《内部控制信息系统安全管理制度》讲解了涉密和非涉密计算机信息系统的管理规定,涵盖制度背景、系统管理人员的职责及具体操作要求。本制度首先明确依据《中华人民共和国保守国家秘密法》和保密规定制定该制度,目的是加强信息公司的计算机信息安全与保密管理,同时确保信息系统的正常运行并促进信息化发展。制度强调安全与保密工作结合使用责任和个人领导责任的重要性。第二章定义了三种重要管理角色:系统管理员负责信息和网络系统的维护;安全保密管理员处理信息安全和策略执行;密钥管理员掌管身份认证与密钥管理任务。这些职位必须在经过培训后才可上岗。第三章描述严格的机房管理制度,确保无人干扰、危险物品禁止入内并且有良好的消防配置与日常巡检措施。第四章至第六章细化了各类型管理员的具体职责、流程、操作规程和特殊场景应对方式。特别是系统主机的操作规则和技术支持响应机制,并对关键操作如备份管理和密码策略提出明确规范。第七章制定了应急计划,以便在面对突发情况时能迅速作出反应,最后的附则提供了补充说明。
《内部控制信息系统安全管理制度》适用于各类涉密或非涉密计算机信息系统的企业或组织,尤其是拥有内部敏感数据和技术资产的单位,如同中船信息公司这类需严格执行安全和保密工作的高科技企业或国防相关领域的企业。它为信息安全管理提供了详细的指导方针,保证了从物理安全(例如进入权限控制和机房环境)到逻辑访问的安全(比如用户权限设置及密钥管理和应用)。本文件对于提高企业内部的信息安全性、防范内外部威胁具有重要意义。适用人员包括信息系统的管理人员、安全保密管理者、信息技术人员以及所有接触到或可能涉及到公司信息安全体系的员工。
