2024年4月28日发(作者:)

中国东方航空股份有限公司信息安全管理规定

第一章 总 则

第一条 为了进一步加强中国东方航空股份有限公司(以

下简称“公司”)的信息安全管理,完善信息安全体系,保

护公司的信息资产,依据中华人民共和国有关信息安全法律

以及国际标准,结合行业、公司信息安全建设实际情况,特

制定本规定。

第二条 本规定适用于公司所有信息资产及涉及信息资

产的相关部门。本规定中所称的信息资产包括但不仅限于:

数据库和数据文件、系统文档、用户手册、培训资料、运行

程序、存档信息、应用软件、系统软件、开发工具和实用程

序、计算机、通讯设备、磁介质(磁盘与磁带)、其它技术

基础设备(供电设备、空调设备、防雷设备、消防设备、门

禁设备)、人员、计算服务、通讯服务、网络服务等。

第二章 基本原则

第三条 全员参与原则。公司每位员工都应对维护信息安

全负有相应的责任和义务,具体包括:

(一)所有接触和使用公司信息资产的人员和机构都有

责任保障信息资产的安全。

(二)信息系统的安全由使用信息系统的业务部门、管

理部门以及维护系统的技术单位、部门共同承担,其中业务、

管理部门作为资产的所有者拥有信息资产的管理责任和授

权权利,而维护系统的技术单位、部门通常作为信息资产的

维护者,在各管理部门、业务部门的授权下,承担各应用系

统的管理、维护责任。

(三)各单位、各部门需对所有员工定期进行信息安全

方面的培训,并作为长期进行的制度化工作之一。

第四条 职权分离原则。对角色和责任进行分类时要考虑

互相制衡的机制,使一个岗位的员工无法破坏关键的过程,

如业务操作权限和系统管理权限的分开;超级账号的操作与

系统审计权限的分开;业务申请操作和业务审核操作权限的

分开等;公司各单位各部门应在设定岗位、制定岗位职责说

明书或是具体安排人员时基于此原则,将信息安全职责落实

到具体的岗位中去。

第五条 “双人操作原则”。

对于重要计算机系统、网络

和通信设备及相关区域的岗位,应安排两个拥有类似知识背

景和专业技能的人员共同工作,以降低单个关键人员操作失

误或个人蓄意破坏而导致的风险。

第三章 机构和职责

第六条 公司信息安全委员会是公司信息安全工作的领

导机构,负责贯彻国家有关法律法规,落实上级信息安全机

构的工作要求,研究和决定公司信息安全工作相关事项。信

息安全委员会由各关键业务、生产单位及信息部主管领导组