锐理信息安全管理制度
目录1安全管理制度要求
11总则：为了切实有效的保证公司信息安全，提高信息系统为公司生产经营的服务能力，特制定交互式信息安全管理制度，设定管理部门及专业管理人员对公司整体信息安全进行管理，以确保网络与信息安全。111建立文件化的安全管理制度，安全管理制度文件应包括：a安全岗位管理制度；b系统操作权限管理；c安全培训制度；d用户管理制度；e新服务、新功能安全评估；f用户投诉举报处理；g信息发布审核、合法资质查验和公共信息巡查；h个人电子信息安全保护；i安全事件的监测、报告和应急处置制度；j现行法律、法规、规章、标准和行政审批文件。112安全管理制度应经过管理层批准，并向所有员工宣贯
2机构要求
21法律责任
3人员安全管理
31安全岗位管理制度建立安全岗位管理制度，明确主办人、主要负责人、安全责任人的职责：岗位管理制度应包括保密管理。32关键岗位人员1个人身份核查：2个人履历的核查：3学历、学位、专业资质证明：
f4从事关键岗位所必须的能力322应与关键岗位人员签订保密协议。33安全培训建立安全培训制度，定期对所有工作人员进行信息安全培训，提高全员的信息安全意识，包括：1上岗前的培训；2安全制度及其修订后的培训；3法律、法规的发展保持同步的继续培训。应严格规范人员离岗过程：a及时终止离岗员工的所有访问权限；b关键岗位人员须承诺调离后的保密义务后方可离开；c配合公安机关工作的人员变动应通报公安机关。34人员离岗应严格规范人员离岗过程：a及时终止离岗员工的所有访问权限；b关键岗位人员须承诺调离后的保密义务后方可离开；c配合公安机关工作的人员变动应通报公安机关。
4访问控制管理
41访问管理制度建立包括物理的和逻辑的系统访问权限管理制度。42权限分配按以下原则根据人员职责分配不同的访问权限：a角色分离，如访问请求、访问授权、访问管理；b满足工作需要的最小权限；c未经明确允许，则一律禁止。43特殊权限限制和控制特殊访问权限的分配和使用：a标识出每个系统或程序的特殊权限；b按照“按需使用”、“一事一议”的原则分配特殊权限；c记录特殊权限的授权与使用过程；d特殊访问权限的分配需要管理层的批准。注：特殊权限是系统超级用户、数据库管理等系统管理权限。44权限的检查定期对访问权限进行检查，对特殊访问权限的授权情况应在更频繁的时间间隔内进行检查，如发现不恰当的权限设置，应及时予以调r