內部控制信息系統安全管理制度.doc

《內部控制信息系統安全管理制度》講解了涉密和非涉密計算機信息系統的管理規定，涵蓋制度背景、系統管理人員的職責及具體操作要求。本制度首先明確依據《中華人民共和國保守國家秘密法》和保密規定制定該制度，目的是加強信息公司的計算機信息安全與保密管理，同時確保信息系統的正常運行并促進信息化發展。制度強調安全與保密工作結合使用責任和個人領導責任的重要性。第二章定義了三種重要管理角色：系統管理員負責信息和網絡系統的維護；安全保密管理員處理信息安全和策略執行；密鑰管理員掌管身份認證與密鑰管理任務。這些職位必須在經過培訓后才可上崗。第三章描述嚴格的機房管理制度，確保無人干擾、危險物品禁止入內并且有良好的消防配置與日常巡檢措施。第四章至第六章細化了各類型管理員的具體職責、流程、操作規程和特殊場景應對方式。特別是系統主機的操作規則和技術支持響應機制，并對關鍵操作如備份管理和密碼策略提出明確規范。第七章制定了應急計劃，以便在面對突發情況時能迅速作出反應，最后的附則提供了補充說明。

《內部控制信息系統安全管理制度》適用于各類涉密或非涉密計算機信息系統的企業或組織，尤其是擁有內部敏感數據和技術資產的單位，如同中船信息公司這類需嚴格執行安全和保密工作的高科技企業或國防相關領域的企業。它為信息安全管理提供了詳細的指導方針，保證了從物理安全（例如進入權限控制和機房環境）到邏輯訪問的安全（比如用戶權限設置及密鑰管理和應用）。本文件對于提高企業內部的信息安全性、防范內外部威脅具有重要意義。適用人員包括信息系統的管理人員、安全保密管理者、信息技術人員以及所有接觸到或可能涉及到公司信息安全體系的員工。