《IT部信息和数据资产安全管理规定》讲解了制定该制度的目的、涵盖的计算机信息系统范围及安全保密工作的基本原则,旨在根据具体业务特点保护计算机系统尤其是涉密系统的安全性。规定详细描述了涉及涉密与非涉密信息管理的原则和目标:积极防范重点确保信息安全,并便于业务开展,明确由主要领导负责制确保“谁使用谁负责”。对于系统管理人员,《IT部信息和数据资产安全管理规定》描述了三类人员——系统管理员、安全保密管理员和密钥管理员各自的职能分工及其职责范畴。在机房管理制度方面,强调了对易燃易爆物品禁带、消防安全设备配置、环境清洁的要求,出入管控严格,需经过门禁授权才能进入;而《IT部信息和数据资产安全管理规定》还进一步规范了系统主机的维护细则,包含系统安装调试、建立账户体系和访问权限、硬件设备档案记录等,并定期进行密码更新、系统性能分析、日志策略及数据备份、最新补丁下载与安装等工作。
《IT部信息和数据资产安全管理规定》适用于各类具有信息技术资源的企业,特别是有大量需要安全保护的数据和信息系统的大中型企业集团或拥有涉密计算机信息系统的组织。它为那些面临信息技术资源安全保障挑战的企业提供了指导方针,不仅针对XX集团这样的大型企业及其子公司,还包括任何涉及到数据和信息安全管理工作的地方。本文件尤其有助于那些正在努力遵守相关法律法规和技术标准的信息技术管理部门以及相关从业人员了解如何正确地管理和保护计算机网络和信息系统,同时保证正常业务流程顺利开展。
