舞钢市公共信用信息系统

总体安全制度

第一章  总则

第一条  为保证舞钢市公共信用信息平台计算机系统（以下简称信息系统）的安全，规范信息系统的安全管理，根据国家有关的法律、法规和相关规定，并结合系统建设的实际情况，特制定本制度。

第二条  本制度所指的信息系统，是以计算机（包括相关配套设备）为终端设备，利用计算机、通信、网络等技术进行信息采集、处理、存储和传输的设备、技术、管理的组合。

信息系统安全的含义是：通过各种计算机、网络、密码技术和信息安全技术，在实现网络系统安全的基础上，保护信息在传输、交换和存储过程中的保密性、完整性和真实性。

第三条  信息系统包括舞钢市公共信用信息平台，所有用户均应按照本规定执行。

第四条  信息系统的建设和应用要本着“预防为主、集中管理、分级负责、保障安全”的方针，按照“业务工作谁主管、安全工作谁负责”和“谁使用、谁负责”的原则进行管理。

第五条  信息系统安全管理的任务是根据信息系统的性质，实事求是地确定基准威胁，按照基准威胁的需要，建立管理机构，配备管理人员，建立健全规章制度，加强安全教育和培训，适时进行安全检查和评估，落实各项人防、物防、技防措施，以保障单位信息的安全。充分体现技术与管理并重的原则，利用各种先进的技术手段加强管理。

第六条  计算机信息系统按照《信息系统安全等级保护基本要求》进行等级保护和管理。

第二章  信息安全方针

第一条  本信息安全管理体系方针指明了信息系统的信息安全目标和方向，并可以确保信息安全管理体系被充分理解和贯彻实施。本方针适用于舞钢市信息安全管理体系涉及的所有人员和过程。

第二条  信息安全的定义是：保证业务所依赖的信息和信息系统的保密性、完整性、可用性。

第三条  信息系统安全的总体方针为：积极预防、及时发现、快速响应、确保安全。其目标是：满足已识别的信息安全要求，包括法律法规、业务要求。具体目标包括：

l   秘密信息泄漏事故为零。

l   保证重要信息系统可用性在98%以上。

l   信息安全事件如病毒感染、黑客攻击等事件在可控范围内、发生可能性较低、损失极小。

第四条  为了确保信息安全工作有一个明确的方向和获得可见的管理者支持，设立信息安全领导小组，具体负责：

l   制定信息安全方针和目标；

l   建立信息安全角色和职责；

l   提供ISMS（信息安全管理体系）所需要的资源；

l   领导建立和实施ISMS（信息安全管理体系）；

l   监督和检查信息安全工作；

l   制定和实施信息安全工作的奖惩政策。

第五条  信息安全管理人员要通过适当的标准和程序实施信息安全方针。所有职工必须按照相应的程序，维护此方针，所有职工有责任报告信息安全事件，以及识别信息安全风险。

重要原则和符合性要求所有职工应明确，在信息安全方面满足以下原则和符合以下要求是必须的：

l   法律法规和合同要求的符合性;

l   信息安全的安全意识;

l   遵守单位所有信息安全策略和操作规程。

第六条  本文件需要定期或不定期根据需要进行评审，当信息安全管理体系发生重大变化时，也应评审，以维持其适用性。