信息系统安全管理办法

第一章  总则

第一条（目的依据）为了加强公司信息系统安全管理，提高信息安全保障能力和水平，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律、法规及公司相关规定，结合公司实际，制定本办法。

第二条（适用范围）本办法中信息系统安全具体是指：公司的通信、网络、公共应用系统(以下统称信息系统)及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，保障公司的信息系统连续可靠运行，信息服务不中断。

第三条（方针原则）公司信息系统安全管理要遵循国家法律、法规、行业标准，做到统筹安排、科学合理管理与业务相适应。

第二章  管理职责

第四条（明确管理部门）机电动力部负责信息系统安全的考核管理工作。

第五条（执行部门职责）信息中心是公司信息系统安全管理的执行部门。负责信息系统方案设计的安全技术审核。负责信息系统安全运行的日常维护工作。

第六条（其他部门职责）各单位、各部门对信息系统使用负有安全管理职责。

第三章  通信、网络系统及应用系统安全管理

第信息中心要建立、健全公司通信、网络系统及应用系统运行维护各项规章制度。

第九条信息中心负责定期对通信、网络设备及应用系统进行巡检维护，并记录设备的运行状况，形成巡检报告。

第十条对应用系统进行系统升级、模块修改、数据变更等重要操作时应执行操作审批制度。操作前，应做好系统备份。

第十条信息中心负责建立通信、网络及应用系统应急预案。

第四章  系统数据安全管理

第十一条（数据安全要求）信息中心负责制定数据备份管理办法，建立数据备份系统，定期对相关服务器数据进行备份，确保数据安全。

第十九条 各业务部门要对自己所管理的系统建立备份管理制度，并制定专人对系统进行定期备份。

第六章  系统权限管理

第二十条（AB角管理）公司应设立信息系统管理员，管理员由相关领导批准设立，具有系统管理员权限的用户对所管理系统的安全负责。

第二十一条（角色权限分配）信息系统的角色权限划分，需经过流程审批后方可操作。系统管理员不得擅自泄露其他用户的用户名及密码，不得为员工检索其他人员信息和企业保密信息。

第二十二条系统管理员不得随意修改合法用户的身份，确因工作需要进行改动，应得到相关领导的批准。

第二十三条 新入职员工申请网络及应用系统资源，应由所在部门提出申请，经信息中心批准后统一分配。

第七章  防病毒管理

第二十四条信息中心负责建立公司信息系统在服务器和客户端微机上安装防病毒软件，及时升级软件，并定期对服务器进行病毒检测、杀毒。

第二十五条在向服务器拷贝或安装软件前，首先要进行病毒检测。其他人员经管理代表批准后安装外来软件，应经系统管理人员对安装软件进行防病毒检测。

第二十六条对于外来的文件，在使用前要进行病毒监测。

第二十七条为了防止病毒侵蚀，信息管理人员不得在服务器或关键客户端微机上安装、运行游戏及与工作无关的软件。

第八章  系统密码管理

第二十（管理员密码管理）公司信息系统涉及到的密码应定期更换，密码设置后由专人管理，不得轻易泄漏给他人。

第二十九条（管理要求）用户应保管好自己的密码，定期或不定期更换密码，以保证数据安全。

                   第九章   罚则

第三十条 公司员工未按照公司相关制度履行信息安全职责，导致公司网络、信息系统受到病毒、黑客等攻击，影响其他员工正常使用的，按照公司相关制度进行处罚。

第三十一条 系统管理员未定期备份公司重要数据，导致公司重要数据丢失的，按照公司相关制度进行处罚。

第十章  附则

第三十二条（解释权限）本办法解释权属榆神能源公司。

第三十三条（使用日期）本办法自下发之日起施行。