企業(yè)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)規(guī)定第一章總則第一條制定目的和依據(jù)為了加強(qiáng)企業(yè)計(jì)算機(jī)信息系統(tǒng)的安全管理,保障企業(yè)信息系統(tǒng)的正常運(yùn)行,維護(hù)國家安全和社會(huì)公共利益,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《信息安全技術(shù)—信息系統(tǒng)安全等級保護(hù)基本要求》等法律法規(guī),制定本規(guī)定。第二條適用范圍本規(guī)定適用于我國境內(nèi)各類企業(yè)的計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作。其他組織和個(gè)人使用企業(yè)計(jì)算機(jī)信息系統(tǒng),亦應(yīng)遵守本規(guī)定。第三條安全保護(hù)原則企業(yè)計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)應(yīng)遵循以下原則:(一)預(yù)防為主,綜合治理;（二）統(tǒng)一領(lǐng)導(dǎo),分級管理;（三)技術(shù)創(chuàng)新,持續(xù)改進(jìn)；(四）安全與業(yè)務(wù)相結(jié)合。第二章組織與管理第四條組織架構(gòu)企業(yè)應(yīng)建立健全計(jì)算機(jī)信息系統(tǒng)安全保護(hù)組織架構(gòu),設(shè)立信息安全管理部門,明確信息安全責(zé)任人和信息安全管理人員。第五條職責(zé)分工(一)企業(yè)法定代表人是企業(yè)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的第一責(zé)任人,對企業(yè)的信息安全工作負(fù)總責(zé);(二)信息安全管理部門負(fù)責(zé)企業(yè)計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作,組織實(shí)施信息安全管理制度、技術(shù)措施和應(yīng)急預(yù)案;（三）其他部門應(yīng)按照職責(zé)分工,協(xié)助信息安全管理部門做好信息安全工作。第六條管理制度企業(yè)應(yīng)建立健全以下計(jì)算機(jī)信息系統(tǒng)安全保護(hù)管理制度:(一)信息安全責(zé)任制;(二)信息安全教育和培訓(xùn)制度;(三)信息安全檢查制度;(四）信息安全事件報(bào)告和應(yīng)急處理制度;（五)信息安全保密制度;(六）信息安全風(fēng)險(xiǎn)評估和整改制度。第三章技術(shù)措施第七條安全防護(hù)措施企業(yè)應(yīng)采取以下技術(shù)措施,保障計(jì)算機(jī)信息系統(tǒng)的安全:(一)防火墻、入侵檢測、安全審計(jì)等技術(shù)手段,防止外部攻擊;(二)數(shù)據(jù)加密、訪問控制、身份認(rèn)證等技術(shù)手段,保障數(shù)據(jù)安全和用戶隱私;（三）定期對計(jì)算機(jī)信息系統(tǒng)進(jìn)行安全檢查和維護(hù),發(fā)現(xiàn)并及時(shí)消除安全隱患;（四）建立數(shù)據(jù)備份和恢復(fù)機(jī)制,保障數(shù)據(jù)完整性和可用性。第八條網(wǎng)絡(luò)安全企業(yè)應(yīng)加強(qiáng)網(wǎng)絡(luò)安全管理,采取以下措施:(一)制定網(wǎng)絡(luò)安全策略,明確網(wǎng)絡(luò)安全要求和措施；(二)定期對網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行檢查和維護(hù);(三）加強(qiáng)對網(wǎng)絡(luò)接入、網(wǎng)絡(luò)流量、網(wǎng)絡(luò)行為的管理和監(jiān)控;（四）建立網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制,及時(shí)處置網(wǎng)絡(luò)安全事件。第九條應(yīng)用安全企業(yè)應(yīng)加強(qiáng)應(yīng)用安全管理,采取以下措施:(一)制定應(yīng)用安全策略,明確應(yīng)用安全要求和措施;(二）對應(yīng)用系統(tǒng)進(jìn)行安全評估,確保應(yīng)用系統(tǒng)安全可靠；（三)定期對應(yīng)用系統(tǒng)進(jìn)行安全檢查和維護(hù);(四）加強(qiáng)對應(yīng)用系統(tǒng)用戶權(quán)限的管理和監(jiān)控。第四章應(yīng)急處理第十條應(yīng)急預(yù)案企業(yè)應(yīng)制定計(jì)算機(jī)信息系統(tǒng)安全應(yīng)急預(yù)案,明確應(yīng)急組織、應(yīng)急流程、應(yīng)急資源等內(nèi)容。第十一條應(yīng)急演練企業(yè)應(yīng)定期組織計(jì)算機(jī)信息系統(tǒng)安全應(yīng)急演練,提高應(yīng)對信息安全事件的能力。第十二條信息安全事件報(bào)告發(fā)生計(jì)算機(jī)信息系統(tǒng)安全事件,企業(yè)應(yīng)及時(shí)向信息安全管理部門報(bào)告,并采取必要措施控制事態(tài)發(fā)展。第十三條應(yīng)急處理信息安全管理部門接到信息安全事件報(bào)告后,應(yīng)立即啟動(dòng)應(yīng)急預(yù)案,組織相關(guān)部門進(jìn)行應(yīng)急處理。第五章法律責(zé)任與獎(jiǎng)勵(lì)第十四條法律責(zé)任違反本規(guī)定,有下列行為之一的,由信息安全管理部門依法予以處理:(一)未經(jīng)授權(quán)訪問計(jì)算機(jī)信息系統(tǒng)的;(二）故意破壞計(jì)算機(jī)信息系統(tǒng)的;（三)泄露計(jì)算機(jī)信息系統(tǒng)安全漏洞的;(四）違反計(jì)算機(jī)信息系統(tǒng)安全保護(hù)管理制度的其他行為。第十五條獎(jiǎng)勵(lì)對在計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作中取得顯著成績的單位和個(gè)人,企業(yè)應(yīng)給予表彰和獎(jiǎng)勵(lì)。第六章附則第十六條解釋權(quán)本規(guī)定的解釋權(quán)歸企業(yè)信息安全管理部門。第十七條實(shí)施日期本規(guī)定自發(fā)布之日起實(shí)施。第十八條其他規(guī)定本規(guī)定未盡事宜,按照國家有關(guān)法律法規(guī)執(zhí)行?？偨Y(jié)本規(guī)定旨在加強(qiáng)企業(yè)計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作,確保企業(yè)信息系統(tǒng)的正常運(yùn)行。企業(yè)應(yīng)認(rèn)真貫徹執(zhí)行本規(guī)定,加