XX期货有限公司信息
安全管理
企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理
制度
第1章 总 则
第1条 为加强公司信息安全管理,提高信息安全保障工作水平,根据《期货公司信息技术管理指引》、《XX期货有限公司信息技术管理制度》 等规章,制定本管理制度。
第2条 本制度适用于公司各部门、各分支机构的信息安全管理。
第2章 安全目标
第3条 确保信息和信息系统的完整性、保密性、可用性、时效性、可审查性和可控性,确保信息内容的合法性,切实保护公司合法权益,促进公司业务的持续、稳定、健康发展。
第4条 采取有效措施保护公司信息系统的物理环境、设备设施和运行环境,保证信息系统的环境安全。
第5条 提高公司员工的信息安全意识、安全专业素质以及安全管理与服务水平。
第6条 提高公司信息系统的可用性和灾难恢复能力,为业务的可持续性运行提供保障。
第3章 基本原则
第7条 遵循“谁主管谁负责,谁运营谁负责”的原则,明确各部门和岗位的信息安全责任。
第8条 遵循国内、国际的信息安全
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
及行业
规范
编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载
,对信息系统实行规范化的等级保护。
第9条 坚持统筹规划、突出重点,安全与发展并进,管理与技术并重,应急防御与长效机制相结合,将信息安全保障贯穿于信息化建设全过程。
第10条 在确保信息系统性能和安全的前提下,充分利用资源,讲究实效,避免重复和盲目投资,积极采用国家法律法规允许的、成熟的先进技术和专业安全的服务,运用科学的方法,提高性价比,保障安全运行。
第4章 组织与职责
第11条 公司IT治理委员会负责公司信息安全总体管理工作,具体职责如下:
(1) 传达国家信息安全监管部门、行业监管部门信息安全要求;
(2) 审核公司信息安全策略、规范等与信息安全管理相关文件;
(3) 对公司信息安全管理相关的重大事项进行决策;
(4) 报告公司有关信息安全状况和重要信息安全事件;
(5) 协调公司内部信息安全工作,推动公司信息安全工作;
(6) 对重大信息安全事故进行责任认定并提出处罚意见。
第12条 公司技术部门承担信息安全管理工作,具体职责如下:
(1) 具体执行国家信息安全监管部门、行业监管部门信息安全要求;
(2) 拟定信息安全策略、规范等与信息安全管理相关的文件;
(3) 审核和实施信息系统安全保护和安全防范技术
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
;
(4) 定期或不定期进行信息系统安全评估或检查,发现问题,尽快解决;
(5) 组织信息系统安全教育及培训,提高员工安全意识和技能水平;
(6) 组织信息系统安全防范、应急演练。
第13条 信息技术部设置信息安全管理岗位,具体负责公司信息安全的日常工作。
第14条 各分支机构技术岗位人员负责该部信息安全的日常工作,接受公司技术部门的监督和指导。
第5章 安全策略
第15条 落实国家信息安全等级保护制度,对公司信息资产分类实现等级管理,保护信息系统设备、软件、数据和技术文档的安全,重点保护核心信息系统的安全。
第16条 对信息系统规划、建设、运行、维护各个阶段进行安全管理,开发与运维独立管理,严格执行日常的实时管理和定期管理工作。
第17条 加强对公司员工和客户的信息安全教育和培训,确保相关人员理解其安全职责和义务,减少人为风险。
第18条 强化信息系统的物理安全保护,执行严格的机房安全管理、环境安全管理和有效的物理控制措施。防止对公司场所和设施的未授权访问、干扰和损坏,加强重要区域的安全保护。
第19条 建立规范化的操作程序,明确运营职责,加强运营管理,重点做好数据安全管理、数据备份管理、网络安全管理、介质安全管理、信息交换安全管理及监控。
第20条 建立信息系统的用户授权访问机制,防止员工及外部人员非授权的使用行为;采取适当的措施,发现、阻止对信息系统的非授权访问和破坏信息系统的行为。
第21条 保护信息系统设计、开发过程中的安全,确保程序以正确的方式处理数据;保护程序、设计文档及源代码的安全。
第22条 注重对信息系统的安全风险管理和预警,及时发现安全隐患并进行预防性的保护,选择适用、有效的安全措施。
第23条 建立有效的安全监控体系,监控核心业务系统,对公司的技术系统要定期进行风险评估,为进一步完善信息安全体系提供决策依据。
第24条 建立有效机制,保障及时对核心系统依赖的各种系统软件所需要的补丁进行了解、评估、必要的测试和升级。
第25条 对使用Windows平台的计算机应部署防病毒软件,定期进行全面检查,并及时进行病毒库的更新。
第26条 对生产环境中所有服务器定期进行安全扫描和合理加固,关闭不需要的端口,并提供相关报告。
第27条 对通过互联网向外提供服务的设备和系统应定期进行安全扫描,关闭不需要的端口,并提交相关报告。
第28条 应定期对公司网上交易系统和网站进行安全评估或扫描,并提供相应的安全评估报告,有条件的情况下聘请专业安全机构提供相关服务。
第29条 应采取有效措施保护公司网站安全,有条件的情况下配置具有安全产品资质的安全防护系统,及时发现和有效防止网页被篡改。
第30条 核心系统的主要业务操作应产生审计
记录
混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载
,审计记录应包括时间、发起者、类型、描述和结果等,并采取有效措施防止审计记录被删除、修改或覆盖。
第31条 在条件具备情况下,所有的主要运维操作应采取恰当的认证措施,并产生审计记录。
第32条 按照“预防为主,加强监控;快速响应,职责分明”的原则,建立全面的应急响应体系,制定规范、完整的应急处理流程,及时处置突发事件,保障业务的持续性。
第33条 定期进行应急演练和测试,建立信息安全事故的处理与报告机制,持续改进信息安全事件处理能力与管理水平。
第34条 确保相关的信息安全措施或规范符合现行法律、法规及监管部门的要求,满足其他符合公司情况的安全要求。
第6章 罚 则
第35条 对于违反信息安全管理规定的部门和员工,部门领导承担相应责任,员工个人将视情节轻重给予相应的处罚。
第36条 对违反信息安全规定的信息技术服务提供商,将按照相关约定进行处罚,情节严重的还应追究其相应的法律责任。
第7章 附 则
第37条 本制度由公司技术部门负责解释与修订。
第38条 本制度自发布之日起执行。
浙公网安备 33021202002483