络实体身份管理与认证,为网络和信息系统安全运行提供信任基础。

3.建立完善有效的安全监控和预警体系,监控重要网络和核心业务系统,及时发现安全隐患。

4.建立全面有效的应急响应体系,制定并落实完整、规范的应急处理和响应流程,完善信息安全报告、处理机制。

5.建立包括同城和异地容灾备份中心的信息系统灾难恢复体系,定期进行灾难恢复的测试和演练,确保灾难发生后能够充分发挥备份的效能,降低造成的影响和损失。

五、信息安全监控

(一)、信息安全监控的目的是对威胁系统、数据库及网络安全的因素进行有效控制,防止由于技术或人为因素导致的异常和损失,同时为其他安全措施的设计和实施提供可靠依据。安全监控的结果要保存一年以上。

(二)、信息系统的运行和维护单位,在国家法律和公司有关规定许可的范围内,具体进行规范、合理、有效的信息安全监控。使用公司网络及应用系统的用户有义务接受必要的监控。监控不能影响、泄漏不涉及安全问题的网上行为和个人隐私的内容。

(三)、信息技术支持部负责制定和实施信息安全监控计划,包括日常监控、应急处理和定期汇报。

(四)、日常监控分为实时监控和定期检查,包括应用系统、数据库、操作系统、网络、物理环境以及外部人员对信息系统访问的实时监控与定期检查。监控及检查结果要存档备查,异常情况须及时向有关负责人汇报。

(五)、信息技术支持部应对网络及重要信息系统制定详细的应急处理预案。应急处理按照预案进行,并至少每年组织一次相关岗位人员进行应急预案演练。

(六)、各区域各部门负责信息安全的员工应编制、上报信息安全月报和年报,及时向主管领导和上级部门汇报重大信息安全风险和事件。

微信扫一扫,分享到朋友圈

用户权益保障管理制度