信息安全合规性管理程序
1 目的
为确保公司信息安全活动符合信息安全管理法律法规的要求及对确保公司信息安全方针和程序的有效实施而进行的信息安全检查进行管理,特制定本程序。
2 范围
适用于公司对信息安全法律法规要求的识别和信息安全检查的管理。
3 职责
3.1人力资源部
负责组织对法律法规及其他要求的识别及合规性进行评审并组织对信息安全方面的定期检查管理。
3.2相关部门
配合人力资源部对相关法律法规的识别及合规性评审和信息安全检查工作。
4 程序
4.1 信息安全法律法规的识别
4.1.1 法律法规的识别和获取
4.1.1.1 人力资源部负责获取相关的国家及地方最新信息安全法律法规及其他要求,并通过政府机构、行业协会、出版机构、图书馆、报刊杂志、书店、相关方等渠道进行补充。
4.1.1.2 客户和社会公众的信息安全要求,由开发及销售部门依据工作情况采集并报人力资源部统一管理。
4.1.1.3 人力资源部对收集到的法律法规进行识别,确定适合本公司的法律法规,编制《信息安全法律法规清单》,识别工作一般一年不少于两次。
4.1.2 信息安全法律法规的文本控制
4.1.2.1 人力资源部获取信息安全管理法律、法规和其他要求文本后,应补充到《信息安全法律法规清单》中。
4.1.2.2 相关部门获取信息安全管理法律、法规和其他要求文本后,应及时将获取的信息安全管理法律、法规和其他要求文本或信息向人力资源部进行反馈,由人力资源部补充到《信息安全法律法规清单》。
4.1.2.3 人力资源部获取的信息安全法律法规和其他要求的文本或信息应负责汇总并向有关部门进行传递。
4.1.3 法律、法规的实施与更新管理
4.1.3.1 公司信息安全管理委员会负责对信息安全法律法规清单进行合规性评审,由人力资源部制定为了满足这些要求的控制措施和职责,建立《信息安全法律法规要求实施控制一览表》。
4.1.3.2 人力资源部定期与政府相关部门进行沟通,向提供法律法规更新的专业机构索取最新信息,并通过政府机构、行业协会、出版机构、报刊杂志、中国安全网、会议等渠道补充,以保持对法律法规及其他要求的及时跟踪,获取最新的法律法规和其他要求文件。
4.1.3.3 当法律、法规和其他要求更新或增加时,人力资源部应及时进行识别、并修正和补充《信息安全法律法规清单》,并及时采购最新版本。
4.1.3.4 对过期或作废的法律法规和其他要求文件,人力资源部应及时收回,并按《文件管理程序》的要求进行管理。
4.1.3.5 公司至少每年组织一次对《信息安全法律法规清单》及其他要求履行情况的合规性评审,形成最新的《信息安全法律法规实施控制一览表》,必要时更新《信息安全法律法规清单》。
4.2 知识产权
4.2.1 公司尊重知识产权,按法律、法规和合同约定保护知识产权,公司的知识产权控制策略是:
a. 公司从正当渠道获取各类软件、专利或专有技术,以保证其合法版权和产权不受侵害;
b. 公司保留各类软件和技术的所有权证书、母盘、手册等证明和证据;
c. 公司员工应遵守从公众网络获得软件和信息时的其限制条款规定;
d. 法律、法规和合同约定的要求有限制内容的,公司员工除非得到版权的许可,否则不得复制、转换到另一种格式以提取文件内容,不得整体或部分的复制书、文章、报告和其他文档。
4.2.2 公司在软件项目开发、实施过程中,应按照合同规定进行知识产权保护。
4.2.3 公司开发的软件产品在对外合作、转让或使用时应明确使用权限和限制内容。
4.3组织记录的保护
4.3.1 记录根据不同的类型进行妥善保存,书面文档记录的保存见《记录管理程序》,电子文档记录的保护见《数据安全管理程序》。
4.3.2 相关部门应妥善保管重要记录,以满足法律法规、合同或业务的要求。
4.4 数据保护和个人信息的隐私
4.4.1数据保护和隐私策略:
个人档案信息为公司秘密信息,由人力资源部妥善保管,凡涉及个人档案信息的数据不得通过网络传递,未经本人同意,除非法律规定,公司不向任何单位提供个人档案信息。
4.4.2 该策略应通知到涉及私人信息处理的所有人员。
4.5 防止信息处理设施的滥用
4.5.1 信息处理设施的使用授权按《信息处理设施管理程序》进行,其他人员(包括外部人员)使用信息处理设施的应经批准。任何未经授权使用信息处理设施,均为信息处理设施的滥用。
4.5.2 所有用户应知道允许其访问的准确范围,任何越权的访问均为信息处理设施的滥用。
4.5.3任何出于非业务目的使用信息处理设施,均为信息处理设施的滥用。
4.5.4任何信息处理设施的滥用一经发现,按《信息安全惩戒管理程序》进行处罚。4.6密码控制措施的规则
4.6.1 公司根据业务要求确定是否使用商用密码产品,商用密码产品的使用按《数据安全管理程序》进行。
4.6.2 应使用经国家密码管理机构认可的商用密码产品。
4.6.3生成密码的密钥由人力资源部负责保存,要防范密钥非授权的泄露。用来生成、存储和归档密钥的设备应进行物理保护。
4.6.4任何员工不得非法攻击商用密码,不得利用商用密码危害国家的安全和利益、危害社会治安或者进行其他违法犯罪活动的要求。
4.7 信息安全检查
4.7.1人力资源部负责组织信息安全的检查,信息安全的检查每六个月进行一次,检查应形成《信息安全检查记录》。
4.7.2信息安全的检查内容至少包括但不限于:
a) 公司信息安全的方针策略、程序、制度执行情况;
b) 公司人力资源安全管理情况;
c) 公司安全区域管理情况;
d) 公司涉密文件管理情况;
e) 公司知识产权保护情况;
f) 公司信息系统安全情况;
g) 公司相关方管理和第三方服务管理情况;
h) 信息安全的事件管理情况。
4.7.3 在检查过程中,检查人员不得越权访问涉密信息,必要时,应经过该信息的主管领导批准,以防止由于检查带来的信息安全风险。
4.7.4 对检查发现的问题和薄弱点,检查人员应现场通知被检查部门的负责人,被检查部门的负责人应立即组织纠正。
4.7.5 对检查发现的安全薄弱点,检查人员除进行记录上报外,有义务进行保密。
4.7.6 对检查发现的问题,被检查部门的负责人应制定纠正措施并实施,同时将纠正措施及实施情况报人力资源部。人力资源部应对纠正措施实施情况进行检查。
4.8技术符合性检查
4.8.1应定期检查信息系统是否符合安全要求,例如渗透测试和脆弱性评估。技术符合性检查应由有经验人员进行,必要时可利用合适的软件工具支持。
4.8.2技术符合性检查前应制定检查方案,经总经理批准后实施。
4.8.3 技术符合性检查应形成报告,对发现的技术薄弱点应制定风险处理计划,经总经理批准后实施。
4.9 信息系统审核
4.9.1信息系统审核由安全管理员按《信息系统监控管理程序》进行。
4.9.2对于运行系统检查的审核活动,应认真策划,控制检查范围,以便减少业务过程中断的风险。检查计划应经总经理批准后实施。
4.9.3信息系统审核工具,如软件或数据文件,应与开发和运行系统分开,并妥善保管,以防止任何可能的滥用或损害。
5 引用文件
5.1《记录管理程序》
5.2《信息处理设施管理程序》
5.3《信息安全惩戒管理程序》
5.4《数据安全管理程序》
5.5《信息系统监控管理程序》
6 记录
JL0106-01《信息安全法律法规清单》
JL0106-02《信息安全法律法规实施控制一览表》
JL0106-03《信息安全检查记录》
中国移动互联网新技术新业务信息安全评估报告 业务名称:XXXXX 中国移动通信集团XX有限公司 XXXX年X月
目录 1业务基本情况介绍 (1) 1.1业务名称 (1) 1.2业务功能介绍 (1) 1.3技术实现方式介绍 (1) 1.4(预期)用户规模 (1) 1.5市场发展情况 (2) 2安全评估情况 (2) 2.1安全评估情况概述 (2) 2.2评估人员组成 (2) 2.3评估实施流程 (3) 2.4评估结果(包括安全风险评估结果和安全保障能力评估结果) (3) 3整改落实情况 (8) 4安全管理措施 (9) 4.1日常安全管理介绍 (9) 4.2应急管理措施介绍 (9) 4.3同类业务的监管建议 (9) 5安全评估结论及签字确认表 (9)
1业务基本情况介绍 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxx。 1.1业务名称 1.2业务功能介绍 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxx。 1.3技术实现方式介绍 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxx。 1.4(预期)用户规模 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
历史修订记录
1 目的 为了防止信息的泄密,避免严重灾难的发生,特制定此程序。 2 适用范围 包括但不限于计算机网络、个人计算机、互联网、邮件、电子文件和其他电子服务等相关设备、设施或资源。 3 术语和定义 ePHI:电子受保护健康信息。 IIHI:个人可识别健康信息。 4 职责与权限 4.1信息安全负责人 i.负责批准《系统/软件账号申请单》; ii.负责安全事件的确认和处理。 4.2客服部 i.负责医数聚系统的管理。 4.3人力资源部 i.负责硬件和移动设备的管理; ii.负责钉钉、钉邮和微信的管理。 4.4质量管理部 i.负责监督网络信息安全管理的执行。 4.5各部门 i.负责按照网络信息安全管理要求执行。 5 程序 5.1个人ePHI不论存储媒介,包括但不限于:姓名、年龄、性别、病例、医疗数据; 均需要采取措施,防止泄露。 5.1.1员工获得IIHI的程度应基于员工的工作性质及其相关的职责,员工可以访问他 们完成工作所需的所有IIHI,但不能获得更多的访问权限。 5.1.2任何员工都不可获得比其清除水平更高的IIHI水平。 5.2硬件和移动设备的管理控制 5.2.1硬件和移动设备包括但不限于:计算机、笔记本电脑、移动硬盘、U盘、光碟。 5.2.2硬件和移动设备的领用
5.2.2.1员工办公用到的硬件和移动设备采取实名登记制,由人力资源部通过《硬件 和移动设备领用登记表》做好登录管理,并每年梳理一次,以保证信息的正确性。 5.2.2.2当员工领用新的硬件或移动设备后,应第一时间设置使用密码,密码设置不 可过于简单,避免使用姓名、生日、简单数字等,使用密码只可自己知悉,不可告知其他同事,更不可记录下存放在显眼易获取位置,当员工察觉密码存在泄漏、丢失、被获取的可能时,一小时内上报信息安全责任人知悉,由信息安全责任人按照《安全事件管理程序》执行。为了防止密码被获知,人力资源部需监督员工每半年更换一次使用密码。 5.2.2.3员工离岗超过五分钟需对工位的硬件和移动设备进行保密操作,如拔出移动 硬盘存放在带锁抽屉,启动计算机的屏保功能等。保密操作如可以由设备自动执行,人力资源部应监督员工提前设置好。 5.2.2.4因员工离职、调岗等原因需要退回或变更硬件或移动设备时,退回或变更的 硬件和移动设备,在使用前,由人力资源部对其进行使用痕迹的清除工作,并填写记录《硬件和移动设备使用痕迹清除记录表》,质量管理部监督执行情况。 5.2.3硬件和移动设备损坏需要维修时,以防信息的泄露不可将设备带出公司维修, 需请专业人士上门维修,且全程需要有人员陪同在监控覆盖区域进行,对维修单位或个人按照《业务伙伴的管理程序》执行。 5.3系统/软件管理控制 5.3.1我司现有涉及PHI传输的系统/软件:医数聚系统、钉钉、钉邮、微信。 5.3.2医数聚系统由客服部负责管理,钉钉、钉邮、微信由人力资源部负责管理。 5.3.3我司系统/软件实行一人一账号的原则,个人账号不得相互借用,员工因工作需 要需要登录系统/软件时,需填写《系统/软件账号申请单》,交部门负责人审核,信息安全责任人批准后,交给管理部门开通账号及相关权限,管理部门需建立系统/软件《用户管理一览表》,管理系统/软件的使用人员及其权限相关信息,当员工离职、调岗时,管理部门需在收到信息的第一时间对该账户状态或权限做变更处理。管理部门应不定期的对《用户管理一览表》进行信息确认,以确保其准确无误。 5.3.4员工获得系统/软件的账号及初始密码后,需更改初始密码,密码的管理参见 5.2.2.2。 5.3.5为了确保信息传输在监控下进行,相关部门和人员对外联络应使用公司提供的系 统或软件账号进行。 5.3.6与ePHI相关的信息传输,尽可能在医数聚系统中完成,如必须使用钉钉、钉邮、 微信等,应遵循文件的加密规定。 5.3.7医数聚系统操作控制 5.3.7.1医数聚系统中对每个订单的处理都会形成“订单操作记录”,客服部需每季度
信息安全管理流程说明书 (S-I)
信息安全管理流程说明书 1 信息安全管理 1.1目的 本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动,保证信息安全管理目标的实现,满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 1) 在所有的服务活动中有效地管理信息安全; 2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题,识别并跟 踪组织内任何信息安全授权访问; 3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求; 4) 执行操作级别协议和基础合同范围内的信息安全需求。 1.2范围 本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。 向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定,以及客户自身的相关安全管理规定。 公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。 2术语和定义 2.1相关ISO20000的术语和定义 1) 资产(Asset):任何对组织有价值的事物。 2) 可用性(Availability):需要时,授权实体可以访问和使用的特性。 3) 保密性(Confidentiality):信息不可用或不被泄漏给未授权的个人、实体和流程的 特性。 4) 完整性(Integrity):保护资产的正确和完整的特性。
5) 信息安全(Information security):保护信息的保密性、完整性、可用性及其他属 性,如:真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系(Information security management system ISMS):整体管理 体系的一部分,基于业务风险方法以建立、实施、运行、监视、评审、保持和改 进信息安全。 7) 注:管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资 源。 8) 风险分析(Risk analysis):系统地使用信息以识别来源和估计风险。 9) 风险评价(Risk evaluation):将估计的风险与既定的风险准则进行比较以确定重 要风险的流程。 10) 风险评估(Risk assessment):风险分析和风险评价的全流程。 11) 风险处置(Risk treatment):选择和实施措施以改变风险的流程。 12) 风险管理(Risk management):指导和控制一个组织的风险的协调的活动。 13) 残余风险(Residual risk):实施风险处置后仍旧残留的风险。 2.2其他术语和定义 1) 文件(document):信息和存储信息的媒体; 注1:本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:文件的例子,如策略声明、计划、程序、服务级别协议和合同; 2) 记录(record):描述完成结果的文件或执行活动的证据; 注1:在本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:记录的例子,如审核报告、变更请求、事故响应、人员培训记录; 3) KPI:Key Performance Indicators 即关键绩绩效指标;也作Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、 计算、分析,衡量流程绩效的一种目标式量化管理指标,流程绩效管理的基础。
目前,信息安全的标准体系很多,主要分为管理类、技术类和工程类。在一个体系中,经常综合放映了三个方面的要求。为了便于使用,本文以信息安全各个内容为主线,梳理各个体系的要求并作出对比。 0.总体说明 0.1 比较范围 由于信息安全的本质是为了确保业务价值,面向的对象是信息资产。所以围绕信息资产的信息要求来组织各个体系的内容。比较的体系包括以下4个: 1)信息系统安全等级保护测评要求 2)信息系统安全等级保护基本要求GB/T22239-2008第四级 3)信息安全管理体系要求GB/T22080-2008 idt ISO27001:2005 4)服务管理GB/T22405.1-2009 idt ISO20000-1:2005 5)商业银行信息科技风险管理指引 6)网上银行系统信息安全通用规范 由于等保的测评要求和直接把等保的基本要求作为指标,所以综合为等保要求。标准编号会特别说明。 把ISO20000纳入体系,主要是在IT系统的运维阶段,安全和域内密不可分。 以后还会逐步把NIST800中有关标准纳入比较。 0.2 比较的条目结构 本文以信息系统安全内容为主线来进行比较。比较的主要条目有: 第一部分:基础部分 1)目的与动机 2)基本方法和模型 3)适用范围 第二部分:管理部分 1)文件化要求 2)信息安全方针和安全策略 3)信息安全组织 4)人员资源安全 5)安全制度和流程
6)安全事件管理 7)问题管理 8)系统的获取 9)系统的运维 10)对信息安全体系本身的管理 第三部分技术部分 1)物理安全 2)网络安全 3)主机安全 4)应用安全 5)数据和备份恢复 第四部分专题部分 1)业务连续性 2)业务恢复 1.目的和动机的比较 目的和动机一般在标准的引言中说明。也有标准在其他部分说明。 1.1.等保要求的目的和动机 在《信息系统安全等级保护测评要求》的引言中说明目的和动机: 指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。 在《GB/T 22239—2008信息安全技术信息系统安全等级保护基本要求》的引言中说明的目的和动机: 指导不同安全保护等级信息系统的安全建设和监督管理。 1.2.信息安全管理体系的目的和动机 在《GB/T 22080—2008 信息技术安全技术信息安全管理体系要求》的引言中说明了目的和动机 1)为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提供模 型。 2)用于一致性评估
. . 1目的 明确公司信息化及信息资源管理要求,对内外部信息及信息系统进行有效管理,以确保各部门( 单位 ) 和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2适用范围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3术语和定义 3.1信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准 化、内部控制、三基等和生产经营管理中所有信息。 3.2企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制 造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应, 其本质是加强企业的“核心竞争力” 。 3.3信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相 关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6LIMS 实验室信息管理系统 3.7IT 信息技术 4职责 4.1信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策, 定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况, 协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3信息中心是公司信息化工作的归口管理部门,主要职责: a) 负责制定并组织实施本程序及配套规章制度,对各部门( 单位 ) 信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施; c) 负责统一规划、组织、整合和管理公司信息资源系统,为各部门( 单位 ) 信息采集、整理、汇总和 发布等环节提供技术支持;对Internet用户、电子邮箱进行设置管理;统一管理分公司互联网出口; d) 负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算
1 目的 明确公司信息化及信息资源管理要求,对外部信息及信息系统进行有效管理,以确保各部门(单位)和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2 适用围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3 术语和定义 3.1 信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、部控制、三基等和生产经营管理中所有信息。 3.2 企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应,其本质是加强企业的“核心竞争力”。 3.3 信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6 LIMS 实验室信息管理系统 3.7 IT 信息技术 4 职责 4.1 信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策,定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况,协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3 信息中心是公司信息化工作的归口管理部门,主要职责: a)负责制定并组织实施本程序及配套规章制度,对各部门(单位)信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施; c)负责统一规划、组织、整合和管理公司信息资源系统,为各部门(单位)信息采集、整理、汇总和发布等环节提供技术支持;对Internet用户、电子进行设置管理;统一管理分公司互联网出口; d)负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算
安全生产制度宣贯 1、组织架构 根据制度中第一章第二条要求,已建立公司安全生产监督管理领导小组,公司总经理为组长,负责安全生产的分管领导为副组长,其他领导及各职能部门负责人为小组成员。并在前期展馆施工过程中设置了专职安全管理人员。 2、小组成员职责及公司领导及各职能部门职责 在制度第二章第五条中明确了安全生产监督管理小组职责:(一)安全生产监督管理小组是公司安全管理工作最高机构,根据《安全生产法》等法律、法规、政策及上级单位有关安全生产的规章制度,研究确定公司安全生产的长远规划、年度计划和阶段性安全工作安排,组织制定安全管理实施办法、细则、措施并指导、监督、检查贯彻落实情况。(二)建立健全公司安全生产责任制,检查、考核公司各部门及所属各参建单位安全生产责任制的建立和落实情况,及时传达、落实上级对安全生产的各项要求。审定公司安全生产管理办法、《质量、环境、职业健康安全管理体系程序文件》和《质量、环境、职业健康安全管理手册》。 (三)组织公司综合性、专题性的安全检查,针对问题和隐患,督促或组织相关单位及时整改,对检查发现的重大问题,及时召开专题会议研究处理。 (四)组织召开安全管理会议,传达上级关于安全生产的指示精神,研究分析公司的安全工作形势,部署重大安全生产活动。定期或不定期组织安全生产检查,召开安全生产专
题会议,分析、布置安全生产工作。 (五)对公司安全管理工作进行考评,研究决定有关安全管理的表彰、奖励、惩处等事宜,及时总结和推广安全管理的先进经验。审定或审议安全管理先进单位和先进个人,决定或上报表彰奖励事宜。审定本级安全生产先进集体和先进工作者,决定奖惩事宜。 (六)督促、指导公司及承包商制定生产安全事故应急救援预案并进行演练。 (七)指导和检查公司及承包商安全管理投入计划的制定和有效实施。 (八)研究确定安全教育培训目标,制定计划并检查实施效果。 (九)如实、及时报告生产安全事故,依法依规对事故进行调查、分析、处理,并及时公开事故的处理结果并积极配合事故调查。 第六条中明确了公司领导和各职能部门安全生产职责:(一)公司领导安全生产职责 1).公司执行董事 (1)认真贯彻执行国家和上级有关安全生产的政策、法规和制度,把安全生产管理工作列入公司生产经营重要的议事日程。 (2)主持重要安全生产会议,听取安全工作汇报,签发有关安全生产工作重大决定。
信息安全合规监测解决方案 南瑞集团公司·信息通信技术分公司 2014年1月
目录 第1章信息系统安全风险分析 (1) 1.1风险产生的背景 (1) 1.2风险产生的原因 (1) 1.3国家信息安全政策法规 (1) 第2章信息安全合规监测技术研究 (2) 2.1信息系统安全发展趋势 (2) 2.2安全合规技术研究 (3) 2.3安全监测与控制研究 (5) 2.4信息安全研究成果 (7) 第3章信息安全合规监测解决方案 (7) 3.1解决思路 (7) 3.2总体目标 (9) 3.3总体架构 (9) 3.4方案特色 (10) 第4章典型案例 (11) 第5章结束语 (13)
第1章信息系统安全风险分析 1.1风险产生的背景 随着信息化建设的全面推广、网络规模的日益扩大,使得支持业务系统的网络结构也变得越来越复杂。重要应用、网络设备、安全设备、服务器、数据库、中间件等的数量及种类日益增多,而各单位信息化运维人员不足,存在因维护人员误操作的风险,或者采用一成不变的初始系统设置而忽略了对于安全控制的要求,从而极大的影响系统的正常运转。应用的深度融合、系统与数据的集中,带来了更高的风险集中,高度集中的数据既是业务的焦点,同样也是威胁的焦点。虚拟化、云计算等新技术的引入,使IT技术设施的安全重心从终端转向服务端,使得带有明确界限的物理安全域向逻辑安全域转变,对信息安全运维人员安全防护能力提出了新的挑战。 1.2风险产生的原因 分析近年信息安全事件本质及各类渗透方法与工具的原理,恶意用户能够成功实现对信息系统的破坏或攻击,主要利用系统安全漏洞、安全配置、安全状态存在的脆弱性,归纳如下: 安全漏洞:由于系统自身的问题引发的安全缺陷,主要包括系统登录漏洞、拒绝服务漏洞、缓冲区溢出、蠕虫后门、意外情况处置错误等,反映系统自身的安全脆弱性。 安全配置:由于人为的疏忽造成的安全缺陷,主要包括系统帐号、口令、授权认证、日志管控、IP通信管理等配置不当,反映系统配置的脆弱性。 安全状态:由于系统运维管理不当引发的安全缺陷,主要包括系统运行状态、网络端口状态、进程、审计、管理措施等,反映了系统当前所处环境的安全状况。 1.3国家信息安全政策法规 国家制定了信息系统等级保护基本要求及相关标准和规范,明确规定了我国的信息安全战略目标,并通过正式文件的形式将等级保护确认为国家信息安全的基本制度和根本方法。
信息安全管理程序 1.目的 为了防止信息和技术的泄密,避免严重灾难的发生,特制定此安全规定。。2.适用范围 包括但不限于电子邮件、音频邮件、电子文件、个人计算机、计算机网络、互联网和其它电子服务等相关设备、设施或资源。 2.1权责 2.1.1人力资源部:负责信息相关政策的规划、制订、推行和监督。 2.2.2 IT部:负责计算机、计算机网络相关设备设施的维护保养以及信息数据的备份相关事务处理。 2.2.3全体员工:按照管理要求进行执行。 3.内容 3.1公司保密资料: 3.1.1公司年度工作总结,财务预算决算报告,缴纳税款、薪资核算、营销报表和各种综合统计报表。 3.1.2公司有关供货商资料,货源情报和供货商调研资料。 3.1.3公司生产、设计数据,技术数据和生产情况。 3.1.4公司所有各部门的公用盘共享数据,按不同权责划分。 3.2公司的信息安全制度 3.2.1 凡涉及公司内部秘密的文件数据的报废处理,必须碎纸后丢弃处理。 3.2.2 公司员工工作所持有的各种文件、数据、电子文件,当本人离开办公室外出时,须存放入文件柜或抽屉,不准随意乱放,更未经批准,不能复制抄录或携带外出。 3.2.3 未经公司领导批准,不得向外界提供公司的任何保密数据和任何客户数据。 3.2.4经理室要运用各种形式经常对所属员工进行信息安全教育,增强保密意识:3.2. 4.1在新员工入职培训中进行信息安全意识的培训,并经人事检测合格后,方可建立其网络账号及使用资格。 3.2. 4.2每年对所有计算机用户至少进行一次计算机安全检查,包括扫病,去除与工作无关的软件等。 3.2.5不要将机密档及可能是受保护档随意存放,文件存放在分类目录下指定位
信息安全管理规范1 1.0目的 为了预防和遏制公司网络各类信息安全事件的发生,及时处理网络出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本规范。 2.0 适用范围 本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。 3.0 信息安全组织机构及职责: 根据集团公司关于信息安全组织的指导意见,为保证信息安全工作的有效组织与指挥,四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组,由公司分管网络的副总经理任组长,网络部分管信息安全副总经理任副组长,由省公司网络部归口进行职能管理,省公司各网络生产维护部门设置信息安全管理及技术人员,负责信息安全管理工作,省监控中心设置安全监控人员,各市州分公司及生产中心设置专职或兼职信息安全管理员,各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 3.1.1网络与信息安全工作管理组组长职责: 负责公司与相关领导之间的联系,跟踪重大网络信息安全事
件的处理过程,并负责与政府相关应急部门联络,汇报情况。 3.1.2网络与信息安全工作管理组副组长职责: 负责牵头制定网络信息安全相关管理规范,负责网络信息安全工作的安排与落实,协调网络信息安全事件的解决。 3.1.3省网络部信息安全职能管理职责: 省公司网络部设置信息安全管理员,负责组织贯彻和落实各项安全管理要求,制定安全工作计划;制订和审核网络与信息安全管理制度、相关工作流程及技术方案;组织检查和考核网络及信息安全工作的实施情况;定期组织对安全管理工作进行审计和评估;组织制定安全应急预案和应急演练,针对重大安全事件,组织实施应急处理 工作及后续的整改工作;汇总和分析安全事件情况和相关安全状况信息;组织安全教育和培训。 3.1.4信息安全技术管理职责: 各分公司、省网络部、省生产中心设置信息安全技术管理员,根据有限公司及省公司制定的技术规范和有关技术要求,制定实施细则。对各类网络、业务系统和支撑系统提出相应安全技术要求,牵头对各类网络和系统实施安全技术评估和工作;发布安全漏洞和安全威胁预警信息,并细化制定相应的技术解决方案;协助制定网络与信息安全的应急预案,参与应急演练;针对重大安全事件,组织实施应急处理,并定期对各类安全事件进行技术分析。
职业健康安全管理合规性评价报告 甘肃**路桥工程有限公司二O一六年一月
甘肃**路桥工程有限公司 环境管理、职业健康安全管理合规性评价报告 一、评价目的 按照GB/T 24001—2004环境管理体系标准以及GB/T28001-2011职业安全健康管理体系标准的要求,对公司建立、保持环境管理和职业安全健康管理体系运行以来,在遵循国家及公司所在地相关部门环境和职业安全健康法律法规及其他要求的情况进行评价,以寻找出不足之处,建立改善的方面,使公司的环境和职业健康安全管理得到持续的改进。 二、评价依据 1、GB/T 24001—2004环境管理体系标准; 2、GB/T28001-2011职业安全健康管理体系标准; 3、公司环境管理体系有关文件; 4、公司职业安全健康管理体系有关文件; 5、相关的环境法律及其他要求; 6、相关的职业安全健康法律及其他要求。 三、评价范围 甘肃**路桥工程有限公司所管辖范围内的施工生产活动及其相关的环境管理、职业安全健康管理活动。 四、评价过程综述 1、按照体系文件要求,对机关办公区环境和职业健康安全的活动、产品、服务中是否遵循了相关的环境和职业健康安全法律、法规、
标准及其他要求进行了综合性评价。 2、根据环境和职业健康安全标准要求,对公司在建工程的项目部进行了合规性的评价,通过查阅资料、现场检查、对各项目适宜的环境、职业健康法律、法规的持续遵循情况和环境方针相关承诺的实现情况进行评价。主要从如下几方面评价: (1)合规性评价前对法律法规和其他要求的适用性作出评价包括现行使用和新获取的法律法规和其他要求; (2)环境、职业健康安全方针的承诺评价:环境、职业健康安全方针适宜; (3)实现环境、职业健康安全目标、指标原预期要求; (4)施工状况满足国家、行业标准、规范要求; (5)公司的重大环境因素、重要危险源识别引用适用法律法规和其他要求完整,并认真执行; (6)能控制/能施加影响的环境因素、危险源识别引用有关适用法律法规和其他要求完整,并认真执行; (7)公司严格贯彻执行国家、行业有关环境、安全生产的法律法规,环境、安全生产规章制度健全,环境、安全管理机构和人员配备齐全,注重职工环保、安全生产知识的培训,重视现场文明生产和安全技术交底,施工现场环保、安全生产达标率100%,截止2016年1月公司环境保护、职业健康及安全生产投入费用为:公司机关用于职工安全教育培训及购买消防器材等安全费用全年共计投入13.974万元。项目专项安全费用431.67万元。未发生过重大安全(人员伤亡)、环境污染事故。
信息安全事件管理程序 1 目的 为明确信息安全事件处理的责任和流程,有效处理信息安全事件,最大限度地减少和降低因信息安全事件给公司带来的损失,特制定本程序。 2 范围 本程序适用于公司发生的各类信息安全事态或事件的检测、报告和处理。 3 术语和定义 引用ISO/IEC27001和ISO/IEC27002相关术语和定义。 注:本程序中的信息安全事件是标准中的“信息安全事态”和“信息安全事件”的总称。 4 职责与权限 信息安全领导办公室批准关键业务恢复计划,并指导本程序的执行,对执行情况进行监督检查; 各部门信息安全主管负责本程序在部门内的组织实施; 部门信息安全员在信息安全主管的组织下具体实施相关活动。 5 相关活动 5.1 信息安全事件报告流程 任何员工,一旦发生、发现或观察到已发生或潜在的信息安全事件,必须以电话、邮件、口头等方式立即报告给信息安全办公室,联系方式是: 联系人: 联系电话: 邮件: 接报人要填写《信息安全事件报告和处理表》。
5.2 处理 根据信息安全事件的轻重缓急,区分以下情况组织资源处理事件: 如果仅是误报,则取消事件响应,恢复到正常状态;如果信息安全事件已被控制,未影响关键业务活动,在部门信息安全主管组织下对信息安全事件进行处理,并记录所有信息用于信息安全事件的评审; 如果信息安全事件已被控制,已影响关键业务活动,在XXX部负责下,实施《XXX关键业务活动恢复计划》,并记录所有信息用于信息安全事件的评审; 如果信息安全事件失去控制,实施紧急救援,召集外部专业机构实施处理,见《对外联络表》,同时记录所有活动;并由XXX部负责填写《信息安全事件报告和处理表》。 5.3 改进 信息安全事件处理完毕后,信息安全领导办公室应进行以下活动: ●进一步收集相关事件信息; ●从信息安全事件中总结教训,重点分析事件发展的趋势和模式; ●确定新的或经过变化的控制措施并制定计划付诸实施; ●适当时对相关人员进行信息安全事件的教育培训。 6 相关文件和记录 业务连续性管理程序 备份管理程序 关键业务恢复计划 对外联络表 信息安全事件报告和处理表
合规部内部控制部专员的安全生产职责示范文本 In The Actual Work Production Management, In Order To Ensure The Smooth Progress Of The Process, And Consider The Relationship Between Each Link, The Specific Requirements Of Each Link To Achieve Risk Control And Planning 某某管理中心 XX年XX月
合规部内部控制部专员的安全生产职责 示范文本 使用指引:此管理制度资料应用在实际工作生产管理中为了保障过程顺利推进,同时考虑各个环节之间的关系,每个环节实现的具体要求而进行的风险控制与规划,并将危害降低到最小,文档经过下载可进行自定义修改,请根据实际需求进行调整与使用。 1. 在部门经理的领导下,完成安全生产工作,向合规 部内部控制部经理汇报; 2. 遵纪守法,遵守公司安全生产相关管理制度及公司 安全管理规定; 3. 签署与本岗位相适应的安全生产目标责任书以及安 全承诺书; 4. 贯彻执行国家、****市、区以及公司有关安全生产 方针、政策、法律法规、规章和标准; 5. 在直属负责人的领导下,落实本岗位有关安全生产 的各项工作。对本岗位的安全生产工作负责,对直属负责 人汇报;
6. 参加公司安全生产相关活动,如危险源辨识、安全培训、EHS体系审核、应急演练等; 7. 及时、如实上报发生的安全生产隐患或事故; 8. 落实完成其他安全生产相关的工作。 请在此位置输入品牌名/标语/slogan Please Enter The Brand Name / Slogan / Slogan In This Position, Such As Foonsion
XXXXXX村镇银行 征信合规与信息安全管理办法 第一章总则 第一条为加强XXXXXX村镇银行(下文简称我行)征信业务运行管理,规范征信业务组织、操作行为,有效防范道德风险、操作风险、声誉风险,根据《征信业管理条例》、《个人信用信息基础数据库管理暂行办法》、《个人信用信息基础数据库金融机构用户管理办法(暂行)》等有关规定,结合我行实际,制定本办法。 第二条本办法所称征信合规与信息安全,是指我行从事与个人、企业和其他组织信用活动相关的业务,包括:向国家金融信用信息基础数据库报送个人和企业征信数据、从征信系统获取客户信用信息、使用客户信用信息、处理信息主体异议等业务办理或使用中,严格按照管理制度用信以及保证客户征信信息安全。 第三条本办法所称征信系统,是指由征信中心按中国人民银行相关规定建立的,用于采集、保存、加工、整理个人、企业和其他组织的,为银行业金融机构、个人和企业提供信用报告查询服务的数据库系统。
第四条本办法所称借款人,是指向我行申请办理信贷业务的企(事)业法人、其他组织、个体工商户和自然人。 第五条本办法所称的担保人,是指为办理信贷业务的借款人提供担保的企(事)业法人、其他组织、个体工商户和自然人。 第六条本办法所称信贷业务,是指贷款(含委托贷款)、银行承兑汇票、信用证、保函、票据贴现、贸易融资、保理、公开授信等业务以及与其相关的担保业务。 第七条本办法所称客户信用信息,是指能够反映个人、企(事)业法人或其他组织信用状况的信息,包括身份识别信息、信用交易信息以及反映个人、企(事)业法人或其他组织信用状况的其他信息。 第二章部门职责 第八条我行征信业务管理工作,实行统一领导、分工负责的原则。 第九条我行成立征信信息安全工作领导小组,统一领导全行个人和企业征信业务的有关工作。领导小组由主管征信工作的行长助理担任组长,成员由业务拓展部、风险管理部、内审合规部等职能的部
信息安全管理制度 为加强公司各信息系统管理,保证信息系统安全,根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门的相关规定和要求,结合公司实际,制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理,应当保障网络系统设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动: 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。 3、未经允许,对信息网络功能进行删除、修改或增加。 4、未经允许,对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。
6、利用公司网络,访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作,对本单位单位所属计算机网络的运行进行巡检,发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件,一经发现个人计算机由感染病毒等原因影响到整体网络安全,信息中心将立即停止该用户使用公司网络,待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务,一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全的子网,信息中心对其提供指导,必要时可以中断其与骨干网的连接,待子网恢复正常后再恢复连接。
文件更改记录 序号更改日期更改内容更改人版本生效日期 文件分发范围 □总经理 [ ]份 □经营部[ ]份 □技术检验部[ ]份 □综合办 [ ]份 □生产部 [ ]份 □财务部 [ ]份□仓库 [ ]份 备注: 1、文件要求每页印有“受控文件”印,否则此文件视为无效版本。 2、文件需要分发的部门在“□”内打“√”。 编制:审核:批准: 日期:日期:日期:
1. 目的 定期评价对适用的环境法律法规及其他要求的情况,以确保遵守法律法规及其他要求的承诺。 2. 适用范围 适用于本公司法律法规及其他要求遵循情况的评价。 3. 职责 3.1综合办负责全公司的法律法规及其他要求遵循情况评价的管理工作; 3.2各部门负责本部门法律法规及其他要求遵循情况进行评价,对不符合法律法规及其他要求的情况负责采取纠正预防措施。 3.3综合办负责对纠正措施的有效性进行验证。 4. 定义 合规性评价:企业或者组织为了履行遵守法律法规要求的承诺,建立、实施并保持一个或多个程序,以定期评价对适用法律法规的遵循情况的一项管理措施。 5. 工作程序 5.1 公司每年对法律法规及其他要求的遵循情况进行一次评价,时间间隔一般不超过12个月,正常情况下,在管理评审前进行,特殊情况经管理者代表批准,可适时增加评审的次数。 5.2 公司适用的环境法律法规及其他要求主要包括:环境法律法规、行业行政法规、地方行政法规、污染物排放标准
、产品标准等。 5.3 各部门根据本部门适用的法律法规及其他要求的执行情况进行评价,一般情况下每半年进行一次。 5.4综合办根据各部门的法律法规及其他要求遵循情况的评价,组织各部门对公司的 法律法规及其他要求的情况进行评价。 5.5 对在评价出的法律法规及其他要求的不符合情况,综合办应明确责任部门。 5.6 责成责任部门针对不符合进行原因分析,制定并实施纠正措施,综合办对纠正措施的有效性进行验证。 5.7 综合办应定期对法律法规及其他要求进行评审和更新,以确保法律法规及其他要求是现行有效的。 5.8 法律法规及其他要求的评价结果的记录加以保存,应作为管理评审的输入,输入到管理评审中。6. 相关文件 无 7.相关记录 7.1 《法律法规清单》 7.2 《法律法规及其他要求合规性评价表》
第六章信息安全管理务实 一、判断题 1.安全管理的合规性,主要是指在有章可循的基础之上,确保信息安全工作符合国家法律、法规、行业标准、机构内部的方针和规定。 2.防火墙虽然是网络层重要的安全机制,但是它对于计算机病毒缺乏保护能力。 二、单选题 1.信息安全领域内最关键和最薄弱的环节是。 A.技术 B.策略 C.管理制度 D.人 2.计算机病毒最本质的特性是。 A.寄生性 B.潜伏性 C.破坏性 D.攻击性 3.对保护数据来说,功能完善、使用灵活的必不可少。 A.系统软件 B.备份软件 C.数据库软件
D.网络软件 4.故意输入计算机病毒以及其他有害数据,危害计算机信息系统安全的个人,由公安机关处以。 A.3年以下有期徒刑或拘役 B.警告或者处以5000元以下的罚款 C.5年以上7年以下有期徒刑 D.警告或者15000元以下的罚款 5.安全管理中经常会采用“权限分离”的办法,防止单个人员权限过高,出现内部人员的违法犯罪行为,“权限分离”属于控制措施。 A.管理 B.检测 C.响应 D.运行 6.安全管理中采用的“职位轮换”或者“强制休假”办法是为了发现特定的岗位人员是否存在违规操作行为,属于控制措施。 A.管理 B.检测 C.响应 D.运行 7.下列选项中不属于人员安全管理措施的是。 A.行为监控 B.安全培训 C.人员离岗 D.背景/技能审查
8.《计算机病毒防治管理办法》规定,主管全国的计算机病毒防治管理工作。 A.信息产业部 B.国家病毒防范管理中心 C.公安部公共信息网络安全监察 D.国务院信息化建设领导小组 9.计算机病毒的实时监控属于类的技术措施。 A.保护 B.检测 C.响应 D.恢复 10.针对操作系统安全漏洞的蠕虫病毒根治的技术措施是。 A.防火墙隔离 B.安装安全补丁程序 C.专用病毒查杀工具 D.部署网络入侵检测系统 11.下列能够有效地防御未知的新病毒对信息系统造成破坏的安全措施是。 A.防火墙隔离 B.安装安全补丁程序 C.专用病毒查杀工具 D.部署网络入侵检测系统 12.下列不属于网络蠕虫病毒的是。 A.冲击波 B.SQL SLAMMER
信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。未经许可,不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。
1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。 2.2文件加密 涉及公司机密或重要的信息文件,所有人员需进行必要加密并妥善保管;若因保管不 善,导致公司信息资料的外泄及其他损失,将由其本人承担一切责任。 2.3文件移动
IT信息安全事件管理程序 1 目的 为了在尽可能小地影响用户和用户业务的情况下使IT系统尽快恢复,从而维持良好的服务质量和可用性级别,特制定本程序。 2 范围 本程序适用于IT信息对核心系统及总行各部门及各分行、支行相关主机、网络、终端等IT事件处理流程的管理。 3 相关文件 《变更管理控制程序》 4 职责 4.1 网管值班人员负责接收所有事件的报告并记录,根据事件类型决定事件处理; 4.2 事件经理负责事件类型的确定,事件过程的管理; 4.3 支持团队负责针对事件的方案的实施和解决; 4.4 信息总经理负责重大事件的管理,担当重大事件经理的角色。 5 程序 5.1 事件管理目标 对于事件管理过程,应遵循以下目标: a)尽快恢复正常服务。 b)最小化事件对业务的影响。 c)确保一致地处理事件和服务请求而不会有任何遗漏。 d)定向到最需要的支持资源。 e)提供允许优化支持流程、减少事件数量和执行管理计划的信息。
5.2 事件的分类 5.2.1基于两个方面对事件进行分类: a)事件所造成的影响 b)事件的紧急程度 5.2.1.1 事件的影响等级 5.2.1.2 事件的紧急程度等级 5.2.1.3 事件的优先级 事件的优先级是根据事件的影响等级和事件的紧急程度来决定的。影响等级高并且紧急程度高的事件优先级为最高级,影响等级低并且紧急程度低的事件优先级为低级。
下表显示了与这些参数相关事件的分类: 5.3 事件的发现、记录和报告 5.3.1 事件的发现 事件通常由用户、IT团队、供应商或监控系统检测到。对于各类来源所探测到的事件报告,均应由首先接到报告的人员根据事件分类的原则进行判断,属于高等级或最高等级的事件,应立即向信息总经理报告,必要时应继续报告行领导及上级监管机构。 一般事件的处理按照5.4.1要求执行。 5.3.2 事件的记录 所有被报告或主动探测到的事件均应被记录。记录内容应包括: a)唯一参考号 b)记录日期和时间 c)记录事件的人员的身份 d)报告事件的人员的身份(包括姓名、部门、位置和联系详细信息) e)联系方法 f)受影响的配置项 (CI) 的详细信息 g)症状描述和任何错误代码 h)重现该问题所需要的步骤 5.4 事件的处理 5.4.1 一般事件 一般事件根据引起事件的不同原因,按照各类日常维护工作所涉及到的管理程序执行处理过程。