中国技术交易所有限公司

信息系统安全管理暂行办法

第一章 总则

第一条  为加强中国技术交易所有限公司(下简称“中技所”或“公司”)在信息系统安全管理上的科学性与规范性，加强中技所信息系统总体控制，增强信息系统的运行效力，制定本办法。

第二条  本细则规定了信息系统安全管理的主要内容。信息系统包括专业（业务）应用信息系统、综合管理信息系统、网络及基础设施等系统。

第三条  信息系统安全主要指保护信息系统的硬件、软件及相关数据，使之不因偶然或恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常的运行。

第四条  本细则适用于公司业务管理部门及下属单位。

第二章 职责分工

第五条 中技所信息技术部门负责公司信息系统总体控制中信息安全的相关工作；负责公司信息安全工作（包括：逻辑安全、网络安全、信息安全事件响应等）的监督和检查；负责组织公司信息安全培训工作；负责组织安排信息系统安全评估。

第六条  中技所信息技术部门负责本部门专业信息系统及计算机用户的逻辑安全、物理安全、计算机病毒防护。

第七条 专业公司负责收集公司信息安全培训需求; 负责公司骨干网、局域网的物理安全、网络安全与计算机病毒防护；负责各所属单位信息安全的技术支持。

第八条   中技所所属单位负责本单位信息系统的逻辑安全、物理安全、计算机病毒防护及网络安全；负责落实本单位信息系统安全培训。

第三章 信息安全管理

第九条 中技所信息技术部门设立信息安全负责人，负责公司信息安全日常工作的监督和检查；定期审核公司信息系统总体控制活动的职责分离表，填写《职责分离检查表》，将不符合情况汇报相关负责人；组织公司信息安全培训工作。公司所属各单位应设立专兼职信息安全负责人，负责本单位信息系统安全的监督、检查。

第十条  信息安全培训要以提高安全管理和预防性维护为目标，确保各级信息技术人员具有必要的信息安全意识。专业公司负责收集信息系统安全培训需求，上报信息技术部门，由信息技术部门组织培训实施，培训结果要书面记录并归档。

第十一条  各相关业务部门和各所属单位对信息系统的逻辑安全管理应遵循以下规定：信息系统应通过安全登录验证机制，确保只有合法用户才能访问适用的系统；申请登录系统的用户填写《用户账号及权限管理表》，并经过各级领导审核通过后才能进入系统；定期审核应用系统的所有账号和用户权限；服务器操作系统的设置应符合股份公司的标准要求；直接访问系统数据时应填写《数据直接访问表》，经各级领导审核通过后才可进行访问。

第十二条  专业公司和所属单位，负责所管机房的出入登记，填写《机房出入登记表》；负责机房设备，包括服务器、网络设备、空调、消防报警设备、防雷和防静电设备、不间断电源系统等的巡检，并每周填写《设备巡检记录表》。

第十三条  专业公司和所属单位，负责所管辖范围病毒库的更新和防病毒软件的技术支持工作。

第十四条 网络安全包括远程登录、防火墙配置及第三方接触安全管理等。专业公司和各所属单位，负责所管辖范围内VPN用户的登记管理工作，填写《远程登录权限检查表》；负责每三个月检查防火墙安全配置，填写《防火墙安全配置检查表》；监控第三方人员对内部网络的远程登录访问，如有访问必须填写《用户账号及权限管理表》。

第十五条 信息安全事件应依据其对业务的影响程度和安全损害的严重程度，对重大及较大级事件应启动应急预案，具体依照《中国技术交易所有限公司信息系统突发事件应急预案》执行。

第十六条 信息技术部门每年定期组织专业公司及各所属单位进行信息系统安全评估及测评，评估信息系统的风险等级及建议改进方案，形成信息系统安全评估报告和解决方案，信息技术部门根据报告，将重大问题及解决方案上报公司信息化工作领导小组评审通过后，组织整改。

第四章 用户守则

第十七条  公司信息网络用户必须遵守国家相关的各项法律、法规，遵守相关的互联网安全管理协议。

第十八条  网络用户要严格执行安全保密制度，对所提供的信息负责。不得利用网络从事危害国家安全、泄漏国家秘密、企业秘密等犯罪活动， 

第十九条  联网计算机必须安装公司统一的防病毒软件和补丁分发系统，网络用户不得进行任何干扰其他用户、破坏网络服务和损毁网络设备的活动，不得制作、浏览、复制、传播有碍社会治安和有伤风化的信息，不得以虚假身份使用网络资源、传播计算机病毒、使用非法软件占用网络带宽、擅自移动或删除共享信息、拔插网络设备电源及网线等。

第二十条  公司网络用户有义务向各级网络运行维护人员报告任何违反用户守则的行为。

第二十一条 对于违反网络运行维护管理细则的用户，网络运行维护人员有权采取措施终止其上网资格，公司将视情节轻重追究其相应责任。

第五章 附则

第二十二条    本办法由中技所信息技术部门负责解释和修订。

第二十三条    本办法自二〇一七年九月一日起施行。

职责分离检查表.docx

用户账号及权限管理表.docx

数据直接访问申请表.docx

机房出入登记表.docx

设备巡检记录表.docx

远程登录权限检查表.docx

防火墙安全配置检查表.doc