信息安全管理制度1。安全管理制度要求1.1 总则为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理以确保网络与信息安全。1.1。1 建立文件化的安全管理制度,安全管理制度文件应包括:a)安全岗位管理制度;b)系统操作权限管理;c)安全培训制度;d)用户管理制度;e)新服务、新功能安全评估;f)用户投诉举报处理;g)信息发布审核、合法资质查验和公共信息巡查;h)个人电子信息安全保护;i)安全事件的监测、报告和应急处置制度;j)现行法律、法规、规章、标准和行政审批文件.1。1。2 安全管理制度应经过管理层批准,并向所有员工宣传2。机构要求2.1 法律责任2。1.1 互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。2.1.2 互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。3.人员安全管理3.1 安全岗位管理制度建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。3.2 关键岗位人员3。2.1 关键岗位人员任用之前的背景核查应根据相关法律、法规、道德法律规范和对应的业务要求来执行,包括:1.个人身份核查;2。个人履历的核查;3.学历、学位、专业资质证明;4.从事关键岗位所必须的能力。3。2.2 应与关键岗位人员签订保密协议。3。3 安全培训建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括:1。上岗前的培训;2.安全制度及其修订后的培训;3。法律、法规的进展保持同步的继续培训。3。4 人员离岗应严格法律规范人员离岗过程:a)及时终止离岗员工的所有访问权限;b)关键岗位人员须承诺调离后的保密义务后方可离开;c)配合公安机关工作的人员变动应通报公安机关。4。访问控制管理4.1 访问管理制度建立包括物理的和逻辑的系统访问权限管理制度。4。2 权限分配按以下原则根据人员职责分配不同的访问权限:a)角色分离,如访问请求、访问授权、访问管理;b)满足工作需要的最小权限;c)未经明确允许,则一律禁止.4.3 特别权限限制和控制特别访问权限的分配和使用:a)标识出每个系统或程序的特别权限;b)根据“按需使用”、“一事一议”的原则分配特别权限;c)记录特别权限的授权与使用过程;d)特别访问权限的分配需要管理层的批准。注:特别权限是系统超级用户、数据库管理等系统管理权限.4.4 权限的检查定期对访问...
