0304信息安全管理体系程序文-个人计算机管理程序
0304计算机信息系统管理制度041008
黄海粮油工业(山东)有限公司计算机信息系统管理制度黄海粮油工业(山东)有限公司《计算机信息系统管理制度》已由总经理办公会议于年月日通过,现予公布,自年月日起施行。
黄海粮油工业(山东)有限公司总经理张振涛年月日目录第一章总则 (2)第二章计算机信息系统的规划和建设 (2)第三章计算机信息系统的使用和管理 (3)第四章附则 (4)第一章总则第一条为了规范公司计算机信息系统的统一管理,引进现代化计算机管理工具,推动企业现代化管理,使公司管理规范化、程序化、迅速、快捷,提高公司决策和管理水平,制定本制度。
第二条本制度适用于公司各部门全体员工。
第三条本制度所指计算机信息系统包括公司自主开发或外购的各类企业管理应用软件工具。
第四条公司建立计算机信息系统,应坚持本“总体规划、分步实施”的原则。
计算机信息系统建设应综合考虑成本、费用、效率、效果、先进性、适用性和扩展性,选择最优技术经济方案。
第五条人力资源与公共事务部是公司计算机信息系统管理的职能部门。
信息管理主管和信息管理员负责计算机信息系统管理的日常工作,职责如下:1、负责对公司信息管理系统的整体规划、选型、开发、组织实施和项目验收工作。
2、负责公司计算机信息系统的维护、升级等日常管理工作,保证公司的信息管理系统正常运行,确保业务的正常开展。
3、负责对公司计算机信息系统的运行情况进行监管和控制。
4、负责对操作人员进行教育和培训,使其掌握公司计算机信息系统的使用。
5、负责向上级提供信息化建设方面的意见和建议。
第二章计算机信息系统的规划和建设第六条公司计算机信息系统的规划,由信息管理人员统一组织各相关部门提出需求方案,在公司高层领导下确立计算机信息系统的总体方案、实施步骤、时间进度、费用预算、人员安排等事项。
第七条根据计算机信息系统的总体方案,结合公司实际情况和软件特点,由信息管理人员统一组织各相关部门,对软件供应商进行调研分析后,采用招标的方式外购软件或决定开发;并保证子系统间的接口衔接,集成为一体化软件。
信息安全管理程序
信息安全管理程序信息安全管理程序为了防止信息和技术泄露,避免严重灾难的发生,特制定此安全规定。
适用范围包括但不限于电子邮件、音频邮件、电子文件、个人计算机、计算机网络、互联网和其他电子服务等相关设备、设施或资源。
权责分配如下:XXX:负责信息相关政策的规划、制订、推行和监督。
IT部:负责计算机、计算机网络相关设备设施的维护保养以及信息数据的备份相关事务处理。
全体员工:按照管理要求进行执行。
具体内容如下:公司保密资料:公司年度工作总结、财务预算决算报告、缴纳税款、薪资核算、营销报表和各种综合统计报表。
公司有关供货商资料、货源情报和供货商调研资料。
公司生产、设计数据、技术数据和生产情况。
公司所有各部门的公用盘共享数据,按不同权责划分。
公司的信息安全制度:凡涉及公司内部秘密的文件数据的报废处理,必须碎纸后丢弃处理。
公司员工工作所持有的各种文件、数据、电子文件,当本人离开办公室外出时,须存放入文件柜或抽屉,不准随意乱放,更未经批准,不能复制抄录或携带外出。
未经公司领导批准,不得向外界提供公司的任何保密数据和任何客户数据。
经理室要运用各种形式经常对所属员工进行信息安全教育,增强保密意识:在新员工入职培训中进行信息安全意识的培训,并经人事检测合格后,方可建立其网络账号及使用资格。
每年对所有计算机用户至少进行一次计算机安全检查,包括扫病,去除与工作无关的软件等。
不要将机密档及可能是受保护档随意存放,文件存放在分类目录下指定位置。
全体员工自觉遵守保密基本准则,做到:不该说的机密,绝对不说,不该看的机密,绝对不看(含超越自己职责、业务范围的文件、数据、电子文文件)。
员工应严格遵守本规定,保守公司秘密,发现他人泄密,立即上报,避免或减轻损害后果。
所有公司文档应该存放于授权的文件夹或分类数据库内,数据由IT每日统一备份。
备份可分为每天日备份、每周完整备份、每月和每季的备份。
数据均存放于第三方,确保数据一旦遗失都可以从备份数据找回相应的数据备份。
信息安全管理程序
信息安全管理程序
1 目的
为了引导企业充分利用计算机及信息系统规范交易行为, 提高信息系统的可靠性、 稳定性、
安全性及数据的完整性和准确性,降低人为因素导致内部控制失效的可能性,形成良好的
信息传递渠道,根据国家有关法律法规和《企业内部控制规范》 2 范围
适用公司所有职能部门。 3 职责 3.1 信息中心:负责公司网络及计算机信息安全的管理与维护。
,制定本规范。
3.2 各部门:负责配合信息中心对计算机信息安全进行管理。
4 定义: 计算机信息系统:是指利用计算机技术对业务和信息进行集成处理的程序、数据和文档
等的总称, 计算机包括个人电脑、服务器及防火墙等硬件设备 。
5 工作程序
流程
要求
使用表单 相关部门
信息系统及信息安全岗位包括:
网络及计算机管理:负责公司的网络安装及维
护、计算机硬件维护及软件维护, 应当注意对邮
件及其他重要信息数据的保护。
系统分析:系统分析需求,并得到业务部门负责人确
认。
开发及维护:软件工程师负责开发得到确认的业
务系统或对外包开发的信息系统进行维护, 同时
负责相关报表的开发。
岗位分工 与授权审 批
数据库管理:维护组织数据资源的安全性及完整 性,对数据库做好日备份及转移。 信息系统库管理: 在单独的信息系统库中存储暂 时不用的程序和文件, 并保留所有版本的数据和
系统开发和变更过程中不相容岗位 (或职责) 一
信息系统 开发、变 更与维护
控制
xx 公司:
般应包括:开发(或变更)审批、开发、系统上 线、监控。 系统访问过程中不相容岗位 (或职责) 一般应包 括:申请、审批、操作、监控。 企业计算机信息系统战略规划、重要信息系统政策 等重大事项应当经由董事会审批通过后, 方可实施 。 信息系统战略规划应当与企业业务目标保持一致。 信息系统使用部门应该参与信息系统战略规划、重 要信息系统政策等的制定 。 信息中心对计算机及信息系统实施归口管理,负责 信息系统开发、变更、运行、维护等工作。 财务部负责信息系统中各项业务账务处理的准确性 和及时性;财务电算化制度的制定;计划价格的确 定和修改;财务操作规定等。 生产、销售、仓储及其他部门(下称用户部门)应 当根据本部门在信息系统中的职能定位,参与信息 系统建设和管理,按照信息中心制定的管理标准、 规范、规章来操作、管理和运用信息系统。 计算机信息系统开发包括自行设计、外购调试和外 包合作开发。企业在开发信息系统时,充分考虑业 务和信息的集成性,优化流程,并将相应的处理规 则(交易权限)嵌入到系统程序中,以预防、检查、 纠正错误和舞弊行为, 确保企业业务活动的真实性、 合法性和效益性。 信息系统开发必须经过正式授权,企业应当进行详 细备案。 具体程序包括 : 用户部门提出需求; 归口管 理部门审核;企业负责人授权批准;系统分析人员 设计方案;程序员编写代码或外包等。 对于外包合作开发的项目,企业应当加强对外包第 三方的监控。 外购调试或外包合作开发等需要进行招投标的信息 系统开发项目,企业应当成立招投标小组,并保证 招投标小组的独立性。 在新系统上线前需要制定详细的信息系统上线计 划。对涉及新旧系统切换之情形,企业应当在上线 计划中明确系统回退计划,保证新系统一旦失效, 能够顺利回退到原来的系统状态。 新旧系统切换时,如涉及数据迁移,企业应当制定 详细的数据迁移计划。 用户部门应当积极参与数据迁移过程,对数据迁移
计算机网络安全管理程序
计算机网络安全管理程序XX电子科技有限公司信息安全和IT服务管理体系文件网络安全管理程序DK-0044-2019受控状态受控分发号版本A/0持有人网络安全管理程序1 目的为了确保公司信息系统网络安全,对公司网络安全活动实施控制,特制定本程序。
2 范围适用于对公司信息系统网络安全的管理。
3 职责3.1 综合部负责网络安全措施的制定、实施、维护。
3.2 相关部门负责配合网络安全管理的实施。
4 程序4.1 总则本公司信息系统网络安全控制措施包括:a) 实施有效的网络安全策略;b) 路由器等安全配置管理;c) 网络设备的定期维护;d) 对用户访问网络实施授权管理;e) 对网络设备和系统的变更进行严格控制;f) 对网络的运行情况进行监控;g) 对网络服务的管理。
4.2 网络安全策略4.2.1 网络安全的通用策略如下:a) 公司网络管理员负责信息网络和系统安全,审核系统日志。
系统日志的记录内容和保存期限应符合《信息系统监控管理程序》。
b) 网络管理员负责公司网络设备的配置和内部的IP地址管理。
c) 网络管理员应编制《网络拓扑图》,描述网络结构并表示网络的各组成部分之间在逻辑上和物理上的相互连接。
d) 网络管理员应根据需要增加、修改或删除网络过滤规则,符合数据传送的保密性、可用性,使用最小化规则。
e) 任何个人不得擅自修改网络资源配置、网络权限和网络安全等级。
4.2.2 路由器设备安全配置策略如下:a) 除内部向外部提供的服务外,其他任何从外部向内部发起的连接请求必须经过公司总经理批准;b) 除内部向外部提供的服务相关部分外,内部向外部的访问需经总经理批准;c) 对设备的管理控制不对外提供;d) 路由器的策略设定,应以保证正常通信为前提,在不影响通信质量的前提下,对指定的需要禁止的通信类型进行相应的禁止设定;e) 路由器的设定应保证各个连接设备的兼容性,并考虑冗余和容错。
f) 路由器访问清单设定:①依照连接对象及网络协议相关事宜制定访问清单加以过滤。
信息安全管理体系建立的步骤
信息安全管理体系建立的步骤
建立信息安全管理体系的步骤通常包括以下几个方面:
1. 确定组织的信息资产:确定组织的关键信息资产,包括数据、文档、设备等,并对其进行分类和评估重要性。
2. 制定信息安全政策:制定适合组织的信息安全政策,明确组织对信息安全的要求和目标,确定信息安全的原则和指导方针。
3. 进行风险评估:通过对组织的信息资产、威胁和安全漏洞进行评估,确定可能出现的风险和潜在威胁。
4. 制定风险管理计划:制定详细的风险管理计划,包括风险评估结果、风险处理策略和安全措施。
5. 建立信息安全组织架构:确立信息安全部门或团队,明确各个岗位的责任和职责,建立信息安全委员会或小组。
6. 实施安全意识培训:组织开展信息安全意识培训,提高员工对信息安全的认识和理解,促使他们遵循信息安全政策和流程。
7. 实施安全控制措施:根据风险管理计划,实施相应的安全控制措施,包括技术和管理控制措施,确保信息资产的安全和完整性。
8. 进行内部审计和监测:定期进行内部审计和监测,评估信息安全控制的有效性和合规性,及时发现和解决问题。
9. 进行持续改进:不断进行信息安全管理体系的评估和改进,根据实践经验和新的威胁动态,及时进行修订和优化。
以上步骤是建立信息安全管理体系的一般流程,可以根据组织的具体情况进行调整和定制。
网络信息安全管理程序
网络信息安全管理程序网络信息安全管理程序1.背景和目的1.1 背景在当今数字化时代,网络信息安全的重要性日益凸显。
大量的机密信息被储存在网络上,如个人身份信息、商业机密等。
因此,确保网络信息的安全性对于个人和组织来说至关重要。
1.2 目的本网络信息安全管理程序的目的是确保在组织内部的网络使用过程中,对网络信息进行全面的保护。
它提供了一个指导性的框架来确保网络系统的机密性、完整性和可用性,并帮助组织识别和应对可能的网络安全风险和威胁。
2.适用范围和责任2.1 适用范围本网络信息安全管理程序适用于所有组织成员,无论在组织内部还是外部。
它适用于所有网络系统和设备,包括服务器、计算机、网络设备、移动设备等。
2.2 责任所有组织成员都有责任遵守并执行本网络信息安全管理程序。
组织管理层应确保对网络信息安全管理的有效实施,并提供必要的培训和资源来提高员工的网络安全意识。
3.网络信息安全管理政策3.1 定义网络信息安全管理政策是指为保护网络信息而制定和实施的一系列准则和规定。
3.2 目标- 保护网络信息的机密性,防止未经授权的访问。
- 保护网络信息的完整性,防止未经授权的修改。
- 保证网络信息的可用性,确保网络系统的正常运行。
- 捕捉和记录网络安全事件,以便追踪和调查。
3.3 规范- 所有网络设备和系统必须安装最新的安全补丁和更新。
- 所有用户账户必须设置强密码,并定期更改密码。
- 访问敏感信息的权限必须进行严格的控制和管理。
- 所有网络流量必须通过防火墙和入侵检测系统进行监测和过滤。
- 网络信息备份和恢复策略必须定期测试和评估。
- 所有网络安全事件必须及时记录,并采取适当的措施进行调查和应对。
- 所有网络安全相关的培训和意识活动必须定期进行。
- 所有网络安全管理措施必须进行定期的内部和外部审计。
4.网络信息安全风险评估4.1 目的网络信息安全风险评估的目的是识别和评估可能对网络信息系统造成威胁的风险,并制定相应的风险管理策略。
网络信息安全管理程序简洁范本
网络信息安全管理程序网络信息安全管理程序1. 引言网络信息安全是当今信息社会中至关重要的一项工作。
随着互联网的发展和普及,网络信息安全的威胁也越来越严重。
为了有效的保护网络信息的安全,各个组织和企业需要制定和实施一套完善的网络信息安全管理程序。
2. 目标网络信息安全管理程序的目标是确保网络信息的机密性、完整性和可用性。
通过管理程序的实施,组织和企业能够建立一套完善的安全措施,有效应对各种网络攻击和威胁。
网络信息安全管理程序还能够提高组织和企业的信息管理能力,保护用户的利益,维护网络秩序。
3. 管理原则网络信息安全管理程序应该遵循以下原则:安全优先:网络信息安全应该被放在首位,任何其他因素都不能凌驾于安全之上。
风险管理:通过对网络信息安全风险的评估和管理,做到权衡风险与效益,采取适当的安全措施。
管理制度:建立一套规范和严格的管理制度,明确网络信息安全的责任和义务,确保管理的连续性和一致性。
组织协调:通过组织内外部的协调与合作,建立一个完整的网络信息安全管理体系。
4. 主要内容网络信息安全管理程序包括以下主要内容:4.1 安全策略安全策略是网络信息安全管理程序的核心部分。
组织和企业需要制定一套适合自身特点的安全策略,明确网络信息的保护目标和安全要求。
安全策略应该包括对网络信息的分类和保护级别的确定,安全措施的选择和实施,以及安全事件的处理和应对。
4.2 安全管理体系安全管理体系是网络信息安全管理程序的基础。
通过建立一套完整的安全管理体系,组织和企业能够有效地管理网络信息安全事务,包括安全组织架构的建立、安全管理流程的设计、安全培训和宣传教育的开展等。
4.3 安全控制措施安全控制措施是网络信息安全管理程序的手段和方法。
组织和企业需要选择和实施一系列的安全控制措施,包括网络设备安全、网络流量监测、访问控制、数据备份与恢复等,以保证网络信息的安全性。
5. 实施步骤网络信息安全管理程序的实施包括以下步骤:1. 评估与规划:对组织和企业的网络信息安全现状进行评估,制定安全管理规划和策略。
0309-信息安全管理体系程序文信息交换管理程序
******有限公司信息安全管理体系文件信息交换管理程序ISMS-0309-2017受控状态受控版本A/0编制:审核:批准:2017-1-10发布 2017-1-10实施修订履历版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期A/0初次发布信息交换管理程序1 目的为了对公司信息交换活动实施有效控制,防止交换的信息被截取、备份、修改、误传及破坏,以使通过所有类型的通信设施进行的信息交换得到有效保护,特制定本程序。
2 范围适用于公司各部门及员工在信息交换过程中的活动。
3 职责3.1 综合部负责电话、打印机等IT周边设备信息交换、物理介质运送等控制活动。
3.2 项目部负责计算机电子信息交换控制活动。
3.3 其他各部门负责对本部门的信息交换活动。
4 程序4.1 信息交换策略4.1.1 不能在公共场所或者敞开的没有防护的会议室、综合管理部内谈论机密信息。
4.1.2 对信息交流应作适当的防范,严禁在无保密措施的通信设备及计算机网络中传递企业秘密;进行涉密内容的活动,严禁使用无线话筒;应避免电话被偷听或截取。
4.1.3 不得将包含敏感信息的讯息放在自动应答系统中。
4.1.4 不得将敏感或关键信息放在打印设施上,如打印机和传真,防止未经授权人员的访问。
4.1.5 制作应用系统之间的接口、协议时,不能影响双方应用系统的正常运行。
在实施之前应充分考虑应用系统的资源是否足够,保证数据交换的权限最小化。
4.2 信息交换控制措施4.2.1 在使用电子通信设施进行信息交换时,所考虑的控制包括:a. 防止交换的信息被截取、备份、修改、误传以及破坏;b. 保护以附件形式传输的电子信息;c. 所有业务信件和消息的保持和处置,要符合相关的法律法规。
4.2.2 使用传真的人员应注意避免下列问题:a. 未经授权对传真机内部存储的信息进行访问,获取信息;b. 故意的或无意的传真机程序设定,向特定的号码发送信息;c. 向错误的号码发送文件和信息,或者拨号错误,或者使用存储在机器中的号码是错误的。
信息安全管理程序
目录1 文档介绍 (2)2 术语、定义和缩略语 (2)3 内容 (2)3.1 角色及职责 (2)3.2 信息安全政策 (2)3.3 资产分类和风险评估 (2)3.4 人力资源安全 (3)3.5 物理与环境安全 (3)3.6 通讯、操作及访问控制 (3)3.7 法律法规符合性 (4)3.8 IT服务过程信息安全管理 (4)4 文件记录 (4)1文档介绍本文档编写的目的是保护公司为客户所维护的基础设施、信息系统及其所存储的信息资产,确保其机密性、完整性和可用性,增强公司IT服务人员的信息安全意识。
2术语、定义和缩略语3内容3.1角色及职责3.2信息安全政策信息安全规范文件应由公司负责人审核批准,并公布与传达给公司所有员工与相关外部团体。
信息安全规范文件应定期回顾,如果公司的业务活动、基础设施或外部相关的政策法规发生了重大的改变,需要立即重新进行信息安全政策文件的检查和评估,并通过管理层的审核,以确保其持续的适用性、可操作性及有效性。
3.3资产分类和风险评估应明确公司所有重要信息资产及对资产进行风险评估,所有者要确保资产受到合适的保护,对于不可接受风险需要采取纠正措施,公司规定风险值高于12为不可接受风险。
资产分类及风险评估参见相关指南,资产分类及风险评估记录在《信息安全资产清单及风险评估报告》。
信息安全管理经理应根据信息资产的价值、法规要求、敏感度和对组织的重要程度不同对其进行分类,不同级别的信息资产要有适合其相应安全保护要求的控制措施。
3.4人力资源安全建立并将信息安全相关的控制贯穿于公司的人力资源流程中,对于关键岗位需要建立相关的安全监督机制;确保员工、合同方和第三方人员在雇佣前、雇佣中或离职以及雇佣关系变更时都以一种有序的方式进行。
应根据公司的信息安全管理要求明确定义员工、第三方人员的安全角色和责任,并记录在职责描述中;并且根据相关的职责,制定相关的信息安全基本行为准则和安全操作准则。
对所有员工、第三方人员要开展合适的安全意识培训和教育,确保其了解公司的信息安全管理流程,以减少人为错误、偷窃、欺诈及滥用设施所带来的安全风险。
网络信息安全管理程序
网络信息安全管理程序1. 引言网络信息安全管理程序是指为了保护组织的网络系统和信息资源免受未经授权的访问、使用、披露、破坏或干扰而采取的一系列措施和方法。
本文旨在介绍一个完整的网络信息安全管理程序,并对其各个环节进行详细阐述。
2. 管理流程网络信息安全管理程序包括以下几个主要环节:2.1 风险评估和分析在风险评估和分析环节,需要对组织的网络系统和信息资源进行全面的评估和分析,确定安全威胁、潜在漏洞和风险等级。
通过对网络系统和信息资源的现状进行调查和分析,可以识别出潜在的安全风险,并制定相应的对策和预防措施。
2.2 安全政策和控制制定在安全政策和控制制定环节,需要制定一系列安全政策和控制措施,包括访问控制、身份认证、数据加密、漏洞修复等。
安全政策和控制的制定需要考虑组织的实际情况和需求,以确保网络系统和信息资源的安全。
2.3 安全培训和意识提升在安全培训和意识提升环节,需要对组织内部的员工进行安全培训和意识提升,提高他们的网络信息安全意识和技能。
通过定期的安全培训和意识提升活动,可以使员工了解安全政策和控制措施,并掌握相应的安全技能。
2.4 安全监控和响应在安全监控和响应环节,需要建立安全监控机制,对网络系统和信息资源进行实时监控和检测。
一旦发现异常情况或安全事件,需要及时采取相应的响应措施,包括隔离、修复漏洞、恢复系统等,以保证网络系统和信息资源的安全。
2.5 安全审计和评估在安全审计和评估环节,需要定期对网络系统和信息资源进行安全审计和评估,评估其安全性和合规性。
通过安全审计和评估,可以发现和纠正潜在的安全问题和漏洞,以保证网络系统和信息资源的持续安全。
3. 实施步骤网络信息安全管理程序的实施步骤如下:3.1 确定组织的网络信息安全需求和目标,需要明确组织的网络信息安全需求和目标,包括保护数据的完整性、机密性和可用性,以及防止未经授权的访问和使用。
3.2 进行风险评估和分析,进行风险评估和分析,确定安全威胁、潜在漏洞和风险等级,以制定相应的对策和预防措施。
网络信息安全管理程序
网络信息安全管理程序1. 引言随着互联网的快速发展,网络信息安全问题日益成为人们关注的焦点。
为了保护个人和组织的信息安全,网络信息安全管理程序应运而生。
本文将介绍一种网络信息安全管理程序,以帮助用户保障信息的安全性。
2. 目标网络信息安全管理程序的主要目标是确保网络信息的保密性、完整性和可用性。
为了实现这些目标,以下几个方面需要得到有效的管理和控制:2.1 访问控制网络信息安全管理程序应该能够有效地管理和控制用户对系统和数据的访问权限。
用户应该根据其职责和需要获得适当的访问权限,还应该有一套有效的身份验证和授权机制,以确保只有经过授权的用户可以访问系统和数据。
2.2 安全策略网络信息安全管理程序应该能够制定和实施一套有效的安全策略。
这些安全策略应该包括网络设备的配置、信息安全的要求和规范,以及应对网络攻击和威胁的应急响应措施。
2.3 安全监控网络信息安全管理程序应该能够对网络信息进行实时监控和检测。
通过监控网络流量、报警系统、日志审计等手段,及时发现网络安全事件,采取相应的应对措施,以保证信息安全。
2.4 安全教育和培训网络信息安全管理程序应该能够提供相关的安全教育和培训,以提高用户的安全意识和技能。
通过培训用户对网络攻击和威胁的识别和防范能力,减少安全漏洞和风险。
3. 流程网络信息安全管理程序应该包括以下几个主要流程:3.1 安全需求分析在程序的开始阶段,需要对网络信息安全的需求进行分析和评估。
通过梳理业务流程、收集用户需求和了解相关法律法规,以确定安全管理程序的主要目标和要求。
3.2 安全策略制定和实施基于安全需求分析的结果,制定和实施一套有效的安全策略。
这包括网络设备的配置、信息安全的要求和规范,以及相关的应急响应措施和安全事件管理。
3.3 访问控制管理建立和管理用户的访问控制机制,包括身份验证、授权和权限管理。
确保只有经过授权的用户可以访问系统和数据,并对用户进行必要的行为监控。
3.4 安全监控和检测通过实时监控网络流量、报警系统和日志审计,及时发现和处理安全事件。
0305信息安全管理体系程序文-用户访问管理程序
********有限公司信息安全管理体系文件用户访问管理程序ISMS-0305-2017受控状态受控版本A/0编制:审核:批准:2017-1-10发布 2017-1-10实施修订履历版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期A/0初次发布用户访问管理程序1 目的为加强对信息系统授权访问的控制,防止对信息系统的未经授权的访问,特制定本程序。
2 范围适用于对公司网络、各应用系统的逻辑访问,物理访问按《安全区域管理程序》进行。
3 职责3.1 技术支持部负责管理公司网络、应用系统用户访问权限的分配、审批,以及信息应用系统用户的开通。
3.2行政财务部负责访问权限控制和管理, 以及向各部门通知人事变动情况。
4 程序4.1访问控制策略4.1.1 本公司内部可公开的信息不作特别限定,允许所有用户访问。
4.1.2 本公司内部部分公开信息,经访问授权技术支持部门认可,访问授权实施部门实施后用户方可访问。
4.1.3 用户不得访问或尝试访问未经授权的网络、系统、文件和服务。
4.1.4 各系统访问授权管理部门应编制《系统用户访问权限说明书》,明确规定访问规则,对几人共用的帐号应明确责任人。
4.1.5 用户不得以任何方式私自安装路由器、交换机、代理服务器、无线网络访问点(包括软件和硬件),不得私自撤除或更换网络设备。
4.1.6 只有技术支持部系统管理员才能开通特权账户。
4.1.7 评审访问策略,使其满足业务和访问的安全要求。
4.2 用户访问管理4.2.1 用户注册4.2.1.1 对于需要临时访问系统的用户,包括相关方服务人员均需要履行访问授权手续。
4.2.1.2 申请部门根据管理工作的需要,确定需要访问的系统和访问权限,经过本部门领导同意后,行政财务部提交《用户授权申请表》。
《用户授权申请表》应明确以下内容:a) 权限申请人员;b) 访问权限(授权范围);c) 申请理由;d) 有效期。
4.2.1.3 技术支持部审核,总经理批准后,实施授权。
信息安全管理程序
1. 目的1.1 为保障公司计算机网络系统的安全,促进公司各项业务的信息化,保障信息安全,保证计算机系统的正常运行,特制定本制度。
1.2 为了保证公司业务信息系统的正常运行,保证业务数据的正确性、完整性和安全性。
2. 范围适用于本公司基础网络安全管理、终端系统安全管理和信息数据及业务系统安全管理。
3. 定义3.1 信息安全体系按照信息系统的组成和关注的信息对象,我们把信息安全划分为以下三个方面工作:基础网络安全、系统安全、数据应用安全:网络系统数据应用1、基础网络安全(按网络区域划分)– 网络终端安全:防病毒(网络病毒、邮件病毒)、非法入侵、共享资源控制– 内部局域网(LAN )安全:内部访问控制(包括接入控制)、网络阻塞(网络风暴)、病毒检测– 外网(Internet )安全:非法入侵、病毒检测、流量控制、外网访问控制2、系统安全(系统层次划分)–硬件系统级安全:门禁控制、机房设备监控(视频)、防火监控、电源监控(后备电源)、设备运行监控–操作系统级安全:系统登录安全、系统资源安全、存储安全、服务安全……–应用系统级安全:登录控制、操作权限控制3、数据应用安全(信息对象划分)–本地数据安全:本地文件安全、本地程序安全服务器数据安全:数据库安全、服务器文件安全、服务器应用系统、服务程序安全3.2 安全体系实施策略3.2.1 网络安全策略:3.2.1.1 Internet外网安全:外网安全主要依靠防火墙和核心交换机设置保障。
1、内网电脑设备与外网隔离。
2、在办公区设立网吧提供上外网,网吧电脑与内网电脑通过核心交换机VLAN设置隔离。
3、对因业务需要上网的电脑在防火墙上设置策略,建立访问白名单,对访问源地址、目的地址、访问端口、访问时间、访问协议进行限定。
3.2.1.2 内网安全:利用核心交换机划分VLAN,将厂区、办公区、财务、管理部门、服务器区、宿舍区分离,设置访问规则保护重点区域(财务、管理部门、服务器区)。
信息安全管理程序
4.6.2系统上线前,在用户账号管理、密码管理、访问权限管理控制、数据库加密、备份恢复等方面必须进行安全加固。
4.6.3信息管理员应制定数据备份计划,以保证数据备份恢复的有效性。采用双(和三)重备份:方式有:(1)本地电脑+服务器;(2)本地电脑+移动硬盘;(3)本地电脑+服务器+移动硬盘。
3职责
3.1信息管理员:
3.1.1负责信息安全相关政策的规划、制订、推行和监督,确保信息安全管理目标的实现;
3.1.2统一组织信息安全管理水平评估的实施,识别信息安全管理过程中存在的问题并提出改进措施,负责相关措施执行与监督实施的有效性;
3.1.3定期组织进行漏洞扫描,并根据漏洞扫描的结果提出、并落实改进措施;
5相关文件
5.1《人力资源管理程序》
6记录
序号
记录代码
记录名称
相关部门
保存期
1
信息安全风险评估表
三年
2
信息安全事件报告
三年
4.3.1.5除XMHL的无线WiFi热点外,严禁非公司配置的电脑、笔记本等相关信息终端设备接入公司内部网络使用。
4.4服务器安全管理
4.4.1服务器日常操作维护由操作系统管理员负责,服务器须放置在机房或具备服务器运行相关条件的空间内,需确保防水、防雷、防静电、防火等环境要求。
4.4.2服务器的开关机操作由操作系统管理员负责,除安装调试或者例行维护
4.2.3信息管理员应定期(至少1次/每年)开展信息安全培训,并纳入年度培训计划,具体开展依《人力资源管理程序》执行。
4.2.4各部门根据需求实施开展信息安全教育。
4.2.5信息管理员对使用人员进行计算机的基础知识、基本操作技能培训;对ERP系统操作员进行系统培训、考核,保证系统运作安全;培训成绩报办公室存档备案。
计算机信息安全管制程序OK-034
1目的:为公司信息资料的完整性,安全性得到有效管控,特制定本办法2范围:信息指所有在公司范围内使用的一切资讯产品内含的有效的信息文件,资料,或系统3职责:MIS工程师:负责信息安全管理方案的实施4参考文件:资讯管理处罚条例5程序:5.1.1 公司各部门的电脑管理,遵循谁使用,谁负责的原则进行管理。
5.1.2 MIS工程师应经常检查公司各部门的电脑使用情况,负责电脑的安全使用、密码管理、电子邮件管理、防病毒管理、上网管理等,发现问题及时纠正并解决。
公司的防火墙系统由公司MIS工程师根据公司的实际情况并制定相应的安全策略。
5.1.3 公司重要的信息如船务资料、运输资料、客户信息、产品信息、自动化系统程序等需要存入公共盘,针对不同用户分别设立存取、阅读、修改权限,并备份。
以防资料及系统破坏。
5.1.4 所有电脑用户必须经过书面申请,各级主管根据申请者的工作需要,批准申请者是否可以成为电脑用户、核准申请者接触各类数据之权限、经公司管理部最高主管核准后交MIS工程师办理。
MIS工程师按各单位用户填写并经过相关主管核准的申请单,分级设置对数据存取进行控制的密码,并按申请单的要求,同时设置邮件,上网或其他系统的相关权限。
撤消用户和密码同样需要公司资讯部门主管的批准或相关离职通知书,方可撤消用户和密码。
遇人员离职、职务异动需要调整或取消用户相关用户及权限,各部门主管需适时审查,MIS工程师随机抽查确认用户设置及权限的合理性。
5.1.5密码设置应具有安全性、保密性,不能使用简单的代码和标记,密码应定期修改,间隔时间不得超过六个月,如发现或怀疑密码遗失或泄漏应立即修改。
三次无效密码输入,电脑自动锁定,用户需提出向MIS工程师提出申请,经核实用户身份后方可从系统解除。
5.1.6客户或非本公司的电脑,因工作需要,需要接入公司网络,接入前,必须经过公司MIS工程师检查,确认不对本公司有任何影响,方可接入本公司网络。
5.1.7服务器、路由器等重要设备的超级用户密码由公司负责人指定公司资讯部门主管设置和管理,并由公司资讯部门主管授权设定系统的密码权限给相关MIS工程师使用。
网络信息安全管理程序
网络信息安全管理程序网络信息安全管理程序一、引言网络信息安全是指保护网络和信息系统免受未经授权的访问、使用、披露、干扰、破坏和篡改的措施。
为了确保组织的网络信息安全,制定和执行一套完整的网络信息安全管理程序至关重要。
本文档旨在指导组织制定和实施网络信息安全管理程序,保障信息资产的安全性、完整性和可用性。
二、网络信息安全管理流程1、管理目标与原则a) 管理目标:明确网络信息安全的管理目标,确保信息资产的机密性、完整性和可用性,防止信息泄露、损坏和丢失。
b) 管理原则:制定管理原则,包括全员参与、分工协作、风险导向、持续改进等。
2、风险评估与控制a) 风险评估:建立风险评估流程,对关键信息系统进行定期评估,识别潜在风险和漏洞。
b) 风险控制:制定风险控制策略,采取相应措施降低风险,包括采用防火墙、加密技术等技术手段,以及建立权限管理、安全审计等管理措施。
3、安全策略与规范a) 安全策略:明确网络信息安全的策略方向,制定合理的安全策略,包括访问控制策略、密码策略、数据备份策略等。
b) 安全规范:编制网络信息安全规范,明确各项具体措施的实施要求,包括密码长度、账户锁定、访问权限等规范。
4、员工培训与意识提升a) 培训计划:制定员工网络信息安全培训计划,包括入职培训、定期培训和应急培训等。
b) 意识提升:加强网络信息安全意识的培养,通过宣传、内部通知和例会等方式提升员工的安全意识。
5、安全事件响应与处理a) 事件发现:建立安全事件监测机制,及时发现异常事件和安全漏洞。
b) 事件响应:建立安全事件响应流程,确保快速响应并采取适当措施阻止和修复安全事件。
c) 事件处理:制定安全事件处理流程,包括事后分析、修复措施、整改措施等。
6、审计与监控a) 内部审计:建立定期和不定期的内部审计机制,对网络信息安全控制措施的有效性进行评估。
b) 外部监控:与第三方进行合作,进行外部安全检查和监测,及时发现网络信息安全问题并解决。
0306信息安全管理体系程序文-信息系统开发建设管理程序
*******有限公司信息安全管理体系文件信息系统开发建设管理程序ISMS-0306-2017受控状态受控版本A/0编制:审核:批准:2017-1-10发布 2017-1-10实施修订履历版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期A/0初次发布信息系统开发建设管理程序1 目的为了对公司信息系统建设的策划、开发、实施、检查等进行有效的控制,特制定本程序。
2 范围本程序规定了公司信息系统建设的策划、开发、实施、检查等控制要求,适用于信息系统开发建设的控制。
3 职责3.1 技术总监负责批准各种信息系统的建设项目和建设方案。
3.2 开发部负责全公司范围内产品软件的开发、测试和综合信息系统的维护管理。
3.3 各职能部门负责在业务范围内提出信息系统开发建设需求计划,进行可行性研究、项目实施、测试验收和项目质量的监控等工作。
4 程序4.1 安全的开发策略安全开发是建立安全服务、架构、软件和系统的要求。
安全开发需遵循如下策略:a)开发环境的安全;b)软件开发生命周期中的安全:1)软件开发方法的安全;2)每种使用的编程语言的安全编码指南;c)设计阶段的安全要求;d)项目里程碑内的安全检查点;e)安全库;f)版本控制的安全;g)所需的应用安全知识;h)开发人员避免、发现和修复脆弱性的能力。
新开发和代码再利用宜使用安全编码技术,该标准可能不为人知或不符合当前的最佳实践。
宜考虑安全编码标准和有关规定使用。
开发人员针对标准的使用和测试进行培训,并审核代码以确保其应用。
当开发所用的标准可能未知或与当前的最佳实践不一致时,新开发和代码再利用时宜使用安全编码技术。
宜考虑安全编码标准,并在适当时强制使用。
宜培训开发人员使用安全编码标准,测试和代码审查宜验证其使用。
4.2 应用软件设计开发的控制4.2.1 设计开发任务提出各职能部门根据日常经营管理工作的需要,经过本部门经理批准后,交付开发部进行设计开发。
4.2.2 设计开发的策划开发部在接到任务通知后,首先要判断可行性,明确规定设计开发的各个阶段的评审与测试要求及设计开发人员的职责与权限,设计开发计划方案由要求部门和开发部负责人共同批准后予以实施;必要时,如果对计划进行更改也需要获得双方经理共同批准。
0305信息安全管理体系程序文-用户访问管理程序
********有限公司信息安全管理体系文件用户访问管理程序ISMS-0305-2017受控状态受控版本A/0编制:审核:批准:2017-1-10发布 2017-1-10实施修订履历版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期A/0初次发布用户访问管理程序1 目的为加强对信息系统授权访问的控制,防止对信息系统的未经授权的访问,特制定本程序。
2 范围适用于对公司网络、各应用系统的逻辑访问,物理访问按《安全区域管理程序》进行。
3 职责3.1 技术支持部负责管理公司网络、应用系统用户访问权限的分配、审批,以及信息应用系统用户的开通。
3.2行政财务部负责访问权限控制和管理, 以及向各部门通知人事变动情况。
4 程序4.1访问控制策略4.1.1 本公司内部可公开的信息不作特别限定,允许所有用户访问。
4.1.2 本公司内部部分公开信息,经访问授权技术支持部门认可,访问授权实施部门实施后用户方可访问。
4.1.3 用户不得访问或尝试访问未经授权的网络、系统、文件和服务。
4.1.4 各系统访问授权管理部门应编制《系统用户访问权限说明书》,明确规定访问规则,对几人共用的帐号应明确责任人。
4.1.5 用户不得以任何方式私自安装路由器、交换机、代理服务器、无线网络访问点(包括软件和硬件),不得私自撤除或更换网络设备。
4.1.6 只有技术支持部系统管理员才能开通特权账户。
4.1.7 评审访问策略,使其满足业务和访问的安全要求。
4.2 用户访问管理4.2.1 用户注册4.2.1.1 对于需要临时访问系统的用户,包括相关方服务人员均需要履行访问授权手续。
4.2.1.2 申请部门根据管理工作的需要,确定需要访问的系统和访问权限,经过本部门领导同意后,行政财务部提交《用户授权申请表》。
《用户授权申请表》应明确以下内容:a) 权限申请人员;b) 访问权限(授权范围);c) 申请理由;d) 有效期。
4.2.1.3 技术支持部审核,总经理批准后,实施授权。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
******有限公司
信息安全管理体系文件
个人计算机管理程序
ISMS-0304-2017
受控状态受控
版本A/0
编制:审核:批准:
2017-1-10发布 2017-1-10实施
修订履历
版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期A/0初次发布
个人计算机管理程序
1 目的
为对公司个人计算机设备的管理进行有效的控制,特制定本程序。
2 范围
适用于对个人计算机终端设备的配置、管理和维护。
3 职责
3.1 技术支持部
负责各种计算机设备的管理、维护的管理。
3.2 各相关部门
配合技术支持部维护人员对个人计算机设备日常的维护。
4 程序
4.1 计算机设备资产管理
4.1.1技术支持部负责计算机设备的归口管理,计算机设备的硬件配置应考虑公司的业务需求、计算机技术发展和经济成本。
4.1.2 应根据部门/岗位/员工的业务需求配备计算机设备,配备和更换计算机设备应由员工所在部门提出书面申请,技术支持部核实,经管领导批准方可办理。
4.1.3 技术支持部应对购置的计算机终端设备进行验收,并为计算机设备进行编号,加贴资产标识,有关计算机设备所带技术说明书、软件由技术支持部保存。
4.1.4 计算机设备使用人应妥善保管计算机及附属设备,公用计算机设备由使用部门领导指定专人负责使用管理。
4.1.5 技术支持部应识别公司的个人计算机设备,并进行编号,建立《个人计算机配备
一览表》,加贴资产标识。
为个人计算机包括台式机计算机和笔记本电脑,确定责任部门和责任人,并进行风险评估和风险管理。
4.1.6 计算机使用人员离开本岗位时,应将计算机交还给相关部门。
如果属于部门间的调动,由相关部门决定原计算机是否跟随使用人员调配至新岗位,并做好变更手续。
4.1.7 当计算机的性能状态不能满足业务需求时应予以报废处理。
含有涉密信息的计算机调配使用或报废前,计算机使用部门应与技术支持部共同按《数据安全管理程序》将计算机内的涉密信息清除。
4.1.8 计算机设备应同时按《信息处理设施管理程序》进行管理。
4.2 计算机设备维护
4.2.1 计算机使用人员负责计算机设备的日常维护和保养,负责计算机设备的清洁卫生和防火防盗,长时间离开计算机应关闭计算机电源。
4.2.2 涉密计算机设备的安装、调试、检修,以及设备故障和异常,应由技术支持部负责维护与维修;使用人员和未经批准人员不得随意拆卸和检修。
4.2.3 涉密计算机设备送外部检修前,应彻底清除设备中的涉密信息或拆除所有涉密存储介质,并填写《敏感信息清除记录》,派专人陪同、监督。
4.2.4 涉密计算机设备停用或报废前由使用部门对包含储存媒体的设备的所有项目进行检查,并填写《敏感信息清除记录》交由技术支持部确认并存档,确保在处置之前所有敏感数据和许可软件都被清除或者覆盖掉。
4.2.5 技术支持部应视情况准备备用计算机或备件,如无备品备件的,维护人员应告知用户维修处理的大概时间,必要时告知相关部门领导和公司行政人事部领导,提出处理意见。
4.3 计算机终端安全使用控制
4.3.1 计算机设备的软件由技术支持部统一安装,技术支持部应建立《计算机软件配置一览表》,明确计算机软件和配置的要求。
4.3.2 计算机设备使用人员不得私自改变计算机的安全配置,不得私自安装与工作无关的软件,不得私自以任何方式接入互联网,不得从事危害网络秩序、网络安全的活动。
4.3.3 计算机使用人员应养成保持系统桌面干净整洁、文件分类有序、定时清理垃圾文件和程序的良好习惯。
4.3.4 计算机设备桌面安全策略:
a) 含有涉密信息或重要信息的文件、记录、磁盘、光盘或以其它形式存贮的媒体在人员离开时,应安全存放,如:锁在文件柜、保险柜等;
b) 所有计算机终端必须设立登录口令,在人员离开时应处于不登录状态,并锁屏、注销或关机;
c)所有计算机桌面不得存放文档类文件,进行清屏管理。
d) 计算机终端应设置屏幕保护,屏保时间应不大于5分钟。
e) 打印或复印公司秘密、机密信息时,打印或复印设备现场应有可靠人员,打印或复印完毕即从设备拿走。
4.3.5计算机应用人员应使用合法的用户名称、密码或口令,密码或口令不得泄露与此业务或未授权的他人。
4.3.6 技术支持部应至少每半年一次对计算机软件和桌面计算机信息安全进行抽查,检查应填写《计算机检查记录单》,检查中发现的问题由技术支持部领导提出处理意见。
4.4 笔记本电脑的附加管理
4.4.1 笔记本电脑应由被授权的使用人保管;对于需多人共用的笔记本电脑,应由部门负责人指定专人保管。
笔记本所带附件应由使用者本人或部门负责人指定专人保管。
4.4.2 笔记本电脑使用者应检查笔记本操作系统补丁的安装情况、防病毒软件的病毒库的升级情况。
在移动办公过程中感染病毒者,应及时上报技术支持部人员协助查杀,不得带入危害公司网络安全的计算机病毒。
4.4.3 远程办公软件使用者应妥善保管好自己的用户名、口令。
4.4.4 笔记本电脑一般不用于保存和处理涉密信息。
5 引用文件
5.1《数据安全管理程序》
5.2《信息处理设施管理程序》
5.3《相关方信息安全管理程序》
6 记录
JL0304-01《计算机检查记录单》
JL0304-02《个人计算机配备一览表》
JL0304-03《计算机软件配置一览表》
JL0304-04《笔记本电脑授权使用申请表》。