信息管理与信息安全管理程序.docx
信息安全管理程序
信息安全管理程序信息安全管理程序为了防止信息和技术泄露,避免严重灾难的发生,特制定此安全规定。
适用范围包括但不限于电子邮件、音频邮件、电子文件、个人计算机、计算机网络、互联网和其他电子服务等相关设备、设施或资源。
权责分配如下:XXX:负责信息相关政策的规划、制订、推行和监督。
IT部:负责计算机、计算机网络相关设备设施的维护保养以及信息数据的备份相关事务处理。
全体员工:按照管理要求进行执行。
具体内容如下:公司保密资料:公司年度工作总结、财务预算决算报告、缴纳税款、薪资核算、营销报表和各种综合统计报表。
公司有关供货商资料、货源情报和供货商调研资料。
公司生产、设计数据、技术数据和生产情况。
公司所有各部门的公用盘共享数据,按不同权责划分。
公司的信息安全制度:凡涉及公司内部秘密的文件数据的报废处理,必须碎纸后丢弃处理。
公司员工工作所持有的各种文件、数据、电子文件,当本人离开办公室外出时,须存放入文件柜或抽屉,不准随意乱放,更未经批准,不能复制抄录或携带外出。
未经公司领导批准,不得向外界提供公司的任何保密数据和任何客户数据。
经理室要运用各种形式经常对所属员工进行信息安全教育,增强保密意识:在新员工入职培训中进行信息安全意识的培训,并经人事检测合格后,方可建立其网络账号及使用资格。
每年对所有计算机用户至少进行一次计算机安全检查,包括扫病,去除与工作无关的软件等。
不要将机密档及可能是受保护档随意存放,文件存放在分类目录下指定位置。
全体员工自觉遵守保密基本准则,做到:不该说的机密,绝对不说,不该看的机密,绝对不看(含超越自己职责、业务范围的文件、数据、电子文文件)。
员工应严格遵守本规定,保守公司秘密,发现他人泄密,立即上报,避免或减轻损害后果。
所有公司文档应该存放于授权的文件夹或分类数据库内,数据由IT每日统一备份。
备份可分为每天日备份、每周完整备份、每月和每季的备份。
数据均存放于第三方,确保数据一旦遗失都可以从备份数据找回相应的数据备份。
信息安全管理流程及制度
一、引言随着信息技术的飞速发展,信息已成为企业、组织乃至国家的重要战略资源。
信息安全已经成为当今社会关注的焦点。
为了确保信息系统的安全稳定运行,保障信息资源的安全,企业、组织和国家都应建立健全信息安全管理制度。
本文将从信息安全管理流程及制度两个方面进行阐述。
二、信息安全管理流程1. 需求分析(1)识别信息系统面临的安全威胁:通过对信息系统的业务流程、技术架构、数据资源等方面进行全面分析,识别信息系统可能面临的安全威胁。
(2)确定信息安全需求:根据安全威胁,制定信息安全需求,包括物理安全、网络安全、数据安全、应用安全等方面。
2. 安全规划(1)制定信息安全策略:根据信息安全需求,制定符合国家法律法规、行业标准和企业内部规定的信息安全策略。
(2)划分安全区域:根据信息安全策略,将信息系统划分为不同的安全区域,如内网、外网、DMZ等。
(3)制定安全规范:针对不同安全区域,制定相应的安全规范,包括安全配置、访问控制、数据备份、漏洞管理等。
3. 安全实施(1)安全配置:按照安全规范,对信息系统进行安全配置,包括操作系统、数据库、应用系统等。
(2)安全防护:采用防火墙、入侵检测系统、防病毒软件等安全产品,对信息系统进行安全防护。
(3)安全审计:定期对信息系统进行安全审计,确保安全措施的有效性。
4. 安全运维(1)安全监控:实时监控信息系统运行状态,及时发现并处理安全事件。
(2)应急响应:建立健全应急响应机制,对安全事件进行快速、有效的处置。
(3)安全培训:定期对员工进行信息安全培训,提高员工的安全意识和技能。
5. 安全评估(1)安全评估计划:制定安全评估计划,明确评估内容、评估方法和评估周期。
(2)安全评估实施:按照评估计划,对信息系统进行安全评估,找出安全隐患和不足。
(3)安全整改:针对评估结果,制定整改方案,对安全隐患进行整改。
三、信息安全管理制度1. 信息安全组织机构(1)成立信息安全领导小组,负责信息安全工作的总体规划和决策。
信息安全管理流程
信息安全管理流程背景信息安全是企业保障其信息资产的安全性的重要组成部分。
通过实施信息安全管理流程,企业能够防范信息泄露、网络攻击和数据丢失等风险,提升信息系统的可靠性和稳定性。
目的本文档旨在明确信息安全管理流程的步骤和责任,帮助企业建立有效的信息安全管理体系,保障信息资源的机密性、完整性和可用性。
流程步骤步骤一:风险评估和需求分析- 确定企业的信息安全需求,并制定相关目标和策略。
- 评估信息系统的威胁和风险,并制定相应的安全措施。
步骤二:安全策划与设计- 设计信息安全管理框架和方针。
- 制定信息安全策略和控制措施。
- 确定信息安全组织和职责。
步骤三:安全培训和意识- 为员工提供信息安全意识培训和培训计划。
- 定期组织信息安全培训和演。
步骤四:安全实施和监控- 执行信息安全策略和控制措施。
- 监控信息系统的安全状况,发现并应对安全事件。
步骤五:安全审查和改进- 定期进行信息安全审查和评估。
- 根据安全审查结果,改进和优化信息安全管理流程。
步骤六:应急响应和恢复- 制定信息安全事件应急响应和恢复计划。
- 针对安全事件及时采取应对措施,并恢复正常运营状态。
步骤七:持续改进- 经常评估和改进信息安全管理流程。
- 跟踪新的安全威胁和技术发展,及时进行更新和改进。
责任分配- 高层管理者负责制定信息安全目标和策略,确保资源投入和支持。
- 信息安全部门负责制定信息安全策略和控制措施,并执行和监控信息安全管理流程。
- 各部门负责按照信息安全策略和措施进行操作和管理,确保信息安全要求的落实。
以上为信息安全管理流程的简要概述,请参考并依据实际情况进行具体实施。
如有任何疑问,请咨询信息安全部门。
信息安全管理程序
信息安全管理程序
1 目的
为了引导企业充分利用计算机及信息系统规范交易行为, 提高信息系统的可靠性、 稳定性、
安全性及数据的完整性和准确性,降低人为因素导致内部控制失效的可能性,形成良好的
信息传递渠道,根据国家有关法律法规和《企业内部控制规范》 2 范围
适用公司所有职能部门。 3 职责 3.1 信息中心:负责公司网络及计算机信息安全的管理与维护。
,制定本规范。
3.2 各部门:负责配合信息中心对计算机信息安全进行管理。
4 定义: 计算机信息系统:是指利用计算机技术对业务和信息进行集成处理的程序、数据和文档
等的总称, 计算机包括个人电脑、服务器及防火墙等硬件设备 。
5 工作程序
流程
要求
使用表单 相关部门
信息系统及信息安全岗位包括:
网络及计算机管理:负责公司的网络安装及维
护、计算机硬件维护及软件维护, 应当注意对邮
件及其他重要信息数据的保护。
系统分析:系统分析需求,并得到业务部门负责人确
认。
开发及维护:软件工程师负责开发得到确认的业
务系统或对外包开发的信息系统进行维护, 同时
负责相关报表的开发。
岗位分工 与授权审 批
数据库管理:维护组织数据资源的安全性及完整 性,对数据库做好日备份及转移。 信息系统库管理: 在单独的信息系统库中存储暂 时不用的程序和文件, 并保留所有版本的数据和
系统开发和变更过程中不相容岗位 (或职责) 一
信息系统 开发、变 更与维护
控制
xx 公司:
般应包括:开发(或变更)审批、开发、系统上 线、监控。 系统访问过程中不相容岗位 (或职责) 一般应包 括:申请、审批、操作、监控。 企业计算机信息系统战略规划、重要信息系统政策 等重大事项应当经由董事会审批通过后, 方可实施 。 信息系统战略规划应当与企业业务目标保持一致。 信息系统使用部门应该参与信息系统战略规划、重 要信息系统政策等的制定 。 信息中心对计算机及信息系统实施归口管理,负责 信息系统开发、变更、运行、维护等工作。 财务部负责信息系统中各项业务账务处理的准确性 和及时性;财务电算化制度的制定;计划价格的确 定和修改;财务操作规定等。 生产、销售、仓储及其他部门(下称用户部门)应 当根据本部门在信息系统中的职能定位,参与信息 系统建设和管理,按照信息中心制定的管理标准、 规范、规章来操作、管理和运用信息系统。 计算机信息系统开发包括自行设计、外购调试和外 包合作开发。企业在开发信息系统时,充分考虑业 务和信息的集成性,优化流程,并将相应的处理规 则(交易权限)嵌入到系统程序中,以预防、检查、 纠正错误和舞弊行为, 确保企业业务活动的真实性、 合法性和效益性。 信息系统开发必须经过正式授权,企业应当进行详 细备案。 具体程序包括 : 用户部门提出需求; 归口管 理部门审核;企业负责人授权批准;系统分析人员 设计方案;程序员编写代码或外包等。 对于外包合作开发的项目,企业应当加强对外包第 三方的监控。 外购调试或外包合作开发等需要进行招投标的信息 系统开发项目,企业应当成立招投标小组,并保证 招投标小组的独立性。 在新系统上线前需要制定详细的信息系统上线计 划。对涉及新旧系统切换之情形,企业应当在上线 计划中明确系统回退计划,保证新系统一旦失效, 能够顺利回退到原来的系统状态。 新旧系统切换时,如涉及数据迁移,企业应当制定 详细的数据迁移计划。 用户部门应当积极参与数据迁移过程,对数据迁移
公司信息安全管理制度及流程
第一章总则第一条为加强公司信息安全管理工作,确保公司信息系统安全、稳定、可靠运行,根据国家相关法律法规和行业标准,结合公司实际情况,特制定本制度。
第二条本制度适用于公司内部所有信息系统、网络设备、存储设备以及相关工作人员。
第三条公司信息安全管理工作遵循“预防为主、防治结合、安全可靠、持续改进”的原则。
第二章职责第四条公司信息安全工作领导小组负责公司信息安全工作的全面领导,协调各部门共同推进信息安全工作。
第五条信息安全管理部门负责制定、实施、监督信息安全管理制度及流程,组织信息安全培训,开展信息安全检查和风险评估。
第六条各部门负责人负责本部门信息安全工作的组织实施,确保信息安全管理制度及流程在本部门的贯彻执行。
第七条员工应严格遵守信息安全管理制度及流程,自觉保护公司信息安全。
第三章信息安全管理制度第八条计算机及网络设备管理1. 信息安全管理部门负责对公司内部计算机及网络设备进行统一管理,包括采购、配置、维护和报废。
2. 员工使用公司计算机及网络设备,应遵守国家法律法规和公司相关规定。
3. 信息安全管理部门定期对计算机及网络设备进行安全检查,确保设备安全可靠。
第九条数据安全管理1. 公司内部数据分为保密数据、内部数据和公开数据,根据数据重要性进行分类管理。
2. 信息安全管理部门负责制定数据安全策略,确保数据安全。
3. 员工在使用数据时,应遵守数据安全策略,不得泄露、篡改或非法使用公司数据。
第十条系统安全管理1. 信息安全管理部门负责对公司信息系统进行安全配置,确保系统安全可靠。
2. 员工使用公司信息系统,应遵守系统安全策略,不得进行非法操作。
3. 信息安全管理部门定期对信息系统进行安全检查,确保系统安全可靠。
第十一条信息安全培训与宣传1. 信息安全管理部门定期组织信息安全培训,提高员工信息安全意识。
2. 各部门应积极宣传信息安全知识,营造良好的信息安全氛围。
第四章信息安全流程第十二条信息安全事件报告与处理1. 员工发现信息安全事件,应及时向信息安全管理部门报告。
信息管理与信息安全管理程序
目的1单(明确公司信息化及信息资源管理要求,对内外部信息及信息系统进行有效管理,以确保各部门)和岗位能及时、安全地识别、获取并有效运用、保存所需信息。
位 2 适用范围适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。
3 术语和定义信息3.1有意义的数据、消息。
公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、内部控制、三基等和生产经营管理中所有信息。
3.2 企业信息化建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应,。
其本质是加强企业的“核心竞争力” 3.3 信息披露地方政府报告或向社会公众公开披露生产经营管理相向总部、指公司以报告、报道、网络等形式,关信息的过程。
ERP 3.4 企业资源规划MES 3.5制造执行系统LIMS3.6实验室信息管理系统IT 3.7信息技术 4 职责信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策,4.1。
定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题例会,分析总结系统运行情况,ERP系统运行、维护管理,每月召开ERPERP4.2 支持中心负责公司协调处理有关问题,及时向总部支持中心上报月报、年报。
的归口管理部门,主要职责:4.3 信息中心是公司信息化工作信息化工作进行业务指导和督促;)(a)负责制定并组织实施本程序及配套规章制度,对各部门单位 b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施;中国石化集团金陵石化公司页16 共页1 第JLSH-T20.32.00.027.2011信息管理与信息安全管理程序c)负责统一规划、组织、整合和管理公司信息资源系统,为各部门(单位)信息采集、整理、汇总和发布等环节提供技术支持;对Internet用户、电子邮箱进行设置管理;统一管理分公司互联网出口;d)负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算机设备检维修管理;e)负责ERP等支持中心日常管理工作;f)负责通信管理。
信息技术服务管理体系控制程序——信息安全管理程序
1目的满足SLA中的安全性需求以及合同、法律和外部政策等的要求。
2适用范围适用于公司提供IT服务的部门,以及与信息安全和风险防范有关的活动的管理。
3术语表1.可用性:需要时,被授权的使用者能够访问和使用相关资产。
2.保密性:信息不被未授权的个人、实体、流程访问或泄漏。
3.完整性:保护资产的准确和完整。
4.信息安全:保护信息的保密性、完整性、可用性及其他属性。
5.信息安全事件:识别系统、服务或网络状态发生的事件其违背了信息安全策略,或使安全措施失效,或以前未知的与安全相关的情况。
6.信息安全事故:单个或一系列的意外信息安全事件可能严重影响业务运作并威胁信息安全。
7.风险:特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害的潜在可能性。
8.风险评估:对信息和信息处理设施的威胁、影响和脆弱性及三者发生的可能性评估。
4引用文件【1】《ISO/IEC 20000-1:2011》【2】《IT服务管理手册》5信息安全管理责任部门负责制订信息安全策略和方针,组织建立、改进信息安全管理体系。
5.1 研发部负责组织建立信息安全管理制度和方法,计划、实施信息安全要求,监控、报告和响应信息安全事件。
负责协助处理信息安全事件,制订信息安全解决方案,组织评价变更对信息安全的影响,参与信息安全管理的改进。
6 具体内容6.1 组织制订信息安全策略研发部根据IT服务工作的特点收集相应的信息安全需求。
根据公司的业务需求,在行政人事部的安排下,管理者代表组织研发部、市场部、综合部、行政人事部根据服务级别协议(SLA)的要求,对信息安全的要求进行讨论,制订公司《信息安全管理规范》,经管理者代表批准后发放相关部门。
其中应包括:a.信息安全活动的总方向及总则框架。
b.信息安全管理的范围、目标、策略和要求。
c.安全的职能和职责。
d.风险评价标准。
e.分析客户安全需求研发部根据与客户签订的SLA中的信息安全要求以及客户系统运行的特点,分析客户信息系统的安全要求,制定信息安全管理计划。
信息安全管理制度流程
一、目的为保障我单位信息安全,防止信息泄露、损毁和丢失,根据国家相关法律法规和行业标准,结合我单位实际情况,制定本制度流程。
二、适用范围本制度流程适用于我单位内部所有员工、外包人员以及与我单位有业务往来的合作伙伴。
三、组织架构及职责1. 信息安全领导小组:负责制定、修订和监督实施信息安全管理制度流程,协调解决信息安全问题。
2. 信息安全管理部门:负责具体实施信息安全管理制度流程,组织信息安全培训,开展信息安全检查。
3. 各部门负责人:负责本部门信息安全工作,确保信息安全管理制度流程在本部门的落实。
4. 员工:遵守信息安全管理制度流程,保护本单位信息安全。
四、制度流程1. 信息安全风险评估(1)各部门定期开展信息安全风险评估,识别信息安全隐患。
(2)信息安全管理部门根据风险评估结果,制定相应的安全防护措施。
2. 信息安全培训(1)信息安全管理部门定期组织信息安全培训,提高员工信息安全意识。
(2)新员工入职前,必须接受信息安全培训。
3. 访问控制(1)建立严格的用户身份认证制度,确保用户权限与其职责相匹配。
(2)定期审核用户权限,及时调整用户权限。
4. 数据安全(1)对重要数据实行加密存储和传输。
(2)定期备份数据,确保数据安全。
(3)对数据访问进行审计,防止数据泄露。
5. 网络安全(1)定期对网络设备进行安全检查和维护。
(2)加强网络安全防护,防止网络攻击和病毒入侵。
(3)建立网络安全事件应急预案,及时应对网络安全事件。
6. 系统安全(1)定期对信息系统进行安全检查和维护。
(2)及时修复系统漏洞,防止系统被攻击。
(3)对系统操作进行审计,防止系统被滥用。
7. 事故处理(1)发生信息安全事件时,立即启动应急预案。
(2)对事件进行调查分析,找出原因,采取整改措施。
(3)对事件责任人员进行追责。
五、监督与考核1. 信息安全管理部门定期对各部门信息安全工作进行检查,确保信息安全管理制度流程的落实。
2. 将信息安全工作纳入各部门绩效考核,对表现突出的单位和个人给予奖励。
信息管理与信息安全管理程序
信息管理与信息安全管理程序信息在现代社会的重要性日益凸显,企业和机构如何高效管理信息资源以及确保信息安全成为了一项关键任务。
为了满足这一需求,各种信息管理与信息安全管理程序被广泛应用。
本文将就信息管理与信息安全管理程序进行探讨与分析。
一、信息管理程序信息管理程序是指在企业或机构内部建立起来的一套规范、流程和措施,用于管理信息资源的采集、存储、处理、传递和利用。
以下是一些常见的信息管理程序:1.信息采集程序:信息采集是信息管理的第一步,企业和机构可以通过调查、调研、问卷等方式采集所需信息。
信息采集程序应明确采集的范围、目的、方法和流程,确保信息的准确性和完整性。
2.信息存储程序:信息存储是将采集到的信息进行分类、整理和归档的过程。
企业和机构可以利用数据库、文件管理系统等工具对信息进行存储和管理。
信息存储程序应包括信息分类、索引、备份和更新等环节,以保证信息的可靠性和可用性。
3.信息处理程序:信息处理是对采集到的信息进行分析、加工和转化的过程。
企业和机构可以借助各种信息处理工具和技术,如数据挖掘、数据分析和模型建立等,提取有价值的信息。
信息处理程序应确保处理过程的准确性和可追溯性。
4.信息传递程序:信息传递是将处理好的信息传递给需要的人员或部门的过程。
企业和机构可以通过内部邮件、会议、报告等方式进行信息传递。
信息传递程序应确保信息的及时性和准确性,同时保护信息的机密性和私密性。
二、信息安全管理程序信息安全管理程序是指在企业或机构内部建立起来的一套规范、流程和措施,用于保护信息资源的机密性、完整性和可用性。
以下是一些常见的信息安全管理程序:1.信息安全政策与目标:企业和机构应建立信息安全的政策和目标,明确对信息安全的重视和承诺。
信息安全政策应包括信息安全的定义、责任分工、审查机制等内容,以指导信息安全管理的实施。
2.风险评估与管理:企业和机构应对潜在的信息安全风险进行评估和管理。
风险评估应包括对信息资产、威胁、弱点和影响的评估,以确定风险等级和优先级。
信息和技术安全管理程序
信息和技术安全管理程序1.目的1.1.为了防止信息和技术的泄密,导致严重灾难的发生,应严格遵守信息和技术安全规定。
2.范围2.1.会议纪录、纪要,保密期限内的重要决定事项2.2.工厂的年度工作总结,财务预算决算报告,缴纳税款、营销报表和各种综合统计报表2.3.工厂有关销售业务资料,货源情报和对供应商调研资料2.4.工厂开发设计资料,技术资料和生产情况2.5.客户提供的一切文件、样板等2.6.工厂各部门人员编制,调整,未公布的计划,员工福利待遇资料,员工手册2.7.工厂的安全防范状况及存在问题2.8.工厂员工违法违纪的检举、投诉,调查材料,发生案件,事故的调查登记资料2.9.工厂、法人代表的印章、营业执照、财务印章、合同协议。
3.权责3.1.全体信息和技术安全保管、接触、使用人员负责安全保管使用之责。
4.程序4.1.工厂的保密制度4.1.1.文件、传真邮件的收发登记、签收、催办、清退、借阅、归档由指定人员处理4.1.2.凡涉及工厂内部秘密的文件资料的报废处理,必须首先碎纸,不准未经碎纸丢弃处理4.1.3.工厂员工本人工作所持有的各种文件、资料、电子文档(磁盘、光盘等),当本人离开办公室外出时,须存放入文件柜或抽屉,不准随意乱放,未经批准,不能复制抄录或携带外出。
4.1.4.未经工厂领导批准,不得向外界提供公司的任何保密资料4.1.5.未经工厂领导批准,不得向外界提供客户的任何资料4.1.6.妥善保管好各种财务帐册,公司证照、印章。
4.1.7.装柜资料和船务资料只允许专人可以接触,其他人员不可接触。
4.2.信息资料的保存:4.2.1.所有的有关报关、财务、装箱、运输等资料均需要进行硬盘备份,即每个月更新和备份一次,保存的期限至少在18个月以上。
4.2.2.所备份的数据资料不可存放在同一栋建筑内,实施异地备份。
4.2.3.所有备份的信息未经授权不可与其他人翻阅、拷贝和复制。
信息安全管理流程
信息安全管理流程标准化管理部编码-[99968T-6889628-J68568-1689N]信息系统运行与维护——信息系统安全管理流程1.关键风险点1.1信息安全体系不完善,缺乏实时监控,安全检查、访问控制不到位,造成系统风险。
(R1)1.2系统用户信息安全意识薄弱,个别用户恶意或费恶意滥用系统资源,造成系统安全隐患。
(R2)1.3 维护方信息安全策略执行不到位,信息系统程序存在安全设计缺陷或漏洞安全防护不够,造成系统运行不稳定,易遭受黑客攻击或信息泄露;对各种计算机病毒防范清理不利,导致系统运行不稳定甚至瘫痪。
(R3)2.主要措施2.1完善信息系统安全管理制度,制定系统安全管理实施细则,加强对人员的访问控制。
(C1)2.2加强系统用户信息安全培训,系统用户合理使用系统,减少系统隐患。
(C2)2.3 加强系统的安全检查,有效利用信息技术手段,对硬件配置、软件设置、等严格控制,加强对病毒的防范清理,不断提高信息系统安全。
(C3) 3.业务流程步骤3.1 建立健全信息安全制度体系。
公司建立信息安全机构,信息技术部制定公司信息化安全管理实施细则,不断完善信息安全体系(物理环境、设备设施、人员、系统运行、访问控制、信息数据管理、信息安全等内容)。
3.2各级人员做好信息系统的安全应用、检查、防范等工作。
3.2.1信息技术部做好信息安全的检查、培训、访问控制工作,按信息安全管理实施细则做好信息安全的日常管理工作。
3.2.2 各系统用户自身应按系统应用要求,公司信息化管理实施细则要求等合理使用系统。
3.2.3 维护单位人员应按信息安全策略执行信息系统的安全管理工作,做好日志管理、数据俺去、设备安全、信息、应用安全等检查工作,定期上报检查记录。
3.3 信息安全问题整改3.3.1 当信息安全策略机制不够完善,信息技术部应不断完善制度、机制,使信息安全体系不断完善。
3.3.2系统用户因不合理使用导致信息安全问题的,应按照要求整改,并及时反馈公司信息技术部,维护单位,不断完善信息安全机制。
信息安全管理的流程与规范
信息安全管理的流程与规范信息安全在现代社会中扮演着至关重要的角色。
随着网络的普及和技术的发展,各种信息安全威胁也日益增多。
为了保护个人和组织的信息安全,建立一套完善的信息安全管理流程和规范是必要的。
本文将讨论信息安全管理的流程和规范,并提供一些建议。
1. 信息安全管理流程信息安全管理流程是指根据一系列的步骤和控制措施,对信息安全进行全面管理和保护的过程。
下面将介绍一个常用的信息安全管理流程框架。
1.1 制定信息安全策略信息安全策略是信息安全管理的基石。
组织应该制定明确的目标、原则和规定,确保信息安全工作与组织的战略目标相一致。
1.2 风险评估与管理组织应该对潜在的信息安全威胁进行评估,并采取相应的管理措施。
这包括确定风险、评估风险的影响和可能性,然后实施相应的避免、减轻或转移风险的措施。
1.3 建立信息安全控制措施根据风险评估的结果,组织应该建立相应的信息安全控制措施。
这包括技术控制(如防火墙、加密等)、物理控制(如门禁、视频监控等)和行为控制(如培训、准入控制等)等。
1.4 实施信息安全控制措施组织应该确保所建立的信息安全控制措施得以有效实施,并及时更新和改进。
1.5 监控与评估组织应该建立监控和评估机制,定期检查信息安全控制措施的有效性,并及时进行修正和改进。
1.6 应急响应与恢复组织应该建立应急响应和恢复机制,应对各种信息安全事件和事故,确保及时准确地响应和恢复。
2. 信息安全管理规范信息安全管理规范是指为了保护信息安全而制定的一系列规定和标准。
下面将介绍一些常用的信息安全管理规范。
2.1 信息分类与保密性管理组织应该对信息进行分类,并根据信息的重要性和保密性制定相应的管理措施。
这包括对信息进行合理的存储、传输和处理,并限制信息的访问和披露。
2.2 用户权限与身份管理组织应该为每个用户分配合适的权限,并确保用户身份的准确性和唯一性。
这可以通过身份验证、访问控制和权限管理等手段来实现。
2.3 网络安全管理组织应该建立网络安全管理措施,包括网络设备的安全配置、网络访问控制和数据传输的加密等措施,以保护网络安全。
信息安全管理程序
1目的 (2)2过程定义 (3)2.1范围 (3)2.2过程负责人 (3)2.3主要输入 (3)2.4主要输出 (3)2.5职责权限 (4)2.6过程重要控制点 (4)2.7过程测量指标 (4)3术语 (4)4流程 (5)5过程描述 (5)5.1需求识别和分析 (5)5.2确定安全实施范围 (6)5.3信息安全风险评估 (6)5.4设计安全规范 (6)5.5实施安全规范 (6)5.6监控安全状况 (7)5.7维护安全规范 (7)5.8信息安全报告 (7)6相关文件 (7)7记录 (8)8附加说明 (8)9 文件历史记录 (8)1目的本程序的目的是在客户服务工作中有效管理信息安全。
•满足信息系统集成、软件运维项目运行和客户服务中的安全性需求以及合同、法律和外部政策等外部要求;•提供一个满足需求的基本的信息系统安全基线;•确保有效的信息安全措施在公司、系统集成部和服务人员三个层面都得到贯彻。
2过程定义安全管理是顺应信息安全的需要而产生的,其主要目标是确保信息的安全性。
安全管理致力于确保服务的安全性在任何时候都能达到与客户约定的级别。
安全性在服务中被视为可用性管理的一部分。
安全管理已经成为现代服务管理中一个重要的问题。
安全性是指不易遭到已知风险的侵袭,并且尽可能地规避未知风险的性能。
提供这种性能的工具是安全措施。
安全措施的目标是要保护信息的价值,这种价值取决于机密性、完整性和可用性三个方面。
2.1范围本程序适用于信息管理系统客户服务覆盖的所有部门。
2.2过程负责人安全管理负责人2.3主要输入2.4主要输出2.5职责权限安全管理负责人负责整个安全管理流程的有效运作。
安全管理负责人职责:1)监控安全管理流程;2)根据组织安全需求,开发与维护安全计划;3)处理与安全相关的问题和事件;4)确保满足SLA中指定的安全需求;5)完成包含流程结果,自评估及内部审计的信息安全风险评估报告;6)人员组成:信息安全员管理员、部门经理等。
信息安全管理流程和规范
信息安全管理流程和规范随着互联网的飞速发展,信息安全已经成为重要的问题。
不仅企业需要保护自己的信息,个人在使用网络时也需要注意信息安全。
信息安全管理流程和规范是保障信息安全的关键步骤。
在本文中,我们将探讨信息安全管理流程和规范的相关知识。
一、信息安全概述信息安全是指对信息的保护和控制,确保信息的机密性、完整性和可用性。
在当今数字化的时代,信息安全涉及到电子数据、网络通信、云计算、移动互联网、物联网等众多方面。
信息泄露、网络攻击、黑客入侵、病毒感染等安全问题时常发生,对企业和个人造成不小的损失。
保障信息安全需要综合运用各种技术手段和管理措施。
信息技术的发展带来了多种安全保障技术,例如防火墙、加密算法、数字证书、虚拟专用网络(VPN)、反病毒软件等。
与此同时,企业需要制定相关的信息安全管理流程和规范,以确保信息安全工作的开展。
下面,我们将进一步探讨信息安全管理流程和规范。
二、信息安全管理流程信息安全管理流程是指对信息系统的管理和维护过程中的各种环节和步骤。
信息安全管理流程包括信息安全的规划、实施、监控、检查和评估。
1.信息安全规划信息安全规划是企业制定信息安全管理方案,并落实到具体的信息系统当中的过程。
规划的步骤包括:(1)资产评估。
企业需要对自己的信息系统进行评估,确定需要保护的信息资产。
(2)威胁评估。
企业需要根据自己的业务情况,评估可能面临的威胁,包括人为因素和自然因素等。
(3)风险评估。
企业需要对可能出现的信息安全风险进行评估,并确定相应的风险等级。
(4)安全策略制定。
企业需要制定相应的安全策略,以保障信息系统的安全。
2.信息安全实施信息安全实施是指在规划的基础上,按照安全策略进行信息安全管理的过程。
具体包括:(1)安全培训。
企业需对员工进行安全培训,使其了解信息安全的基本知识,并遵守企业相关的安全政策和规范。
(2)访问控制。
企业需要制定访问控制策略,规定员工对信息的访问权限和操作权限。
(3)数据备份。
XX单位网络与信息安全管理程序
XX单位网络与信息安全管理程序1. 简介本文档旨在规范XX单位的网络与信息安全管理程序,确保数据的保密性、完整性和可用性,以防止未经授权的访问、使用或泄露信息。
2. 安全政策XX单位将制定并执行网络与信息安全政策,以确保在处理数据和信息时遵守相关法律法规和标准。
安全政策应经常审查和更新,并按照规定进行认真培训和传达。
3. 责任分工为保证网络与信息安全的有效管理,XX单位应明确安全责任分工,指定专人负责网络与信息安全的监控、维护、排查和应急响应工作。
相关人员应具备必要的安全意识培训和技能培训。
4. 访问控制为确保系统和数据的安全,XX单位应建立严格的访问控制机制,包括用户身份验证、访问权限管理和会话管理等措施,同时限制访问敏感信息的人员。
5. 数据保护XX单位应采取适当的技术和组织措施,保护存储和传输的数据的安全性。
这些措施包括加密数据、备份和恢复、物理安全控制以及网络防护等。
6. 漏洞管理XX单位应定期进行系统和应用程序的漏洞扫描,并及时修复已知漏洞。
同时,应建立漏洞管理制度,确保进行漏洞管理工作的监测、评估和整改。
7. 事件响应XX单位应建立网络和信息安全事件响应机制,及时响应和处理安全事件,限制其影响范围,并采取措施防止类似事件再次发生。
事件响应工作应包括预案制定、事件报告和跟踪等。
8. 审计和监控XX单位应定期进行网络和信息安全审计,评估安全控制的有效性,并及时发现潜在问题并解决。
同时,应建立安全事件的监控和报告机制,保持对网络和信息安全的持续监控。
9. 域外合作XX单位在进行信息共享和域外合作时,应加强对合作方的信息安全风险评估,并与合作方签署保密协议,明确双方在信息安全方面的责任和义务。
10. 员工教育和宣传XX单位应进行定期的网络与信息安全教育和培训,提高员工的安全意识和技能水平。
同时,通过内部宣传活动,加强对网络与信息安全的宣传和普及,形成全员参与的网络安全防护氛围。
以上是XX单位网络与信息安全管理程序的简要介绍,为确保信息安全,XX单位将严格按照该程序进行网络与信息安全的保护和管理。
信息安全管理程序
目录1 文档介绍 (2)2 术语、定义和缩略语 (2)3 内容 (2)3.1 角色及职责 (2)3.2 信息安全政策 (2)3.3 资产分类和风险评估 (2)3.4 人力资源安全 (3)3.5 物理与环境安全 (3)3.6 通讯、操作及访问控制 (3)3.7 法律法规符合性 (4)3.8 IT服务过程信息安全管理 (4)4 文件记录 (4)1文档介绍本文档编写的目的是保护公司为客户所维护的基础设施、信息系统及其所存储的信息资产,确保其机密性、完整性和可用性,增强公司IT服务人员的信息安全意识。
2术语、定义和缩略语3内容3.1角色及职责3.2信息安全政策信息安全规范文件应由公司负责人审核批准,并公布与传达给公司所有员工与相关外部团体。
信息安全规范文件应定期回顾,如果公司的业务活动、基础设施或外部相关的政策法规发生了重大的改变,需要立即重新进行信息安全政策文件的检查和评估,并通过管理层的审核,以确保其持续的适用性、可操作性及有效性。
3.3资产分类和风险评估应明确公司所有重要信息资产及对资产进行风险评估,所有者要确保资产受到合适的保护,对于不可接受风险需要采取纠正措施,公司规定风险值高于12为不可接受风险。
资产分类及风险评估参见相关指南,资产分类及风险评估记录在《信息安全资产清单及风险评估报告》。
信息安全管理经理应根据信息资产的价值、法规要求、敏感度和对组织的重要程度不同对其进行分类,不同级别的信息资产要有适合其相应安全保护要求的控制措施。
3.4人力资源安全建立并将信息安全相关的控制贯穿于公司的人力资源流程中,对于关键岗位需要建立相关的安全监督机制;确保员工、合同方和第三方人员在雇佣前、雇佣中或离职以及雇佣关系变更时都以一种有序的方式进行。
应根据公司的信息安全管理要求明确定义员工、第三方人员的安全角色和责任,并记录在职责描述中;并且根据相关的职责,制定相关的信息安全基本行为准则和安全操作准则。
对所有员工、第三方人员要开展合适的安全意识培训和教育,确保其了解公司的信息安全管理流程,以减少人为错误、偷窃、欺诈及滥用设施所带来的安全风险。
信息管理与信息安全管理程序
信息管理与信息安全管理程序信息管理与信息安全管理程序是组织内部为保护信息资产、确保信息安全而制定的一系列规定和措施。
它们旨在帮助组织建立和维护一个安全的信息管理环境,以防止信息泄露、数据丢失、网络攻击等风险。
信息管理程序的编写是为了确保组织内部的信息资产得到有效管理和保护。
它包括以下几个方面:1. 信息分类和标记:根据信息的敏感程度和重要性,将信息进行分类,并为每个分类标记适当的安全级别。
这有助于组织对不同级别的信息进行安全管理和控制。
2. 信息访问控制:制定明确的权限管理策略,确保只有经过授权的人员可以访问特定的信息。
这可以通过使用身份验证、访问控制列表(ACL)和加密等措施来实现。
3. 信息备份和恢复:建立定期备份和恢复程序,以确保在发生数据丢失或灾难性事件时,组织能够快速恢复信息并继续运营。
4. 信息传输和存储安全:确保在信息传输和存储过程中采取适当的安全措施,例如使用加密技术保护数据的机密性和完整性。
5. 信息安全培训和意识:组织内部的员工应接受定期的信息安全培训,了解信息安全政策和程序,并提高对信息安全风险的意识。
信息安全管理程序是为了确保组织内部的信息资产受到保护,防止信息泄露和网络攻击等威胁。
它包括以下几个方面:1. 安全政策和规范:制定明确的安全政策和规范,明确组织对信息安全的要求和期望,并为员工提供遵守规范的指导。
2. 风险评估和管理:定期进行风险评估,识别和评估组织内部的信息安全风险,并采取相应的措施进行风险管理和控制。
3. 安全事件响应:建立安全事件响应程序,以便在发生安全事件时能够及时响应、调查和处理,减少损失和恢复业务。
4. 安全审计和监控:定期进行安全审计和监控,检查信息系统和网络的安全性,发现潜在的安全漏洞和威胁,并及时采取措施解决。
5. 第三方供应商管理:对与组织合作的第三方供应商进行安全评估和管理,确保其符合信息安全要求,并保护组织的信息资产。
总结起来,信息管理与信息安全管理程序是组织内部为保护信息资产、确保信息安全而制定的一系列规定和措施。
信息管理与信息安全管理程序DOC
1 目的明确公司信息化及信息资源管理要求,对内外部信息及信息系统进行有效管理,以确保各部门(单位)和岗位能及时、安全地识别、获取并有效运用、保存所需信息。
2 适用范围适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。
3 术语和定义3.1 信息有意义的数据、消息。
公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、内部控制、三基等和生产经营管理中所有信息。
3.2 企业信息化建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应,其本质是加强企业的“核心竞争力”。
3.3 信息披露指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。
3.4 ERP企业资源规划3.5 MES制造执行系统3.6 LIMS实验室信息管理系统3.7 IT信息技术4 职责4.1 信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策,定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。
4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况,协调处理有关问题,及时向总部支持中心上报月报、年报。
4.3 信息中心是公司信息化工作的归口管理部门,主要职责:a)负责制定并组织实施本程序及配套规章制度,对各部门(单位)信息化工作进行业务指导和督促;b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施;c)负责统一规划、组织、整合和管理公司信息资源系统,为各部门(单位)信息采集、整理、汇总和发布等环节提供技术支持;对Internet用户、电子邮箱进行设置管理;统一管理分公司互联网出口;d)负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算机设备检维修管理;e)负责ERP等支持中心日常管理工作;f)负责通信管理。
信息安全管理流程
信息安全管理流程说明书(S-I)信息安全管理流程说明书1 信息安全管理1.1目的本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动,保证信息安全管理目标的实现,满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。
1) 在所有的服务活动中有效地管理信息安全;2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题,识别并跟踪组织内任何信息安全授权访问;3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求;4) 执行操作级别协议和基础合同范围内的信息安全需求。
1.2范围本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。
向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定,以及客户自身的相关安全管理规定。
公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。
2术语和定义2.1相关ISO20000的术语和定义1) 资产(Asset):任何对组织有价值的事物。
2) 可用性(Availability):需要时,授权实体可以访问和使用的特性。
3) 保密性(Confidentiality):信息不可用或不被泄漏给未授权的个人、实体和流程的特性。
4) 完整性(Integrity):保护资产的正确和完整的特性。
5) 信息安全(Information security):保护信息的保密性、完整性、可用性及其他属性,如:真实性、可核查性、可靠性、防抵赖性。
6) 信息安全管理体系(Information security management system ISMS):整体管理体系的一部分,基于业务风险方法以建立、实施、运行、监视、评审、保持和改进信息安全。
7) 注:管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资源。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
. .1目的明确公司信息化及信息资源管理要求,对内外部信息及信息系统进行有效管理,以确保各部门( 单位 ) 和岗位能及时、安全地识别、获取并有效运用、保存所需信息。
2适用范围适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。
3术语和定义3.1信息有意义的数据、消息。
公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、内部控制、三基等和生产经营管理中所有信息。
3.2企业信息化建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应,其本质是加强企业的“核心竞争力” 。
3.3信息披露指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。
3.4 ERP企业资源规划3.5 MES制造执行系统3.6LIMS实验室信息管理系统3.7IT信息技术4职责4.1信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策,定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。
4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况,协调处理有关问题,及时向总部支持中心上报月报、年报。
4.3信息中心是公司信息化工作的归口管理部门,主要职责:a) 负责制定并组织实施本程序及配套规章制度,对各部门( 单位 ) 信息化工作进行业务指导和督促;b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施;c) 负责统一规划、组织、整合和管理公司信息资源系统,为各部门( 单位 ) 信息采集、整理、汇总和发布等环节提供技术支持;对Internet用户、电子邮箱进行设置管理;统一管理分公司互联网出口;d) 负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算..机设备检维修管理;e)负责 ERP等支持中心日常管理工作;f)负责通信管理。
4.4发展项目处负责将信息化项目列入公司投资建议计划,提交信息化工作领导小组讨论通过后,上报总部。
4.5技术质量处负责对列入科技开发计划的信息管理项目按《科技开发控制程序》执行。
4.6财务部门负责信息化、通信系统维护专项费核算、管理。
4.7机动处负责对计算机、网络、机房等基础设施安排检维修计划并组织实施。
4.8教培中心协助组织进行员工的信息化应用和现代信息技术基本知识的培训。
4.9人力资源处负责信息系统关键岗位的设定和管理。
4.10企业管理处负责组织对各部门( 单位 ) 的信息化工作进行专项考核;负责审定公司各项信息化管理规章制度。
4.11物资装备中心负责信息技术项目设备、材料和计算机设备配件、耗材的物资供应。
4.12总经理 ( 外事 ) 办公室负责公司信息门户和信息披露的管理,负责公司计算机及配件的维修管理。
4.13宣传处负责公司宣传思想网的日常管理,负责对外宣传报道稿件的审核。
党委办公室负责公司党群工作信息系统的日常管理。
4.14计量管理中心、质量检验中心、安全环保处负责涉及产品质量、环境质量和测量的相关技术程序[ 包括测试程序、方法、(产品和测量方法)标准等相关文件] 、软件、记录和标识的所有信息管理。
4.15情报档案室负责公司内部归档档案信息管理、外部文献信息、生产技术、经营课题调研信息等信息资源的采集、管理。
4.16各部门(单位)职责:a)负责提出信息资源需求,及时录入和维护有关数据,有效利用和管理信息资源;负责公司信息门户中本部门 ( 单位 ) 信息的发布及维护;b)负责本部门 ( 单位 ) 计算机及通讯设备、网络系统和信息系统的安全运行管理;c) 提出本部门 ( 单位 ) 的信息技术项目立项和系统故障维修的申请报告,组织信息技术项目在本部门( 单位 ) 的实施、推广和应用, 负责及时录入和维护有关数据,协调处理有关业务问题;d)负责建立和完善技术档案和基础技术资料。
5工作程序5.1工作机构5.1.1公司成立由总经理为组长、分管副总经理为副组长、有关部门( 单位 ) 主要负责人为组员的信息化工作领导小组,其主要职责见4.1 。
5.1.2公司设立由信息中心及有关部门( 单位 ) 关键用户组成的ERP 等系统支持中心,其主要职责见4.2 。
5.2信息化建设管理5.2.1信息化计划..5.2.1.1在总部信息化建设规划指导下,信息中心编制公司信息建设专业发展计划,征求各部门(单位)意见并组织专家组进行评审,报信息化工作领导小组审核,经公司总经理批准后,报总部信息系统管理部备案,并纳入公司生产发展总体规划,在执行过程中滚动调整和完善。
5.2.1.2各部门(单位)根据公司生产发展总体规划和生产经营管理的需要,每年 6 月份前向信息中心申报下一年度的信息化项目建议书,信息中心组织审核并汇总编制公司年度信息技术项目建议计划,报发展项目处纳入公司年度投资建议计划统筹平衡,经公司信息化工作领导小组讨论批准后,由发展项目处上报总部,由信息中心报信息系统管理部备案。
5.2.1.3信息中心负责编制年度公司信息系统运行维护费用预算,经财务部门综合平衡后,报公司全面预算管理委员会审定后执行。
5.2.2项目立项5.2.2.1信息化项目的立项权限、限额划分及相关工作的管理,按《固定资产投资控制程序》和内部控制的有关规定执行。
5.2.2.2信息化项目申请立项,必须符合公司发展总体规划中的目标和任务,依据公司信息技术项目年度建议计划,进行信息技术项目立项工作。
5.2.2.3申请股份公司立项的信息技术项目按《金陵石化信息技术项目管理规定》执行。
5.2.2.4申请公司立项的信息技术项目按《固定资产投资控制程序》和《科技开发控制程序》执行。
5.2.2.5信息中心按照《固定资产投资控制程序》、《科技开发控制程序》的规定,组织信息技术项目的招投标。
5.2.2.6凡属信息技术项目,须经信息中心审核,未经信息化工作领导小组批准,不予立项,不予拨付资金,项目不得实施。
5.2.3项目实施5.2.3.1项目责任单位按照《金陵石化信息技术项目管理规定》的要求,参与制定项目实施计划,提出项目实施计划要求和建设质量要求;配合系统开发,负责项目进度和质量管理,组织人员培训、试运行、单轨运行。
制定配套的系统运行管理制度、提出项目竣工验收申请并进行其它的相关工作。
5.2.3.2信息中心组织项目实施例会、中间交接、系统测试、项目竣工验收等工作,并协助项目责任单位完成总部组织的项目的后评价、制定配套的系统运行管理制度。
5.2.3.3物资装备中心负责组织进行信息技术项目建设的设备及材料供应,信息中心按《一般物资采购程序》执行。
5.3系统运行维护5.3.1信息系统的运行维护包括对计算机、网络、数据库、应用系统、机房及附属设备的运行维护。
5.3.2系统应用责任部门( 单位 ) 要按照《金陵石化信息技术项目管理规定》、《金陵石化信息系统安全管理规定》和《金陵石化信息基础设施运行维护管理规定》的要求做好系统应用维护,同时加强对信息系统各类用户及第三方技术支持、服务人员的管理,做好风险防范管理,确保系统安全运行。
5.3.3信息中心负责管理信息系统的基础设施如计算机、网络、数据库系统及机房的运行和维护管理。
为各部门 ( 单位 ) 信息应用系统的正常运行提供技术支持和服务。
..5.3.4各部门(单位)严格执行《金陵石化信息基础设施运行维护管理规定》,用好管好本部门( 单位 )的计算机网络系统和计算机设备,建立和更新本部门( 单位 ) 计算机设备台帐,并报信息中心备案。
5.3.5信息中心依据《金陵石化信息基础设施运行维护管理规定》进行计算机设备检维修管理。
各部门( 单位 ) 的计算机设备发生故障,需经本部门 ( 单位 ) 处理审核后报信息中心,由信息中心组织进行检维修。
信息中心无法维修的,各部门 ( 单位 ) 须填报“计算机维修单” ,由总经理 ( 外事 ) 办公室审核确认后,方能送外修理,将实际发生的检维修费用报财务进行结算。
5.3.6标准代码管理执行《中国石油化工集团公司信息标准代码管理办法》。
对于总部统一组织实施的信息技术应用系统,当各部门( 单位 ) 需要增加标准代码时,向信息中心报“标准代码申请单”,信息中心审核后报总部,各部门( 单位 ) 将总部批准的标准代码维护到系统中。
5.3.7计算机软件产品购置、测试、评估、开发应用、升级、保存管理执行《金陵石化信息系统应用管理规定》。
5.3.8信息中心负责对因特网和其他对外出口的安全管理和监控,动态监控信息系统安全状况,及时组织处理突发的安全故障,保障信息系统正常运行。
5.3.9对于总部统一组织实施的信息技术应用系统,凡不能自行解决的运行维护问题,由信息中心将各部门 ( 单位 ) 提交的信息系统问题上报总部主管部门,待回复后,将问题解决方案交问题提报部门( 单位 ) 执行。
5.3.10各部门(单位)作为应用系统的业务管理者和使用者,负责业务流程、业务工作标准、数据维护、用户管理、数据使用安全的运行和管理工作。
5.3.11信息中心负责每月8 日前组织召开ERP系统运行月度例会,协调解决有关问题,编写ERP系统运行维护月度报告,上报股份公司信息系统管理部。
5.4信息资源管理5.4.1信息资源分类与管理公司信息按下属方式进行分类:a)按来源划分。
包括生产经营管理方面的内部信息和需从外部购入的信息;b) 按载体划分。
包括电子载体信息和纸质载体信息。
其中电子载体信息主要包括由ERP、MES、LIMS、实时数据库等基础信息系统及专业信息系统采集(或形成)并存储的信息、使用计算机编制并存储的信息以及从外部获得各类有关的电子类信息等。
纸质载体信息包括各类纸质的文件记录、资料等。
5.4.2外部信息需求的识别和获取5.4.2.1专业管理信息由各部门( 单位 ) 按“谁主管,谁负责”的原则,通过网络、专业协会、总部、政府部门等途径对外部信息进行识别和获取。
5.4.2.2各部门(单位)对需要单位间共享或购买的外部文献信息、生产技术、经营等课题调研信息,按公司《文献信息管理制度》、《信息调研管理制度》由情报档案室管理,其他所需外部信息按《中国石化信息资源管理办法》的要求形成相应的信息需求目录,并明确信息内容、信息提供频率和信息提供方式等,经本部门(单位)负责人签字确认后报情报档案室。
5.4.2.3情报档案室组织汇总各部门( 单位 ) 需要其他单位提供的信息和需外购的信息,编制内部信息..需求和外购信息需求目录。
各部门(单位)内部共享信息需求及外购信息需求内容经分管副总经理审核批准后实施。