二一—（北京）科技有限公司信息系统安全保护管理规定.doc

二一—（北京）科技有限公司信息系统安全保护管理规定.doc二一—(北京)-08-25新增陈达隆吴为问第一章总则第一条为了规范信息系统安全保护管理,提高信息安全保障能力和水平,维护信息系统安全运行,保障和促进信息化建设,特制定本规定。第二条本规定适用于脐橙金融网络借贷信息中介信息系统建设过程,管理对象为信息系统建设过程中所有管理人员、维护人员、使用人员以及第三方服务机构。第二章组织职责第三条信息安全管理委员会负责信息安全工作的监督、检查、指导并协调各个部门之间的协同工作,支持和推动信息安全保护工作在整个公司范围内的实施。第四条信息技术部在信息安全管理委员会的指导下负责落实信息安全保护工作的监督、检查、指导等。第五条安全管理员负责协调组织公司信息安全保护工作,包括方案设计、等级测评或信息安全风险评估等工作。第六条公司相关部门或人员协助配合安全管理员进行信息系统安全建设工作。第三章安全检查报告第七条安全方案设计阶段的目标是根据信息系统的重要程度、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满足信息安全要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实施。对于已运营(运行)的信息系统,需求分析应当首先分析判断信息系统的安全保护现状与相关标准要求之间的差距。第八条安全管理员协调相关部门或人员对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划。第九条安全管理员协调相关部门或人员根据信息系统的重要程度,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案。第十条信息技术部负责组织相关部门和有关安全技术专家对系统安全设计方案进行评审和论证。第十一条根据等级测评、安全评估的结果由安全管理员协调相关人员定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。第四章信息系统建设第十二条产品采购和使用应按照国家相关部门要求和公司相关管理制度进行产品采购。第十三条对于自行、外包软件开发以及项目工程实施过程应按照《脐橙金融网络借贷信息中介信息系统项目实施管理制度》相关要求进行管理。第十四条系统建设完成后可委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告;根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,对不符合等级保护要求的及时进行整改,并形成测试验收报告。第十五条安全管理员负责对第三方测试单位进行管理,并按照《三二一(北京)科技有限公司第三方人员安全管理规定》对第三方人员行为准则进行严格管理。第十六条安全管理员组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。第五章信息系统安全测评第十七条测评机