信息安全管理组织机构和人员安全管理办法
第一章总则
第1条为加强本公司信息安全管理工作,保障网络与信息系统的正常运行,依据有关法律、法规及信息安全标准,特制定本办法。
第2条本办法适用于本公司的信息安全组织机构和人员职责的管理。第二章信息安全领导小组
第1条公司成立信息安全领导小组。领导小组是信息安全的最高决策机构,下设办公室挂靠在公司技术部,负责信息安全领导小组的日常事务。
第2条信息安全领导小组下设两个工作组:
信息安全工作组
应急处理工作组
第3条信息安全领导小组的职责主要包括:
根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;
确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。
第三章信息安全工作组
第1条信息安全工作组组长由公司技术部的负责人担任。
第2条信息安全工作组的主要职责包括:
贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作;
根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实;
组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;
负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;
组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;
负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;
及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。
第四章应急处理工作组
第1条应急处理工作组组长由公司技术部的主要负责人担任。
第2条应急处理工作组的主要职责包括:
审定公司网络与信息系统的安全应急策略及应急预案;
决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统;
每年组织对信息安全应急策略和应急预案进行测试和演练。
第五章信息安全人员基本要求
第1条信息安全管理人员和专(兼)职信息安全技术人员应当政治可靠、业务素质高、遵纪守法、恪尽职守。
第2条信息安全管理人员及专职和兼职信息安全技术人员应有计算机专业工作三年以上经历,具备专科以上学历。
第3条违反国家法律、法规和行业规章受到处罚的人员,不得从事信息安全管理与技术工作。
第六章信息安全人员管理
第1条信息安全人员的配备和变更情况,应向总经理报告、备案。第2条信息安全人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。
第七章信息安全人员职责范围
第1条信息安全人员应履行以下职责:
负责信息安全管理的日常工作;
开展信息安全检查工作,对要害岗位人员安全工作进行指导和监督;
负责维护和审查有关安全审计记录,及时发现存在问题,提出安全风险防范对策;
开展信息安全知识的培训和宣传工作;
监控信息安全总体状况,提出信息安全分析报告;
及时向信息安全工作领导小组和有关部门、单位报告信息安全事件。
第2条信息安全人员在行使职责时,确因工作需要,经批准,可了解涉及经营与管理有关的信息系统的机密信息。
第3条信息安全人员发现本单位重大信息安全隐患,有权向公司总经理报告。
第4条信息安全人员发现信息系统要害岗位人员使用不当,应及时建议公司进行调整。
第5条信息安全人员必须严格遵守国家有关法律、法规和公司有关规章制度,严守公司商业秘密。
第八章要害岗位人员管理
第1条信息系统要害岗位人员,是指与重要信息系统直接相关的系统管理人员、网络管理人员、重要应用开发人员、系统维护人员、重要业务操作人员等岗位人员。
第2条重要信息系统,是指涉及公司生产、建设与经营、管理等核心业务且有保密要求的信息系统。
第3条要害岗位人员上岗前必须经单位人事部门进行政治素质审查,技术部门进行业务技能考核,工作经历和工作经验考查等,合格者方可上岗。
第4条要害岗位人员有责任保护信息系统的秘密,并以签署保密协议的方式作出安全承诺。
第5条要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员;系统开发人员原则上不应兼任系统管理员。
第6条对要害岗位人员应实行定期考查制度,要害岗位人员应定期接受安全培训,加强自身安全意识和风险防范意识。
第7条要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及公司业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。
第8条要害岗位人员离岗后,必须即刻更换操作密码或注销用户。第九章要害岗位安全责任
第1条系统管理员安全责任
负责系统的运行管理,实施系统安全运行细则;
严格用户权限管理,维护系统安全正常运行;
认真记录系统安全事项,及时向信息安全人员报告安全事件;
对进行系统操作的其他人员予以安全监督。
第2条网络管理员安全责任
负责网络的运行管理,实施网络安全策略和安全运行细则;
安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件;
对操作网络管理功能的其他人员进行安全监督。
第3条系统开发员安全责任
系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现;
系统投产运行前,应完整移交系统源代码和相关涉密资料;
不得对系统设置“后门”;
对系统核心技术保密。
第4条系统维护员安全责任
负责系统维护,及时解除系统故障,确保系统正常运行;
不得擅自改变系统功能;
不得安装与系统无关的其他计算机程序;
维护过程中,发现安全漏洞应及时报告信息安全人员。
第5条业务操作员安全责任
严格执行系统操作规程和运行安全管理制度;
不得向他人提供自己的操作密码;
及时向系统管理员报告系统各种异常事件。
第6条各要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
第十章第三方人员管理
第1条第三方人员包括软件开发商,硬件供应商,系统集成商,设备维护商和服务提供商,以及实习学生和临时工作人员。
第2条应对第三方人员的物理访问和逻辑访问实施访问控制,根据其在系统中完成工作的时间、性质、范围、内容等方面的需要给予最低授权。
第3条第三方人员的现场工作或远程维护工作内容应在合同中明确规定,如工作涉及机密或秘密信息内容,应要求其签署保密协议。
第4条一般情况下第三方人员的现场工作,如数据库、系统、漏洞扫描、入侵检测、白客渗透以及其他软件的安装等,不许接入自带的设备。
第5条第三方人员的现场工作应在本单位信息部门有关人员的陪同和监督下完成。第三方人员自带设备接入信息系统应得到特别授权,其操作应受到审计。
第6条第三方人员工作结束后,应及时清除有关账户、过程记录等信息。
第十一章培训与教育
第1条信息安全人员应定期参加下列信息安全知识和技能的培训:信息安全法律法规及行业规章制度的培训;
信息安全基本知识的培训;
信息安全专门技能的培训。
信息安全人员应定期接受政治思想教育、职业道德教育和安全保密教育。
第3条应对所有使用计算机的人员定期进行基本的信息安全知识和技能的培训,并应注意培养信息安全意识。
第十二章附则
第1条本办法由公司人力行政部负责解释。
第2条本办法自发布之日起施行。
陕西溢诚金融服务股份有限公司
2017年7月1日
信息安全管理办法 第一章总则 第一条为保障公司信息安全,切实推行安全管理,积极预防风险,完善控制措施,制定本办法。 第二条本办法适用于公司各职能部门、分公司信息安全管理。 第二章主要内容及工作职责 第三条信息安全管理的主要工作内容包括机房安全管理、网络安全管理、主机安全管理、应用安全管理、数据安全管理和管理安全工作。 第四条IT中心工作职责 1、IT中心为公司信息安全管理主管部门。 2、负责公司信息安全管理策略制订与落实。 3、负责起草信息安全规章制度,承担信息安全保障 建设、信息安全日常管理职能,提供信息安全技术保障。 4、负责各中心、分公司、专(兼)职信息管理员信 息安全指导、培训。 第五条各中心、分公司 1、指定专人担任专职或兼职信息管理员,负责协助 IT中心开展信息安全实施工作,并提供部门内部技术支持和网络管理工作。
2、负责落实相关信息安全管理工作在部门内的实施。 3、负责业务操作层的相关信息安全保障。 4、负责做好本部门人员的信息安全教育工作,提高 人员的信息安全意识和技能水平。 第三章机房安全管理 第六条机房人员出入、巡检、操作和设备管理请参照《机房安全管理规定》。 第四章网络安全管理 第七条公司内部网络与互联网实行安全隔离,在网络边界处应部署防火墙或其他安全访问控制设备,制定访问控制规则。 第八条新增网络设备入网时,网络管理员应按照《网络设备安全配置检查表》进行检查(见附录A),经信息安全管理员确认所有检查项检查结果全部为“是”后允许网络设备进入网络运行。 第九条网络新建或改造,在投入使用前,网络管理员须进行网络连通性、冗余性和传输速度等测试,信息安全管理员全程参与,确保网络系统安全。 第十条当网络设备配置发生变更时,须及时对网络设备配置文件进行备份;网络设备配置每三个月进行全备份,网络设备配置文件由网络管理员保管。 第十一条网络管理员应建立网络技术档案,技术文档包
信息安全管理规定 1目的 在遵循集团《计算机信息安全管理制度》原则基础上,为确保公司网络平台、信息系统的正常运行及信息系统中的信息数据安全,防止泄密,针对公司实际情况,制定本管理规定。 2范围 本办法适用于公司全体员工。 3术语定义 3.1 计算机信息:是指存储在计算机相关设备上的应用系统(软件)、数据、文档、图纸等含有一定意义的计算机信息资料。 3.2 内部网络:是指园区网络及通过专线与园区互联的其他园区、驻外机构网络(以下简称内网)。 3.3 外部网络:是指互联网或除互联网和公司内网之外的第三方专网(以下简称外网)。 3.4 VPN:虚拟专用网络(Virtual Private Network,简称VPN),是指在公共网络上建立专用网络的技术,属于远程访问技术,就是利用公网链路架设的虚拟私有网络。 4职责 4.1信息化管理部门:公司信息化管理部门,负责计算机信息安全日常工作,事业部接入级网络交换设备的管理工作,及时向总部信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。 4.2 计算机用户:负责本人领用的办公计算机的日常保养、正常操作及安全管理,负责所接触计算机信息的保密性、可用性和完整性;及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。涉密信息的起草人必须按公司《保密制度》相关规定提出信息密级的定级申请。 5内容与要求 5.1 账号和密码安全管理 5.1.1 信息系统用户账号须严格按照业务信息系统要求进行设置,原则上不得设置成共用账号,以确保使用人与账号的唯一性。 5.1.2 员工申请信息系统账号权限时,所在部门的负责人应严格审核,控制授予满足其工作需要的最小权限;员工岗位或工作内容发生变化后应及时提出申请权限变更,应用系统管理员应及时变更异动员工的权限,冻结离职员工的账号。 5.1.3计算机用户应妥善保管好自己的系统账号密码或身份认证设备,如发现遗失或被盗,应立即向信息化管理部门报告,信息化管理部门应及时处理,确保账号使用的合法性。
会员信息安全管理办法 第一条为规范会员信息的采集、传递和使用,确保会员信息的安全,避免与控制会员信息的外泄及不正当使用可能给公司带来的风险,结合本公司实际情况,特制定本办法。 第二条本办法所称会员是指在认可《会员规约》或《积分卡会员规约》(以下简称“两规约”)的前提下,按照相关手续,持有联名卡或会员 卡,并享有一定服务优先权的顾客。 第三条根据两规约,会员自愿同意向本公司及本公司所属商场内的经营业主提供或交换会员信息,并同意本公司向会员寄送各种宣传制品。相关责任人不得将会员信息作除此之外的其他用途。 第四条本部(店铺)营销各部及广告企划部门设定会员信息管理专员(必须为主任以上人员),当部门有会员信息需求时,由部门会员信息管 理专员负责执行申请程序。 第五条本部(店铺)营销各部的《会员消费特征信息采集申请表》应先提交本部广告企划部(店铺POP)进行审核,由本部广告企划部(店铺POP)提交IT信息部(店铺财务资产科-IT)实施信息采集。 第六条IT信息部(店铺财务资产科-IT)担当在收到申请部门负责人、广告企划部(店铺POP)、会员管理部门负责人签字完整的《会员消费特 征信息采集申请表》后才能在会员系统中进行会员信息采集,根据会员系统功能权限的设置实施操作。 第七条《会员消费特征信息采集申请表》中申请的会员信息仅限于会员手机号码;需要寄送DM的,仅限于会员地址、邮编、姓名。
第八条IT信息部(店铺财务资产科-IT)担当将采集的会员信息文件加密后通过社内网发送给广告企划部(店铺POP)会员信息管理专员,由本部广告企划部(店铺POP)统一安排短信或DM的发送。 第九条本部广告企划部(店铺POP)会员信息管理专员只能将获取的会员信息提供给短信及邮件发送、DM寄送的外包公司,用于各类促销活动信息的会员告知。 第十条所有有权限查询会员相关信息的工作人员及在会员信息的申请、采集、传递和使用的过程中相关责任人必须遵守、保护会员个人信息的隐秘,有稳妥的安全保密措施。不能以职务之便泄漏会员相关信息,一旦出现有泄漏秘密或违反本办法相关规定的情况,将视情节轻重追究责任人的相关责任。 第十一条本管理办法从2011年7月12日开始施行。 第十二条本管理办法最终解释权归公司所有。 I T信息部 2011年7月11日
企业信息安全保密管理办法 1.目的作用 企业内部的“信息流”与企业的“人流”、“物流”、“资金流”,均为支持企业生存与发展的最基本条件。可见信息与人、财、物都是企业的财富,但信息又是一种无形的资产,客观上使人们利用过程中带来安全管理上的困难。为了保护公司的利益不受侵害,需要加强对信息的保密管理,使公司所拥有的信息在经营活动中充分利用,为公司带来最大的效益,特制定本制度。 2.管理职责 由于企业的信息贯穿在企业经营活动的全过程和各个环节,所以信息的保密管理,除了领导重视而且需全员参与,各个职能部门人员都要严格遵守公司信息保密制度,公司督察部具体负责对各部门执行情况的检查和考核。 3.公司文件资料的形成过程保密规定 拟稿过程 拟稿是文件、资料保密工作的开始,对有保密要求的文件、资料,在拟稿过程应按以下规定办理: 初稿形成后,要根据文稿内容确定密级和保密期限,在编文号时应具体标明。 草稿纸及废纸不得乱丢,如无保留价值应及时销毁。 文件、资料形成前的讨论稿、征求意见稿、审议稿等,必须同定稿一样对待,按保密原则和要求管理。 印制过程 秘密文件、资料,应由公司机要打字员打印,并应注意以下几点:要严格按照主管领导审定的份数印制,不得擅自多印多留。 要严格控制印制工程中的接触人员。 打印过程形成的底稿、清样、废页要妥善处理,即使监销。 复制过程 复制过程是按照规定的阅读范围扩大文件、资料发行数量,要求如下:复制秘密文件、资料要建立严格的审批、登记制度。 复制件与正本文件、资料同等密级对待和管理。 严禁复制国家各种秘密文稿和国家领导人的内部讲话。
绝密文件、资料、未经原发文机关批准不得自行复制。 4.公司文件资料传递、阅办过程保密规定 收发过程 收进文件时要核对收件单位或收件人,检查信件封口是否被开启。 收文启封后,要清点份数,按不同类别和密级,分别进行编号、登记、加盖收文章。 发文时要按照文件、资料的类别和文号及顺序号登记清楚去向,并填写好发文通知单,封面要编号并加盖密级章。 收发文件、资料都要建立登记制度和严格实行签收手续。 递送过程 企业内部建有文件、资料交换站的,可通过交换站进行,一律直送直取。 递送外地文件、资料,要通过机要交通或派专人递送。 凡携带秘密文件、资料外出,一般要有两人以上同行,必须装在可靠的文件包或箱内,做到文件不离人。 递送的秘密文件、资料,一律要包装密封,并标明密级。 阅办过程 呈送领导人批示的文件、资料、应进行登记。领导人批示后,要及时退还或由经管文件部门当日收回。 领导人之间不得横向传批文件、不得把文件直接交承办单位(人)。凡需有关部门(人)承办的文件、资料,一律由文件经管部门办理。 绝密文件、资料,一般不传阅,应在特别设立的阅文室内阅读。 秘密文件、资料,不得长时间在个人手中保留,更不能带回家或公共场所。 要控制文件、资料阅读范围,无关人员不能看文件、资料。 5.公司文件资料归档、保管过程中的保密规定 归档过程 秘密文件、资料在归档时,要在卷宗的扉页标明原定密级,并以文件资料中最高密级为准。 不宜于保留不属于企业留存的“三密”文件、资料,要及时清理上交或登记销毁,防止失散。 有密级的档案,要按保密文件、资料管理办法进行管理。 保密过程
银行 信息安全管理办法 第一章总则 第一条为加强*** (下称“本行”)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。 第二条本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条本行信息安全工作实行统一领导和分级管理,由分管领导负责。按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全责任。 第四条本办法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。 第二章组织保障 第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。 第六条各部室、各分支机构应指定至少一名信息安全员,
配合信息安全领导小组开展信息安全管理工作,具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。。 第七条本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。 第八条本行应建立与外部信息安全专业机构、专家的联系,及时跟踪行业趋势,学习各类先进的标准和评估方法。 第三章人员管理 第九条本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。 第一节信息安全管理人员 第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。 第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。 第十二条信息安全管理人员定期参加信息安全相关培训。 第十三条安全工作小组在如下职责范围内开展信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导小组成员工作,监督检查信息安全管理工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安
公司信息安全管理办法 一、目的 为了保护区域的整体利益和长远利益不受侵害,需要加强对公司内部信息的保密管理,使公司所拥有的信息在经营活动中充分利用,为公司带来最大的效益,使公司长期、稳定、高效地发展,适应激烈的市场竞争,特制定本管理办法。二、适用范围 本管理办法适用于公司所有员工。 三、职责 由于区域的信息贯穿在区域建设及经营活动的全过程和各个环节,所以信息安全的管理,除了领导重视而且需全员参与,各个项目/部门人员都要严格遵守公司信息管理办法规定的内容。 四、信息分类 区域信息包括但不局限于以下内容 1.公司所有内部系统账号密码安全(如: ERP、NC……等)。 2.公司员工内部沟通QQ群、微信群。 3.公司文件(包括所有电子版文件和纸质版文件。如:内部公文、会议资料、设计图纸、设计方案、合同、管理诀窍、客户名单、货源情报、产销策略、招投标中的标底及标书内容……一切有关于公司利益的文件)。 五、管理要求 公司内部系统账号密码管理要求: 1.公司所有内部系统的个人账号密码不得随意给他人,如出现问题由账号本人负责。 2.员工离职时,人事部应该第一时间发起账号注销流程或通知离职员工所有项目/部门的行政管理人员发起账号注销流程,拒绝出现离职员工还存在能使用公
司内部系统账号密码权限。 公司员工内部沟通QQ群、微信群管理要求: 1.未经群管理人员同意不得随意邀请人进入沟通平台,如需要邀请必需经群管理人员同意。 2.进入QQ群、微信群的员工必需更改群名称,群名称格式为:项目/部门-姓名(如:设计部-张某某)。 3.员工离职时,人事部应该第一时间通知群管理人员将离职员工移出群。 公司文件安全管理规范要求: 1.员工必须具有保密意识,做到不该问的绝对不问,不该说的绝对不说,不该看的绝对不看。 2.严禁在公共场合、公用电话及网络公众平台上交谈、传递保密事项,不准在私人交往中泄露公司秘密。 3.员工发现公司秘密已经泄露或可能泄露时,应立即采取补救措施并及时报告区域项目/部门第一负责人,区域项目/部门第一负责人应立即作出相应处理。 4.区域或区域各项目/部门在开会过程中,如未经会议组织人员同意,不得随意拍照、摄像,包括相机、摄像机、手机等相关设备,一经发现,严厉惩罚当事人。 5.公司文件不得随意给无关人员查阅、复制或借出,特别是具有保密性的文件。 6.对草稿、初稿或过期文件不能随意乱丢,如无保留价值应及时销毁,必须同定稿一样对待,按保密原则和要求管理。 7.具有保密性的文件,区域各项目/部门需要指定人员做好保密工作,不能随意堆放及存放。 XX公司
编号:SM-ZD-46667 员工信息安全规范 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:____________________ 审核:____________________ 批准:____________________ 本文档下载后可任意修改
员工信息安全规范 简介:该制度资料适用于公司或组织通过程序化、标准化的流程约定,达成上下级或不同的人员之间形成统一的行动方针,从而协调行动,增强主动性,减少盲目性,使工作有条不紊地进行。文档可直接下载或修改,使用时请详细阅读内容。 1、适用范围 本标准规定了公司员工必须遵循的个人计算机和其他方面的安全要求,规定了员工保护公司涉密信息的责任,并列出了大量可能遇到的情况下的安全要求。 本标准适用于公司所有员工,包括子公司的员工,以及其他经授权使用公司内部资源的人员。 2、计算机安全要求 1)计算机信息登记与使用维护: 每台由公司购买的计算机的领用、使用人变更、配置变更、报废等环节必须经过IT部的登记,严禁私自变更使用人和增减配置; 每位员工有责任保护公司的计算机资源和设备,以及包含的信息。 每位员工必须把自己的计算机名字设置成固定的格式,一律采用AD域名_所属地区编号组成;
例如某台计算机名为SSSS_100201,SSSS为地区AD 域名,100为地区编号,201代表该地区第201个账户。 2)必须在所有个人计算机上激活下列安全控制: 所有计算机(包括便携电脑与台式机)必须设有系统密码;系统密码应当符合一定程度的复杂性要求,并不定期更换密码;存储在个人计算机中的包含有公司涉密信息的文件,需要加密存放。 3)当员工离开办公室或工作区域时: 必须立即锁定计算机或者激活带密码保护的屏幕保护程序; 如果办公室或者工作区域能上锁,最后一个离开的员工请锁上办公室或工作区域; 妥善保管所有包含公司涉密内容的文件,如锁进文件柜。 4)防范计算机病毒和其他有害代码: 每位员工由公司配备的计算机上都必须安装和运行公司授权使用的防病毒软件; 员工必须开启防病毒软件实时扫描保护功能,至少每周进行一次全硬盘扫描,在网络条件许可的情况下每天进行一
信息安全管理制度 目录 1.安全管理制度要求 1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度; b)系统操作权限管理; c)安全培训制度; d)用户管理制度; e)新服务、新功能安全评估; f)用户投诉举报处理; g)信息发布审核、合法资质查验和公共信息巡查; h)个人电子信息安全保护; i)安全事件的监测、报告和应急处置制度; j)现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1 法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1 安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2 关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查: 2.个人履历的核查: 3.学历、学位、专业资质证明: 4.从事关键岗位所必须的能力 3.2.2 应与关键岗位人员签订保密协议。 3.3 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括: 1.上岗前的培训; 2.安全制度及其修订后的培训; 3.法律、法规的发展保持同步的继续培训。 应严格规范人员离岗过程: a)及时终止离岗员工的所有访问权限; b)关键岗位人员须承诺调离后的保密义务后方可离开; c)配合公安机关工作的人员变动应通报公安机关。
【最新整理,下载后即可编辑】 信息安全管理办法 1.概述 1.1目的 为指导安全等级保护相关工作,做好的信息安全保障工作。1.2范围 为信息安全职能部门进行监督、检查和指导的依据。随着内容的补充和丰富,为等级保护工作的开展提供指导。 1.3术语 1.敏感数据 敏感数据是指一旦泄露可能会对用户或人民银行造成损失的数据,包括但不限于: 1.用户敏感数据,如用户口令、密钥; 2.系统敏感数据,如系统的密钥、关键的系统管理数据; 3.其它需要保密的敏感业务数据; 4.关键性的操作指令; 5.系统主要配置文件; 6.其他需要保密的数据。 2.风险 某种威胁会利用一种资产或若干资产的脆弱性使这些资产损失
或破坏的可能性。 3.安全策略 主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。 4.安全需求 为使设备、信息、应用及设施符合安全策略的要求而需要采取的保护类型及保护等级。 5.完整性 包括数据完整性和系统完整性。数据完整性表征数据所具有的特征,即无论数据形式作何变化,数据的准确性和一致性均保持不变的程度;系统完整性表征系统在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下,系统能履行其操作目的的品质。 6.可用性 表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性。 7.弱口令 指在计算机使用过程中,设置的过于简单或非常容易被破解的口令或密码。 2.信息安全保障框架
2.1 信息安全保障总体框架 2.2 信息安全管理体系框架
2.3 安全管理内容 3.信息安全管理规范 3.1 物理安全 3.1.1.物理位置的选择 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
**企业信息安全管理制度 第一条总则通过加强公司计算机系统、办公网络、服务器系统的管理,保证网络系统安全运行,保证公司机密文件的信息安全,保障服务器、数据库的安全运行。加强计算机办公人员的安全意识和团队合作精神,把各部门相关工作做好。 第二条范围 1、计算机网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2、软件包括:服务器操作系统、数据库及应用软件、有关专业的网络应用软件等。 3、客户机的网络系统配置包括客户机在网络上的名称,IP地址分配,用户登陆名称、用户密码、及Internet的配置等。 4、系统软件是指:操作系统(如WINDOWS XP、WINDOWS7等)软件。 5、平台软件是指:鼎捷ERP、办公用软件(如OFFICE 2003)等平台软件。 6、专业软件是指:设计工作中使用的绘图软件(如Photoshop等)。 第三条职责 1、信息中心部门为网络安全运行的管理部门,负责公司计算机网络系统、计算机系统、数据库系统的日常维护和管理。 2、负责系统软件的调研、采购、安装、升级、保管工作。 3、网络管理人员负责计算机网络系统、办公自动化系统、平台系统的安全运行;服务器安全运行和数据备份;Internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理协助各部门进行数据备份和数据归档。 4、网络管理人员执行公司保密制度,严守公司商业机密。 5、员工执行计算机安全管理制度,遵守公司保密制度。 6、系统管理员的密码必须由网络管理部门相关人员掌握。 第三条管理办法 I、公司电脑使用管理制度 1、从事计算机网络信息活动时,必须遵守《计算机信息网络国际联网安全保护管理办法》的规定,应遵守国家法律、法规,加强信息安全教育。
公司IT信息安全管理制度4 富世康公司IT信息安全管理制度 第一条总则通过加强公司计算机系统、办公网络、服务器系统的管理,保证网络系统安全运行,保证公司机密文件的安全,保障服务器、数据库的安全运行。加强计算机使用人员的安全意识,确保计算机系统正常运转。 第二条范围 1、计算机网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2、软件包括:服务器操作系统、SQL数据库、金蝶财务软件、浩龙餐饮管理软件、思迅商业管理软件、今目标办公自动化系统、微励系统及其它办公软件。 3、客户机的网络系统配置包括客户机在网络上的名称,IP 地址分配,用户登陆名称、用户密码、及Internet的配置等。 4、系统软件是指:操作系统(如WINDOWS XP、SERVER2008、WINDOWS7等)软件。 第三条职责 1、信息部为网络安全运行的管理部门,负责公司计算机网络系统、计算机系统、数据库系统的日常维护和管理。 2、负责系统软件的调研、采购定型、安装、升级、保管工作。
3、网络管理人员负责计算机网络系统、办公自动化系统、平台系统的安全运行;服务器安全运行和数据备份;Internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理协助各部门进行数据备份和数据归档。 4、网络管理人员执行公司保密制度,严守公司商业机密。 5、员工执行计算机安全管理制度,遵守公司保密制度。 6、系统管理员的密码必须由网络管理部门相关人员掌握。 第三条管理办法 I、公司计算机使用管理制度 1、从事计算机网络信息活动时,必须遵守《计算机信息网络国际联网安全保护管理办法》的规定,应遵守国家法律、法规,加强信息安全教育。 2、计算机等硬件设备由公司统一配置并定位,任何部门和个人不得允许私自挪 用调换、外借和移动电脑。 3、电脑硬件及其配件添置应列出清单报审计部,在征得公司领导同意后,由信息部负责进行添置。 4、电脑操作应按规定的程序进行。 (1)电脑的开、关机应按按正常程序操作,因非法操作而使电脑不能正常使用的,修理费用由该部门负责;
XX公司信息安全管理制度(试行) 第一章总则 第一条为保证信息系统安全可靠稳定运行,降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁,结合公司实际,特制定本制度。 第二条本制度适用于XX公司以及所属单位的信息系统安全管理。 第二章职责 第三条相关部门、单位职责: 一、信息中心 (一)负责组织和协调XX公司的信息系统安全管理工作; (二)负责建立XX公司信息系统网络成员单位间的网络访问规则;对公司本部信息系统网络终端的网络准入进行管理; (三)负责对XX公司统一的两个互联网出口进行管理,配置防火墙等信息安全设备;会同保密处对公司本部互联网上网行为进行管理; (四)对XX公司统一建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,界定两级单位信息安全管理责任; (五)负责XX公司网络边界、网络拓扑等全局性的信息安全管理。 二、人力资源部 (一)负责人力资源安全相关管理工作。 (二)负责将信息安全策略培训纳入年度职工培训计划,并组织实施。 三、各部门 (一)负责本部门信息安全管理工作。 (二)配合和协助业务主管部门完善相关制度建设,落实日常管理工作。 四、所属各单位 (一)负责组织和协调本单位信息安全管理工作。 (二)对本单位建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,报XX公司信息中心备案。
第三章信息安全策略的基本要求 第四条信息系统安全管理应遵循以下八个原则: 一、主要领导人负责原则; 二、规范定级原则; 三、依法行政原则; 四、以人为本原则; 五、注重效费比原则; 六、全面防范、突出重点原则; 七、系统、动态原则; 八、特殊安全管理原则。 第五条公司保密委应根据业务需求和相关法律法规,组织制定公司信息安全策略,经主管领导审批发布后,对员工及相关方进行传达和培训。 第六条制定信息安全策略时应充分考虑信息系统安全策略的“七定”要求,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。 第七条信息安全策略主要包括以下内容: 一、信息网络与信息系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略; 二、对已投入运行且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞; 三、对安全体系的各种日志(如入侵检测日志等)审计结果进行研究,以便及时发现系统的安全漏洞; 四、定期分析信息系统的安全风险及漏洞、分析当前黑客非常入侵的特点,及时调整安全策略; 五、制定人力资源、物理环境、访问控制、操作、备份、系统获取及维护、业务连续性等方面的安全策略,并实施。 第八条公司保密委每年应组织对信息安全策略的适应性、充分性和有效性进行评审,必要时组织修订;当公司的组织架构、生产经营模式等发生重大变化时也应进行评审和修订。 第九条根据“谁主管、谁负责”的原则,公司建立信息安全分级责任制,各层级落实信息系统安全责任。 第四章人力资源安全管理 第十条信息系统相关岗位设置应满足以下要求: 一、安全管理岗与其它任何岗位不得兼岗、混岗、代岗。 二、系统管理岗、网络管理岗与应用管理岗不得兼岗、混岗。 三、安全管理岗、系统管理岗、网络管理岗、应用管理岗、设备管
1.在公司办公区域内,如发现未佩戴胸卡或可疑人员进入,公司员工有责任和权利要求其出示胸牌或有效授权证明,如确认其是非授权进入,需立即向公司()或()汇报。 1.部门负责人 2.公司保安 3.人力资源部 4.公司行政部和部门信息专员 2.在信息系统使用规定中,明文规定员工不得使用()的软件 1.未经公司授权 2.已被授权 3.开源 4.试用版 3.公司禁止使用工作计算机扫描网络、进行网络嗅探,什么情况除外? 1.为了个人电脑安全,搜查同事电脑是否感染病毒 2.该工作属于工作职责范围 3.帮助同事 4.个人具备网管工作能力 4.计算机系统的安全保护是指保障计算机及其相关、配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以( ) 1.保证计算机信息系统各项配套设施的正常运作 2.维护计算机信息系统的安全运行 3.降低计算机损耗,保持正常运营 4.保证环境对信息系统的破坏降到最低 5.操作系统TCP/IP配置为( ),非特殊要求不得私自设立IP地址 1.IT管理部指定 2.个人设定 3.自动获取 4.192.168.0.X 6.网上信息发布,以下哪些行为违反公司信息安全管理规定: 1.在个人博客上发布项目信息 2.在公开论坛上私自代表公司发布信息 3.使用私人笔记本电脑在公司上网参与网络赌博 4.以上说法都不对
7.仅有()的员工可以使用公司办公设备 1.经过授权 2.未经过授权 3.所有员工 4.行政部员工 8.操作系统计算机名必须与工作计算机资产标签上的编号保持一致。如因(),需要向IT管理部说明,获得IT管理部同意后方可使用特殊计算机名。 1.个人域帐户名 2.特殊要求不能保持一致 3.考勤打卡号 4.个人邮箱帐号 9.对于远程连接和远程访问控制必须为访问控制的账户设定密码,口令长度应遵循以下哪些规则? 1.口令的长度应不低于4位 2.口令的长度应不低于6位 3.口令应由大小写字母,数字或特殊字符组成 4.口令中只能包含数字 10.员工日常办公信息处理的设备包括( )等 1.复印机 2.传真机 3.碎纸机 4.打印机 11.在员工工作计算机管理规定中,明文规定禁止将机密信息保留在( ) 1.共用存储介质 2.公用电脑上 3.个人工作用电脑上 4.申请并批准使用的移动存储介质 12.《员工信息安全管理规定》适用的范围是:( ) 1.公司的计算机设备安全 2.员工个人财产和人身安全 3.公司内所有员工,和在公司安全区域内工作的外协人员和客户的计算机信息系统及信息数 据 4.客户的计算机和设备
XX银行 信息安全管理办法 第一章总则 第一条为加强XX银行(下称“本行”)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。 第二条本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条本行信息安全工作实行统一领导和分级管理,由分管领导负责。按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全责任。第四条本办法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。 第二章组织保障 第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。 第六条各部室、各分支机构应指定至少一名信息安全员, 配合信息安全领导小组开展信息安全管理工作,具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。。第七条本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。 第八条本行应建立与外部信息安全专业机构、专家的联系,及时跟踪行业趋势,学习各类先进的标准和评估方法。 第三章人员管理 第九条本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。日常员工信息安全行为准则参见《XX银行员工信息安全手册》。 第一节信息安全管理人员
第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。 第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。第十二条信息安全管理人员每年至少参加一次信息安全相关培训。 第十三条安全工作小组在如下职责范围内开展信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导小组成员工作,监督检查信息安全管理工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设。 (三)定期监督网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。 (四)统计分析和协调处臵信息安全事件。 (五)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。 第十四条信息安全领导小组成员在如下职责范围内开展工作: (一)负责本行信息安全管理体系的落实。(二)负责提出本行信息安全保障需求。(三)负责组织开展本行信息安全检查工作。 第二节技术支持人员 第十五条本办法所称技术支持人员,是指参与本行网络、信息系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。 第十六条本行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务: (一)不得对外泄漏或引用工作中触及的任何敏感信息。 (二)严格权限访问,未经业务主管部室授权不得擅自改变系统设臵或修改系统生成的任何数据。 —4— (三)主动检查和监控生产系统安全运行状况,发现安全隐患或故障及时报告本部室主管领导,并及时响应、处臵。 (四)严格操作管理、测试管理、应急管理、配臵管理、变更管理、档案管理等工作制
信息安全管理制度 第一章总则 第一条为了建立、健全的信息安全管理制度,按照相关的国家标准,确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照信息安全管理制度的相关规定执行,改进信息安全管理制度的有效性,特制定信息安全策略文档。 第二条本文档适用于公司信息安全管理活动。 第二章信息安全范围 第三条信息安全策略涉及的范围包括: 1.单位全体员工。 2.单位所有业务系统。 3.单位现有信息资产,包括与上述业务系统相关的数据、硬件、软件、服务及文档等。 4.单位办公场所和上述信息资产所处的物理位置。 第三章信息安全总体目标 第一条通过建立健全单位各项信息安全管理制度、加强单位员工的信息安全培训和教育工作,制定适合单位的风险控制措施,有效控制信息系统面临的安全风险,保障信息系统的正常稳定运行。 第四章信息安全方针 第一条单位主管领导定期组织相关人员召开信息安全会议,对有关的信息安全重大问题做出决策。 第二条清晰识别所有资产,实施等级标记,对资产进行分级、分类
管理,并编制和维护所有重要资产的清单。 第三条综合使用访问控制、监测、审计和身份鉴别等方法来保证数据、网络、信息资源的安全,并加强对外单位人员访问信息系统的控制.降低系统被非法入侵的风险。 第四条启动服务器操作系统、网络设备、安全设备、应用软件的日志功能,定期进行审计并作相应的记录。 第五条明确全体员工的信息安全责任,所有员工必须接受信息安全教育培训,提高信息安全意识。针对不同岗位,制定不同等级培训计划,并定期对各个岗位人员进行安全技能及安全认知考核。 第六条建立安全事件报告、事故应答和分类机制,确定报告可疑的和发生的信息安全事故的流程,并使所有的员工和相关方都能理解和执行事故处理流程,同时妥善保存安全事件的相关记录与证据。 第七条对用户权限和口令进行严格管理,防止对信息系统的非法访问。 第八条制定完善的数据备份策略,对重要数据进行备份。数据备份定期进行还原测试,备份介质与原信息所在场所应保持安全距离。第九条与外单位的外包(服务)合同应明确规定合同参与方的安全要求、安全责任和安全规定等相关安全内容,并采取相应措施严格保证对协议安全内容的执行。 第十条在开发新业务系统时,应充分考虑相关的安全需求,并严格控制对项目相关文件和源代码等敏感数据的访问。 第十一条定期对信息系统进行风险评估,并根据风险评估的结果采取
信息安全管理制度 为加强公司各信息系统管理,保证信息系统安全,据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门相关规定和要求,结合公司实际,制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理,应当保障网络系统设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动: 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。 3、未经允许,对信息网络功能进行删除、修改或增加。 4、未经允许,对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。
6、利用公司网络,访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作,对本单位单位所属计算机网络的运行进行巡检,发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件,一经发现个人计算机由感染病毒等原因影响到整体网络安全,信息中心将立即停止该用户使用公司网络,待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务,一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全子网,信息中心对其提供指导,必要时可以中断其与骨干网连接,待子网恢复正常后再恢复连接。
信息安全管理规范1 1.0目的 为了预防和遏制公司网络各类信息安全事件的发生,及时处理网络出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本规范。 2.0 适用范围 本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。 3.0 信息安全组织机构及职责: 根据集团公司关于信息安全组织的指导意见,为保证信息安全工作的有效组织与指挥,四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组,由公司分管网络的副总经理任组长,网络部分管信息安全副总经理任副组长,由省公司网络部归口进行职能管理,省公司各网络生产维护部门设置信息安全管理及技术人员,负责信息安全管理工作,省监控中心设置安全监控人员,各市州分公司及生产中心设置专职或兼职信息安全管理员,各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 3.1.1网络与信息安全工作管理组组长职责: 负责公司与相关领导之间的联系,跟踪重大网络信息安全事
件的处理过程,并负责与政府相关应急部门联络,汇报情况。 3.1.2网络与信息安全工作管理组副组长职责: 负责牵头制定网络信息安全相关管理规范,负责网络信息安全工作的安排与落实,协调网络信息安全事件的解决。 3.1.3省网络部信息安全职能管理职责: 省公司网络部设置信息安全管理员,负责组织贯彻和落实各项安全管理要求,制定安全工作计划;制订和审核网络与信息安全管理制度、相关工作流程及技术方案;组织检查和考核网络及信息安全工作的实施情况;定期组织对安全管理工作进行审计和评估;组织制定安全应急预案和应急演练,针对重大安全事件,组织实施应急处理 工作及后续的整改工作;汇总和分析安全事件情况和相关安全状况信息;组织安全教育和培训。 3.1.4信息安全技术管理职责: 各分公司、省网络部、省生产中心设置信息安全技术管理员,根据有限公司及省公司制定的技术规范和有关技术要求,制定实施细则。对各类网络、业务系统和支撑系统提出相应安全技术要求,牵头对各类网络和系统实施安全技术评估和工作;发布安全漏洞和安全威胁预警信息,并细化制定相应的技术解决方案;协助制定网络与信息安全的应急预案,参与应急演练;针对重大安全事件,组织实施应急处理,并定期对各类安全事件进行技术分析。
公司信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。未经许可,不得私自使
用他人计算机或相关设备,不得私自将计算机等设备带离公司。 1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。 2.2文件加密 涉及公司机密或重要的信息文件,所有人员需进行必要加密并妥善保管;若因保管不善,导致公司信息资料的外泄及其他损失,将由其本人承担一切责任。
信息安全管理办法 目录 1 信息安全组织管理 (1) 2 日常信息安全管理 (1) 4.1 基本要求 (1) 4.2 人员管理 (1) 4.3 资产管理 (2) 4.4 采购管理 (2) 4.5 外包管理 (2) 4.6 经费保障 (2) 3 信息安全防护管理 (3) 5.1 基本要求 (3) 5.2 网络边界防护管理 (3) 5.3 信息系统防护管理 (3) 5.4 门户网站防护管理 (3) 5.5 电子邮件防护管理 (3) 5.6 终端计算机防护管理 (4) 5.7 存储介质防护管理 (4) 4 信息安全应急管理 (4) 5 信息安全教育培训 (4) 6 信息安全检查 (5)
1 信息安全组织管理 本项要求包括: a)应加强领导,落实责任,完善措施,建立健全信息安全责任制和工作机制; b)应明确一名主管领导,负责本单位信息安全管理工作,根据国家法律法规有关要求,结合实际组织制定信息安全管理制度,完善技术防护措施,协调处理重大信息安全事件; c)应指定一个机构,具体承担信息安全管理工作,负责组织落实信息安全管理制度和信息安全技术防护措施,开展信息安全教育培训和监督检查等; d)各内设机构应指定一名专职或兼职信息安全员,负责日常信息安全督促、检查、指导工作。信息安全员应当具备较强的信息安全意识和工作责任心,掌握基本的信息安全知识和技能。 2 日常信息安全管理 2.1 基本要求 本项要求包括: a)应制定信息安全工作的总体方针和目标,明确信息安全工作的主要任务和原则; b)应建立健全信息安全相关管理制度; c)应加强对人员、资产、采购、外包等的安全管理,并保证信息安全工作经费投入。 2.2 人员管理 本项要求包括: