公司信息安全管理制度第1章总则第1条为保证信息系统安全可靠稳定运行,降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁,结合公司实际,特制定本制度。第2条本制度适用于XX公司以及所属单位的信息系统安全管理。第2章职责第3条相关部门、单位职责:1、信息中心(1)负责组织和协调XX公司的信息系统安全管理工作;(2)负责建立XX公司信息系统网络成员单位间的网络访问规则;对公司本部信息系统网络终端的网络准入进行管理;(3)负责对XX公司统一的两个互联网出口进行管理,配置防火墙等信息安全设备;会同保密处对公司本部互联网上网行为进行管理;(4)对XX公司统一建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,界定两级单位信息安全管理责任;(5)负责XX公司网络边界、网络拓扑等全局性的信息安全管理。2、人力资源部(1)负责人力资源安全相关管理工作。(2)负责将信息安全策略培训纳入年度职工培训计划,并组织实施。3、各部门(1)负责本部门信息安全管理工作。(2)配合和协助业务主管部门完善相关制度建设,落实日常管理工作。4、所属各单位(1)负责组织和协调本单位信息安全管理工作。(2)对本单位建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,报XX公司信息中心备案。第3章信息安全策略的基本要求第4条信息系统安全管理应遵循以下八个原则:1、主要领导人负责原则;2、规范定级原则;3、依法行政原则;4、以人为本原则;5、注重效费比原则;6、全面防范、突出重点原则;7、系统、动态原则;8、特殊安全管理原则。第5条公司保密委应根据业务需求和相关法律法规,组织制定公司信息安全策略,经主管领导审批发布后,对员工及相关方进行传达和培训。第6条制定信息安全策略时应充分考虑信息系统安全策略的“七定”要求,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。第7条信息安全策略主要包括以下内容:1、信息网络与信息系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略;2、对已投入运行且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞;3、对安全体系的各种日志(如入侵检测