北京麦乐文创科技有限公司信息安全管理办法

总 则

　　为落实北京麦乐文创科技有限公司（以下简称“公司”）信息安全方针的具体要求，建立完善的信息安全体系，提高信息安全的可用性、完整性、机密性，结合实际情况，制定本办法。

　　本办法遵循国际、国内的有关安全标准、我国相关法律和法规以及行业监管要求，以安全保护对象为基础，建立以信息安全管理体系、信息安全技术保障体系、信息安全运营体系，以及信息安全服务体系四维一体的信息安全保障体系框架。

　　公司信息安全坚持“安全第一，预防为主，管理和技术并重，综合防范”的总体方针，增强人员信息安全意识，规范信息安全管理，提供持续、稳定、高效的信息科技运营服务。

　　信息安全总体目标是通过建立信息安全体系，增强公司全员的信息安全意识，贯彻落实信息安全方针及各项控制措施，保障信息系统持续、稳定、安全、可靠运行，确保信息内容的保密性、完整性、可用性，保护客户信息及公司自有的信息资产，预防安全事件的发生，最小化安全事件的影响，进而保证公司业务连续性。

公司信息安全工作应遵循以下原则：

（一）基本安全需求原则：公司应根据其信息系统担负的使命，信息资产的重要性，可能受到的威胁及面临的安全风险分析，从全局角度平衡信息安全与生产业务，在保证生产业务正常发展的同时提高信息安全整体防护水平；

（二）主要领导负责原则：主要领导应确立其组织统一的信息安全保障的宗旨和政策，负责提高员工的安全意识，组织有效安全保障队伍，调动并优化配置必要的资源，协调安全管理工作与各部门工作的关系，并确保其落实、有效；

（三）全员参与原则：所有与安全建设、运行工作相关的人员应普遍参与信息安全活动，共同保障公司信息安全，提高员工的安全意识，信息安全管理责任不得外包；

（四）系统方法原则：按照系统工程的要求，识别和理解信息安全保障相互关联的层面和过程，采用管理和技术结合的方法，提高实现安全保障的目标的有效性和效率；

（五）管理与技术并重原则：坚持积极防御和综合防范，全面提高信息安全防护能力，结合实际情况，采用管理科学性和技术前瞻性相辅相成的方法，达到信息安全管理的目的；

（六）持续改进原则：信息安全管理是动态的，贯穿信息资产管理的生命周期，随着安全需求和系统脆弱性的时间空间分布变化、威胁程度的提高和对信息安全认知的深化等，应及时地将现有的安全策略和保护措施进行检查、修改和调整，以提升安全管理水平，持续维护信息安全管理体系的有效性；

（七）依法管理原则：信息安全管理工作主要体现为管理行为，应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理，应由授权者适时发布准确一致的有关信息，避免带来不良的社会影响；

（八）分权和授权原则：对特定职能或责任领域的管理功能实施分离、独立审计等实行分权，避免权力过分集中所带来的隐患，以减小未授权的修改或滥用系统资源的机会。任何实体（如用户、管理员、进程、应用或系统）仅享有该实体需要完成其任务所必须的权限，不应享有任何多余权限；

（九）选用成熟技术原则：成熟的技术具有较好的可靠性和稳定性，采用新技术时要重视其成熟的程度，并应首先局部试点然后逐步推广，以减少或避免可能出现的失误；

（十）自保护和国家监管结合原则：对信息安全实行自保护和国家保护相结合。公司要对自己的信息安全保护负责，政府相关机构进行指导、监督和检查，形成自管、自查、自评和国家监管相结合的管理模式，提高安全保护能力和水平，保障信息安全。

　　信息安全管理范围主要包括人员信息安全、信息系统数据安全、物理安全、访问控制、网络安全、系统安全建设、信息安全运维、信息系统安全事件、信息安全评估等方面，涵盖物理范围和人员范围。

（一）物理范围是指公司、分公司；

（二）人员范围是指公司、分公司所有员工及第三方人员的信息安全管理。

安全管理组织及职责

　　公司应设立信息安全工作小组，全面统筹协调公司信息安全相关事项的研判决策，并应指定公司级高级管理人员负责信息安全工作小组。

　　信息安全工作小组负责公司、分公司的信息安全管理工作，应履行以下信息安全管理职责：

（一）贯彻落实国家和监管部门有关信息安全管理的法律法规、技术标准和相关要求；

（二）配备足够的具有专业知识和技能的信息安全工作人员，明确信息安全相关人员角色和职责，建立必要的岗位分离和职责权限制约机制；

（三）建立有效的信息安全体系并定期进行检查、评估、审计、改进等工作；

（四）建立职责明确的授权机制、审批流程以及完备有效、相互制衡的信息科技内部控制体系，并对审批文档和内部控制过程进行及时记录；

（五）负责统一规划、指导公司系统安全设计、实施、使用和维护工作；

（六）负责监督、检查、指导信息资产安全保护工作，定期对信息资产的安全性做出评价，必要时提出提高安全性的建议；

（七）负责信息安全工作统筹规划执行，系统安全规划与建设工作；

（八）负责预警及查处危及信息系统安全的事件，在紧急情况下，可以就涉及信息安全的特定事项发布专项通令；

（九）负责对解决信息安全问题提供技术支持；

（十）负责对新建、改建和扩建的系统进行安全评估，负责系统安全技术检测工作；

（十一）定期组织有关人员进行信息安全评估，并制定相应的整改建议；

（十二）组织公司员工信息安全意识教育与培训；

（十三）处理监管机构要求的涉及信息安全方面事务；

（十四）处理公司授权的其他信息安全方面事务。

总体安全策略

　　信息安全工作小组应建立和完善信息安全管理规章制度和操作程序，规范和加强信息安全管理工作，明确信息安全管理要求及安全策略。

第一节　人员信息安全管理

　　公司应加强内部人员信息安全管理，依据最小特权原则清晰划分岗位，在所有岗位职责中明确信息安全责任，要害工作岗位实现职责分离，关键事务双人临岗，重要岗位要有人员备份，定期进行人员的信息安全检查。

　　公司所有员工都应签署保密协议，并接受信息安全教育培训，提高安全意识，及时报告网络与信息系统安全事件。

　　加强第三方访问和外包服务的安全控制，在风险评估的基础上制定安全控制措施，并与第三方公司和外包服务公司签署保密协议，明确其安全责任。

第二节　信息系统数据安全管理

　　为了规范数据采集、传输、交换、存储、备份、恢复和销毁等环节，加强对重要数据的控制和保护，保障数据的合法、合规使用，公司应建立信息系统数据安全管理相关制度。

　　公司应秉承“合法性、最小化”的原则，在收集前应当制定并公开收集使用规则。通过终端、应用系统、浏览器等方式收集敏感数据，应使用加密等技术措施保证数据的保密性，防止其被未授权的第三方获取。

　　公司应指定专人负责数据存储设备的使用和安全管理，在收集数据后，系统应采用校验技术或加密技术保证重要数据在存储过程中的完整性和保密性，必要时应对敏感数据进行去标识化处理。

　　重要数据不得泄露、随意更改，各业务数据仅用于明确规定的目的，未经批准不得它用。根据公司的保密规定及数据用途，确定数据使用人员的存取权限、存取方式和审批手续。无正当理由和有关批准手续，不得查阅客户信息数据。

　　通过互联网对外提供服务的应用系统，应选用加密技术对传输的所有数据进行机密性保护。数据迁移或批量导入方案中必须明确安全要求，应采取等访问控制限制和加密措施保护敏感数据的机密性。

　　公司应定期对重要系统的备份数据进行有效性检验及数据恢复测试，并对数据的备份、恢复、转出、转入的权限严加控制。

　　数据存储介质原则上应对应存储管理设备的固定资产报废管理标准，数据存储介质在销毁前应对相应的数据转储，转储后必须对原介质进行磁盘打孔等物理销毁，物理销毁操作必须经过相关负责人审批授权后方可执行。

第三节　物理安全管理

　　公司应加强办公区域的信息安全管理，为设备的正常运行提供物理和环境安全保障。

　　办公区域的信息安全管理着重体现在访问控制管理、网络安全管理和办公终端安全管理等几个方面。

第四节　访问控制管理

　　为了有效防范公司信息资源泄露或未经授权的修改，为信息资产的访问控制制定基本原则，信息安全工作小组应建立访问控制制度。

　　访问控制是网络安全防范和保护的重要手段，它的主要任务是维护网络系统安全、保证网络资源不被非法使用和非常访问。

　　密码的安全管理遵照统一规范、重在意识、技术控制与管理措施相结合的原则。应对所有系统/设备的密码安全管理策略的实施进行抽样检查，如发现任何不符合要求的密码安全管理策略应及时采取相应的解决措施。

第五节　网络安全管理

　　为了保障公司网络安全，有效防范对网络攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，信息安全工作小组应建立网络安全管理制度。

　　内部网络与互联网、外联单位网络等连接时，信息安全专业委员会应明确网络外联种类和方式，采用可靠连接策略及技术手段，实现彼此有效隔离，并对跨网络流量、网络用户行为等进行记录和定期审计。

第六节　办公终端安全管理

　　办公终端设备的软件安装应符合公司软件正版化相关规定，不得安装、运行、使用未经授权的第三方商业软件，不得随意更改或卸载统一配置的软件。严禁安装、运行、使用与工作无关或非标准软件。

第七节　系统安全建设管理

　　为了确保公司在规划和建设信息系统时，信息安全防护措施与信息系统建设同步规划、同步建设、同步投入运行，对系统建设的各阶段进行安全规范和管理，保证系统建设安全、可控，信息安全工作小组应建立系统安全建设管理制度。

　　系统安全建设管理工作，包括应用研发类和基础设施类系统建设的安全管理，具体是指网络、主机、应用、数据管理在规划、建设实施、验收和投产等环节产生的安全风险控制工作。同时依据国家标准网络安全等级保护定级的有关规定对所涉及的系统进行定级备案，明确系统的物理边界和安全保护等级。

　　应用研发、实施过程应明确控制方法和人员行为准则，保存相关文档和记录。制定代码编写安全规范，规范研发人员对源代码访问权限的管理，有效保护公司信息资产安全。涉及公司核心或机密数据的信息系统，应采取必要的保密措施确保其研发实施安全，不得使用敏感生产数据用于开发、测试环境。

　　信息系统正式上线运行前，应对系统进行功能、性能与安全性测试与验收，经测试与验收通过后方可投入使用。

第八节　信息安全运维管理

　　信息安全工作小组会应建立信息系统日常维护管理手册，认真记录维护日志；信息系统及设备运维人员负责定期分析系统日志和安全日志，检查设备工作状况，分析是否存在安全风险。

　　为了提高应对信息系统安全事件能力，最大程度地预防和减少因为信息系统安全事件使业务中断而造成的生产、经营和管理损失，保障公司信息安全，信息安全工作小组应建立应急响应机制，对突发事件的事前预防、事发应对、事中处置和事后处理等过程采取必要的措施。同时应制定相关应急预案，定期更新、维护和演练，做好数据备份工作，保证数据的安全。

第九节　信息系统安全事件管理

　　应对信息系统安全事件进行等级划分和事件分类，制定安全事件报告、响应处理程序等应急预案，并定期进行演练，评审和修订。遇有重大信息系统突发事件，应按应急预案快速响应处理，并按规定及时上报。

第十节　信息安全评估管理

　　为了明确公司信息安全评估管理政策、相关部门的职责，规范信息安全评估过程，保证及时、全面、准确的识别公司信息安全隐患，并采取有效的控制措施降低公司信息安全风险，信息安全工作小组应建立信息安全评估操作规范。

　　信息安全工作小组每年至少进行一次整体信息安全评估工作，评估内容包括信息安全制度与流程、信息系统数据安全、网络安全、互联网系统安全和系统访问控制等方面。

　　安全总结会议是信息安全评估的重要组成部分，信息安全工作小组每年至少组织一次安全总结会议，保证信息系统的安全性。

附 则

　　本办法适用于公司、分公司。

　　本办法由行政综合部负责解释和修订。

　　本办法自印发之日起施行。