制度体系之 - 信息安全管理制度
实施指南
1策略管理 (7)
1.1安全策略和管理制度 (7)
1.1.1信息安全策略 (7)
1.1.2信息安全管理制度 (7)
1.1.3行为规范 (8)
1.2安全规划 (8)
1.2.1系统安全规划 (8)
1.2.2系统安全规划的更新 (9)
1.2.3阶段性行动计划 (9)
2组织管理 (9)
2.1组织机构 (9)
2.1.1信息安全管理机构 (9)
2.1.2信息安全管理人员 (10)
2.2人员安全 (10)
2.2.1工作岗位风险分级 (10)
2.2.2人员审查 (10)
2.2.3人员工作合同终止 (11)
2.2.4人员调动 (11)
2.2.5工作协议和条款 (11)
2.2.6第三方人员安全 (12)
2.2.7人员处罚 (12)
2.3安全意识和培训 (12)
2.3.1安全意识 (12)
2.3.2安全培训 (13)
2.3.3安全培训记录 (13)
3运行管理 (14)
3.1风险评估和认证认可 (14)
3.1.1安全分类 (14)
3.1.2风险评估 (14)
3.1.4安全认证 (15)
3.1.5安全认可 (15)
3.1.6持续监控 (16)
3.2系统与服务采购 (16)
3.2.1资源分配 (16)
3.2.2生命周期支持 (17)
3.2.3采购 (17)
3.2.4信息系统文件 (17)
3.2.5软件使用限制 (17)
3.2.6用户安装的软件 (18)
3.2.7安全设计原则 (18)
3.2.8外包信息系统服务 (18)
3.2.9开发配置管理 (19)
3.2.10开发安全测试评估 (19)
3.3配置管理 (19)
3.3.1基线配置 (20)
3.3.2配置变更控制 (20)
3.3.3监督配置变更 (21)
3.3.4变更访问限制 (21)
3.3.5配置策略设置 (21)
3.3.6功能最小化 (21)
3.4应急计划和事件响应 (22)
3.4.1应急计划 (22)
3.4.2应急响应培训 (22)
3.4.3应急和事件响应计划测试 (22)
3.4.4应急和事件响应计划更新 (23)
3.4.5事件处理 (23)
3.4.6事件监控 (23)
3.4.7事件报告 (24)
3.5系统管理与维护 (24)
3.5.1安全管理技术 (25)
3.5.2常规维护 (25)
3.5.3维护工具管理 (25)
3.5.4远程维护 (25)
3.5.5维护人员 (26)
3.5.6维护及时性 (26)
4技术管理 (26)
4.1标识鉴别 (26)
4.1.1身份标识和鉴别 (26)
4.1.2设备标识和鉴别 (27)
4.1.3标识管理 (27)
4.1.4鉴别管理 (28)
4.1.5登录和鉴别反馈 (28)
4.2访问控制 (29)
4.2.1账户管理 (29)
4.2.2强制访问 (30)
4.2.3信息流控制 (30)
4.2.4职责分离 (31)
4.2.5最小权限 (31)
4.2.6不成功登录尝试 (31)
4.2.7系统使用情况 (32)
4.2.8最近登录情况 (32)
4.2.9并发会话控制 (33)
4.2.10会话锁定 (33)
4.2.11会话终止 (33)
4.2.12对访问控制的监督和审查 (34)
4.2.13不需鉴别或认证的行为 (34)
4.2.14自动化标记 (34)
4.2.16无线接入访问控制 (35)
4.2.17便携式移动设备的访问控制 (35)
4.2.18个人信息系统 (36)
4.3系统与信息完整性 (36)
4.3.1漏洞修补 (36)
4.3.2防恶意代码攻击 (37)
4.3.3输入信息的限制 (37)
4.3.4错误处理 (37)
4.3.5输出信息的处理和保存 (38)
4.4系统与通信保护 (38)
4.4.1应用系统分区 (38)
4.4.2安全域划分 (39)
4.4.3拒绝服务保护 (39)
4.4.4边界保护 (39)
4.4.5网络连接终止 (39)
4.4.6公共访问保护 (39)
4.4.7移动代码 (40)
4.5介质保护 (40)
4.5.1介质访问 (40)
4.5.2介质保存 (40)
4.5.3信息彻底清除 (41)
4.5.4介质的废弃 (41)
4.6物理和环境保护 (41)
4.6.1物理访问授权 (42)
4.6.2物理访问控制 (42)
4.6.3显示介质访问控制 (42)
4.6.4物理访问监视 (42)
4.6.5来访人员控制 (43)
4.6.6来访记录 (43)
4.7检测和响应 (43)
4.7.1事件审计 (44)
4.7.2审计记录的内容 (45)
4.7.3审计处理 (45)
4.7.4审计的监控、分析和报告 (45)
4.7.5审计信息保护 (46)
4.7.6审计保留 (46)
4.7.7入侵检测 (46)
4.7.8漏洞扫描 (46)
4.7.9安全告警和响应 (47)
4.8备份与恢复 (47)
4.8.1信息系统备份 (47)
4.8.2备份存储地点 (48)
4.8.3备份处理地点 (48)
4.8.4信息系统恢复与重建 (48)
1策略管理
安全策略是高层管理层决定的一个全面的声明,它规定在组织中安全问题扮演什么样的角色。组织安全策略为机构内部未来的所有安全活动提供了范围和方向。
1.1安全策略和管理制度
对各级部门制定总体的信息安全策略、信息安全管理制度和相应的行为规范,指导信息安全保障工作更好的开展。
1.1.1信息安全策略
信息安全策略是高级管理层决定的一个全面的声明,它规定在组织中安全问题扮演什么样的角色。它能够为信息安全提供符合业务要求和相关法律法规的管理指导和支持。
要求
对各级部门制定总体信息安全策略,详细阐述目标、范围、角色、责任以及合规性等;制定高层信息安全策略,部门级安全策略,系统级安全策略;开发、发布、并定期更新信息安全策略;
内容
信息安全策略的内容要覆盖安全规划、组织机构、人员安全、安全意识和培训、风险评估、认证认可、系统与服务采购、配置管理、应急计划、事件响应、系统维护、标识鉴别、访问控制、系统与信息完整性、系统与通信保护、抗抵赖、介质保护、物理和环境保护、检测响应恢复等各方面;
信息安全策略定义了明确所要保护的总体安全目标与范围;
信息安全策略经过本级主管信息工作的领导批准,正式颁布,并定期根据实施效果进行修订。
1.1.2信息安全管理制度
信息安全管理制度是为了更好地保证系统的信息安全,是信息安全策略的进一步实施的具体化。
要求
制定严格的规范化的信息安全管理制度,以促进信息安全策略的实施;
内容
对信息的生成、存储、查看、传输、复制、备份、归档、销毁等制定严格的管理制度;
对信息系统中设备与系统的接入、运行、维护、管理的规定;
有安全管理值班制度与事故报告处理制度,应急响应预案以及各种应用系统用户授权管理与系统运行管理规定等;
根据管理制度的执行情况定期审核,修订。
1.1.3行为规范
行为规范规定了系统的各类使用和管理人员的岗位职责,规定了各类人员的责任和所允许信息系统的权利。
要求
对信息系统的各类使用和管理人员的岗位职责、行为规范制定管理规定,并描述其责任和所允许的访问信息和信息系统的正当行为;
所有用户在被授权访问信息系统之前,应以书面签认方式确认其已经知悉、理解并愿意遵守相关的规范。
内容
管理制度印发给有关管理和应用人员,并抽查,以验证其是否了解应遵守的行为规范。
1.2安全规划
制定较为完整的信息安全规划,以指导信息安全保障工作的开展。安全规划包括系统安全规划、系统安全规划的更新、阶段性行动计划。
1.2.1系统安全规划
系统安全规划是对信息系统安全一个全面的规划,用来描述系统的安全要求和满足安全规划采用的安全控制措施。
要求
为信息系统制定并实施安全规划,对系统的安全要求以及满足这些安全需求的在用的或计划采用的安全控制措施进行描述;
高层领导应审核、批准安全规划,并采用统一规划、分步实施的原则贯彻执行。
内容
结合xxxx的信息系统安全的总体目标和安全需求,制定针对性的信息安全规划;
1.2.2系统安全规划的更新
系统安全是一个动态的过程,系统安全规划要定期审核并修订,当发生重大变更时,要用时对系统安全规划进行更新。
要求
定期审核并修订信息系统安全规划,以解决在计划实施中或安全控制评估中发现的问题,以及应对信息系统或组织的变更。
内容
定期或发生重大变更时,对信息安全规划进行审核和修订;
信息安全规划的修改要严格遵守相关的策略和流程,并得到主管领导的批准。
1.2.3阶段性行动计划
信息系统的生命周期有不同的阶段,在每一个阶段信息系统的安全需求是不同的,要对每个阶段编制、开发或更新信息系统的行动计划。
要求
编制开发和更新信息系统的活动和里程碑计划,并将已计划的、已实施的、和经过评估的行为文件化,以减少或消除系统中已知的脆弱性。
内容
有相应的活动和里程碑计划;
活动和里程碑计划是在安全控制措施评估结果、安全影响分析和持续性监控活动的基础上进行更新的。
2组织管理
2.1组织机构
2.1.1信息安全管理机构
要求
组建本单位的信息安全管理机构,该机构应由主管本单位信息安全工作的领导、负责具体工作的网络、安全管理人员组成,责任到人,具有领导信息安全工作、制定安全策略、监督管理等职能。
内容
组建信息安全管理机构及其机构组成,人员设置,并文件化;
组建的信息安全管理机构有明确的信息安全管理职能(包括物理安全管理、身份鉴别管理、访问控制管理、安全审计管理、安全教育与培训等);
组建的信息安全管理机构是自上而下,分级负责的。
2.1.2信息安全管理人员
要求
信息安全管理机构中的安全管理人员应分权负责,以限制具有超级权限的人员存在。内容
信息安全管理机构中的管理人员分权负责,系统管理员、安全管理员、安全审计员等分别都是由不同的人员担任;
各种设备与系统由相关的管理责任人,具有信息资产清单,并明文规定责任人的职责,责任人对其管理的设备及责任清楚。
2.2人员安全
人员安全主要包括工作岗位风险分级、人员审查、人员工作合同终止、人员调动、工作协议和条款、第三方人员安全以及人员处罚等几个方面。
2.2.1工作岗位风险分级
要求
对工作岗位进行风险分级,并制定针对在各级岗位工作的人员审查机制;
定期复核和修订不同工作岗位的风险分级。
内容
制定并实施工作岗位风险分级的制度;
定期复核、修订工作岗位的风险分级。
2.2.2人员审查
要求
结合自身的业务需求、相关的法律法规、被访问信息的分类及面临风险等因素,对工作
人员、合作者、第三方人员进行人员背景审查;
在授权之前对需要访问信息和信息系统的人员进行审查;
制定人员审查流程,流程应描述进行人员审查的方式和限制条件,如规定谁有资格进行审查,在何时,通过什么方式,因为什么原因来进行审查等等。
内容
制定有关人员背景审查的制度和流程,并依此进行人员审查、核实工作。
2.2.3人员工作合同终止
要求
当人员工作合同终止时,应终止人员对信息系统的访问,并确保其归还所拥有与组织相关的资产;
制定员工注册和注销流程,来授予和撤销员工对信息系统和服务的访问权限。
内容
明确规定和指派职责,以处理人员工作合同终止事宜;
及时移除或封堵工作合同终止的人员对信息和信息处理系统的访问权限,包括物理和逻辑访问;
及时更改工作合同终止人员所知晓的账户密码。
2.2.4人员调动
要求
当工作人员被重新分配或调动到单位其它工作岗位时,应复查信息系统和设施的访问授权,并采取适当的措施(如重新发放身份卡,关闭原有账户的同时创建新账户,更改系统的访问授权等)。
内容
对人员调动采取适当的安全措施。
2.2.5工作协议和条款
要求
在对需要访问信息和信息系统的人员进行访问授权之前,签署适当的工作协议和条款(如,保密协议、按规定进行使用的协议、行为规范等)。
内容
制定和签署相关的工作协议和条款。
2.2.6第三方人员安全
要求
建立针对第三方人员(如服务机构、合作方、信息系统开发商、信息技术服务、应用系统外包、网络和安全管理等)的安全要求,并不断监督其遵从安全要求的情况以确保足够安全。
内容
明确第三方参与的业务过程对信息和信息处理设施带来的风险,并采取适当的控制措施;
同第三方签订的安全协议中,覆盖第三方在访问、处理、通信、管理组织信息或信息处理设施、增加产品或服务等活动中所有相关的安全要求,并清晰定义了其安全角色和责任。
2.2.7人员处罚
要求
建立正规的程序,处罚或制裁未遵守信息安全策略和流程的员工。
内容
在信息安全策略和程序文档中制定了关于人员处罚的相关程序。
2.3安全意识和培训
安全意识和培训的目标是确保用户清楚信息安全威胁和利害关系。在安全程序、设备和信息系统的使用过程中培训工作人员,使工作人员有良好的安全意识,以降低可能的安全风险。
安全意识和培训涉及以下内容:安全意识、安全培训、安全培训记录。
2.3.1安全意识
要求
根据信息系统的特定安全要求,制定具有针对性的安全意识培训内容,确保所有人员(包括领导和普通工作人员)在被授权访问信息系统之前进行了基本的信息安全意识培训,并且
定期进行培训。
内容
相关人员具备基本的信息安全意识。
2.3.2安全培训
要求
制定安全培训计划,并且定期按照计划进行培训;
确定每个工作人员在信息系统中的安全角色和职责,将这些角色和职责文档化,在工作人员被授权访问系统之前提供适合的信息系统安全培训;
依据自身的特定要求和工作人员授权访问的信息系统的不同,制定针对性较强的安全培训内容;
确保系统管理员,管理者和其他有权访问系统层软件的人员在从事本职工作之前进行了必要的技术培训。
内容
根据安全培训计划和安全培训教材以及工作人员的安全角色和职责制定针对性较强的信息安全培训;
根据安全培训记录并结合安全培训计划,在适当的时间,对相关各类人员进行了必要的信息安全培训。
2.3.3安全培训记录
要求
记录并监督工作人员的信息系统安全培训过程,包括一些基本安全意识和安全技能培训,并应形成相关的培训记录。
内容
有相应的安全培训记录。
3运行管理
3.1风险评估和认证认可
风险评估是对信息和信息处理设施所面临的威胁及其影响以及信息系统脆弱性及其发生可能性的评估。
3.1.1安全分类
在于对不同类别的信息和信息系统提供出不同等级的安全保护。
要求
对信息系统及其处理、加工和存储的信息进行分类,并对不同类别的信息和信息系统应达到的提出安全保护要求;
将安全分类作为涉及整个单位的一项工作,并将安全分类的依据和结果记录形成文件,由主管领导审核并批准。
内容
根据法律要求,对敏感性和关键性等因素对信息及信息系统进行分类。
3.1.2风险评估
风险评估应包括评价风险程度的系统化的方法(风险分析)以及将估计的风险与风险准则进行比较从而确定风险重要程度的过程(风险评估)。
要求
标识信息系统的资产价值,识别信息系统面临的自然和人为的威胁,识别信息系统的脆弱性,分析各种威胁发生的可能性,并定量或定性的描述可能造成的损失、评估系统的风险级别;
定期进行风险评估,以定期审核系统的安全风险和已实施的安全控制的效果。
内容
对系统的资产价值进行了分级,信息系统面临的自然和人为的威胁有所定义,信息系统的脆弱性所在,对威胁发生的可能性有相对准确的分级,定量或定性描述结果符合系统的现状;
在进行风险评估时,选择的服务商有相关的资质证明,其所依据的评估流程、评估方法是有效的和规范的;
对安全控制的措施以及现有控制措施正确实施的程度是按照计划实施、产生的,其输出
的结果满足系统的安全需求。
3.1.3风险评估更新
信息系统的风险评估处于一个动态平衡状态,当系统内部有所变化,相对应的风险级别发生新的更新以符合新的风险状态。
要求
当信息系统发生重大变更时,应重新进行风险评估;
制定相关规定,说明哪些是信息系统的重大变动。
内容
当信息系统发生重大变更时,如设备改变或其它影响系统安全状态时,进行了风险评估更新,并对以前的风险评估有更新记录;
有针对风险评估更新而制定的具体标准。
3.1.4安全认证
保障信息系统安全技术产品具有可靠的安全保障能力。
要求
当前投入使用的信息系统安全技术产品应该按照有关法律法规得到国家权威机构的测评和认证,以确定信息安全技术产品的功能和性能可以满足系统的安全需求;
邀请国家权威机构对本单位信息系统进行测评和认证,以确定信息系统的技术控制措施,安全管理规章和工程建设过程可以为系统的安全提供充分的保障;
安全认证应结合到系统开发的生命周期(SDLC)中,并贯穿在生命周期的各个阶段。内容
当前使用的信息安全产品得到中国信息安全产品测评认证中心、公安部、国家保密局等国家权威部门的相关认证;
通过国家权威机构对信息系统的安全保障能力的测评认证;
认证结果对于当前系统是有效的(认证结果距检查时间不超过两年,得到认证后没有对系统进行较大的改动)。
3.1.5安全认可
保障信息系统的安全运行。
要求
信息系统运行之前,以及信息安全产品投入正式使用之前需得到国家权威机构和上级主管部门的认可。
内容
信息系统的技术控制措施,安全管理规章和工程建设过程符合有关规定,并通过了有关的评估和认证;
当前使用的信息安全产品符合相关规定,并通过了有关的评估和认证。
3.1.6持续监控
保障信息系统安全的持续性、稳定性。
要求
监控信息系统现有的安全控制措施,有计划地持续进行配置管理、信息系统组件控制、系统变更后的安全影响分析、现有安全控制措施评估和状态汇报等工作。
内容
制定并实施有关的规定,取得相应的认证认可,对系统的安全控制措施和安全保障能力进行持续的监控。
3.2系统与服务采购
系统和服务采购涉及到资源分配、生命周期支持、信息系统文件、软件使用限制、用户安装的软件、安全设计原则、外包信息系统服务、开发人员配置管理、开发人员安全测试十个项目内容。
3.2.1资源分配
要求
定义投资控制过程所需的保护信息系统资源的范围;
在信息系统规划中要确定安全要求;规划和预算文件中,要建立信息系统安全项目,将主要的规划和投资控制过程整合到一起。
内容
定义投资控制的范围;
信息系统规划中定义了相应的安全要求。
3.2.2生命周期支持
要求
管理信息系统要有其相应的生命周期;
为系统开发生命周期安全考虑提供相应的实施指南。
内容
在相关的信息管理系统中明确关于系统生命周期的说明;
有对应系统开发周期的相应的实施指南。
3.2.3采购
要求
采购合同中要明确定义相关的安全要求、安全规范和基于风险评估的信息系统要求;
在信息系统所要求的文档中要包括安全配置说明和安全实施指南。
内容
采购合同满足该行业相关的安全需求;
在信息系统所要求的文档中包括了相应的安全配置说明和安全实施指南。
3.2.4信息系统文件
要求
确保信息系统拥有完整齐全的文档,包括系统的详细设计方案和实施方案,配置、安装和运行信息系统且能正确配置系统安全特性的指南;
保证全部文档可用,并受到保护;
提供描述信息系统中安全控制的功能属性文件。
内容
信息系统文件(如安全设计方案、建设方案、管理员和用户指南、系统安全配置参考文件等)完整,清晰地定义了文档的授权级别。
3.2.5软件使用限制
要求
对软件的使用进行限制;
软件和所用相关文档与合同协商和法律版本一致;
对软件和相关的文档的数量进行相应的许可保护,并对软件的复制和分发进行控制。内容
制定软件使用政策,遵守软件许可协议,禁止使用盗版软件;
控制用户可访问的范围,监控异常情况。例如:进行URL限制,关注异常流量等,对可疑问题是否及时上报;
工作人员接收权威发布部门发布的软件的相关信息,不接收和传播未经确认的信息。
3.2.6用户安装的软件
要求
对软件的下载和安装要有明确的规定;
对软件的类型进行识别和分类,确认哪些是可以下载和安装的,哪些是被禁止的。
内容
有软件下载和安装的规定;
安全软件的升级过程有相应的变更控制流程进行控制。
3.2.7安全设计原则
要求
使用安全工程原则设计和实施信息系统。
内容
组织机构采用信息系统安全工程原则来设计、开发和实施信息系统。
3.2.8外包信息系统服务
要求
执行和维护在服务协议中规定的信息安全服务提供级别;
对第三方的服务提供进行管理;
对第三方的服务的监控和审核进行管理;
对第三方服务变更进行管理。(由于所涉及的业务系统,业务过程和风险再评估的重要性,要对服务的变更过程进行管理,包括为改进现有的信息安全策略,流程和控制措施所实施的变更)。
内容
验证协议的执行情况,监控实际操作与协议的符合程度,对与协议不符的地方进行相应的管理,来确保第三方所提供的服务达到了协议中的要求;
第三方实施了在第三方服务提供中所规定的安全控制措施,服务定义和提供服务的级别。
3.2.9开发配置管理
要求
对信息系统的开发要建立和实施配置管理计划,控制在开发过程中的变更,跟踪安全错误,要进行变更授权,提供计划和实施文档。
内容
为信息系统开发建立和实施了相应的配置管理计划;
在控制可发过程之中的变更有记录。
3.2.10开发安全测试评估
要求
对信息系统开发要建立安全测试和评估计划,并实施相应的计划,将相应的计划文档化。开发安全测试和评估结果应提交用于信息系统交付的安全认证和认可过程。
内容
开发的、在行业网上使用并涉及行业关键信息和数据的软件系统进行了安全评估,并通过了安全审核;
对测试应用系统实施了访问控制;
系统真实运行的信息复制到测试应用系统前先经过了正式授权;
对系统真实运行的信息和使用情况进行了记录,以便审核追踪。
3.3配置管理
配置管理是信息系统运行管理的一个重要组成部分。对网络设备、安全设备、操作系统、应用系统和数据库系统的配置进行正确有效的管理,是保证信息系统正常运行和消除系统安
全风险最基本,最必要的手段。
信息系统的管理和维护人员要在明确安全需求的基础上,熟悉各个软硬件设备的当前配置情况,并在信息系统出现变更时按照配置管理策略和配置管理流程对配置进行及时的修改和记录。
信息系统的管理和维护人员应该编制系统资产清单和当前系统的基线配置来记载系统中所有软硬件设备的基本信息(包括系统中各软硬件的生产厂商,产品类别,序列号,版本号以及该资产在系统中的物理位置和逻辑位置)和当前的配置情况。要将对资产清单和基线配置的更新作为系统更新或扩展的一项必要工作,保证资产清单和基线配置能反映系统当前的真实情况。并逐步使用自动化的工具(网管系统、安全集中管理平台等)自动生成和维护资产清单和基线配置。
3.3.1基线配置
要求
编制系统资产清单和当前系统的基线配置;
对资产清单和基线配置的更新作为系统更新或扩展的一项必要工作;
使用自动化工具自动生成和维护资产清单和基线配置。
内容
通过资产调查,确定系统中所有资产的基本信息;
基线配置文档的完整性和准确性;
实现网络设备和安全设备的集中管理,具备自动生成网络设备和安全设备的基线配置的能力。
3.3.2配置变更控制
要求
对配置的变更进行记录和控制;
使用自动化的工具来记录和控制配置变更。
内容
对配置变更进行记录;
配置变更遵循科学规范的流程;
使用了对配置变更进行控制和记录的自动化工具。
信息安全管理制度 一、总则 为了加强公司内所有信息安全的管理,让大家充分运用计算机来提高工作效率, 特制定本制度。 二、计算机管理要求 1.IT管理员负责公司内所有计算机的管理,各部门应将计算机负责人名单报给 IT管理员,IT管理员(填写《计算机IP地址分配表》)进行备案管理。如有变更,应在变更计算机负责人一周内向IT管理员申请备案。 2.公司内所有的计算机应由各部门指定专人使用,每台计算机的使用人员均定为计算机的负责人,如果其他人要求上机(不包括IT管理员),应取得计算机负责人的同意,严禁让外来人员使用工作计算机,出现问题所带来的一切责任应由 计算机负责人承担。 3.计算机设备未经IT管理员批准同意,任何人不得随意拆卸更换;如果计算机出现故障,计算机负责人应及时向IT管理员报告,IT管理员查明故障原因,提出整改措施,如属个人原因,对计算机负责人做出处罚。 4.日常保养内容: A.计算机表面保持清洁 B.应经常对计算机硬盘进行整理,保持硬盘整洁性、完整性; C.下班不用时,应关闭主机电源。 5.计算机IP地址和密码由IT管理员指定发给各部门,不能擅自更换。计算机系统专用资料(软件盘、系统盘、驱动盘)应由专人进行保管,不得随意带出公司 或个人存放。 6.禁止将公司配发的计算机非工作原因私自带走或转借给他人,造成丢失或损坏的 要做相应赔偿,禁止计算机使用人员对硬盘格式化操作。
7.计算机的内部调用: A. IT管理员根据需要负责计算机在公司内的调用,并按要求组织计算机的迁移 或调换。 B. 计算机在公司内调用,IT管理员应做好调用记录,《调用记录单》经副总经理 签字认可后交IT管理员存档。 8.计算机报废: A. 计算机报废,由使用部门提出,IT管理员根据计算机的使用、升级情况,组 织鉴定,同意报废处理的,报部门经理批准后按《固定资产管理规定》到财 务部办理报废手续。 B. 报废的计算机残件由IT管理员回收,组织人员一次性处理。 C. 计算机报废的条件:1)主要部件严重损坏,无升级和维修价值;2)修理或 改装费用超过或接近同等效能价值的设备。 三、环境管理 1.计算机的使用环境应做到防尘、防潮、防干扰及安全接地。 2.应尽量保持计算机周围环境的整洁,不要将影响使用或清洁的用品放在计算机 周围。 3.服务器机房内应做到干净、整洁、物品摆放整齐;非主管维护人员不得擅自进 入。 四、软件管理和防护 1.职责: A. IT管理员负责软件的开发购买保管、安装、维护、删除及管理。 B. 计算机负责人负责软件的使用及日常维护。 2.使用管理: A. 计算机系统软件:要求IT管理员统一配装正版Windows专业版,办公常用办
XX公司信息安全管理制度(试行) 第一章 第二章 第三章总则 第一条为保证信息系统安全可靠稳定运行,降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁,结合公司实际,特制定本制度。 第二条本制度适用于XX公司以及所属单位的信息系统安全管理。 第四章职责 第三条相关部门、单位职责: 一、信息中心 (一)负责组织和协调XX公司的信息系统安全管理工作; (二)负责建立XX公司信息系统网络成员单位间的网络访问规则;对公司本部信息系统网络终端的网络准入进行管理; (三)负责对XX公司统一的两个互联网出口进行管理,配置防火墙等信息安全设备;会同保密处对公司本部互联网上网行为进行管理; (四)对XX公司统一建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,界定两级单位信息安全管理责任; (五)负责XX公司网络边界、网络拓扑等全局性的信息安全管理。 二、人力资源部
(一)负责人力资源安全相关管理工作。 (二)负责将信息安全策略培训纳入年度职工培训计划,并组织实施。 三、各部门 (一)负责本部门信息安全管理工作。 (二)配合和协助业务主管部门完善相关制度建设,落实日常管理工作。 四、所属各单位 (一)负责组织和协调本单位信息安全管理工作。 (二)对本单位建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,报XX公司信息中心备案。 第五章信息安全策略的基本要求 第四条信息系统安全管理应遵循以下八个原则: 一、主要领导人负责原则; 二、规范定级原则; 三、依法行政原则; 四、以人为本原则; 五、注重效费比原则; 六、全面防范、突出重点原则; 七、系统、动态原则; 八、特殊安全管理原则。 第五条公司保密委应根据业务需求和相关法律法规,组织制定公司信息安全策略,经主管领导审批发布后,对员工及相关方进行传达和培训。 第六条制定信息安全策略时应充分考虑信息系统安全策略的“七定”要求,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。 第七条信息安全策略主要包括以下内容: 一、信息网络与信息系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略; 二、对已投入运行且已建立安全体系的系统定期进行漏洞
信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和 存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不 得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。未经许可,不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。 1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。 2.2文件加密
信息安全管理办法 第一章总则 第一条为加强公司信息安全管理,推进信息安全体系建设,保障信息系统安全稳定运行,根据国家有关法律、法规和《公司信息化工作管理规定》,制定本办法。 第二条本办法所指的信息安全管理,是指计算机网络及信息系统(以下简称信息系统)的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。 第三条公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则,各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。 第四条信息安全管理,包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。 第五条本办法适用于公司总部、各企事业单位及其全体员工。 第二章信息安全管理组织与职责 第六条公司信息化工作领导小组是信息安全工作的最高决策机构,负责信息安全政策、制度和体系建设规划的审批,部署并协调信息安全体系建设,领导信息系统等级保护工作。 第七条公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成,协调一致、密切配合的信息安全组织和责任体系。各级信息安全组织均要明确主管领导,确定相关责任,设置相应岗位,配备必要人员。 第八条信息管理部是公司信息安全的归口管理部门,负责落实信息化工作领导小组的决策,实施公司信息安全建设与管理,确保重要信息系统的有效保护和安全运行。具体职责包括:组织制定和实施公司信息安全政策标准、管理制度和体系建设规划,组织实施信息安全项目和培训,组织信息安全工作的监督和检查。 第九条公司保密部门负责信息安全工作中有关保密工作的监督、检查和指导。
信息工作管理制度 第一章总则 第一条为了加强信息管理,规范信息安全操作行为,提高信息安全保障能力和水平,维护信息安全,促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等规定,以《环境信息网络管理维护规范》(环保部制定)等标准为基本管理操作准则,制订本管理制度。 第二条本制度适用范围为信息与监控中心,其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员(包括监控与信息中心技术人员及机关业务系统管理人员)、机房运维人员(包括外包机构人员),应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 (一)系统管理员 系统管理员是从事服务器及存储设备运行管理的人
员,业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立,正式运行后的服务器系统软硬件操作的监管,执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 (二)业务管理员(业务联系人) 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员,业务上应具备业务系统安装及基本调试操作的能力(业务软件厂家负责培训),业务系统及部署操作系统故障分析的能力,预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 (三)网络管理员
Through the joint creation of clear rules, the establishment of common values, strengthen the code of conduct in individual learning, realize the value contribution to the organization.公司信息安全管理制度正 式版
公司信息安全管理制度正式版 下载提示:此管理制度资料适用于通过共同创造,促进集体发展的明文规则,建立共同的价值观、培 养团队精神、加强个人学习方面的行为准则,实现对自我,对组织的价值贡献。文档可以直接使用, 也可根据实际需要修订后使用。 信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备
(特殊情况的,经批准许可的方能使用自已的计算机),不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。未经许可,不得私自使用他人计算机或相关设备,不得
信息安全管理制度 目录 1.安全管理制度要求 1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度; b)系统操作权限管理; c)安全培训制度; d)用户管理制度; e)新服务、新功能安全评估; f)用户投诉举报处理; g)信息发布审核、合法资质查验和公共信息巡查; h)个人电子信息安全保护; i)安全事件的监测、报告和应急处置制度; j)现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1 法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1 安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2 关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查: 2.个人履历的核查: 3.学历、学位、专业资质证明: 4.从事关键岗位所必须的能力 3.2.2 应与关键岗位人员签订保密协议。 3.3 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括: 1.上岗前的培训; 2.安全制度及其修订后的培训; 3.法律、法规的发展保持同步的继续培训。 应严格规范人员离岗过程: a)及时终止离岗员工的所有访问权限; b)关键岗位人员须承诺调离后的保密义务后方可离开; c)配合公安机关工作的人员变动应通报公安机关。
信息安全管理制度 为加强公司各信息系统管理,保证信息系统安全,根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门的相关规定和要求,结合公司实际,制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理,应当保障网络系统设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动: 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。 3、未经允许,对信息网络功能进行删除、修改或增加。 4、未经允许,对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。
5、故意制作、传播计算机病毒等破坏性程序。 6、利用公司网络,访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作,对本单位单位所属计算机网络的运行进行巡检,发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件,一经发现个人计算机由感染病毒等原因影响到整体网络安全,信息中心将立即停止该用户使用公司网络,待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务,一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全的子网,信息中心对其提供指导,必要时可以中断其与骨干网的连接,待子网恢复正常后再恢复连接。
鑫欧克公司信息安全管理制度 一、信息安全指导方针 保障信息安全,创造用户价值,切实推行安全管理,积极预防风险,完善控制措施,信息安全,人人有责,不断提高顾客满意度。 二、计算机设备管理制度 1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2、非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。 3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。三、操作员安全管理制度 (一)操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置; (二)系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得; 2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护; 3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权; 4、系统管理员不得使用他人操作代码进行业务操作; 5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; (三)一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。 四、密码与权限管理制度 1、密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串; 2、密码应定期修改,间隔时间不得超过一个月,如发
系统信息安全保护制度 一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置防火墙,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了相应的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好访问日志的留存。网站具有保存六个月以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、对应的IP地址情况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对非法贴子或留言能做到及时删除并进行重要信息向相关部门汇报。 5、网站信息服务系统建立多机备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置
相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 二、信息安全保密管理制度 1、网站信息内容更新全部由网站工作人员完成或管理。网站相关信息发布之前有一定的审核程序。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过网站散布《互联网信息管理办法》等相关法律法规明令禁止的信息,一经发现,立即删除。 2、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。 3、所有信息都及时做备份。按照国家有关规定,网站将保存6个月内系统运行日志和用户使用日志记录。 4、制定并遵守安全教育和培训制度。加大宣传教育力度,增强用户网络安全意识,自觉遵守互联网管理有关法律、法规,不泄密、不制作和传播有害信息,不链接有害信息或网页。 三、系统账号管理制度 1、服务器和数据库的管理账号密码,由系统管理员和数据库管理员设定并持有,实行定期修改制度,最长有效期不超过90天。 2、更换服务器与数据库密码时必须报备上级领导,以防遗失密码。如发现密码及口令有泄密迹象,管理员要立刻报告主管领导,严查泄露源头,同时更换密码。
上海xxx电子商务有限公司 信息安全管理制度 目录 第一章关于信息安全的总述 (2) 第二章信息安全管理的组织架构 (3) 第三章岗位和人员管理 (3) 第四章信息分级与管理 (3) 第五章信息安全管理准则 (4) 第六章信息安全风险评估和审计 (8) 第七章培训 (9) 第八章奖惩 (9) 第九章附则 (9)
第一章关于信息安全的总述 第一条(制度的目的)为了维护公司信息的安全,确保公司不因信息安全问题遭受损失,根据公司章程及相关制度,特制定本制度。 第二条(信息安全的概念)本制度所称的信息安全是指在信息的收集、产生、处理、传递、存储等过程中,做到以下工作:1)确保信息保密,但在经过授权的人员需要得到信息时能够在可以控制的情况下获得信息;2)保证信息完整和不被灭失,但在特定的情况下应当销毁一些不应保存的信息档案;3)保证信息的可用性。 第三条(制度的任务)通过对具体工作中关于信息安全管理的规定,提高全体员工的安全意识,增强公司经营过程中信息的安全保障,最终确保公司所有信息得到有效的安全管理,维护公司利益。 第四条(制度的地位)本制度是公司各级组织制定信息安全的相关措施、标准、规范及实施细则都必须遵守的信息安全管理要求。 第五条(制度的适用范围)全体员工均必须自觉维护公司信息的安全,遵守公司信息安全管理方面的相关规定。一切违反公司信息安全管理规定的组织和员人,均予以追究。 第六条(信息的概念)本制度所称的信息是指一切与公司经营有关情况的反映(或者虽然与公司经营无关,但其产生或存储是发生在公司控制的介质中),它们所反映的情况包括公司的经营状况、财务状况、组织状况等一切内容,其存储的介质包括纸质文件、电子文件甚至是存在员工大脑中。具体来说,包括但不限于下列类型: 1、与公司业务相关的各个业务系统中的信息,如设计文档、源代码、可执行代码、配 置、接口以及相应的数据库和数据库相关备份等; 2、与公司业务相关的各种业务数据,如用户资料、经销商资料、合作伙伴信息、合同、 各业务系统运行时数据、各类统计数据和报表、收入数据等; 3、与公司内部管理相关的各类行政数据,如人事资料、人事组织结构等; 4、与公司财务管理相关的财务类数据,如采购信息、资产信息、财务信息; 5、其他如公司各分子公司和外地办事结构的数据;公司员工对内、对外进行各种书面 的、口头的信息传播行为等。 第七条(信息安全工作的重要性)信息安全管理是公司内部管理的一项重要及长期性的工作,其贯穿整个公司各项业务与各个工作岗位,各个中心和部门必须积极配合该项工作的开展。
互联网企业网站信息安全管理制度全套 目录 信息发布登记制度 (1) 信息内容审核制度 (2) 信息监视、保存、清除和备份制度 (3) 病毒检测和网络安全漏洞检测制度 (5) 违法案件报告和协助查处制度 (6) 安全管理人员岗位工作职责 (7) 安全教育和培训制度 (8) 信息发布登记制度 1. 在信源接入时要落实安全保护技术措施,保障本网络的运行安全和信息安全; 2. 对以虚拟主机方式接入的单位,系统要做好用户权限设定工作,不能开放其信息目录以外的其他目录的操作
权限。 3. 对委托发布信息的单位和个人进行登记并存档。 4. 对信源单位提供的信息进行审核,不得有违犯《计算机信息网络国际联网安全保护管理办法》的内容出现。 5. 发现有违犯《计算机信息网络国际联网安全保护管理办法》情形的,应当保留有关原始记录,并在二十四小时内向当地公安机关报告。 信息内容审核制度 1、必须认真执行信息发布审核管理工作,杜绝违犯《计算机信息网络国际联网安全保护管理办法》的情形出现。 2、对在本网站发布信息的信源单位提供的信息进行认真检查,不得有危害国家安全、泄露国家秘密,侵犯国家的、社会的、集体的利益和公民的合法权益的内容出现。 3、对在BBS 公告板等发布公共言论的栏目建立完善的审核检查制度,并定时检查,防止违犯《计算机信息网络国际联网安全保护管理办法》的言论出现。 4、一旦在本信息港发现用户制作、复制、查阅和传
播下列信息的:( 1 ). 煽动抗拒、破坏宪法和法律、行政法规实施( 2 ) . 煽动颠覆国家政权,推翻社会主义制度(3). 煽动分裂国家、破坏国家统一(4). 煽动民族仇恨、民族歧视、破坏民族团结( 5) . 捏造或者歪曲事实、散布谣言,扰乱社会秩序( 6 ). 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪( 7 ). 公然侮辱他人或者捏造事实诽谤他人( 8 ). 损害国家机关信誉( 9 ) . 其他违反宪法和法律、行政法规( 10) . 按照国家有关规定,删除本网络中含有上述内容的地址、目录或者关闭服务器。并保留原始记录,在二十四小时之内向当地公安机关报告。 信息监视、保存、清除和备份制度 为促进公司网站健康、安全,高效的应用和发展,维护国家和社会的稳定,杜绝各类违法、
公司IT信息安全管理制度4 富世康公司IT信息安全管理制度 第一条总则通过加强公司计算机系统、办公网络、服务器系统的管理,保证网络系统安全运行,保证公司机密文件的安全,保障服务器、数据库的安全运行。加强计算机使用人员的安全意识,确保计算机系统正常运转。 第二条范围 1、计算机网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2、软件包括:服务器操作系统、SQL数据库、金蝶财务软件、浩龙餐饮管理软件、思迅商业管理软件、今目标办公自动化系统、微励系统及其它办公软件。 3、客户机的网络系统配置包括客户机在网络上的名称,IP 地址分配,用户登陆名称、用户密码、及Internet的配置等。 4、系统软件是指:操作系统(如WINDOWS XP、SERVER2008、WINDOWS7等)软件。 第三条职责 1、信息部为网络安全运行的管理部门,负责公司计算机网络系统、计算机系统、数据库系统的日常维护和管理。 2、负责系统软件的调研、采购定型、安装、升级、保管工作。
3、网络管理人员负责计算机网络系统、办公自动化系统、平台系统的安全运行;服务器安全运行和数据备份;Internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理协助各部门进行数据备份和数据归档。 4、网络管理人员执行公司保密制度,严守公司商业机密。 5、员工执行计算机安全管理制度,遵守公司保密制度。 6、系统管理员的密码必须由网络管理部门相关人员掌握。 第三条管理办法 I、公司计算机使用管理制度 1、从事计算机网络信息活动时,必须遵守《计算机信息网络国际联网安全保护管理办法》的规定,应遵守国家法律、法规,加强信息安全教育。 2、计算机等硬件设备由公司统一配置并定位,任何部门和个人不得允许私自挪 用调换、外借和移动电脑。 3、电脑硬件及其配件添置应列出清单报审计部,在征得公司领导同意后,由信息部负责进行添置。 4、电脑操作应按规定的程序进行。 (1)电脑的开、关机应按按正常程序操作,因非法操作而使电脑不能正常使用的,修理费用由该部门负责;
中心机房管理制度 计算机机房属机密重地。为做到严格管理,保证安全,特制订如下制度: 第一条中心机房的管理由系统管理员负责,非机房工作人员未经允许不准进入,机房门口明显位置应张贴告示:“机房重地,非请莫入”。 第二条机房内应保持整洁,严禁吸烟、吃喝、聊天、会客、休息。不准在计算机及工作台附近放置可能危及设备安全的物品。 第三条机房内严禁一切与工作无关的操作。严禁外来信息载体带入机房,未经允许不准将机器设备和数据带出机房。 第四条认真做好机房内各类记录介质的保管工作,落实专人收集、保管,信息载体必须安全存放并严密保管,防止丢失或失效。机房资料外借必须经批准并履行手续,方可借出。作废资料严禁外泄。 第五条机房工作人员要随时掌握机房运行环境和设备运行状态,保证设备随时畅通。机房设备开关必须先经检查确认正常后再按顺序依次开关机。 第六条机房工作人员对机房存在的隐患及设备故障要及时报告,并与有关部门及时联系处理。非常情况下应立即采取应急措施并保护现场。
第七条机房设备应由专业人员操作、使用,禁止非专业人员操作、使用。对各种设备应按规范要求操作、保养。发现故障,应及时报请维修,以免影响工作。 第八条外单位人员因工作需要进入机房时,必须报经局领导审批后方可进入,进入机房后须听从工作人员的指挥,未经许可,不得触及机房内设施。 第九条外来人员参观机房,须指定人员陪同。操作人员按陪同人员要求可以在电脑演示、咨询;对参观人员不合理要求,陪同人员应婉拒,其他人员不得擅自操作。 第十条中心机房处理秘密事务时,不得接待参观人员或靠近观看。
网络安全管理制度 第一条严格遵守法律、行政法规和国家其他有关规定,确保计算机信息系统的安全。 第二条连入局域网的用户严禁访问外部网络,若因工作需要,上网查询信息,允许访问与工作相关的网站,但须报告计算机管理部门,并在专业人员的指导下完成。非本局工作人员不允许上网查询信息。严禁访问宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪等违法网站。禁止在网络上聊天及玩游戏。 第三条加强信息发布审核管理工作。发布网络信息不得有危害国家安全、泄露国家秘密,侵犯国家、社会、集体的利益和公民的合法权益的内容出现。 第四条禁止非工作人员操纵系统,禁止不合法的登录情况出现。遇到安全问题应及时向计算机管理部门报告,并采取措施及时解决。 第五条局域网要采取安全管理措施,保障计算机网络设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第六条不得利用局域网络从事危害本局利益、集体利益和发表不适当的言论,不得危害计算机网络及信息系统的安全。在局域网上不允许进行干扰任何网络用户、破坏网络
**企业信息安全管理制度 第一条总则通过加强公司计算机系统、办公网络、服务器系统的管理,保证网络系统安全运行,保证公司机密文件的信息安全,保障服务器、数据库的安全运行。加强计算机办公人员的安全意识和团队合作精神,把各部门相关工作做好。 第二条范围 1、计算机网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2、软件包括:服务器操作系统、数据库及应用软件、有关专业的网络应用软件等。 3、客户机的网络系统配置包括客户机在网络上的名称,IP地址分配,用户登陆名称、用户密码、及Internet的配置等。 4、系统软件是指:操作系统(如WINDOWS XP、WINDOWS7等)软件。 5、平台软件是指:鼎捷ERP、办公用软件(如OFFICE 2003)等平台软件。 6、专业软件是指:设计工作中使用的绘图软件(如Photoshop等)。 第三条职责 1、信息中心部门为网络安全运行的管理部门,负责公司计算机网络系统、计算机系统、数据库系统的日常维护和管理。 2、负责系统软件的调研、采购、安装、升级、保管工作。 3、网络管理人员负责计算机网络系统、办公自动化系统、平台系统的安全运行;服务器安全运行和数据备份;Internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理协助各部门进行数据备份和数据归档。 4、网络管理人员执行公司保密制度,严守公司商业机密。 5、员工执行计算机安全管理制度,遵守公司保密制度。 6、系统管理员的密码必须由网络管理部门相关人员掌握。 第三条管理办法 I、公司电脑使用管理制度 1、从事计算机网络信息活动时,必须遵守《计算机信息网络国际联网安全保护管理办法》的规定,应遵守国家法律、法规,加强信息安全教育。
内部资料 注意保存 XXXXXXXXXX 信息安全制度汇编 XXXXXXXXXX 二〇一六年一月
目录 一、总则 (6) 二、安全管理制度 (7) 第一章管理制度 (7) 1.安全组织结构 (7) 1.1信息安全领导小组职责 (7) 1.2 信息安全工作组职责 (8) 1.3信息安全岗位 (9) 2.安全管理制度 (11) 2.1安全管理制度体系 (11) 2.2安全方针和主策略 (12) 2.3安全管理制度和规范 (12) 2.4安全流程和操作规程 (14) 2.5安全记录单 (14) 第二章制定和发布 (15) 第三章评审和修订 (16) 三、安全管理机构 (17) 第一章岗位设置 (17) 1.组织机构 (17) 2.关键岗位 (19) 第二章人员配备 (21) 第三章授权和审批 (23) 第四章沟通和合作 (25) 第五章审核和检查 (27) 四、人员安全管理 (29) 第一章人员录用 (29) 1.组织编制 (29) 2.招聘原则 (29) 3.招聘时机 (29) 4.录用人员基本要求 (30) 5.招聘人员岗位要求 (30) 6.招聘种类 (30) 6.1 外招 (30) 6.2 内招 (31) 7.招聘程序 (31) 7.1 人事需求申请 (31) 7.2 甄选 (31) 7.3 录用 (33)
第二章保密协议 (34) 第三章人员离岗 (36) 第三章人员考核 (38) 1.制定安全管理目标 (38) 2.目标考核 (39) 3.奖惩措施 (39) 第四章安全意识教育和培训 (40) 1.安全教育培训制度 (40) 第一章总则 (40) 第二章安全教育的含义和方式 (40) 第三章安全教育制度实施 (40) 第四章三级安全教育及其他教育内容 (42) 第五章附则 (44) 第五章外部人员访问管理制度 (45) 1.总则 (45) 2.来访登记控制 (45) 3.进出门禁系统控制 (46) 4.携带物品控制 (47) 五、系统建设管理 (48) 第一章安全方案设计 (48) 1.概述 (48) 2.设计要求和分析 (49) 2.1安全计算环境设计 (49) 2.2安全区域边界设计 (50) 2.3安全通信网络设计 (51) 2.4安全管理中心设计 (51) 3.针对本单位的具体实践 (52) 3.1安全计算环境建设 (52) 3.2安全区域边界建设 (53) 3.3安全通信网络建设 (53) 3.4安全管理中心建设 (54) 3.5安全管理规范制定 (55) 3.6系统整体分析 (55) 第二章产品采购和使用 (56) 第三章自行软件开发 (59) 1.申报 (59) 2.安全性论证和审批 (59) 3.复议 (59)
XX公司信息安全管理制度(试行) 第一章总则 第一条为保证信息系统安全可靠稳定运行,降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁,结合公司实际,特制定本制度。 第二条本制度适用于XX公司以及所属单位的信息系统安全管理。 第二章职责 第三条相关部门、单位职责: 一、信息中心 (一)负责组织和协调XX公司的信息系统安全管理工作; (二)负责建立XX公司信息系统网络成员单位间的网络访问规则;对公司本部信息系统网络终端的网络准入进行管理; (三)负责对XX公司统一的两个互联网出口进行管理,配置防火墙等信息安全设备;会同保密处对公司本部互联网上网行为进行管理; (四)对XX公司统一建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,界定两级单位信息安全管理责任; (五)负责XX公司网络边界、网络拓扑等全局性的信息安全管理。 二、人力资源部 (一)负责人力资源安全相关管理工作。 (二)负责将信息安全策略培训纳入年度职工培训计划,并组织实施。 三、各部门 (一)负责本部门信息安全管理工作。 (二)配合和协助业务主管部门完善相关制度建设,落实日常管理工作。 四、所属各单位 (一)负责组织和协调本单位信息安全管理工作。 (二)对本单位建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,报XX公司信息中心备案。
第三章信息安全策略的基本要求 第四条信息系统安全管理应遵循以下八个原则: 一、主要领导人负责原则; 二、规范定级原则; 三、依法行政原则; 四、以人为本原则; 五、注重效费比原则; 六、全面防范、突出重点原则; 七、系统、动态原则; 八、特殊安全管理原则。 第五条公司保密委应根据业务需求和相关法律法规,组织制定公司信息安全策略,经主管领导审批发布后,对员工及相关方进行传达和培训。 第六条制定信息安全策略时应充分考虑信息系统安全策略的“七定”要求,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。 第七条信息安全策略主要包括以下内容: 一、信息网络与信息系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略; 二、对已投入运行且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞; 三、对安全体系的各种日志(如入侵检测日志等)审计结果进行研究,以便及时发现系统的安全漏洞; 四、定期分析信息系统的安全风险及漏洞、分析当前黑客非常入侵的特点,及时调整安全策略; 五、制定人力资源、物理环境、访问控制、操作、备份、系统获取及维护、业务连续性等方面的安全策略,并实施。 第八条公司保密委每年应组织对信息安全策略的适应性、充分性和有效性进行评审,必要时组织修订;当公司的组织架构、生产经营模式等发生重大变化时也应进行评审和修订。 第九条根据“谁主管、谁负责”的原则,公司建立信息安全分级责任制,各层级落实信息系统安全责任。 第四章人力资源安全管理 第十条信息系统相关岗位设置应满足以下要求: 一、安全管理岗与其它任何岗位不得兼岗、混岗、代岗。 二、系统管理岗、网络管理岗与应用管理岗不得兼岗、混岗。 三、安全管理岗、系统管理岗、网络管理岗、应用管理岗、设备管
一、操作员安全管理制度 (一). 操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置; (二).系统管理操作代码的设置与管理 1、系统管理操作代码必须经过经营管理者授权取得; 2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护; 3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权; 4、系统管理员不得使用他人操作代码进行业务操作; 5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; (三)一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户代码设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。 二、计算机设备管理制度 1. 计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2. 非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。 3. 严格遵守计算机设备使用、开机、关机等安全操作规程和正
确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。 三、密码与权限管理制度 1. 密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串; 2.密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。 3.服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。 4.系统维护用户的密码应至少由两人共同设置、保管和使用。 5.有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记。 四、数据安全管理制度 1. 存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并明确落实异地备份数据的管理职责; 2. 注意计算机重要信息资料和数据存储介质的存放、运输安全
信息安全管理制度 第一条信息安全是指通过各种计算机、网络(内部信息平台)和密码技术,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。 1、信息处理和传输系统的安全。系统管理员应对处理信息的系统进行详细的安全检查和定期维护,避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。 2、信息内容的安全。侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测,采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息等。 3、信息传播安全。要加强对信息的审查,防止和控制非法、有害的信息通过本委的信息网络(内部信息平台)系统传播,避免对国家利益、公共利益以及个人利益造成损害。 第二条涉及国家秘密信息的安全工作实行领导负责制。 第三条信息的内部管理 1、各科室(下属单位)在向委网络(内部信息平台)系统提交信息前要作好查毒、杀毒工作,确保信息文件无毒上载; 2、根据情况,采取网络(内部信息平台)病毒监测、查毒、杀毒等技术措施,提高网络(内部信息平台)的整体搞病毒能力;
3、各信息应用科室(单位)对本单位所负责的信息必须作好备份; 4、各科室(单位)应对本部门的信息进行审查,网站各栏目信息的负责科室(单位)必须对发布信息制定审查制度,对信息来源的合法性,发布范围,信息栏目维护的负责人等作出明确的规定。信息发布后还要随时检查信息的完整性、合法性;如发现被删改,应及时向信息安全协调科报告; 5、涉及国家秘密的信息的存储、传输等应指定专人负责,并严格按照国家有关保密的法律、法规执行; 6、涉及国家秘密信息,未经委信息安全分管领导批准不得在网络上发布和明码传输; 7、涉密文件不可放置个人计算机中,非涉密电子邮件的收发也要实行病毒查杀。 第四条信息加密 1、涉及国家秘密的信息,其电子文档资料应当在涉密介质中加密单独存储; 2、涉及国家和部门利益的敏感信息的电子文档资料应当在涉密介质中加密单独存储; 3、涉及社会安定的敏感信息的电子文档资料应当在涉密介质中加密单独存储;; 4、涉及国家秘密、国家与部门利益和社会安定的秘密信