内部使用 安全管理制度体系文件 版本号状态拟稿和修改时间说明 V1.0新建 2021/02/10 V2.0修改 2023/4/2目录 安全管理制度体系文件 ..................................................................... 1 第一章总则................................................................................. 4 第一条目的............................................................................ 4 第二条规范性引用文件............................................................ 4 第三条术语和定义................................................................... 5 第二章建设目标........................................................................... 5 第三章总体方针........................................................................... 5 第四条组织与体制................................................................... 5 第五条遵守法令法规................................................................ 6 第六条信息资产的分类与管理 ................................................... 6 第七条培训与教育................................................................... 6 第八条物理性保护................................................................... 6 第九条技术性保护................................................................... 6 第十条运用............................................................................ 6 第十一条评价及复审................................................................ 6 第四章安全策略........................................................................... 7 第十二条安全管理机构............................................................ 7 第十三条人员安全管理............................................................ 7 第十四条标准化管理................................................................ 7 第十五条系统建设管理............................................................ 7 第十六条系统运维管理............................................................ 8 第十七条物理安全................................................................... 8 第十八条网络安全................................................................... 9 第十九条主机安全................................................................... 9 第二十条应用安全................................................................... 9 第二十一条数据安全及备份恢复 .............................................. 10 第二十二条应急方案.............................................................. 10 第五章职责分工......................................................................... 10第二十三条信息安全领导小组 ................................................. 10 第二十四条信息安全工作组.................................................... 10 第二十五条信息安全管理人员 ................................................. 11 第六章制度发布......................................................................... 11 第二十六条制度编写.............................................................. 11 第二十七条评审和修订.......................................................... 12第一章总则 第一条目的 本标准阐述了北京思度文库有限公司（以下简称“公司”）在信息安全管 理制度方面的基本任务和管理原则，确定了公司在信息安全管理制度方面的职 责和义务，明确了公司信息安全管理制度在编写、制定和发布、评审和修订等 过程中应遵守的原则与工作方式及流程。 第二条规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的 引用文件，其随后所有的修改单或修订版均不适用于本标准（不包括勘误、通 知单），然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最 新版本。凡未注日期的引用文件，其最新版本适用于本标准 《信息安全技术 信息系统安全保障评估框架》（ GB/T 20274.1-2006 ） 《信息安全技术 信息系统安全管理要求》（ GB/T 20269-2006 ） 《信息安全技术 信息系统安全等级保护基本要求》（ GBT 22239- 2019） 第三条术语和定义 本标准采用以下术语和定义： 制度 对流程具体实施办法的解释，规定必须的关键因素，指明各类表单的填写 要求等。 流程 一个输入到输出的过程，一般以流程图表示，标识关键环节和关键步骤，明确职责分工； 表单 对每个关键环节进行控制的过程文档，表单文件闭环后作为档案文件进行 管理。 第二章建设目标 为贯彻执行国家、地方和本行业有关信息化建设的方针政策，有效保障公 司信息系统正常运行。公司信息系统管理的规范化、程 序化、制度化，进一步 提高管理制度的体系化和制定发布流程的标准化， 特制定本制度。 (一)建立完整的信息安全管理体系和组织机构， 提高信息安全管理的 能 力，完善各项业务和管理过程中的信息安全 措施，确保信息安全管理正规有 序。 (二)建立完整的信息安全运行体系，实 现网络系统安全系统的 集中管理 和透明化监控，提高对突发事件的应急 响应处理能力，保证关键业务应用运行 的可用性、可 依赖性以及故障恢复能力。 第三章总体方针 第四条组织与体制 构筑确保信息安全所必 需的组织与体制，明确其责任与 权限。 第五条遵守法令法规 遵守与信息安全有关的法令法规，制定 并遵守按基本方针所制定的信息安 全相关的规定。第六条信息资产的分类与管理 按照重要级别信息资产进行分类， 并妥善管理。 第七条培训与教育 为使相关人员全面了解信息安全的 重要性，适 当开展针对性培训与教育 活 动。使他们充分认识信息安全的 重要性以及 掌握正确的管理方法。 第八条物理性保护 为避免非法入侵、干扰及破坏信息资产等 事故的发生，对其保管 场所与保 管办法加以明确。 第九条技术性保护 为切实保护信息资产不 受来自外部的非法入侵，对信息系统的 登录方法、 使用限制、网络管理等采 取适当的措施。 第十条运用 为确保基本方针的实 际成效，在对遵守 情况进行监督的同时，对违反基本 方针时的 处置办法及针对 来自外部的非法入侵等紧急事态采取的应对措施等加 以规定。 第十一条评价及复审 随着社会环境的变化、技术的进步等，应定期对基本方针与运用方式进行 评价与复审。第四章安全策略 第十二条安全管理机构 (一)建立组织管理体系是为了建 立自上而下的