集团公司信息安全管理制度.docx
《集团公司信息安全管理制度.docx》由会员分享,可在线阅读,更多相关《集团公司信息安全管理制度.docx(21页珍藏版)》请在第壹文秘上搜索。
1、集团公司信息安全管理制度第一章总则第一条为规范集团计算机信息系统的管理,保护集团计算机信息系统的安全,维护计算机信息系统的公共秩序,保障正常办公、业务活动的顺利进行、保障信息交流的健康有序。根据中华人民共和国网络安全法、中华人民共和国数据安全法、XX集团数字化管理制度结合实际情况制定本规定。第二条本规定适用于XX集团、各利润中心及下属分支机构,适用于集团主干网络、计算机信息系统以及接入主干网络的利润中心、下属公司计算机信息子系统的管理控制。第三条数字化管理中心负责集团整体的信息安全管理工作,统一规划、建设适用于全集团的信息安全管理体系。负责集团主干网络、计算机信息系统的管理维护和安全保障。第四
2、条下属各分支机构在数字化管理中心的统一要求和管理下,负责本单位信息安全体系的建设和日常管理。根据集团要求和自身发展需要,按需配备本单位计算机管理员,或由数字化管理中心设置派驻机构专职负责该单位,各分支机构负责本单位接入主干网络的计算机信息子系统的管理维护工作,并严格按照集团数字化管理中心的要求进行计算机信息系统的规划和配置。第五条集团信息安全管理体系应包括人员组织、制度流程及技术手段,制度流程必须符合国家相关法律法规、监管机构的要求以及行业特性。第六条数字化管理中心应设置专门的信息安全管理岗位,专职推动集团信息安全的建设和管理工作。第七条数字化管理中心每年应进行信息安全风险评估工作,评估威胁信
3、息资产安全的各种风险因素及可能带来的损失,同时应建立重特大风险的识别、防范和控制机制。第八条数字化管理中心应采取有效的信息安全事件管理机制,明确所有员工在信息安全管理体系中的角色和责任,并制定相应的信息安全事件处理流程,包括:信息安全事件预警、信息安全事件通报、信息安全事件调查、信息安全事件处理和信息安全事件总结等机制。第九条数字化管理中心应基于数字化产品的影响程度、重要性以及数据资料的敏感程度进行保护等级划分,并制定相对应的安全保护策略;对业务运营影响程度大、数据重要的系统应采取相对应的安全保护措施,并定期进行演练,确保业务的持续性运作。第十条数字化管理中心及各利润中心、下属公司应当采取必要
4、的措施和投入以保证重要系统设备及数据中心的高可用性,消除单点故障隐患,以保障业务安全、稳定、高效、持续运行。第十一条集团每一个员工都有保护公司信息安全的责任与义务。数字化管理中心应协同人力行政部及各利润中心、下属公司规范员工入职、换岗、离职时与信息安全相关的要求,加强信息安全的培训和教育,对于涉密岗位应签订信息安全和保密责任书。第十二条数字化管理中心应当为公司员工提供必要的信息安全技术防护手段和工具,并定期进行安全更新,以保证整体的保密性、完整性、可用性。第十三条数字化管理中心应定期对信息安全管理体系内容进行审核、改进和调整,以保证信息安全管理体系建设与业务需求的紧密关联性及体系的持续完善性。
5、同时应当不定期对各利润中心、下属公司信息安全管理工作进行抽检、评估。第十四条任何员工在开展业务时,必须使用数字化管理中心所提供的、公司统一的邮件服务。不论通过何种渠道、工具或介质对外批量输出敏感数据时,都必须提前取得相关负责人的授权。第十五条数字化管理中心应当对敏感数据采取适当的加密或防泄漏措施;任何员工在网络远端访问本利润中心、下属公司内部信息资源时,应通过加密、可靠的通道进行接入。第十六条任何员工不得在任何计算机内安装、使用非授权的软件系统,任何人若违规使用非授权软件、设备或泄露敏感数据,导致公司遭受重大经济损失、受到国家监管部门的处罚、被客户投诉或者引发重大舆情事件,将按照公司相关制度进
6、行处罚,违反国家法律的将同步移交公安机关处置。第二章计算机系统日常使用安全管理一、信息设备管理第十七条数字化管理中心负责集团数据中心的统一规划、建设、管理,并制定适用于集团总部、门店、DC、前置仓等经营管理场所的IT设备标准。第十八条各利润中心、下属公司在部署本单位的硬件、软件、桌面设备时,必须优先采用数字化管理中心统一采购目录内的产品,如有特殊需求,应当与数字化管理中心充分沟通后采用数字化管理中心推荐的产品品牌、型号及配置,提高设备类型的标准化,降低集成和运维的复杂度。任何利润中心、下属公司、部门,如果自行引进、安装未经数字化管理中心测试认证的设备,由此引发的任何系统问题,数字化管理中心将不
7、承担任何责任。第十九条数字化管理中心有权要求各利润中心、下属公司及时更新汰换陈旧、落后或有安全风险的IT设备,以确保数字化平台工具安全、高效、稳健运行。第二十条公司所有人员应保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。第二十一条严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。严禁任何人私自拆卸信息设备硬件,私自更改计算机配置、网络IP地址,安装未经批准的三方软件。设备使用人不得直接向供货商提出信息设备及其他相关设备维修、软件维护的要求,否则,发生的费用和其它问题自行承担。设备使用人负责所属信息设备的
8、日常维护。其中包括常用软件的安装升级,一般性配置操作、一般性故障排除。如果涉及到更换零件、安装系统等非一般性故障,无法自行处理的,应及时向数字化管理中心指定的系统中登记报障信息,接障人员应记录故障设备信息及故障处理情况,并在处理完毕后由故障申报人在指定的系统中验收确认。第二十二条下班后所有不再使用的计算机,应关闭主机电源,以防止意外,对于共同使用的计算机,原则上由最后一个退出系统的使用人员关机,并关闭电源。外人未经公司领导批准不得操作公司计算机设备。第二十三条属于更换部分零部件也不能解决的故障,需更换整机或大型配件的,在经过数字化管理中心运维服务组人员确认后,由设备资产归属部门写物品申购单(办
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 集团公司 信息 安全管理 制度