人员离岗离职信息安全管理规定
为规范本单位计算机信息安全工作,更好的服务于本单位信息化建设需要,特制定本规定:第一条为保证本单位的计算机与网络信息安全,适应信息安全等方面的需要,防止计算机网络失密泄密事件发生,特制定本制度;第二条工作人员离职之后仍对其在任职期间接触、知悉的属于本单位或者虽属于第三方但本单位承诺或负有保密义务的秘密信息,承担如同任职期间一样的保密义务和不擅自使用的义务,直至该秘密信息成为公开信息,而无论离职人员因何种原因离职。第三条离职人员因职务上的需要所持有或保管的一切记录着本单位秘密信息的文件、资料、图表、笔记、报告、信件、传真、磁带、磁盘、仪器以及其他任何形式的载体,均归本单位所有,而无论这些秘密信息有无商业上的价值。第四条离职人员应当于离职时,或者于本单位提出请求时,返还全部属于本单位的财物,包括记载着本单位秘密信息的一切载体。若记录着秘密信息的载体是由离职人员自备的,则视为离职人员已同意将这些载体物的所有权转让给本单位,本单位应当在离职人员返还这些载体时,给予离职人员相当于载体本身价值的经济补偿;但秘密信息可以从载体上消除或复制出来时,可以由本单位将秘密信息复制到本单位享有所有权的其他载体上,并把原载体上的秘密信息消除,此种情况下离职人员无须将载体返还,本单位也无须给予离职人员
经济补偿。第五条离职人员离职时,应将工作时使用的电脑、u盘及其他一切存储设备中关于工作相关或与本单位有利益关系的信息、文件等内容交接给本单位相关人员,不得在离职后以任何形式带走相关信息。
xxxxxxxxxxx
年月日
信息安全事故管理办法 第一章总则 第一条目的:为加强公司信息系统安全事故的管理,提高信息系统安全事故管理的制度化、规范化水平,及时掌握全行网络和信息系统安全状况,为协调组织相关力量进行信息系统安全事故的应急响应处理奠定基础,降低信息安全事故带来的损失和影响,保障全行网络和信息系统安全稳定运行,特订定本管理办法。 第二条依据:本管理办法根据《公司信息安全管理策略》制订。 第三条范围:本办法适用于全公司信息系统。 第四条定义:信息安全事故是指对任何信息技术资源合法使用、操作造成威胁的事件,或对信息技术资源具有潜在危险的任何一种情况。 第五条总部DXC负责信息安全事故的接报、汇总、通报和处置工作。DXC 安全科负责人为信息安全事故协调员,并指定代理信息安全事故协调员。 第二章信息安全事故的范围 第六条公司信息安全事故包括,但不限于: (一)系统感染计算机病毒。 (二)公司网络遭遇外部入侵或攻击。 (三)内部人员利用公司网络进行破坏。 (四)信息系统敏感数据泄露或失窃。 (五)公司数据处理设备失窃。
第七条符合以下条件之一的信息安全事故必须报告: (一)导致计算机信息系统中断或运行不正常超过4小时。 (二)造成直接经济损失超过100万元。 (三)严重威胁公司资金、信誉安全。 (四)因计算机安全事故造成公司不能正常运营,且影响范围超过一个县级行政区域。 第三章信息安全事故的监控和处理 第八条安全事故管理分为安全事故监控和安全事故处理。安全事故监控完成对安全事故迹象的检测和分析,发现和报告安全事故的存在。安全事故处理是对被发现的安全事故的响应处理过程,包括四个主要阶段:控制、证据收集、根除与恢复以及事后分析。 第九条安全事故监控包括信息安全事故监测、预测和预警,应按照“早发现、早报告、早处置”的原则,加强对各类信息安全事故和可能引发信息安全事故的有关信息的收集、分析判断和持续监测。 第十条员工发现公司发生信息安全事故后,需向信息安全事故协调员报告,确认故障情况,确认故障处理时间,准确定性故障级别,如果不能联系上信息安全事故协调员,则向代理信息安全事故协调员报告。 第十一条生产运行环境出现的安全事故按照《信息系统应急预案》执行。 第十二条信息安全事故协调员接到报告后,需立即采取措施控制事态,如断开受病毒感染的系统的网络连接,及时通知DXC安全科和用户部门负责人,协调控制事件的影响。保留相关的防火墙、路由器、入侵检测系统、操作和应
信息工作管理制度 第一章总则 第一条为了加强信息管理,规范信息安全操作行为,提高信息安全保障能力和水平,维护信息安全,促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等规定,以《环境信息网络管理维护规范》(环保部制定)等标准为基本管理操作准则,制订本管理制度。 第二条本制度适用范围为信息与监控中心,其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员(包括监控与信息中心技术人员及机关业务系统管理人员)、机房运维人员(包括外包机构人员),应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 (一)系统管理员 系统管理员是从事服务器及存储设备运行管理的人
员,业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立,正式运行后的服务器系统软硬件操作的监管,执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 (二)业务管理员(业务联系人) 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员,业务上应具备业务系统安装及基本调试操作的能力(业务软件厂家负责培训),业务系统及部署操作系统故障分析的能力,预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 (三)网络管理员
信息安全管理制度 目录 1.安全管理制度要求 1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度; b)系统操作权限管理; c)安全培训制度; d)用户管理制度; e)新服务、新功能安全评估; f)用户投诉举报处理; g)信息发布审核、合法资质查验和公共信息巡查; h)个人电子信息安全保护; i)安全事件的监测、报告和应急处置制度; j)现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1 法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1 安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2 关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查: 2.个人履历的核查: 3.学历、学位、专业资质证明: 4.从事关键岗位所必须的能力 3.2.2 应与关键岗位人员签订保密协议。 3.3 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括: 1.上岗前的培训; 2.安全制度及其修订后的培训; 3.法律、法规的发展保持同步的继续培训。 应严格规范人员离岗过程: a)及时终止离岗员工的所有访问权限; b)关键岗位人员须承诺调离后的保密义务后方可离开; c)配合公安机关工作的人员变动应通报公安机关。
安全事件报告和处置管理制度 文号:版本号: 编制:审核:批准: 一、目的 提高处置网络与信息安全突发公共事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网络与信息安全突发公共事件的危害,保障国家和人民生命财产的安全,保护公众利益,维护正常的政治、经济和社会秩序。 二、适用范围 本预案适用于本局发生的网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件的应对工作。 本预案启动后,本局其它网络与信息安全应急预案与本预案相冲突的,按照本预案执行;法律、法规和规章另有规定的从其规定。 三、职责 本预案由局信中心制订,报局领导批准后实施。局有关部门应根据本预案,制定部门网络与信息安全应急预案,并报局信息中心备案。 结合信息网络快速发展和我局经济社会发展状况,配合相关法律法规的制定、修改和完善,适时修订本预案。 本预案自印发之日起实施。 四、要求 1. 工作原则 预防为主:立足安全防护,加强预警,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统,从预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑网络与信息安全保障体系。 快速反应:在网络与信息安全突发公共事件发生时,按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。 以人为本:把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务,及时采取措施,最大限度地避免公民财产遭受损失。
分级负责:按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”以及“条块结合,以条为主”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强部门间、地局间的协调与配合,形成合力,共同履行应急处置工作的管理职责。 常备不懈:加强技术储备,规范应急处置措施与操作流程,定期进行预案演练,确保应急预案切实有效,实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。 2 组织指挥机构与职责 发生网络与信息安全突发公共事件后,应成立局网络与信息安全应急协调小组(以下简称局协调小组),为本局网络与信息安全应急处置的组织协调机构,负责领导、协调全局网络与信息安全突发公共事件的应急处置工作。局网络与信息安全协调小组下设办公室(以下简称局协调小组办公室),负责日常工作和综合协调,并与公安网监部门进行联系。 3 先期处置 (1)当发生网络与信息安全突发公共事件时,事发部门应做好先期应急处置工作,立即采取措施控制事态,同时向相关局级主管部门通报。 (2)网络与信息安全事件分为四级:特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)。 (3)局级主管部门在接到本系统网络与信息安全突发公共事件发生或可能发生的信息后,应加强与有关方面的联系,掌握最新发展态势。对Ⅲ级或Ⅳ级的网络与信息安全突发公共事件,由该局级主管部门自行负责应急处置工作。对有可能演变为Ⅱ级或Ⅰ级的网络与信息安全突发公共事件,要为局协调小组处置工作提出建议方案,并作好启动本预案的各项准备工作。局级主管部门要根据网络与信息安全突发公共事件发展态势,视情况决定赶赴现场指导、组织派遣应急支援力量,支持事发部门做好应急处置工作。 4 应急处置 4.1 应急指挥 本预案启动后,根据局协调小组会议的部署,担任总指挥的领导和参与指挥的领导迅速赶赴相应的指挥平台,进入指挥岗位,启动指挥系统。相关联动部门按照本预案确定的有关职责立即开展工作。
信息安全管理规定 1目的 在遵循集团《计算机信息安全管理制度》原则基础上,为确保公司网络平台、信息系统的正常运行及信息系统中的信息数据安全,防止泄密,针对公司实际情况,制定本管理规定。 2范围 本办法适用于公司全体员工。 3术语定义 3.1 计算机信息:是指存储在计算机相关设备上的应用系统(软件)、数据、文档、图纸等含有一定意义的计算机信息资料。 3.2 内部网络:是指园区网络及通过专线与园区互联的其他园区、驻外机构网络(以下简称内网)。 3.3 外部网络:是指互联网或除互联网和公司内网之外的第三方专网(以下简称外网)。 3.4 VPN:虚拟专用网络(Virtual Private Network,简称VPN),是指在公共网络上建立专用网络的技术,属于远程访问技术,就是利用公网链路架设的虚拟私有网络。 4职责 4.1信息化管理部门:公司信息化管理部门,负责计算机信息安全日常工作,事业部接入级网络交换设备的管理工作,及时向总部信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。 4.2 计算机用户:负责本人领用的办公计算机的日常保养、正常操作及安全管理,负责所接触计算机信息的保密性、可用性和完整性;及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。涉密信息的起草人必须按公司《保密制度》相关规定提出信息密级的定级申请。 5内容与要求 5.1 账号和密码安全管理 5.1.1 信息系统用户账号须严格按照业务信息系统要求进行设置,原则上不得设置成共用账号,以确保使用人与账号的唯一性。 5.1.2 员工申请信息系统账号权限时,所在部门的负责人应严格审核,控制授予满足其工作需要的最小权限;员工岗位或工作内容发生变化后应及时提出申请权限变更,应用系统管理员应及时变更异动员工的权限,冻结离职员工的账号。 5.1.3计算机用户应妥善保管好自己的系统账号密码或身份认证设备,如发现遗失或被盗,应立即向信息化管理部门报告,信息化管理部门应及时处理,确保账号使用的合法性。
十八、信息安全管理制度 一、计算机安全管理 1、医院计算机操作人员必须按照计算机正确的使用方法操作计算机系统。严禁暴力使用计算机或蓄意破坏计算机软硬件。 2、未经许可,不得擅自拆装计算机硬件系统,若须拆装,则通知信息科技术人员进行。 3、计算机的软件安装和卸载工作必须由信息科技术人员进行。 4、计算机的使用必须由其合法授权者使用,未经授权不得使用。 5、医院计算机仅限于医院内部工作使用,原则上不许接入互联网。因工作需要接入互联网的,需书面向医务科提出申请,经签字批准后交信息科负责接入。接入互联网的计算机必须安装正版的反病毒软件。并保证反病毒软件实时升级。 6、医院任何科室如发现或怀疑有计算机病毒侵入,应立即断开网络,同时通知信息科技术人员负责处理。信息科应采取措施清除,并向主管院领导报告备案。 7、医院计算机内不得安装游戏、即时通讯等与工作无关的软件,尽量不在院内计算机上使用来历不明的移动存储工具。
二、网络使用人员行为规范 1、不得在医院网络中制作、复制、查阅和传播国家法律、法规所禁止的信息。 2、不得在医院网络中进行国家相关法律法规所禁止的活动。 3、未经允许,不得擅自修改计算机中与网络有关的设置。 4、未经允许,不得私自添加、删除与医院网络有关的软件。 5、未经允许,不得进入医院网络或者使用医院网络资源。 6、未经允许,不得对医院网络功能进行删除、修改或者增加。 7、未经允许,不得对医院网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。 8、不得故意制作、传播计算机病毒等破坏性程序。 9、不得进行其他危害医院网络安全及正常运行的活动。 三、网络硬件的管理 网络硬件包括服务器、路由器、交换机、通信线路、不间断供电设备、机柜、配线架、信息点模块等提供网络服务的设施及设备。 1、各职能部门、各科室应妥善保管安置在本部门的网络设备、设施及通信。 2、不得破坏网络设备、设施及通信线路。由于事故原因造
-----WORD格式--可编辑--专业资料----- 人员离岗离职信息安全管理规定 为规范本单位计算机信息安全工作,更好的服务于本单位信息化建设需要,特制定本规定: 第一条:为保证本单位的计算机与网络信息安全,适应信息安全等方面的需要,防止计算机网络失密泄密事件发生,特制定本制度; 第二条:工作人员离职之后仍对其在任职期间接触、知悉的属于本单位或者虽属于第三方但本单位承诺或负有保密义务的秘密信息,承担如同任职期间一样的保密义务和不擅自使用的义务,直到该秘密信息成为公开信息,而无论离职人员因何种原因离职。 第三条:离职人员因职务上的需要持有或保管的一切记录着本单位秘密信息的文件、资料、图表、笔记、报告、信件、传真、磁带、磁盘、仪器以及其他任何形式的载体,均归本单位所有,而无论这些秘密信息有无商业上的价值。 第四第:离职人员应当于离职时,或者于本单位提出请求时,返还全都属于本单位的财物,包括记载着本单位秘密信息的一切载体。若记录着秘密信息载体是由离职人员自备的,则视为离职人员已同意将这些载体物的所有权转让给本单位,本单位应当在离职人员返还这些载体时,给予离职人员相当于载体本身价值的经验补偿;但秘密信息可以从载体上消除或复制出来时,可以由本单位将秘密信息复制到本单位享有所有权的其他载体上,并把原载体上的秘密信息消除,此种情况下离职人员无须将载体返还,本单位也无须给予离职人员补偿。 第五条:离职人员离职时,应将工作时使用的电脑、U盘及其他一切存储设备中关于工作相关或与本单位有利益关系的信息、文件等内容交接给本单位相关人员,不得在离职后以任何形式带走相关信息。 --完整版学习资料分享----
**集团有限公司 重大事件期间网络与信息安全管理规定(试行) 第一章总则 第一条为切实做好**集团有限公司网络与信息安全防护工作,建立有效的安全防护体系,进一步提高预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保重大事件期间网络与信息安全,制定本管理规定。 第二条本规定所指的重大事件是指需要保供电的国家、省政府层面的重大活动,如重大会议、重大体育赛事等。 第三条集团公司重大事件期间网络与信息安全管理要坚持以加强领导,落实信息安全责任地;高度重视,强化安全防范措施;周密部署,加强各相关方协作为原则,以确保重大事件期间不出现因网络与信息安全问题造成不良的社会影响,确保重大事件期间不出现因网络与信息安全问题造成的安全生产事故为目标。 第四条集团公司重大事件期间网络与信息安全管理工作范围包括:集团广域网、各局域网、电力二次系统、重要信息系统以及信息安全。各单位的网络与信息安全专项工作组应在集团公司网络与信息安全应急工作小组的指导下,负责本单位网络与信息安全防范和整改工作。
第五条重大事件期间在时间上分为三个阶段,分别是准备阶段、实施阶段和总结阶段。时间划分为重大事件起始日期前两个月为准备阶段;从重大事件起始日期至结束日期为实施阶段;从重大事件结束日期后半个月为总结阶段。各阶段网络与信息安全的管理工作内容有所侧重。 第六条本规定适用于集团公司总部和系统各单位。 第七条集团公司重大事件期间网络与信息安全管理工作由集团公司信息中心归口管理。 第二章准备阶段管理 第八条组织开展网络与信息安全查检工作,网络与信息安全采取自查和现场抽查相结合的方式,先开展各单位内部的网络与信息安全自查,在各单位自查的基础上,由集团公司组织相关人员对部分单位进行现场专项检查。 第九条网络与信息安全检查内容至少应包括管理制度建设、网络边界完整性检查和访问控制、电力二次系统安全分区、电力二次系统网络接口及防护、电力二次系统通用防护措施、安全审计、已采取的防范网络攻击技术措施、重要网站网页自动恢复措施、网络设备防护、系统运行日志留存及数据备份措施等。具体的检查内容见附件1《网络与信息安全检查表》。 第十条对于检查发现的安全陷患,各单位应制定整改
信息安全工作管理规定 信息系统安全管理组织机构 局长、书记 副局长、及总工 机关处室、基层单位负责人 1总则 1.1为加强计算机信息系统的安全管理,促进信息化建设的健康发展,保障电网的安全稳定运行和正常生产经营管理,根据《中华人民共和国计算机信息系统安全保护条例》等国家和上级单位的有关法律法规、标准规范,结合我局信息系统的实际情况制定本规定。 1.2本规定所称的信息系统是指信息广域网及内部局域网,以及在网络上运行的或未联网的所有信息系统(包括硬件、软件、数据等)。 1.3信息系统安全管理要纳入全局的安全生产管理体系,遵循“统一领导、统一规划、统一标准、统一组织建设”和“谁主管、谁负责、联合防护、协同处置”的原则,实行“安全第一、预防为主、管理与技术并重、综合防范”的方针。 1.4信息系统的安全保护,应当保障信息设备、设施的安全和运行环境的安全,保障计算机网络和信息系统功能的正常发挥,保障信息的安全,维护信息系统的安全运行。 1.5信息系统的安全保护,要综合平衡安全成本和风险,优化网络与信息安全资源的配置,实行网络与信息安全等级保护,确保重点。重点保护网络以及关系到企业重大利益,电网安全生产运行等方面的重要信息系统的安全。 1.6局所属任何单位或个人不得利用信息系统从事危害国家利益、公司利益和职工合法权益的活动,不得危害信息系统的安全。 1.7 本规定适用于所属各单位。 2安全管理责任制 2.1信息系统安全工作实行全局统一领导下的分级管理,逐级负责制度。 2.2各单位主要负责人是本单位信息系统安全第一责任人。2.3局信息系统安全管理领导小组负责全局信息系统安全重大事项的决策和协调。管理全局信息系统安全工作,进行指导、协调、监督和考核,并履行以下管理职责: , 统筹本局网络建设和管理信息系统的建设及相应规章制度的建立。 2.3.2 建立健全信息系统安全管理制度和标准,组织制定信息系统安全策略,
信息安全管理部 信息安全事件管理规范 V1.0
文档信息: 文档修改历史: 评审人员:
信息安全事件管理规范 年07月 1.0 目的 明确规定“信息安全事件”的范围和处理流程,以便及时地对信息安全事件做出响应,启动适当的事件防护措施来预防和降低事件影响,并能从事件影响中快速恢复; 2.0 适用范围 本制度适用于在信息安全部负责管理的所有信息资产上发生的对业务产生影响的异常事件的处理及后续响应流程。 3.0 相关角色和职责 ●信息安全总监:负责制定《信息安全事件管理规范》,并督促制度的落实和执行; ●信息安全部经理: ?负责《信息安全事件管理规范》中各项流程制度的日常督促执行; ?负责对各类信息安全事件进行第一时间响应,区分信息安全事件的类别及后续 处理流程; ?负责跟踪各类信息安全事件的后续处理,确保公司能从中汲取教训,不再发生 类似问题; ●信息安全事件发起人:在具体工作中发现异常后应及时上报,并协助完成后续处理 工作。 4.0 信息资产 信息安全管理部负责以下信息资产的安全运行: ●机房环境、硬件设备正常运行: ?互联机房; ?北京办公室机房; ?上海办公室机房; ?机房内的所有硬件设备,包括网络设备、服务器和其它设备; ●办公室网络环境正常运行 ?互联机房内网/外网环境; ?北京办公室内网/外网环境; ?上海办公室内网/外网环境; ●机房内系统工作正常; ?服务器操作系统工作正常 ?应用系统工作正常 ●机房内设备中存放的各类业务信息安全 以上信息资产出现异常情况时,均属于信息安全事件处理的范畴。 5.0 信息安全事件分级、分类
对信息安全事件分级、分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。 5.1 信息安全事件分级 根据信息安全事件所涉及的信息密级、对业务所造成的影响和相关的资产损失等要素,对信息安全事件分为以下几个级别: 1级:本级信息安全事件对公司业务造成了重大影响,例如机密数据丢失,重大考试项目考中异常等; 2级:本级信息安全事件对公司业务造成了一定影响,例如短时间的设备宕机、大规模的网站异常造成客户投拆等; 3级:本级及息安全事件指己发现的可能对公司业务造成重要影响的潜在风险事件,例如在日常维护工作中发现的各类异常事件等; 1级的信息安全事件又称为重大安全事件。 与“信息安全事件”分级相关联的名词解释: ●常规工作:指影响超出单点范围,可能/己经造成了部门/小组级的工作异常,但未造成 实质性损害的信息事件; 5.2 信息安全事件分类 对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等响应工作的重要依据。信息安全事件可分为: ●环境灾害: ?自然/人为灾害:水灾、火灾、地震、恐怖袭击、战争等; ?外围保障设施故障: ◆机房电力故障: 由于供电线路、供电设备出现故障或供电调配的原因而导 致的信息安全事件 ◆外围网络故障:由于外围网络传输信道出现故障而导致业务系统无法对外 正常服务 ◆其它外围保障设施故障:例如拖管机房的服务器、服务器故障等; ●常规事故: ?软硬件自身故障: ◆软件自身故障:由于软件设计存在漏洞或软件系统运行环境发生变化等原 因而导致软件运行不正常的信息安全事件 ◆硬件自身故障:由于硬件设计不合理、硬件自然老化失效等原因引起硬件 设备故障而导致信息系统不能正常运行的信息安全事件 ?无意事故: ◆硬件设备、软件遗失;与业务系统正常运行和使用相关的硬件设备和软件 遗失而导致的信息安全事件 ◆数据遗失:系统中的重要数据遗失 ◆误操作破坏硬件;
网络信息安全管理制度 网络与信息的安全不仅关系到公司正常业务的开展,还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。 一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置经公安部认证的防火墙,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等. 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。 5、网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。
6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源、高灵敏度的烟雾探测系统和消防系统,定期进行电力、防火、防潮、防磁和防鼠检查。 二、信息安全保密管理制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司网站及短信平台散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。 3、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。
1目的 为加强公司内部信息安全保障体系建设、提升公司内部针对数据信息风险识别、评估和预防能力,从而达到规避信息安全问题给公司带来经济损失和经营风险。 2适用范围 本制度适应公司信息安全管理(网络、软件系统、网络设备、机房等)。 3名词解释 3.1信息:是指音讯、消息、通讯系统传输和处理的对象,泛指公司运营过程中所产生具备可再利用 价值数据载体。按照数据来源方式,可将公司信息大致分为:技术信息、商务信息、财务信息、生产设备信息。 3.2信息安全:是指保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录 及销毁。 4功能权责 4.1 IT部:负责整个公司网络信息安全统筹管理、研发服务器上的应该用管理、维护、数据备份和定 期巡检,研发内部信息安全的审查。以及负责本制度制订、解释和执行情况监督。 4.2研发部:负责对PDM、PLM、以及开发专用软件及工具的使用管理,必要生产资料的发放,且负 责本制度内部宣导、执行和监督。 4.3 公司各部门:负责对个人办公涉及硬件、软件、网络等相关资源管理,且负责本制度内部宣导、 执行和监督。 5制度说明 5.1计算机设备安全管理 5.1.1严禁使用个人计算机接入公司网络或进行办公用途。若因工作需要必须使用个人电脑的, 必须提交《USB存储、个人邮箱/计算机权限申请单》申请,经公司总经理批准后由IT部 携带卡方可带入公司使用,并且进出公司大门时需要在保安处登记。如有违反,对违规电 脑一律进行全盘格式化处理,并全公司范围通报批评。如对公司造成损失的,视情节严重 情况,予以追究相应责任。 5.1.2禁止对办公计算机进行一切未授权的外部访问,包括光盘引导、U盘引导、硬盘引导等非 法访问方式。 5.1.3因公出差人员,如需外带笔记本电脑,应提前申请,并说明出差事由、时间等信息,由IT 部统一配置,并对所存储资料进行加密处理。出差结束后应及时归还借用笔记本电脑,并 由IT部对使用情况进行安全审计,如有异常及时上报。 5.1.4公司所有员工应保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中
信息安全管理制度 为加强公司各信息系统管理,保证信息系统安全,据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门相关规定和要求,结合公司实际,制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理,应当保障网络系统设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动: 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。 3、未经允许,对信息网络功能进行删除、修改或增加。 4、未经允许,对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。
6、利用公司网络,访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作,对本单位单位所属计算机网络的运行进行巡检,发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件,一经发现个人计算机由感染病毒等原因影响到整体网络安全,信息中心将立即停止该用户使用公司网络,待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务,一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全子网,信息中心对其提供指导,必要时可以中断其与骨干网连接,待子网恢复正常后再恢复连接。
员工离职管理制度 1、目的: 建立规范、完整的离职管理制度,保证公司工作顺利开展和信息资料资产的安全。 2、适用范围: 本制度适用于公司所有员工离职手续的办理。 3、职责: 人力资源部负责办理离职人员离职手续,公司其他各部门负责协助办理。店长负责审批公司员工的离职情况。 4、离职程序 4.1 实习期员工辞职手续办理制度 4.1.1 实习期员工和劳务用工人员必须提前十天向部门领导提出书面辞职申请,待部门负 责人、分管领导分别签署意见后报人力资源部,领取《员工离职申请表》。辞职员工为中层副职以上职务或财务等重要岗位人员的,需提前30天提出辞职申请。4.1.2 离职员工将《员工离职申请表》逐级报请,店长、批准后,人力资源部会同其部门 负责人进行约谈,并通知辞职员工部门负责人安排工作交接。 4.1.3 离职员工按《离职员工交接手续表》内容依次办理,人力资源部负责为其办理工作 服、办公用品、档案资料、手机等公司物品的收回工作和餐费结算工作;通知财务部结清借款或罚单。以上内容交接完毕经交接双方和部门负责人、监交人各方签署意见后,交接工作方视为完成。 4.1.4 总经办统计其本月考勤,提出离职员工工资结算意见,报上级领导批示。 4.1.5 人力资源部将获批的辞职申请书、《员工离职申请表》、《离职谈话记录》、工资 结算说明、《离职员工交接手续表》汇总整理,以呈批的形式逐级上报经总经理批示。 4.1.6 将总经理批示的呈批报送财务部和人力资源部,作为制定工资和发放工资的依据。 人力资源部将所有资料存档。 4.2 正式员工离职手续办理制度: 4.2.1 正式员工离职需提前一个月向部门领导提出书面辞职申请和《解除劳动合同申
北京XXXXXXXXXXXXX 信息安全管理制度 制定部门:技术部与行政部 制定人:XXX 制定时间:2016.4.21
1.安全管理制度要求 总则为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a安全岗位管理制度 b系统操作权限管理; c安全培训制度; d用户管理制度 e新服务、新功能安全评估 f用户投诉举报处理; g信息发布审核、合法资质查验和公共信息巡查; h个人电子信息安全保护;安全事件的监测、报告和和应急处置制度;现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查 2.个人履历的核查 3.学历、学位、专业资质证明 4.从事关键岗位所必须的能力 3.2.2应与关键岗位人员签订保密协议。 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员是 1上岗前的培训 2.安全制度及其修订后的培训 3.法律、法规的发展保持同步的继绩培训。 应严格规范人员离岗过程: a及时终止离岗员工的所有访间权限; b关键岗位人员须承诺调离后的保密义务后方可离开; c配合公安机关工作的人员变动应通报公安机关。 3.4人员离岗 应严格规范人员离岗过程 a及时终止离岗员工的所有访间权限; b关键岗位人员须承诺调离后的保密义务后方可离开;
网络信息安全管理制度大全 一、电脑设备管理 (2) 二、软件管理 (4) 三、数据安全管理 (6) 四、网络信息安全管理 (7) 五、病毒防护管理 (8) 六、下载管理 (8) 七、机房管理 (8) 八、备份及恢复 (11)
一、电脑设备管理 1、计算机基础设备管理 2、各部门对该部门的每台计算机应指定保管人,共享计算机则由部门指定人员 保管,保管人对计算机软、硬件有使用、保管责任。 3、公司计算机只有网络管理员进行维护时有权拆封,其它员工不得私自拆开封。 4、计算机设备不使用时,应关掉设备的电源。人员暂离岗时,应锁定计算机。 5、计算机为公司生产设备,不得私用,转让借出;除笔记本电脑外,其它设备 严禁无故带出办公生产工作场所。 6、按正确方法清洁和保养设备上的污垢,保证设备正常使用。 7、计算机设备老化、性能落后或故障严重,不能应用于实际工作的,应报信息 技术部处理。 8、计算机设备出现故障或异常情况(包括气味、冒烟与过热)时,应当立即关 闭电源开关,拔掉电源插头,并及时通知计算机管理人员检查或维修。 9、公司计算机及周边设备,计算机操作系统和所装软件均为公司财产,计算机 使用者不得随意损坏或卸载。 10、公司电脑的IP地址由网络管理员统一规划分配,员工不得擅自更改其IP 地址,更不得恶意占用他人的地址。计算机保管人对计算机软硬负保管之责,使用者如有使用不当,造成毁损或遗失,应负赔偿责任。
11、保管人和使用人应对计算机操作系统和所安装软件口令严格保密,并至少每 180天更改一次密码,密码应满足复杂性原则,长度应不低于8位,并由大写字母、小写字母、数字和标点符号中至少3类混合组成;对于因为软件自身原因无法达到要求的,应按照软件允3许的最高密码安全策略处理。 12、重要资料、电子文档、重要数据等不得放在桌面、我的文档和系统盘(一般 为C盘)以免系统崩溃导致数据丢失。与工作相关的重要文件及数据保存两份以上的备份,以防丢失。公司设立文件服务器,重要文件应及时上传备份,各部门专用软件和数据由计算机保管人定期备份上传,需要信息技术部负责备份的应填写《数据备份申请表》,数据中心信息系统数据应按《备份管理》备份。 13、正确开机和关机。开机时,先开外设(显示器、打印机等),再开主机;关 机时,应先退出应用程序和操作系统,再关主机和外设,避免非正常关机。 14、公司邮箱帐号必须由本帐号职员使用,未经公司网络管理员允许不得将帐号 让与他人使用,如造成公司损失或名誉影响,公司将追究其个人责任,并保留法律追究途径。 15、未经允许,员工不得在网上下载软件、音乐、电影或者电视剧等,不得使用 BT、电驴、POCO等严重占用带宽的P2P下载软件。员工在上网时,除非工作需要,不允许使用QQ、MSN等聊天软件。员工不得利用公司电脑及网络资源玩游戏,浏览与工作无关的网站。若发现信息技术部可暂停其Internet使用权限,并报相关领导处理。不得随意安装工作不需要的软件。公司拥有的授权软件软件须报公司副总审批通过后由信息技术部或授权相关部门执行。 16、计算机出现重大故障,如硬盘损坏,计算机保管人应立即向部门负责人和信 息技术部报告,并填写《设备故障登记表》。 17、员工离职时,人力资源应及时通知信息技术部取消其所有的IT资源使用权 限,回收其电脑并保留一个星期,若一个星期之内人事部没有招到新员工顶替,电脑将备份数据后入库。 18、如需要私人计算机连接到公司网络,需信息技术部授权并进行登记。 19、不得随意安装软件,软件安装按照《软件管理》实施。 20、所有计算机设备必须统一安装防病毒软件,未经信息技术部同意,不得私自 在计算机中安装非公司统一规定的任何防病毒软件及个人防火墙。所有计算机必须及时升级操作系统补丁和防病毒软件。 21、任何人不得在公司的局域网上制造传播任何计算机病毒,不得故意引入病 毒。
信息安全管理制度 保密等级:内部公开 版本/版次: 1.0 编制日期 审核日期 审查日期 批准日期
文件修订履历表
信息安全管理制度 1 目的 为满足业务运行要求,遵守国家法律法规,实施信息安全风险管理,确保信息安全以及实现持续改进的目的,特制定此制度。 2 范围 本制度适用于xxx有限公司(以下简称xxx集团或集团)信息安全整体工作,在集团范围内给予执行。 3 职责 3.1 最高管理者在公司的战略层面统筹推进两化融合。 3.2 管理者代表提出本公司的两化融合相关决策建议。 4 引用文件 无 5 信息安全建设和管理 5.1组织架构 5.2 人员安全管理 5.2.1 人力资源管理部门负责人员安全管理,应建立以员工为中心的人力资源管理策略。 5.2.2 人员聘用时需明确员工信息安全责任,人力资源部门必须在新员工入职一个月内组织一次信息安全培训,并且每年定期组织一次针对全体员工的信息安全培训和宣导,提高员工的商业秘密保护意识。 5.2.3 员工离职时须严格按照离职流程进行,各交接人应该负责交接信息的安全处理,以确保相关信息资料的不外泄。
5.2.4 信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在岗位职责中应明确对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员,应及时调整安全职责和权限。 5.3 信息安全风险评估 5.3.1 集团每年应组织对信息安全风险重新评估一次,以适应信息资产的变化,确定是否存在新的威胁或薄弱点及是否需要增加新的控制措施。 5.3.2 信息资源管理部负责组织成立风险评估小组。 5.3.3 风险评估小组组长负责进行信息安全风险评估的策划,风险评估小组按策划进行风险评估。 5.3.4 集团各部门负责按规定进行风险处理,并定期输出《xx信息安全风险评估报告》。 5.3.5 当集团发生以下情况时需及时进行风险评估: 1)当发生重大信息安全事故时; 2)当信息网络系统发生重大更改时; 3)管理者代表确定有必要时。 5.3.6 与外部公司签订合约时应进行信息安全风险评估; 5.4 信息安全事件报告和协查 5.4.1 对突发安全事件应建立应急预案管理制度和相关操作办法。 5.4.2 加强值班管理及时发现信息,安全事件和隐患。 5.4.3 一旦发现信息安全案事件,应详细、如实记录事件经过,保存相关日志,并形成相应分析报告,并及时通知有关人员,并与公安部门取得联系。 5.5.4 进行网络违法案件及其他信息安全检查时,有关人员必须积极配合。 5.5 知识产权保护 5.5.1 集团从正当渠道获取各类专利、专有技术和正版软件,以保证著作人的版权和知识产权不受侵害。 5.5.2 集团员工应遵守从互联网获得软件和信息的条款规定。 5.5.3 法律、法规和合同约定的要求有限制内容的,集团员工除非得到授权的许可,否则不得复制、转换到另一种格式以提取文件内容,不得整体或部分的复制其文档内容。 5.5.4 集团各部门保留各类专利、专有技术、软件的授权文件(证书)、软件母盘及手册等证明和证据。
人员离岗离职安全管理规定 为规范我局网络中心计算机信息安全工作,保证网络中心内部计算机与网络信息安全,防止网络中心失密、泄密事件发生,特制定本制度 第一条工作人员离岗离职时,有关部门应即时取消其计算机涉密信息系统访问授权。工作人员离岗离职之后,仍对其在任职期间接触、知悉的属于网络中心或者虽属于第三方但由本单位承诺或负有保密义务的秘密信息,承担如同任职期间一样的保密义务和不擅自使用的义务,直至该秘密信息成为公开信息,而无论离岗离职人员因何种原因离岗离职。 第二条工作人员离岗离职时,应该把下列资料全部交给下一任工作人员,包括: 1、网络中心管理的所有服务器,交换机,路由器的用户名和密码口令。 2、网络系统集成的文档包括:路由器、交换机和服务器参数、网络拓扑图、网络布线图、虚网划分、IP地址分配等网络机密资料。 3、网络系统集成参数变更时,必须及时修改、变更文档。 4、随机赠送的服务器、网络通信设备携带的说明书、各种文字资料等网络系统的重要资料。 5、有关网络建设与信息化建设的各种合同。上级部门的各种批文,网络管理和配备的各种规则、条例等文字材料。 第三条离岗离职人员因职务上的需要所持有或保管的一切记录着本单位秘密信息的文件、资料、图表、笔记、
报告、信件、传真、磁带、磁盘、仪器以及其他任何形式的载体,均归网络中心所有,而无论这些秘密信息有无商业上的价值。 第四条离岗离职人员应在离岗离职时,或者向网络中心提出请求时,返还全部属于网络中心的财物,包括记载着网络中心秘密信息的一切载体。若记录着秘密信息的载体是由离岗离职人员自备的,则视为离岗离职人员已同意将这些载体物的所有权转让给本单位,网络中心应当在离岗离职人员返还这些载体时,给予离岗离职人员相当于载体本身价值的经济补偿;但秘密信息可以从载体上消除或复制出来时,可以由网络中心将秘密信息复制到本单位享有所有权的其他载体上,并把原载体上的秘密信息消除,此种情况下离岗离职人员无须将载体返还,网络中心也无须给予离岗离职人员经济补偿。 第五条离岗离职人员离岗离职时,应将工作时使用的电脑、U盘等其他一切存储设备中关于工作相关或与网络中心有利益关系的信息、文件等内容交接给本部门领导,不得在离岗离职后以任何形式带走相关信息。