上海xxx电子商务有限公司
信息安全管理制度
目录
第一章关于信息安全的总述 (2)
第二章信息安全管理的组织架构 (3)
第三章岗位和人员管理 (3)
第四章信息分级与管理 (3)
第五章信息安全管理准则 (4)
第六章信息安全风险评估和审计 (8)
第七章培训 (9)
第八章奖惩 (9)
第九章附则 (9)
第一章关于信息安全的总述
第一条(制度的目的)为了维护公司信息的安全,确保公司不因信息安全问题遭受损失,根据公司章程及相关制度,特制定本制度。
第二条(信息安全的概念)本制度所称的信息安全是指在信息的收集、产生、处理、传递、存储等过程中,做到以下工作:1)确保信息保密,但在经过授权的人员需要得到信息时能够在可以控制的情况下获得信息;2)保证信息完整和不被灭失,但在特定的情况下应当销毁一些不应保存的信息档案;3)保证信息的可用性。
第三条(制度的任务)通过对具体工作中关于信息安全管理的规定,提高全体员工的安全意识,增强公司经营过程中信息的安全保障,最终确保公司所有信息得到有效的安全管理,维护公司利益。
第四条(制度的地位)本制度是公司各级组织制定信息安全的相关措施、标准、规范及实施细则都必须遵守的信息安全管理要求。
第五条(制度的适用范围)全体员工均必须自觉维护公司信息的安全,遵守公司信息安全管理方面的相关规定。一切违反公司信息安全管理规定的组织和员人,均予以追究。
第六条(信息的概念)本制度所称的信息是指一切与公司经营有关情况的反映(或者虽然与公司经营无关,但其产生或存储是发生在公司控制的介质中),它们所反映的情况包括公司的经营状况、财务状况、组织状况等一切内容,其存储的介质包括纸质文件、电子文件甚至是存在员工大脑中。具体来说,包括但不限于下列类型:
1、与公司业务相关的各个业务系统中的信息,如设计文档、源代码、可执行代码、配
置、接口以及相应的数据库和数据库相关备份等;
2、与公司业务相关的各种业务数据,如用户资料、经销商资料、合作伙伴信息、合同、
各业务系统运行时数据、各类统计数据和报表、收入数据等;
3、与公司内部管理相关的各类行政数据,如人事资料、人事组织结构等;
4、与公司财务管理相关的财务类数据,如采购信息、资产信息、财务信息;
5、其他如公司各分子公司和外地办事结构的数据;公司员工对内、对外进行各种书面
的、口头的信息传播行为等。
第七条(信息安全工作的重要性)信息安全管理是公司内部管理的一项重要及长期性的工作,其贯穿整个公司各项业务与各个工作岗位,各个中心和部门必须积极配合该项工作的开展。
第二章信息安全管理的组织架构
第八条公司最高管理层是公司信息安全管理工作的最高领导者,负责全面把握公司信息安全管理工作的方向。
第九条公司CTO以及其领导的技术专家小组作为信息安全管理工作顾问小组,负责指导公司信息安全管理工作。
第十条公司成立专门的信息安全管理工作小组,负责检查信息管理风险、制定安全管理规范、监督公司信息安全管理工作。
第十一条公司人力资源部、法务部、支付运维部及技术专家小组作为信息安全管理辅助执行机构配合信息安全小组工作执行。
第三章岗位和人员管理
第十二条涉及到信息安全的岗位和人员的权责必须清晰明确,建立责任人机制,任何信息都有明确的责任人进行负责。
第十三条加强对机要岗位人员的管理,严格控制机要岗位人员的人事变动,加强日常工作监管。
第十四条定期对员工进行信息安全培训,确保员工了解信息安全存在的威胁和问题,在日常工作中切实遵守信息安全政策。
第四章信息分级与管理
第十五条信息分级依据信息的价值,或者信息在不安全情况下对公司及合作伙伴的直接或潜在影响。
第十六条公司各类经营管理信息均属公司无形资产,都必须按照规定的分级方式进行分级,并明确标注。
第十七条公司为每级信息制定最低安全操作原则,以指导各项具体操作手册的制定和具体信息操作。
第十八条注:详细的信息分级标准,以及最低安全操作原则,见《信息分级和管理标准》。
第五章信息安全管理准则
第一节实体和环境安全
第十九条关键或敏感信息的存放和处理设备需要放在安全的地方,并使用相应的安全防护设备和准入控制手段进行保护,确保这些信息或设备免受未经授权的访问、损害或者干扰。具体措施如下:
1. 存放或处理信息的设备,如服务器、存储设备等,应该放在公司内部机房或专业、
可信的IDC机房内。
2. 存放公司重要信息的IT设备接入网络环境(特别是接入公网环境)必须经过严格的
安全检查,配备符合安全要求的网络设备和安全防范设备,并采取有效的管理措施确保不被入侵或数据泄露。
3. 对于那些不能放在机房里,但又存放有关键或敏感信息的设备,如文件服务器,代
码管理服务器等,必须放在有严格进出限制的房间里,不得放在公共办公区域。
4. 对于存放纸质文件的文件柜和文件室,必须有锁或其他安全控制装置,并指定专人
负责文件取放。
5. 对于纸质文件或可移动存储介质,暂时不用时,需存放在合适的加锁的柜子和/或其
它形式的安全设备中,并且可移动存储介质上的重要文件需要加密保护。
第二十条严格控制进出安全区域的人员,并使用必要的监控设备或手段监视人员在安全区域的行为。具体包括:
1. 安全区域是指为存放关键或敏感信息,以及信息处理设备,而划分出来有进入控制
手段的区域。
2. 内部员工进入安全区域必须经过授权,并登记进入和离开时间。
3. 外来人员在安全区内工作,除需要经过授权外,必须在适当的监视下进行工作。
4. 人员随身携带物品或设备进出安全区域必须经过检查。
第二十一条存放关键或敏感信息的介质或设备离开工作环境(安全区域),运输、携带或在外部使用,需采取保护手段,防止信息窃取和损坏。
第二十二条存放关键或敏感信息的介质或设备,如果不再使用或转作其他用途,应将其中的数据进行彻底销毁。应注意选择数据销毁手段,确保数据真正无法恢复。
第二节操作管理
第二十三条明确所有信息处理操作的流程,明确流程中每个环节的责任,确保信息处理过程安全无误。具体措施如下:
1. 信息处理过程或操作步骤应整理成正式文档,改动处理过程必须得到管理层授权,
操作人员必须按照信息处理的规定程序操作;
2. 信息处理职责划分清晰,并通过访问控制、接触限制机制确定授权人员身份;
3. 定期检查人员权限列表。
第二十四条信息系统必须建立详细的操作规范和要求,并对这些操作规范进行备案,进行定期检查,及时更新操作规范。
第二十五条各信息管理部门应采取有效取防范措施防止和检测恶意软件的入侵信息系统或设备,防范措施必须由安全部门制定或经过安全部门审核。
第二十六条根据信息使用特性建立备份策略和恢复流程,留存一个或多个数据备份,并演练数据恢复流程。
第二十七条信息系统应记录操作日志、事件日志和错误日志,根据信息等级和类型制定日志信息的保存期限,并且在适当的时候可监视设备运行和操作环境情况。
第三节访问控制
第二十八条制定正式流程控制信息系统访问权限与服务使用权限的分配。这些流程应该涉及用户访问生命周期的各个阶段,从初期的新用户注册到用户因不再要求对信息系统和服务进行访问而最终取消注册,定期对用户访问权限进行检查。
第二十九条公司统一建立员工的身份信息库,并为每位员工配备相应身份卡,所有信息必须使用实名访问,除非信息明确标注可被匿名访问或使用其他认证策略。对于纸质文档的借阅、复印等需用身份卡进行实名登记,对于信息系统的访问必须使用统一的用户实名认证。
第三十条信息的逻辑访问权仅应授予合法用户,信息系统应该满足以下要求:
1. 根据已经确定的业务访问控制策略来控制信息系统功能的用户访问权;
2. 防止能够越过系统访问控制措施的实用程序和操作系统软件的非法访问;
3. 不妨害其它与之共享信息资源的系统的安全;
4. 仅能向信息所有者、其它指定的合法个人或定义的用户组提供信息访问。
第四节系统开发和维护
第三十一条新系统和改进系统在建设过程中都应该考虑信息安全的需求,并采取相应的防范措施,包括:
1. 系统包括基础设施、自主开发的业务应用程序和第三方开发的应用程序;
2. 涉及关键或敏感信息的基础设施和自主开发程序的安全设计方案必须经过信息安全
管理组织审核;
3. 从外部采购商用软件或系统需要进行安全评估,需要达到公司信息安全要求。
第三十二条系统开发过程的产物(如设计文档,源代码,算法等)应严格管理,确保无关人员无法接触,并可有效控制这些产物传播范围。
第三十三条对于系统中不可避免需要暴露的敏感信息,必须采取有效措施确保信息不会被无关人员获取或者确保信息不可被非法使用。
第三十四条系统开发过程必须有配套的项目管理工作,以保证相关项目中可能涉及到信息得到有效的管理。
第三十五条系统维护必须做到权限清晰,系统中的重要数据必须指定专人负责数据管。
第三十六条开发、测试和线上环境分开,重要系统的开发、测试和维护职责必须分离。系统开发或变更结束,开发团队应与维护团队进行正式的系统交接工作,并提供必要的技术文档。
第五节信息流转、使用和发布
第三十七条公司信息对外发布由公司负责公共关系及投资者关系的部门统一负责,所有员工应当严格遵守相关部门制定的信息发布政策。
第三十八条采取有效措施保护通过网络传送的关键或敏感信息,具体措施如下:
1、利用公共网络传送信息或进行交易处理,应评估可能的信息风险,确定信息传送的
完整性、机密性、身份鉴别及不可否认性等安全需求,并针对数据传输、网络线路与设备、与外部的网络接口及路由器等事项,采取妥善适当的安全控管措施。
2、开放外界连接的信息系统,应根据数据及系统重要性和价值,采用数据加密、身份
鉴别、电子签名、防火墙及安全漏洞侦测等不同安全类型的技术或措施,防止数据及系统被侵入、破坏、窜改、删除及未经授权的存取。
与外界网络连接的接口,应使用防火墙及其他必要的安全设施,控管外界与公司内部网络的数据传输与资源存取。
4、开放外界连接的信息系统,必要时应以代理服务器等方式提供外界存取数据,避免
外界直接进入信息系统或数据库存取数据。
5、存有关键或敏感信息的系统,应加强安全保护措施,防止关键或敏感信息遭不当或
不法的窃取使用。
6、内部员工之间或内部员工与外部人员发送关键或敏感的信息,必须使用公司信息安
全管理组织指定的传送方式。
第三十九条公司应采取有效措施保护通过邮件传送的关键或敏感数据,具体措施如下:
1、机密性数据以外的敏感性数据及文件,如有电子传送的需要,各部门应是需要以适
当的加密或电子签名等安全技术处理;
2、机密数据原则上不建议使用电子邮件传送。如果业务性质特殊,必须利用电子邮件
或其他电子方式传送机密性数据及文件,应采用公司认可的加密或电子签名等安全技术处理。
第四十条机要信息通过网络传播必须加密,正文和密码必须采取两个以上的通路进行发送。第四十一条为了规避转发带来的信息泄漏风险,机要信息从源到使用环境,禁止通过中间环节进行转发,特殊情况需要经过公司高层批准。
第四十二条严格控制信息使用需求,涉及到关键或敏感的信息必须严格进行审批:
1、对于各类信息的需求方必须明确,需求方的变化必须进行审核,机要信息需求方发
生变化必须得到公司高层批准;
2、信息的使用需求必须明确,使用需求发生变化必须进行审核,机要信息的使用需求
发生变更必须得到公司高层批准。
第四十三条信息使用者必须确保信息使用环境的安全,并在使用完毕后妥善处理信息(视信息类型不同,采取归还、归档或者销毁等操作),在未经授权的情况下不得擅自传播信息。
第四十四条管理信息流转和使用的组织应致力于实现信息流转的程序化和自动化,减少信息流转环节,以及不必要的人为接触,提高信息安全和工作效率。
第六节安全事故和故障处理
第四十五条各个信息系统必须建立事故和故障的应急处理预案,尽量降低事故和故障对公司经营的影响。
第四十六条安全事故汇报,将影响安全的事故通过适当的管理渠道尽快向管理层汇报。
第四十七条安全部门定期发布安全漏洞报告,列举安全漏洞和安全风险,以及可以采取的解决措施,相关部门积极配合改进。
第四十八条安全事故发生后,回顾事故处理过程,分析事故原因,从事故中吸取教训。
第七节业务连续性管理
第四十九条公司重要的业务,特别是重要的IT应用和信息管理系统,必须考虑如何防止业务中断,保证重要业务流程不受重大故障和灾难的影响。
第五十条重要IT系统需要制定和实施连续性计划,内容包括:
1. 确定并认可各项责任和应急程序;
2. 确定执行应急程序可以在规定时间内恢复IT系统;
3. 适当地对员工进行培训,让他们了解包括危机管理在内的应急程序;
4. 应急程序定期演练。
第五十一条业务连续性计划需要定期进行检查、维护,甚至重新分析。
第六章信息安全风险评估和审计
第五十二条信息安全风险评估主要是为了发现公司信息管理的安全漏洞,评估信息安全风险对公司的影响以及提出相应改进的措施。
第五十三条信息安全风险评估主要由公司的安全部门和信息安全管理组织承担,由其制定相关风险评估模型并定期对各系统和流程进行评估。
第五十四条信息安全审计主要是为了审核各级组织和系统是否按照公司相关制度和流程进行信息安全管理。
第五十五条公司根据相关内部审计制度建立信息安全审计制度,各系统和组织、个人必须严格按照安全审计规范执行相关工作,对于关键信息在其生命周期内都需要进行安全审
计。
第五十六条任何涉及到信息安全的各系统和组织必须严格按照公司信息安全审计制度建立具体的可审计机制,任何关键信息的安全管理过程必须是可以被审计的。
第五十七条公司成立安全审计小组,定期审计各系统和组织的信息安全管理工作,各组织和个人必须积极配合公司信息安全审计工作。
第七章培训
第五十八条培训部对新入司员工进行信息安全培训,使新员工明确公司在信息安全方面的基本政策。
第五十九条机要岗位员工上岗前必须接收机要岗位上岗培训(或仪式),使机要岗位人员完全清楚公司机对要岗位的特殊安全要求。
第六十条公司必须不间断地以各种形式进行全体员工的信息安全教育,不断强化全体员工的安全意识。
第六十一条信息拥有组织有义务对信息管理和使用人员进行安全操作培训。
第八章奖惩
第六十二条对于任何违反信息安全管理相关原则和规定的组织和个体,公司依据员工手册将严厉追究其责任。
第六十三条对于为公司信息安全管理做出突出贡献或者提出改进建议的组织和个体,公司将依据其作用进行适当的奖励。
第九章附则
第六十四条本制度由公司信息安全管理小组负责解释及颁布信息安全相关的公司级制度,具体工作所涉及安全管理操作规范和实施细则,由相关职能部门制订后经信息安全管理小组审核,最终由信息安全管理小组颁布实施。
信息安全管理规定 1目的 在遵循集团《计算机信息安全管理制度》原则基础上,为确保公司网络平台、信息系统的正常运行及信息系统中的信息数据安全,防止泄密,针对公司实际情况,制定本管理规定。 2范围 本办法适用于公司全体员工。 3术语定义 3.1 计算机信息:是指存储在计算机相关设备上的应用系统(软件)、数据、文档、图纸等含有一定意义的计算机信息资料。 3.2 内部网络:是指园区网络及通过专线与园区互联的其他园区、驻外机构网络(以下简称内网)。 3.3 外部网络:是指互联网或除互联网和公司内网之外的第三方专网(以下简称外网)。 3.4 VPN:虚拟专用网络(Virtual Private Network,简称VPN),是指在公共网络上建立专用网络的技术,属于远程访问技术,就是利用公网链路架设的虚拟私有网络。 4职责 4.1信息化管理部门:公司信息化管理部门,负责计算机信息安全日常工作,事业部接入级网络交换设备的管理工作,及时向总部信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。 4.2 计算机用户:负责本人领用的办公计算机的日常保养、正常操作及安全管理,负责所接触计算机信息的保密性、可用性和完整性;及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。涉密信息的起草人必须按公司《保密制度》相关规定提出信息密级的定级申请。 5内容与要求 5.1 账号和密码安全管理 5.1.1 信息系统用户账号须严格按照业务信息系统要求进行设置,原则上不得设置成共用账号,以确保使用人与账号的唯一性。 5.1.2 员工申请信息系统账号权限时,所在部门的负责人应严格审核,控制授予满足其工作需要的最小权限;员工岗位或工作内容发生变化后应及时提出申请权限变更,应用系统管理员应及时变更异动员工的权限,冻结离职员工的账号。 5.1.3计算机用户应妥善保管好自己的系统账号密码或身份认证设备,如发现遗失或被盗,应立即向信息化管理部门报告,信息化管理部门应及时处理,确保账号使用的合法性。
信息安全管理机构 1.组织架构 中国文联文艺资源中心为适应单位发展,促进和加强信息化建设,确保信息化网络和设备安全、稳定运行,组织成立了信息化领导小组,信息化领导小组是信息安全管理的最高管理层,单位各相关部门负责日常管理工作。中国文联文艺资源中心员工需遵守相关的管理制度,配合信息安全检查工作。 2.信息安全管理组织结构图 3.信息安全机构管理职责 3.1.信息化领导小组 信息化领导小组的最高领导由单位主管领导委任或授权。成员有:
委员会主任:向云驹 委员会副主任:冉茂金、彭宽 信息化领导小组职责(信息安全领导小组/信息安全工作委员会): (1)负责指导和管理信息化建设和信息安全工作。 (2)负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。 3.2.应急领导小组 信息化领导小组下设应急领导小组。其成员包括: 组长:向云驹 副组长:冉茂金、彭宽 下设领导小组办公室: 下设领导小组办公室:由中国文联文艺资源中心综合部和各业务部门负责人组成。 应急领导小组职责: (1)拟订或者组织拟订中国文联文艺资源中心应对信息安全突发事件的工作规划和应急预案并组织实施。 (2)督促检查各处室应急预案的执行情况,并给予指导。 (3)督促技术部信息安全突发事件监测、预警工作情况,并给予指导。 (4)汇总有关信息安全突发事件的各种重要信息,进行综合分析,并提出建议。(5)监督检查、协调指导技术部及各部门信息安全突发事件预防、应急准备、应急处置和事后恢复与重建工作。 (6)组织制订信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划,并督促落实。
信息安全管理组织机构及岗位职责. 组织机构 1.1 公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。 1.2 信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括: 根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准; 确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。 1.3 信息安全领导小组下设两个工作组: 信息安全工作组、应急处理工作组。组长均由公司负责人担任。 1.4 信息安全工作组的主要职责包括: 1.4.1 贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作 1.4.2 根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 1.4.3 组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行; 1.4.4 负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统 工程建设中的安全规划,监督安全措施的执行 1.4.5 组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全 风险的防范对策; 1.4.6 负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施
1.4.7 及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 1.4.8 跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。 1.5 应急处理工作组的主要职责包括: 1.5.1 审定公司网络与信息系统的安全应急策略及应急预案 1.5.2 决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统; 1.5.3 每年组织对信息安全应急策略和应急预案进行测试和演练。 1.6 公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全技术人员,有条件的应设置信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。 . 关键岗位 2.1 设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员,要求五人各自独立。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。 2.2 系统管理员主要职责有: 2.2.1 负责系统的运行管理,实施系统安全运行细则 2.2.2 严格用户权限管理,维护系统安全正常运行 2.2.3 认真记录系统安全事项,及时向信息安全人员报告安全事件 2.2.4 对进行系统操作的其他人员予以安全监督。 2.3 网络管理员主要职责有: 2.3.1 负责网络的运行管理,实施网络安全策略和安全运行细则 2.3.2 安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
信息安全管理机构及岗位设置
1 总则 1.1 目的 为加强医院信息安全管理工作,保障网络与信息系统的正常运行,依据有关法律、法规及信息安全标准,特制定本制度。 1.2 适用范围 本制度适用于本院的信息安全组织机构和人员职责管理。 2 信息安全领导小组 2.1 本院成立信息安全领导小组,领导小组组长由分管本院信息工作的院长担任。领导小组是信息安全的最高决策机构。 2.2 信息安全领导小组下设信息安全工作组。 2.3 信息安全领导小组的职责主要包括: 1)根据国家和行业有关信息安全的政策、法律和法规,批准医本院信息安全总体决策规划、管理规范和技术标准; 2)确定本院信息安全各有关部门工作职责,指导、监督信息安全工作; 3)审定本院网络与信息系统的安全应急策略及应急预案; 4)决定相应应急预案的启动,负责现场指挥。 3 信息安全工作组 3.1 信息安全工作组组长由医院信息科负责人担任。
3.2信息安全工作组的主要职责包括: 1)贯彻执行医院信息安全领导小组的决议,协调和规范医院信息安全工作; 2)根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 3)组织对信息安全工作制度和技术操作策略的制定,拟订信息安全总体规划,制定近期和远期的安全建设工作计划并监督执行; 4)负责协调、督促各职能部门的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; 5)组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策; 6)采取相应应急措施,组织协调相关人员排除系统故障,恢复系统; 7)负责医院的紧急信息安全事件报告,组织事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 8)及时向信息安全工作领导小组和上级有关部门报告信息安全事件。 9)组织信息安全知识的培训和宣传工作。 10)每年组织对信息安全应急预案进行测试和演练。 4 信息安全人员基本要求 4.1 信息安全管理人员和专(兼)职信息安全技术人员应当政治
一.组织机构 1.公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室, 负责信息安全领导小组的日常事务。 2.信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。 职责主要包括:根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。 3.信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。 组长均由公司负责人担任。 4.信息安全工作组的主要职责包括: 1)贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作; 2)根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落 实; 3)组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安 全总体策略规划,并监督执行; 4)负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统 工程建设中的安全规划,监督安全措施的执行; 5)组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全 风险的防范对策; 6)负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原 因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 7)及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 8)跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。 5.应急处理工作组的主要职责包括: 1)审定公司网络与信息系统的安全应急策略及应急预案; 2)决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障, 恢复系统;
3)每年组织对信息安全应急策略和应急预案进行测试和演练。 6.公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全 技术人员,有条件的应设置信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。 二.关键岗位 1.设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、 应用开发管理员、安全审计员、安全保密管理员,要求五人各自独立。 要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。 2.系统管理员主要职责有: 1)负责系统的运行管理,实施系统安全运行细则; 2)严格用户权限管理,维护系统安全正常运行; 3)认真记录系统安全事项,及时向信息安全人员报告安全事件; 4)对进行系统操作的其他人员予以安全监督。 3.网络管理员主要职责有: 1)负责网络的运行管理,实施网络安全策略和安全运行细则; 2)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运 行; 3)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向 信息安全人员报告安全事件; 4)对操作网络管理功能的其他人员进行安全监督。 4.应用开发管理员主要职责有: 1)负责在系统开发建设中,严格执行系统安全策略,保证系统安全功能的 准确实现; 2)系统投产运行前,完整移交系统相关的安全策略等资料; 3)不得对系统设置“后门”; 4)对系统核心技术保密等。 5.安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计 和监督,主要职能包括:
1 总则 1.1 目的 为加强医院信息安全管理工作,保障网络与信息系统的正常运行,依据有关法律、法规及信息安全标准,特制定本制度。 1.2 适用范围 本制度适用于本院的信息安全组织机构和人员职责管理。 2 信息安全领导小组 2.1 本院成立信息安全领导小组,领导小组组长由分管本院信息工作的院长担任。领导小组是信息安全的最高决策机构。 2.2 信息安全领导小组下设信息安全工作组。 2.3 信息安全领导小组的职责主要包括: 1)根据国家和行业有关信息安全的政策、法律和法规,批准医本院信息安全总体决策规划、管理规范和技术标准; 2)确定本院信息安全各有关部门工作职责,指导、监督信息安全工作; 3)审定本院网络与信息系统的安全应急策略及应急预案; 4)决定相应应急预案的启动,负责现场指挥。 3 信息安全工作组 3.1 信息安全工作组组长由医院信息科负责人担任。 3.2信息安全工作组的主要职责包括: 1)贯彻执行医院信息安全领导小组的决议,协调和规范医院信息安全工作;
2)根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 3)组织对信息安全工作制度和技术操作策略的制定,拟订信息安全总体规划,制定近期和远期的安全建设工作计划并监督执行; 4)负责协调、督促各职能部门的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; 5)组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策; 6)采取相应应急措施,组织协调相关人员排除系统故障,恢复系统; 7)负责医院的紧急信息安全事件报告,组织事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 8)及时向信息安全工作领导小组和上级有关部门报告信息安全事件。 9)组织信息安全知识的培训和宣传工作。 10)每年组织对信息安全应急预案进行测试和演练。 4 信息安全人员基本要求 4.1 信息安全管理人员和专(兼)职信息安全技术人员应当政治可靠、业务素质高、遵纪守法、恪尽职守。 4.2信息安全管理人应有计算机专业工作三年以上经历,具备专科以上学历。 4.3违反国家法律、法规和行业规章受到处罚的人员,不得从事信息安全管理与技术工作。 5 信息安全人员管理 5.1 信息安全人员的配备和变更情况,应向分管院长报告、备案。
企业网络与信息安全管理组织构架 公司成立信息安全领导小组,是信息安全的最高决策机构,下设负责信息安全领导小组的日常事务。 二、信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括: 1.根据国家和行业有关信息安全的政策、法律和法规; 2.批准公司信息安全总体策略规划、管理规范和技术标准; 3.确定公司信息安全有关部门工作职责,指导、监督信息安全工作。 二、信息安全领导小组下设两个工作组: 1.信息安全工作组于海峰负责、 2.应急处理工作组张会负责。 3.组长均由公司负责人郑建国担任。 三、信息安全工作组的主要职责包括: 1.贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作; 2.根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 3.组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行; 4.负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; 5.组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;
6.负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 7.及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 8.跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。 四、应急处理工作组的主要职责包括: 1.审定公司网络与信息系统的安全应急策略及应急预案; 2.决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统; 3.每年组织对信息安全应急策略和应急预案进行测试和演练。 五、公司指定分管信息的领导负责本单位信息安全管理,并配备信息安全相关人员对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。 面对强大的对手,明知不敌,也要毅然亮剑,即使倒下,也要化成一座山
一.组织机构 1.1公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。 1.2信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括: 根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准; 确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。 1.3信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。组长均由公司负责人担任。 1.4信息安全工作组的主要职责包括: 1.4.1贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作; 1.4.2根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 1.4.3组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行; 1.4.4负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; 1.4.5组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策; 1.4.6负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 1.4.7及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 1.4.8跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。 1.5应急处理工作组的主要职责包括: 1.5.1审定公司网络与信息系统的安全应急策略及应急预案; 1.5.2决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统; 1.5.3每年组织对信息安全应急策略和应急预案进行测试和演练。
信息安全管理组织机构设置及工作职责 一.组织机构 1.1公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。 1.2信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括: 根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准; 确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。 1.3信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。组长均由公司负责人担任。 1.4信息安全工作组的主要职责包括: 1.4.1贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作; 1.4.2根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 1.4.3组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行; 1.4.4负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; 1.4.5组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策; 1.4.6负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 1.4.7及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 1.4.8跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。 1.5应急处理工作组的主要职责包括:
1.5.1审定公司网络与信息系统的安全应急策略及应急预案; 1.5.2决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统; 1.5.3每年组织对信息安全应急策略和应急预案进行测试和演练。 1.6公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全技术人员,有条件的应设置信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。 二.关键岗位及职责 2.1设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员,要求五人各自独立。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。 2.2系统管理员主要职责有: 2.2.1负责系统的运行管理,实施系统安全运行细则; 2.2.2严格用户权限管理,维护系统安全正常运行; 2.2.3认真记录系统安全事项,及时向信息安全人员报告安全事件; 2.2.4对进行系统操作的其他人员予以安全监督。 2.3网络管理员主要职责有: 2.3.1负责网络的运行管理,实施网络安全策略和安全运行细则; 2.3.2安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行; 2.3.3监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件; 2.3.4对操作网络管理功能的其他人员进行安全监督。 2.4应用开发管理员主要职责有: 2.4.1负责在系统开发建设中,严格执行系统安全策略,保证系统安全功能的准确实现; 2.4.2系统投产运行前,完整移交系统相关的安全策略等资料; 2.4.3不得对系统设置“后门”; 2.4.4对系统核心技术保密等。
网络与信息安全管理组织机构设置及工作职责 1:总则 1.1为规范北京爱迪通联科技有限公司(以下简称“公司”)信息安全管理工作,建立自上而下的信息安全工作管理体系,需建立健全相应的组织管理体系,以推动信息安全工作的开展。 2:范围 本管理办法适用于公司的信息安全组织机构和重要岗位的管理。 3:规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的应用文件,其随后的所有的修改单或修订版均不适用于本标准(不包括勘误、通知单),然而,鼓励根据本标准达成协议的各方研究是否可以使用这些文件的最新版本。凡未注日期的引用文件,其最新版本适用于本标准 《信息安全技术信息系统安全保障评估框架》(GB/T 20274.1-2006) 《信息安全技术信息系统安全管理要求》(GB/T 20269-2006) 《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008) 4:组织机构 4.1 公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。 4.2 信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括: 根据国家和行业有关信息安全的策略、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准; 确定公司信息安全各有关部门工作职责,知道、监督信息安全工作。 4.3 信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。组长均由公司负责人担任。 4.4信息安全工作组的主要职责包括: 4.4.1 贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作; 4.4.2 根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 4.4.3 组织对重大的信息安全工作制度和技术操作策略进行审查,拟定信息安全总体策略规划,并监督执行;
信息安全组织机构管理制度 第一章总则 第一条为加强信息安全管理,明确信息安全责任,保障信息化建设的稳步发展,特制定本制度。 第二章机构设置 第二条由单位主管信息化工作和保密工作的领导牵头,组织与信息安全相关的各部门负责人,成立信息安全领导机构,统筹管理信息安全相关工作。 第三条信息安全领导机构下设政府信息安全检查工作、网络信息安全检查工作、信息安全应急响应工作、信息系统安全等级(分级)保护工作、信息安全风险评估工作、信息安全保密工作等6 个专项工作小组,分别负责信息安全各领域相关工作。 第四条成立信息安全领导机构,完成以下岗位和成员的设置。 信息安全领导机构:组长、副组长、成员。 第五条成立政府信息安全检查工作小组,完成以下岗 位和成员的设置政府信息安全检查工作小组:组长、副组长、成员
第六条成立互联网信息安全检查工作小组,完成以下岗位和成员的设置。 互联网信息安全检查工作小组:组长、副组长、成员。 第七条成立内网信息安全检查工作小组,完成以下岗位和成员的设置。 内网信息安全检查工作小组:组长、副组长、成员。第八条成立信息安全应急响应工作小组,完成以下岗位和成员的设置。 信息安全应急响应工作小组:组长、副组长、成员。第九条成立信息系统安全等级(分级)保护工作小组,并完成以下岗位和成员的设置。 信息系统安全等级(分级)保护工作小组:组长、副组长、成员。 第十条成立信息安全风险评估工作小组,完成以下岗位和成员的设置。 信息安全风险评估工作小组:组长、副组长、成员。第十一条成立信息安全保密工作小组,完成以下岗位和成员的设置。 信息安全保密工作小组:组长、副组长、成员。 第四章工作职责
第六章信息安全管理 第一节信息安全管理概述 一、信息安全管理的内容 1、什么信息安全管理? 通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源,以期有效达到组织信息安全目标的活动。 2、信息安全管理的主要活动 制定信息安全目标和寻找实现目标的途径; 建设信息安全组织机构,设置岗位、配置人员并分配职责; 实施信息安全风险评估和管理;制定并实施信息安全策略; 为实现信息安全目标提供资源并实施管理; 信息安全的教育与培训;信息安全事故管理;信息安全的持续改进。 3、信息安全管理的基本任务 (1)组织机构建设(2)风险评估(3)信息安全策略的制定和实施 (4)信息安全工程项目管理(5)资源管理 ◆(1)组织机构建设 ★组织应建立专门信息安全组织机构,负责: ①确定信息安全要求和目标;②制定实现信息安全目标的时间表和预算 ③建立各级信息安全组织机构和设置相应岗位④分配相应职责和建立奖惩制度 ⑤提出信息安全年度预算,并监督预算的执行⑥组织实施信息安全风险评估并监督检查 ⑦组织制定和实施信息安全策略,并对其有效性和效果进行监督检查 ⑧组织实施信息安全工程项目⑨信息安全事件的调查和处理 ⑩组织实施信息安全教育培训⑾组织信息安全审核和持续改进工作 ★组织应设立信息安全总负责人岗位,负责: ①向组织最高管理者负责并报告工作②执行信息安全组织机构的决定 ③提出信息安全年度工作计划④总协调、联络 ◆(2)风险评估 ★信息系统的安全风险 信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。 ★信息安全风险评估 是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程 它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。 ★信息系统安全风险评估的总体目标是: 服务于国家信息化发展,促进信息安全保障体系的建设,提高信息系统的安全保护能力。★信息系统安全风险评估的目的是: 认清信息安全环境、信息安全状况;有助于达成共识,明确责任;采取或完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性。 ★信息安全风险评估的基本要素 使命:一个单位通过信息化实现的工作任务。 依赖度:一个单位的使命对信息系统和信息的依靠程度。
信息安全管理组织机构设置及工作职责 文稿归稿存档编号:[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-
信息安全管理组织机构设置及工作职责 一.组织机构 1.1公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。 1.2信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括: 根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准; 确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。 1.3信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。组长均由公司负责人担任。 1.4信息安全工作组的主要职责包括: 1.4.1贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作; 1.4.2根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 1.4.3组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行; 1.4.4负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; 1.4.5组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策; 1.4.6负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;
1.4.7及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 1.4.8跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。 1.5应急处理工作组的主要职责包括: 1.5.1审定公司网络与信息系统的安全应急策略及应急预案; 1.5.2决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统; 1.5.3每年组织对信息安全应急策略和应急预案进行测试和演练。 1.6公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全技术人员,有条件的应设置信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。 二.关键岗位及职责 2.1设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员,要求五人各自独立。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。 2.2系统管理员主要职责有: 2.2.1负责系统的运行管理,实施系统安全运行细则; 2.2.2严格用户权限管理,维护系统安全正常运行; 2.2.3认真记录系统安全事项,及时向信息安全人员报告安全事件; 2.2.4对进行系统操作的其他人员予以安全监督。 2.3网络管理员主要职责有: 2.3.1负责网络的运行管理,实施网络安全策略和安全运行细则; 2.3.2安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
XXXX医院信息安全管理组织机构及岗位职责 为规范我院信息安全管理工作,建立信息安全工作管理体系,需建立健全相应的组织管理体系,以推动医院信息安全工作的开展。 1、我院的医院信息化工作领导小组,是信息安全的最高决策机构,日常机构设立在医院微机中心,负责信息安全的日常事务。 2、信息化工作领导小组负责研究重大事件,落实方针政策和制定总体策略等。主要职责: 根据国家和行业有关信息安全的政策、法律和法规,批准医院信息化安全总体策略规划、管理规范和技术标准; 确定医院信息安全各有关部门工作职责,指导、监督信息安全工作。 3、微机中心具体负责医院信息安全工作和应急处理工作,主要工作包括:执行医院信息化工作领导小组的决议,协调和规范医院信息安全工作; 根据信息化工作领导小组的工作部署,对信息安全工作进行具体安排、落实;组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行; 负责协调、督促各职能部门和相关科室的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; 组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策; 负责接受各部门的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 及时向信息安全工作领导小组和上级有关部门报告信息安全事件。 组织信息安全知识的培训和宣传工作。 决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统;
定期组织对信息安全应急策略和应急预案进行测试和演练。 4、设置信息系统的关键岗位并加强管理。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。 系统管理员主要职责有: 负责系统的运行管理,实施系统安全运行细则; 严格用户权限管理,维护系统安全正常运行; 认真记录系统安全事项,及时向信息安全人员报告安全事件; 对进行系统操作的其他人员予以安全监督。 网络管理员主要职责有: 负责网络的运行管理,实施网络安全策略和安全运行细则; 安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行; 监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件; 对操作网络管理功能的其他人员进行安全监督。 向应急管理机构和领导机构报告重大的网络安全事件等。 本办法由医院信息化工作领导小组负责解释。 本办法自发布之日起施行。
**公司信息安全管理制度 一、信息安全指导方针 保障信息安全,创造用户价值,切实推行安全管理,积极预防风险,完善控制措施,信息安全,人人有责,不断提高顾客满意度。 二、计算机设备管理制度 1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2、非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。 3、严格遵守计算机设备使用、开机、关机等安全操作规程与正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。 三、操作员安全管理制度 (一)操作代码就是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码与一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置; (二)系统管理操作代码的设置与管理 1、系统管理操作代码必须经过经营管理者授权取得;
2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成与维护,负责故障恢复等管理及维护; 3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权; 4、系统管理员不得使用她人操作代码进行业务操作; 5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; (三)一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。 2、操作员不得使用她人代码进行业务操作。 3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。 四、密码与权限管理制度 1、密码设置应具有安全性、保密性,不能使用简单的代码与标记。密码就是保护系统与数据安全的控制代码,也就是保护用户自身权益的控制代码。密码分设为用户密码与操作密码,用户密码就是登陆系统时所设的密码,操作密码就是进入各应用系统的操作员密码。密码设置不应就是名字、生日,重复、顺序、规律数字等容易猜测的数字与字符串; 2、密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户
网络与信息安全管理组织机构设置及工作职责 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
网络与信息安全管理组织机构设置及工作职责 1:总则 为规范北京爱迪通联科技有限公司(以下简称“公司”)信息安全管理工作,建立自上而下的信息安全工作管理体系,需建立健全相应的组织管理体系,以推动信息安全工作的开展。 2:范围 本管理办法适用于公司的信息安全组织机构和重要岗位的管理。 3:规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的应用文件,其随后的所有的修改单或修订版均不适用于本标准(不包括勘误、通知单),然而,鼓励根据本标准达成协议的各方研究是否可以使用这些文件的最新版本。凡未注日期的引用文件,其最新版本适用于本标准 《信息安全技术信息系统安全保障评估框架》(GB/T ) 《信息安全技术信息系统安全管理要求》(GB/T 20269-2006) 《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008) 4:组织机构 公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。 信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括: 根据国家和行业有关信息安全的策略、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准; 确定公司信息安全各有关部门工作职责,知道、监督信息安全工作。 4.3 信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。组长均由公司负责人担任。 信息安全工作组的主要职责包括: 贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作; 根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 组织对重大的信息安全工作制度和技术操作策略进行审查,拟定信息安全总体策略规划,并监督执行; 负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; 组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策; 负责接收各单位的紧急信息安全事件报告,组织进行时间调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全时间防范措施; 及时向信息安全工作领导小组和上级有关部门、单位报告信息安全时间。 跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。 应急处理工作组的主要职责包括: 审定公司网络与信息系统的安全应急策略及应急预案; 决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统; 每年组织对信息安全应急策略和应急预案进行测试和演练。
信息安全管理组织机构设置及工作职责 一、组织机构 1、1公司成立信息安全领导小组,就是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。 1、2信息安全领导小组负责研究重大事件,落实方针政策与制定总体策略等。职责主要包括: 根据国家与行业有关信息安全的政策、法律与法规,批准公司信息安全总体策略规划、管理规范与技术标准; 确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。 1、3信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。组长均由公司负责人担任。 1、4信息安全工作组的主要职责包括: 1.4.1贯彻执行公司信息安全领导小组的决议,协调与规范公司信息安全工作; 1.4.2根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 1.4.3组织对重大的信息安全工作制度与技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行; 1.4.4负责协调、督促各职能部门与有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; 1.4.5组织信息安全工作检查,分析信息安全总体状况,提出分析报告与安 全风险的防范对策; 1.4.6负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析 原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 1.4.7及时向信息安全工作领导小组与上级有关部门、单位报告信息安全事件。 1.4.8跟踪先进的信息安全技术,组织信息安全知识的培训与宣传工作。 1、5应急处理工作组的主要职责包括:
1.5.1审定公司网络与信息系统的安全应急策略及应急预案; 1.5.2决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统; 1.5.3每年组织对信息安全应急策略与应急预案进行测试与演练。 1、6公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全技术人员,有条件的应设置信息安全工作小组或办公室,对公司信息安全领导小组与工作小组负责,落实本单位信息安全工作与应急处理工作。 二、关键岗位及职责 2、1设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员,要求五人各自独立。要害岗位人员必须严格遵守保密法规与有关信息安全管理规定。 2、2系统管理员主要职责有: 2.2.1负责系统的运行管理,实施系统安全运行细则; 2.2.2严格用户权限管理,维护系统安全正常运行; 2.2.3认真记录系统安全事项,及时向信息安全人员报告安全事件; 2.2.4对进行系统操作的其她人员予以安全监督。 2、3网络管理员主要职责有: 2.3.1负责网络的运行管理,实施网络安全策略与安全运行细则; 2.3.2安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行; 2.3.3监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件; 2.3.4对操作网络管理功能的其她人员进行安全监督。 2、4应用开发管理员主要职责有: 2.4.1负责在系统开发建设中,严格执行系统安全策略,保证系统安全功能的准确实现; 2.4.2系统投产运行前,完整移交系统相关的安全策略等资料; 2.4.3不得对系统设置“后门”; 2.4.4对系统核心技术保密等。
企业网络与信息安全管理组织架构 1 总则 1.1为规范牡丹江红甘果科技有限公司(以下简称“公司”)信息安全管理工作,建立自上而下的信息安全工作管理体系,需建立健全相应的组织管理体系,以推动信息安全工作的开展。 2 范围 本管理办法适用于公司的信息安全组织机构和重要岗位的管理。 3 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用文件,其随后所有的修改单或修订版均不适用于本标准(不包括勘误、通知单),然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未注日期的引用文件,其最新版本适用于本标准 《信息安全技术信息系统安全保障评估框架》(GB/T 20274.1-2006) 《信息安全技术信息系统安全管理要求》(GB/T 20269-2006 ) 《信息安全技术信息系统安全等级保护基本要求》(GBT 22239-2008) 4组织机构 4.1公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。 4.2信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括: 根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准; 确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。 4.3信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。组长均由公司负责人担任。 4.4信息安全工作组的主要职责包括: 4.4.1贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作;
4.4.2根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 4.4.3组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行; 4.4.4负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; 4.4.5组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策; 4.4.6负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 4.4.7及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 4.4.8跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。 4.5应急处理工作组的主要职责包括: 4.5.1审定公司网络与信息系统的安全应急策略及应急预案; 4.5.2决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统; 4.5.3每年组织对信息安全应急策略和应急预案进行测试和演练。 4.6公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全技术人员,有条件的应设置信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。 5 关键岗位 5.1设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员,要求五人各自独立。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。 5.2系统管理员主要职责有: 5.2.1负责系统的运行管理,实施系统安全运行细则; 5.2.2严格用户权限管理,维护系统安全正常运行; 5.2.3认真记录系统安全事项,及时向信息安全人员报告安全事件;