信息资产识别与风险评估总则

信息安全与风险防范管理制度第一章总则第一条为了保障企业信息资产的安全性，防范与应对信息安全风险，维护企业的声誉和利益，促进企业的可连续发展，订立本规章制度。

第二条本规章制度适用于本企业的各级组织单位及全部员工。

第三条信息安全是本企业管理工作的基础和紧要内容，是每位员工的责任。

第四条本规章制度的内容包含信息资产管理、信息安全风险评估与防范、信息安全事件应急处理等方面。

第五条本规章制度由企业管理负责人负责编制和修订，由企业管理部门负责具体执行和监督。

第二章信息资产管理第六条信息资产包含但不限于计算机硬件、软件系统、数据库、网络设备、移动设备等。

第七条企业应建立信息资产管理制度，明确信息资产的分类、归属、保护等相关规定。

第八条企业应指定特地负责信息资产管理的人员，组织相关培训和宣传活动，提高员工对于信息资产安全的认得和重视程度。

第九条企业应定期进行信息资产清查和审计，确保信息资产的完整性、可用性和保密性。

第十条企业应建立信息资产备份与恢复机制，定期对紧要数据进行备份，而且测试备份数据的恢复本领。

第十一条企业应订立员工离职时的信息资产处理流程，包含撤销员工权限、收回企业供应的设备、清理员工所拥有的企业机密信息等。

第三章信息安全风险评估与防范第十二条企业应订立信息安全风险评估与防范管理制度，明确信息安全风险评估的方法和流程。

第十三条企业应建立信息安全风险评估团队，负责定期对企业的信息系统进行安全漏洞扫描和风险评估。

第十四条企业应加强对内部和外部信息安全威逼的监控与防范，建立安全事件预警机制。

第十五条企业应建立网络安全管理制度，对企业内外网进行监控和防护，加密紧要数据的传输和存储。

第十六条企业应加强员工的安全意识教育和培训，提高员工防范信息安全风险的本领。

第十七条企业应定期组织信息安全演练，检验信息安全应急响应措施的有效性。

第四章信息安全事件应急处理第十八条企业应建立信息安全事件应急处理机制，明确应急响应团队成员的职责和工作流程。

公司信息资产安全管理制度一、总则为有效防范信息安全风险，确保公司信息资产的安全、完整与可用，特制定本制度。

本制度适用于公司内所有涉及信息处理、存储及传输的部门与个人，旨在通过规范管理，提升公司整体的信息安全防护能力。

二、信息资产分类与评估公司应根据信息资产的重要性和敏感性进行分类，通常分为公开级、内部级、秘密级和机密级四个等级。

每个等级的信息资产应定期进行风险评估，包括识别潜在的威胁、漏洞以及可能造成的影响，并据此制定相应的保护措施。

三、物理安全管理物理安全是信息安全的基础。

公司应确保重要信息资产所在区域的物理安全，包括对数据中心、服务器室等关键区域实施访问控制、监控摄像以及防火、防水等灾害防护措施。

四、网络安全管理网络是信息传输的主要渠道，也是安全威胁频发的区域。

公司应部署防火墙、入侵检测系统、病毒防护软件等网络安全设施，并定期更新维护。

同时，对于远程访问、无线网络等特殊场景，应加强认证和加密措施。

五、数据安全管理数据是信息资产的核心。

公司应对敏感数据进行加密处理，并实施备份策略以防数据丢失。

对于数据的传输和共享，应采取严格的权限控制和审计跟踪，确保数据的安全使用。

六、应用系统安全应用系统是信息处理的平台。

公司应对所有应用系统进行安全设计，包括用户身份验证、权限分配、操作日志记录等功能。

对于第三方服务和应用，应进行安全审查和风险评估。

七、人员安全管理人是信息安全的关键因素。

公司应对员工进行安全意识教育和培训，明确各自的安全责任。

对于涉及敏感信息资产的工作人员，应进行背景审查，并签订保密协议。

八、应急响应与事故处理公司应建立应急响应机制，制定详细的安全事故响应流程。

一旦发生安全事件，能够迅速采取措施，减少损失，并对事件进行彻底调查，总结经验教训，防止类似事件再次发生。

九、监督与审计公司应定期对信息资产安全管理制度执行情况进行监督和审计。

通过内部审计或邀请第三方机构进行审计，确保各项安全措施得到有效执行。

信息资产识别、分类和管理的相关技术和流程第一章总则第一条本规定适用于全公司信息资产的管理。

第二条本规定是为加强对本公司信息资产的管理，保障信息资产安全，防止信息资产损毁、误用和非授权访问，确保信息资产的保密性、完整性和可用性，特制订本规定。

第三条本规定适用于本公司针对信息资产进行分级分类保护以及相应的管理活动。

第二章组织与职责第四条系统管理员：负责对本公司信息化资产的日常管理。

第五条信息办安全员：负责对本公司信息资产的分级分类以及相应的安全管理和监督。

第三章管理规定第一节信息资产分类第六条所有信息资产都应指定资产责任人，并由资产责任人负责进行相关资产的识别、统计、分类、分级和实施相应的保护措施，需从安全责任划分资产所有者（即资产责任人）、维护者以及使用者，并填写《信息资产登记表》。

第七条信息资产按形式不同可以分为五类：数据和文档资产、软件资产、实物资产、人员资产和服务资产。

其中数据和文档资产主要包括业务数据和记录、各类管理制度、管理文档、办公文档以及外来的数据文件等。

具体如下：（一）数据和文档资产：通常包括各种电子档：业务数据、客户数据、配置文件、记录数据（日志、审计记录）、管理文件（策略、流程文件、操作手册等）、商务文件（合同、协议等）以及外来数据文件等。

也包括以实物方式存在的资产：各类电子数据的归档、打印件、书面管理文件、业务报表、包含重要商业成果的文件，还有胶片等。

（二）软件资产：各种系统软件、应用软件和工具软件，包括操作系统、数据库应用程序、网络软件、业务系统程序等，这些软件资产负责处理、存储或传输各类信息。

（三）实物资产：与业务相关的IT物理设备，包括计算机（工作站和服务器等）和网络通信设备、磁盘、装置、环境等，这些实物资产容纳着软件和数据文件。

（四）人员资产：承担某项与业务活动相关责任的角色和职位。

例如普通用户、系统管理员、信息办安全员等，这些人员与各类数据、软件和实物资产的操作直接相关。

某银行信息科技风险识别与评估管理办法第一章总则第一条为规范信息科技风险评估工作，提高某银行信息科技风险管理水平, 促进我行业务安全、持续、稳健发展，根据国家信息安全法律、法规及银行业信息科技监管要求及《某银行信息科技风险管理策略》 ,结合我行风险管理实际情况，特制定本办法。

第二条本办法属于信息科技风险类“管理办法”，合用于某银行信息科技工作全过程的风险评估。

风险评估对象包括信息科技组织、管理过程和信息资产。

第三条信息科技风险，是指信息科技在合规管理、支持业务创新和业务运营过程中, 由于管理流程及资源缺失或者不足、人为因素和技术漏洞产生的操作、法律、声誉等风险。

第四条信息科技风险评估是指在信息科技风险事件发生之前或者之后(但还没有结束)，该事件给信息系统的研发、生产等各个方面造成的影响和损失的可能性进行量化评估的工作。

第五条本办法所指的信息科技风险类型及来源包括但不限于以下内容：(一) 信息科技总体风险是指信息科技在策略、制度、物理环境、软件、硬件、网络、数据、文档等方面影响全局或者共有的风险。

(二) 信息系统风险是指信息系统在规划、研发、建设、运行、维护、监控及下线过程中由于技术和管理缺陷产生的风险。

(三) 研发风险是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。

(四) 运行维护风险是指信息系统在运行与维护过程中访问管理、操作管理、变更管理、机房管理和事件管理等环节产生的风险。

(五) 外包风险是指本行将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作火伴或者外部技术供应商时形成的风险。

第六条信息科技风险评估是识别、计量、评价信息科技风险的活动，旨在客观反映信息科技对我行发展战略的支撑程度。

第七条风险评估应遵循“全面覆盖、突出重点、持续跟进”的原则。

第八条总行、一级分行的信息科技风险评估 (含自评估)工作应遵照本办法执行.第二章角色分工第九条风险评估可由总行信息科技管理委员会或者一级分行发起，承担机构是风险管理部，风险管理部负责组建风险评估实施团队。

风险资产处置管理制度第一章总则第一条为规范风险资产处置管理工作，提高风险资产处置工作的效率和质量，根据国家相关法律法规和监管要求，制定本制度。

第二条本制度适用于公司所有部门和员工在风险资产处置活动中的行为。

第三条公司风险资产处置管理属于公司风险管理的一部分，是公司持续经营的重要组成部分，必须得到公司领导的高度重视和支持。

第四条风险资产处置管理的目的是通过及时、科学、规范的风险资产处置工作，降低公司的不良资产风险，维护公司财务稳健发展。

第五条风险资产处置工作要坚持“审慎、公开、公平、诚信”的原则，坚决打击各种非法、欺诈行为。

第六条公司风险资产处置委员会是公司风险资产处置工作的决策机构，负责公司风险资产处置方针、政策和规划的制定。

第二章风险资产识别与管理第七条公司在进行风险资产处置前，必须对风险资产进行全面、科学的识别和分类管理。

第八条公司风险资产处置管理包括主动识别和被动识别两种方式，主动识别是指公司根据市场、行业、客户等相关信息，主动发现风险资产；被动识别是指公司在贷中贷后风险管理过程中，发现风险资产。

第九条公司风险资产处置管理应根据风险资产的性质、规模、风险等级，划分不同的处置单元，明确处置责任人和处置时限。

第十条公司风险资产处置工作要结合公司的风险管理政策和实际情况，确定风险资产处置的目标和原则。

第三章风险资产处置流程第十一条公司风险资产处置流程包括风险资产处置申请、审核、评估、决策、执行、监督和评估等环节。

第十二条风险资产处置申请环节是风险资产处置工作的起始点，需要由申请人填写风险资产处置申请表，提出处置建议。

第十三条风险资产处置审核环节是决定是否进行风险资产处置的重要环节，需要由风险资产处置委员会对申请进行审核，确定是否立项。

第十四条风险资产处置评估环节是为了确定风险资产的价值和处置方式，需要由专业评估机构进行评估，提供评估报告。

第十五条风险资产处置决策环节是在评估基础上，由风险资产处置委员会根据评估报告确定处置方案。

信息资产管理制度模版信息资产管理制度模板（____字）第一章总则第一条为了有效管理和保护企业的信息资产，提高信息安全管理水平，确保信息资产的安全、完整、可靠、可用，维护企业的合法权益，制定本制度。

第二条本制度适用于本企业的所有信息系统、网络、设备、数据等相关资源，以及涉及到的所有工作人员。

第三条信息资产管理的目标：确保信息资产的保密性、完整性和可用性；防止信息资产的丧失、泄露、毁坏和篡改；提高信息安全的意识和水平；合理利用信息资源，提高工作效率和业务竞争力；建立规范的信息资产管理制度和流程。

第四条信息资产管理的原则：依法合规、分类分级、系统管理、风险管理、全员参与、持续改进。

第五条本制度的术语解释：1. 信息资产：指企业所拥有的各类信息资源，包括但不限于：设备、设施、网络、软件、数据、文档、知识产权、商业秘密等。

2. 信息资产管理：指对信息资产进行全面、系统、有效的管理和保护的过程。

3. 信息资产管理制度：指为实现信息资产安全管理目标，规范信息资产管理工作的一系列规章制度和流程文件。

第二章信息资产管理的组织和责任第六条信息资产管理应建立专门的管理组织机构，设立信息资产管理中心，负责组织、协调、监督和评估信息资产管理工作。

第七条信息资产管理中心应设置合适的岗位和人员，并明确各岗位的职责和权限。

第八条信息资产管理中心的主要职责包括：1. 制定、修订和实施信息资产管理制度和相关规定；2. 组织开展信息资产安全评估和风险评估工作；3. 组织开展信息安全培训和宣传工作；4. 组织开展信息资产的安全监控和应急响应工作；5. 组织开展信息资产的合规审查和内部审核工作；6. 与相关部门进行沟通协调，推进信息资产管理工作。

第九条各部门和单位应配合信息资产管理中心的工作，并按照相关制度和流程履行信息资产管理的职责。

第十条信息资产管理中心应定期向高层管理层报告信息资产管理的情况和问题，并提出改善和优化的建议。

第三章信息资产的分类和分级保护第十一条按照信息资产的重要性和敏感程度，将信息资产分为不同的分类和分级。

第一章总则第一条为加强我单位信息资产安全管理，确保信息安全，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等相关法律法规，结合我单位实际情况，制定本制度。

第二条本制度适用于我单位所有信息资产，包括但不限于信息系统、网络设备、存储设备、移动存储设备、数据等。

第三条信息资产安全管理工作应遵循以下原则：1. 预防为主，防治结合；2. 安全责任到人，明确分工；3. 技术与管理相结合；4. 依法依规，持续改进。

第二章信息资产分类与分级第四条信息资产根据其重要性、敏感性、影响范围等因素进行分类和分级。

第五条信息资产分类：1. 核心资产：涉及国家安全、公共利益、重大社会影响的资产；2. 重要资产：涉及单位关键业务、重要职能的资产；3. 一般资产：除核心资产和重要资产外的其他资产。

第六条信息资产分级：1. 特级：对国家安全、公共利益、重大社会影响具有特别重要性的资产；2. 一级：对国家安全、公共利益、重大社会影响具有重要性的资产；3. 二级：对国家安全、公共利益、重大社会影响有一定重要性的资产；4. 三级：对国家安全、公共利益、重大社会影响影响较小的资产。

第三章信息资产安全管理制度第七条信息资产安全管理制度包括：1. 信息资产安全管理制度体系；2. 信息资产安全风险评估与控制；3. 信息资产安全防护措施；4. 信息资产安全事件处理；5. 信息资产安全教育与培训；6. 信息资产安全监督检查。

第八条信息资产安全管理制度体系：1. 制定信息资产安全管理制度；2. 明确信息资产安全管理组织架构及职责；3. 建立信息资产安全管理制度评审、修订机制。

第九条信息资产安全风险评估与控制：1. 定期开展信息资产安全风险评估；2. 根据风险评估结果，制定相应的安全防护措施；3. 对重要信息资产实施重点监控。

第十条信息资产安全防护措施：1. 物理安全防护：确保信息资产物理安全，防止信息资产丢失、损坏、被窃取；2. 网络安全防护：加强网络安全防护，防止网络攻击、入侵、病毒感染；3. 数据安全防护：对重要数据实施加密、备份等措施，防止数据泄露、篡改；4. 信息系统安全防护：定期对信息系统进行安全检查、漏洞修复，确保信息系统安全稳定运行。

信息系统安全风险评估管理规定HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】信息系统安全风险评估管理办法总则第1条公司安全评估管理办法是指导公司进行周期性的信息安全评估，目的是评估出公司信息网络范围内的弱点，并指导进一步的安全修补，从而消除潜在的危险，使整个公司的信息安全水平保持在一个较高的水平。

第2条安全评估的范围包括公司范围内所有的信息资产，并包括与公司签订有第三方协议的外部信息资产。

安全评估的具体对象包括服务器、网络和应用系统，以及管理和维护这些对象的过程。

风险的概念第3条资产：资产是企业、机构直接赋予了价值因而需要保护的东西。

它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。

它们分别具有不同的价值属性和存在特点，存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。

第4条弱点：弱点和资产紧密相连，它可能被威胁（威胁的定义参见威胁一章）利用、引起资产损失或伤害。

值得注意的是，弱点本身不会造成损失，它只是一种条件或环境、可能导致被威胁利用而造成资产损失。

弱点的出现有各种原因，例如可能是软件开发过程中的质量问题，也可能是系统管理员配置方面的，也可能是管理方面的。

但是，它们的共同特性就是给攻击者提供了机会。

第5条威胁：威胁是对系统和企业网的资产引起不期望事件而造成的损害的潜在可能性。

威胁可能源于对企业信息直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害。

威胁也可能源于偶发的、或蓄意的事件。

一般来说，威胁总是要利用企业网络中的系统、应用或服务的弱点（弱点的定义参见弱点一章）才可能成功地对资产造成伤害。

从宏观上讲，威胁按照产生的来源可以分为非授权蓄意行为、不可抗力、人为错误、以及设施/设备错误等。

鉴于本项目的特点，将威胁的评估专注于非授权蓄意行为上面。

风险评估管理制度第一章总则第一条为加强有限公司以下简称“公司”的风险管理,及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险承受度和风险应对策略,根据有关法律法规和企业内部控制基本规范等的有关规定,结合公司实际情况,制订本制度.第二条本制度所称风险是指公司经营活动中与公司实现内部控制目标相关的风险,包括战略风险、财务风险、市场风险、运营风险和法律风险等.本制度所称风险评估是指通过对基于事实的信息进行分析,就如何处理特定风险以及如何选择风险应对策略进行科学决策.第二章组织机构及职责第三条各部门为公司风险评估管理工作的责任机构,具体职责：一对公司经营活动中的风险进行识别；二对识别的风险进行评估,辨识评估出风险等级并将中、高风险以书面形式上报公司管理层,上报内容应包括：风险发生地、发生原因、可能造成的损失和影响、拟采取的应对措施等.三执行审批后的风险应对预案,并及时反馈风险的应对、解决结果；四对识别的风险进行监控,发生变化时重新评估,并根据新辨识评估的风险等级进行相应的处理；五年中、年度对风险评估管理工作进行总结.第四条公司企划部门为公司风险评估管理工作的组织机构,具体职责：一负责制定公司的风险评估方案；二负责组建风险评估工作小组；三负责审核风险清单、应对预案；四拟定公司风险评估报告,上报公司管理层.五负责建立经营环境监控体系,切实监控并记录内、外部经营环境和条件的变化,以修正风险识别与评估.六负责建立风险预警指标体系,要求各具体部门定期提供数据,进行指标分析；对于超过风险预警值的指标,应确定相应的整改措施.第五条财务部门的风险评估一负责建立流程识别和应对会计法规、准则、制度的变化,评估对会计信息的影响.二负责建立沟通渠道和流程参与公司业务操作流程的变化,评估对会计核算的影响.第六条公司管理层主要职责为：一审定公司各部门风险管理工作职责；二批准风险应对预案；三研究、确定公司重大风险事项及应对预案；四审定内部审计部门提交的公司风险管理方面的报告,并报董事会审议.第七条董事会负责审议公司管理层提交的公司风险评估报告报告,批准风险管理其他重大事项.第三章风险评估的频率第八条风险评估每年至少进行一次,并根据实际需要增加评估的频率.第九条当出现下述情况时,应考虑重新进行风险评估：一企业经营模式发生重大变动；二企业所使用的信息技术发生重大变动；三关键人员变动；四企业所适用的会计准则发生重大变动；五购并的发生、工具的使用等等涉及到复杂的会计处理要求的事项发生；六其他.第四章控制目标的设定和传达第十条企业董事会应当按照战略目标,设定相关的经营目标、财务报告目标、合规性目标与资产安全完整目标,并根据设定的目标合理确定企业整体风险承受能力和具体业务层次上的可接受的风险水平.第十一条公司董事会应定期更新和修正公司的战略目标、经营目标、风险管理目标；第十二条公司管理层应向各部门清晰传达了公司的战略目标、经营目标和风险管理目标如通过工作准备会等,并进行目标分解.第十三条公司企划部负责风险评估方案的制订,风险评估方案须经公司总经理办公会审批后执行,风险评估工作由企划部组建风险评估小组负责风险评估的具体工作.第五章风险识别第十四条公司各部门应当根据风险评估方案的要求,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估,准确识别与实现控制目标相关的内部风险和外部风险.第十五条公司各部门在进行风险识别时,可以采取座谈讨论、问卷调查、案例分析、咨询专业机构意见等方法识别相关的风险因素,特别应注意总结、吸取企业过去的经验教训和同行业的经验教训,加强对高危性、多发性风险因素的关注.第十六条各部门及子公司应广泛、持续不断地收集与本公司风险和风险管理相关的内外部信息,包括历史数据和未来预测.风险信息的收集主要包括以下内容：1.战略风险方面,收集国内外企业战略风险失控导致企业蒙受损失的案例,重点收集国内外宏观经济政策以及经济运行情况、行业状况,国内外产业政策、项目工程市场需求与供给状况等与战略有关的信息；2.财务风险方面,收集国内外企业财务风险失控导致危机的案例,重点收集企业财务报表、资产质量、盈利能力、偿债能力、现金流量、成本核算、资金结算等方面的信息；3.市场风险方面,收集国内外企业忽视市场风险、缺乏应对措施导致企业蒙受损失的案例,重点收集主要客户资信、竞争对手等方面的信息；4.运营风险方面,收集国内外企业忽视运营风险、缺乏应对措施导致企业蒙受损失的案例,重点收集与企业治理、投资决策、项目管理、人力资源等各方面的信息；5.法律风险方面,收集国内外企业忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例,重点收集国内外法律法规和政策、以往重大法律纠纷案件、竞争对手的知识产权等方面的信息.第十七条公司识别内部风险,应当关注下列因素：1.董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素.2.组织机构、经营方式、资产管理、业务流程等管理因素.3.研究开发、技术投入、信息技术运用等自主创新因素.4.财务状况、经营成果、现金流量等财务因素.5.营运安全、员工健康、环境保护等安全环保因素.6.其他有关内部风险因素.第十八条公司识别外部风险,应当关注下列因素：1.经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素.2.法律法规、监管要求等法律因素.3.安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素.4.技术进步、工艺改进等科学技术因素.5.自然灾害、环境状况等自然环境因素.6.其他有关外部风险因素.第六章风险分析第十九条公司各部门应当针对已识别的风险因素,从风险发生的可能性和影响程度两个方面进行分析.企业应当根据实际情况,针对不同的风险类别确定科学合理的定性、定量分析标准.具体如下：清单,并制订相应的应对预案,风险清单、应对预案须报公司风险评估工作小组审核后,报总经理办公会审批.第八章风险评估报告及执行第二十三条公司风险评估工作小组负责编制风险评估报告,风险评估报告经公司总经理办公会审核后,报公司董事会审议.第二十四条风险评估报告应包括以下内容：1、风险评估的范围；2、风险评估的方法；3、风险清单；4、风险应对预案；第二十五条各部门应根据董事会批准的风险评估报告进行实施,对风险应对预案的执行情况进行实时监控,并及时反馈风险应对、解决的执行情况.第二十六条内部审计部门或协同风险管理部门或小组负责定期或不定期检查具体部门风险控制措施的实施、整改情况,形成检查记录.第九章附则第二十七条本制度未尽事宜,按国家有关法律、法规和公司章程的规定执行；如与国家日后颁布的法律、法规或经合法程序修改后的公司章程相抵触时,按国家有关法律、法规和公司章程的规定执行,并及时修订本制度,报董事会审议通过.第二十八条本制度由公司董事会负责解释.第二十九条本制度自公司董事会审议通过之日起实施.有限公司二〇一二年一月十六日。

信息安全与风险评估管理制度第一章总则第一条目的与依据为了确保企业的信息安全，保障企业各类信息的机密性、完整性和可用性，防范和降低信息安全风险，订立本制度。

本制度依据相关法律法规、国家标准和企业实际情况订立。

第二条适用范围本制度适用于企业全体员工，包含本公司全部部门和分支机构。

第三条定义1.信息安全：指信息系统及其相关技术和设施，以及利用这些技术和设施处理、存储、传输和管理的信息，免受未经授权的损害、访问、泄露、干扰、破坏或滥用的状态。

2.信息系统：指由硬件、软件、网络等构成的用于收集、处理、存储、传输和管理信息的系统。

3.信息资产：指有价值的信息及其关联的设备、媒介、系统和网络。

第四条职责1.企业管理负责人应确立信息安全的紧要性，订立信息安全战略，并供应必需的资源支持。

2.相关部门负责人应依据本制度订立相关的细则与操作规范，并监督执行情况。

3.全体员工应遵守信息安全制度，妥当处理信息资产，乐观参加信息安全风险评估活动。

第二章信息安全掌控要求第五条信息资产分类与保护等级评定1.信息资产应依据其紧要性和保密性对其进行分类，并评定相应的保护等级。

2.不同保护等级的信息资产应依照相应等级的掌控要求进行处理和保护。

第六条访问掌控要求1.针对不同角色的员工，应订立相应的访问权限规定，确保信息资产的合理访问。

2.离职、调离或调岗的员工应及时撤销其相应的访问权限。

第七条安全配置要求1.企业信息系统应依照安全配置要求进行设置，包含操作系统、数据库、应用程序等软硬件的安全配置。

2.对于紧要系统和关键设备，应定期进行安全配置检查和更新。

第八条密码安全要求1.强制要求员工使用安全性高的密码，并定期更换密码。

2.禁止员工将密码以明文形式存储或透露给他人。

第九条网络安全要求1.网络设备和传输设备应定期维护，确保其正常运行和安全使用。

2.网络应用程序应遵从安全开发规范，定期对其进行漏洞扫描和修复。

第十条数据备份和恢复要求1.紧要数据应定期备份，并存储在安全可靠的地方。