第二十五条 各公司应按照“谁主管、谁负责,谁运营、谁负责,谁使用、谁负责”的原则,明确信息安全各相关方的责任,加强人员管理,强化信息安全意识,全面落实信息安全管理责任制。
第二十六条 各公司应建立健全信息安全监控体系和报告机制,明确风险预警标准,加强信息安全的监控和预警,提高风险防范处置能力。
第二十七条 各公司应按照国家有关规定和监管要求,对信息系统进行安全等级划分,按照安全等级实施信息系统安全等级保护。
第二十八条 各公司应制订重要数据的备份制度和策略,实施有效的数据备份措施,并按照监管部门有关要求,推进信息系统灾难恢复建设工作。
第二十九条 各公司应建立信息系统重大突发事件的应急处理机制,制定应急预案。应急预案要明确启动机制、责任人员、处置流程、具体方案和外部资源,并根据工作实际进行动态调整和定期应急演练,确保应急预案的可操作性。
第三十条 各公司应建立外联网络接入标准和安全规范,明确审批机制、风险评估机制及对应的风险控制措施,加强外联网络的接入管理。对门户网站、电子商务等互联网系统进行统一规划、统一管理,采取必要技术手段和管理措施确保相应信息系统安全。
第三十一条 各公司应加强信息化工作外包服务管理,不得将信息化管理责任外包。应按照监管部门要求,结合外包服务实际需要,制订外包服务的基本规范,确保对信息系统安全的控制能力。
五、发展环境
第三十二条 各公司应结合信息化工作规划实施的需要,制定信息化工作经费预算,并保障信息化工作经费预算的执行,确保信息化建设的正常有效开展。
第三十三条 各公司应根据自身实际并结合信息化工作的特点,合理配备信息技术人员,制定并实施有利于公司可持续发展的信息化人力资源政策,鼓励建立信息技术专业职级体系。
