信息系统安全管理规定
1 信息系统安全管理的基本要求
1.1 信息系统安全管理原则
信息系统安全管理按照“三同步”原则进行，即同步设计、同步建设、同步运行。

1.2 信息系统安全的管控方式
信息系统安全管理工作由公司信息化委员会统一领导，信息系统管理部归口管理，信息管理部门负责，相关业务部门密切配合。

2 各级管理部门职责
2.1 公司信息系统管理部负责公司信息系统安全工作的归口管理，负责全局性信息系统安全统一规划、统一建设、统一部署、统一协调和监督检查；负责公司层面信息系统安全建设和管理工作，行使防范与保护、监控与检查、响应与处置职能；指导企业信息系统安全工作。

2.2 公司信息管理部门负责公司信息系统安全建设和管理工作，行使防范与保护、监控与检查、响应与处置职能；接受信息系统管理部信息安全管理。

2.3 业务部门负责本部门相关业务信息系统应用和数据安全，配合信息管理部门做好日常信息系统安全工作。

3 信息系统安全管理内容与方法
3.1组织和人员安全管理
3.1.1 公司信息化委员会下设信息系统安全工作组，由信息系统管理部牵头，负责各部门间的信息系统安全协调工作和紧急事件的应急指挥，为信息化委员会提供信息系统安全管理方面的建
议。

3.1.2 设备工程部设立信息系统安全管理岗位，对公司信息系统安全实施统一管理。

依据不相容原则，信息系统设置安全管理员，负责落实信息系统安全管理制度的有关要求，检查信息系统安全管理日常工作，负责对系统管理员、应用管理员等人员操作的审查，检查信息安全设备和软件配置情况，协助处理安全威胁、违例行为和其他信息安全突发事件。

3.1.3 建立信息系统关键岗位制度。

对信息系统设计、建设、运维和应用中直接接触或使用重要、敏感信息的关键岗位进行管理，关键岗位包括安全管理员、应用管理员、系统管理员、数据库管理员、开发人员等有关信息技术岗位和业务岗位。

涉及业务的关键岗位由业务部门具体负责并报信息管理部门备案。

3.1.4 设备工程部和业务部门分别对公司信息系统关键岗位人员的资格、职责、权限、培训、考核、监督进行管理，并报人事部门备案。

设备工程部每年向公司信息系统管理部上报本单位信息系统关键岗位的设置和人员情况。

3.1.5 设备工程部负责对公司信息系统建设、运行、维护的第三方单位相关资格进行审查，签署信息安全协议书，并对执行情况进行检查。

3.1.6 设备工程部协助人事部门组织信息系统安全教育和培训，将信息系统安全培训纳入公司年度培训计划。

3.2 信息系统安全等级保护
3.2.1 信息系统安全保护等级划分是在国家信息系统安全保护等级基础上，结合公司实际情况，定为五个级别,分为Ⅰ级、Ⅱ级（A、B）、Ⅲ级（A、B）、Ⅳ级、Ⅴ级:
——Ⅰ级，信息系统受到破坏后，对一个企业局部造成损害，影响企业局部一般业务的活动。

——ⅡA级信息系统受到破坏后，对一个企业多个部门造成损害，影响企业多个部门一般业务的活动。

或者对一
个部门的重要业务造成损害，影响企业部门生产经营
活动，造成经济损失。

——ⅡB级，信息系统受到破坏后，对一个企业整体造成损害，影响企业重要业务的活动，或者对多个企业的一
般业务造成损害，造成较大经济损失。

——ⅢA级，信息系统受到破坏后，对一个企业整体造成损害，影响企业核心业务的活动，或者对多个企业的重
要业务造成损害，造成重大经济损失，或者造成较大
社会影响。

——ⅢB级，信息系统受到破坏后，对一个或多个企业造成损害，影响公司核心业务的活动，造成重大经济损失，
或者造成重大社会影响。

——Ⅳ级，信息系统受到破坏后，对多个企业或者公司整体造成损害，影响公司核心业务的活动，造成巨大经
济损失，并且造成重大社会影响。

——Ⅴ级，信息系统受到破坏后，对国家安全造成特别严重损害。

3.2.2 公司根据以上分级标准，对信息系统进行分级保护。

具体信息系统安全等级的确定以系统应用为核心，用于支撑系统的公共应用平台、操作系统平台和网络平台的安全等级应不低于系统的安全等级。

3.2.3 新建信息系统按照国家和公司信息系统安全等级保护的要求在可行性研究阶段进行定级工作，并报信息系统管理部。

信息系统管理部对定级材料进行审核、批复、备案，并将批复后的定级材料报送公安部门。

3.3 信息系统建设安全
3.3.1 信息系统建设根据定级情况进行信息安全方案设计，包括安全需求、安全功能、安全措施、性能指标等内容。

3.3.2 信息系统的建设，要严格按照信息系统安全方案实施，确保系统的开发、部署、实施等各阶段均符合要求。

3.3.3 信息系统建设项目验收，包括信息系统安全的内容。

信息系统安全相关文档由信息管理部门统一管理。

3.3.4 信息安全建设项目由信息管理部门统一组织，包括规划、立项、设计、实施、验收。

3.4 信息系统运行维护安全
3.4.1 制定信息系统安全运行规范，建立运维操作和变更控制流程，落实系统运行维护安全。

3.4.2 规范信息系统用户管理。

当员工岗位变动时，及时调整用户帐户和权限，交接其负责管理和使用的有关设备和资料。

3.4.3 信息系统上线前修改帐户初始密码，删除开发人员和测试人员帐户。

管理员和用户必须定期更改密码。

3.4.4 建立健全信息系统病毒预防和控制体系，部署统一的防病毒系统，病毒定义文件自动升级，对服务器和用户终端进行整体防护。

3.4.5 加强补丁管理工作，包括补丁的跟踪、获取、测试、加载、验证和归档等环节。

统一用户终端补丁升级管理。

3.4.6 涉及主干网或核心信息系统的信息安全系统（防火墙、入侵检测系统、防病毒系统、加密设备等）的部署和调整，须在信息系统管理部备案。

3.4.7 加强对信息安全系统的运行管理，安全策略须经过信息管理部门审核，配置、变更须严格遵守规范流程，对配置与变更的记录、日志进行认真审核。

3.4.8 信息设备内磁盘、磁带等存储介质上的敏感数据，在外送维修前必须删除，并经相关业务部门确认。

涉密载体维修及数据修复须按照有关保密规定，送定点许可单位进行维修或修复。

3.4.9 设备工程部负责接报本单位的信息系统安全事件报告，并及时进行处理。

重大事件须24小时内向信息化委员会报告。

4 信息系统安全监督、检查与考核
4.1监督与检查内容
信息系统安全监督检查内容包括信息系统安全组织和人员情况、信息系统安全等级保护情况、信息系统建设和运维安全管理情况。

4.2检查考核方法
4.2.1 公司信息系统管理部负责对公司和企业信息系统安全进行检查与考核。

设备工程部负责对本单位信息系统安全进行检查与考核。

4.2.2 信息系统安全检查采用自查和检查相结合的方式，至少每年组织1次信息系统安全自查工作。

检查工作采用远程检测和现场检查等方式进行，每年组织1次现场抽查工作。