信息系统监理安全管理办法

信息系统安全管理办法（V0.1）

第一章总则

第一条为加强和规范北京赛迪信息工程监理有限公司信息系统安全工作，进一步推进信息系统安全监理标准化工作，提高项目现场安全监理和文明实施管理水平，根据《计算机信息网络国际联网安全保护管理办法》（公安部令第33 号）、《中华人民共和国计算机信息系统安全保护条例》（1994年国务院147 号令）、《计算机信息系统安全保护等级划分准则》（GB 17859-1999）特制定本办法。

第二条本办法所称信息系统指公司一体化企业级信息系统，主要包括信息工程管理与服务平台项目（以下简称“云平台” ）和五大业务应用。“业务应用”包括电子政务、科研工程、通信工程、涉及国家秘密的信息系统、工程管理和咨询等业务应用。

第三条本办法适用于公司总部、各分公司。现场安全监理和文明实施管理除应执行本办法外，尚应符合国家、省现行有关法律、法规和标准的规定。当本办法高于国家现行相关标准时，以本办法为准。

第四条有关信息系统安全的基本概念、方针、原则和制度

（一）有关安全的几个基本概念

1、信息系统安全

在信息系统工程中，信息安全涵盖了人工和自动信息处理的安全。信息系统安全包括：软件安全和硬件网络安全两部分。

在信息系统安全定义中，人是指信息系统应用的主体，包括：

各类用户

支持人员

技术管理人员

行政管理人员等

2、网络

指以计算机、网络互连设备、传输介质以及操作系统、通信协议和应用程序所构成的物理和逻辑的完整体系。

3、环境

是系统稳定和可靠运行所需要的保障体系，包括：

建筑物

机房

电力

保障与备份

应急与恢复体系等

（二）安全生产的方针

安全生产的方针：安全第一，预防为主。

（三）安全生产原则

“三同时”原则—凡是我国境内新建、改建、扩建的基本建设项目（工程）、技术改造项目（工程）和引进的建设项目，其劳动安全卫生设施必须符合国家规

定的标准，必须与主体工程同时设计、同时施工、同时投入生产和使用；

“五同时”原则一企业的生产组织及领导者在计划、布置、检查、总结、评比生产的时候，同时计划、布置、检查、总结、评比安全工作；

“四不放过”原则一在调查处理安全事故时，必须坚持事故原因分析不清不放过，事故责任者和群众没有受到教育不放过，没有采取切实可行的防范措施不放过和事故责任者没有被处理不放过的原则；

“三个同步”原则一安全生产与经济建设、企业深化改革、技术改造同步规

划、同步发展、同步实施的原则。

（四）安全生产制度

安全生产制度：安全生产责任制、安全教育制度、安全检查制度和事故报告制度。

第二章信息系统安全管理职责

第五条公司信息系统安全管理实行统一领导、分级管理。各部门主要负责人是本单位信息系统安全第一责任人，各部门信息安全管理领导小组负责本单位信息系统安全重大事项决策和协调工作。

第六条信息系统安全纳入公司安全管理体系，实行专业管理、归口监督。公司工程技术支持与服务部是信息系统安全的管理部门，负责管理各业务系统的安全保障工作。

第七条公司工程技术支持与服务部主要职责：

（一）落实国家有关信息系统安全法规、方针、政策、标准和规范，联系国家有关部门落实信息系统安全管理相关工作；

（二）组织制定公司信息系统安全管理规章制度和标准规范；

（三）指导、协调和检查各部门信息系统安全工作，组织落实公司信息系统等级保护制度，统筹开展公司信息系统风险评估和安全检查工作；

（四）在公司应急体系框架内，负责公司信息系统应急管理相关工作；

（五）开展涉密计算机网络和系统立项、设计和建设，做好信息系统安全与保密检查；

（六）负责规范公司信息系统安全产品的测评和选型工作。

第八条各职能部门职责：

（一）负责贯彻落实国家有关信息系统安全法规、方针、政策、标准和规范，贯彻落实公司信息系统安全相关规章制度和技术标准，建立健全本单位信息系统安全标准制度和规范体系；

（二）负责落实本单位范围内信息系统安全工作责任制；

（三）在公司信息职能管理部门指导下，落实本单位信息系统等级保护制度、信息系统风险评估和安全检查等工作；

（四）按公司信息系统应急体系要求建立本单位信息系统应急体系，组织本单位信息系统安全突发事件的应急处理；

（五）负责明确本单位信息系统安全运行维护部门或机构，落实信息系统安全运行维护日常工作，具体落实信息系统安全等级保护和安全策略；

（六）组织本单位信息系统安全的宣传和培训。

第三章管理措施

第九条不断建立健全信息系统安全管理制度体系，通过操作规程实现安全管理和操作人员的标准化作业；定期对信息系统安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度及时进行修订。

第十条严格遵守“涉密不上网、上网不涉密”纪律，严禁将涉密计算机与互联网和其他

公共信息网络连接，严禁在非涉密计算机和互联网上存储、处理国家秘密。严禁在信息外网计算机上存储和处理涉及企业秘密的信息。严禁涉密移动存储介质在涉密计算机和非涉密计算机及互联网上交叉使用。

第十一条严格信息系统安全工作人员录用过程，审查其身份、背景、专业资格，关键岗位应签署保密协议；及时终止离岗员工的所有访问权限；严格外部人员访问程序，对允许访问人员实行专人全程陪同或监督，并登记备案。

第十二条严格按照国家有关部门要求，开展公司网络与信息系统定级、审批、

备案工作。针对确定的网络与信息系统安全等级，要根据等级保护有关要求，落实必要的管理和技术措施，严格执行等级保护制度。

第十三条新建信息系统涉及安全防护措施建设，应明确安全需求，确定安全等级，结合公司安全防护总体策略，进行安全防护方案设计；根据国家有关规定和坚持鼓励使用国产化产品原则，开展安全产品采购，必要时开展产品预先选型测试；加强软件开发管理，确保开发环境与实际运行环境安全隔离；委托有资质的第三方测试单位对系统进行安全性测试，并出具安全性测试报告；对测试不符合要求的，在整改后要重新测试。系统试运行前，要开展相关安全培训第十四条加强信息系统运行维护全过程管理: （一）严格执行信息机房管理有关规范，确保机房运行环境符合要求，严格机房出入管理。要编制信息系统资产清单，建立资产管理制度，根据资产重要程度对资产进行标识。

（二）对信息系统软硬件设备选型、采购、使用等实行规范化管理，建立相应操作规程，对终端计算机、工作站、便携机、系统和网络等设备实行标准化作业。强化存储