信息管理与信息安全管理程序DOC
信息安全管理办法
信息安全管理办法信息安全管理办法第一章总则第一条目的和基本原则为了规范本单位信息安全管理活动,确保信息系统安全、可靠、稳定地运行,维护个人信息和重要信息的安全,特制定本办法。
本办法所涉及的信息包括但不限于本单位管理的各类电子数据和所有其他信息载体中的信息内容。
本办法的基本原则是:安全优先、防范为主、合法合规、持续改进。
第二条合用范围合用于本单位及其下属机构内所有信息系统和网络设备的管理和使用,包括硬件、软件、网络等所有方面。
第三条责任制1. 信息安全管理是公司全员责任,公司信息技术部门主管负责本办法实施的具体工作,各部门负责人应配合信息技术部门做好本部门信息安全管理相关工作。
2. 全员参预、分工负责。
具体员工应当按照工作岗位职责,认真履行信息安全管理职责,确保在其工作范围内实现信息安全目标。
第二章信息安全管理制度第四条信息安全政策1. 公司应定期审查并完善本单位的信息安全政策,整合国家相关法规、标准和规范等要求,制定符合公司情况的具体信息安全管理政策。
2. 具体信息安全政策包括:信息安全目标、信息安全组织机构、信息安全机构、信息安全活动、信息安全投入费用等各方面内容。
第五条信息系统安全等级保护制度1. 为了保证本单位信息资产安全,公司应实行信息系统安全等级保护制度。
制定信息系统安全等级保护制度的过程,应当遵循国家相关法规、标准和规范要求,同时结合本单位实际情况,综合考虑信息系统对重要信息资源的价值、影响和安全风险等因素加以评估,划定各信息系统的等级。
2. 制定信息系统安全等级保护制度后需经公司领导审批,实施与维护由信息技术部门执行。
第六条信息资源分类及保护制度1. 公司应制定信息资源分类及保护制度,将本单位管理的所有信息以保密程度、敏感程度、业务重要性等多个维度进行分类,制定相应的保护措施,确保关键信息、核心业务等在存储、传输、使用等方面的安全合规。
2. 信息资源分类及保护制度具体指导、程序及工具应予以明确并加以具体实施,保障其合理有效。
信息安全管理办法
信息安全管理办法第一条为加强公司信息安全管理工作,完善信息安全体系,保护信息资产,特制定本办法。
第二条信息安全管理包含数据安全管理、程序安全管理、密码权限管理、设备管理、网络安全管理及代码监督。
第三条数据安全管理的要求及规定1、所有系统的数据由数据安全员设置数据库系统统一存储,各部门不得在本地存储或公司设计的系统之外存储。
2、数据库由数据安全员分级设置权限密码,原则上不允许一个人掌握所有权限密码(密码权限员、董事长除外)。
3、数据库系统实行分库存储机制,原则上一个数据库表不得存储所有的信息。
4、数据库分为生产库、测试库及开发库,开发库由该库所属项目经理根据项目开发规范进行管理,测试库只能由程序测试员进行操作和管理,生产库只能由数据安全员操作和管理。
5、开发人员原则上根据项目模块分配表的操作权限实行分权限开发模式。
例如:用户模块开发人员,只能拥有用户相关表的操作权限。
6、数据库系统必须建立备份机制。
定期备份:每天进行一次完整备份;临时备份:在特殊情况(如软件升级、设备更换、感染病毒等)下,临时对数据进行备份;按需备份:应用系统需要调整部分数据时,仅备份应用系统需要的部分数据。
7、公司提供的信息终端设备在外借或报废时,由设备管理员对系统和数据做相应处理,防止泄密。
存储设备报废前需进行重要数据的备份,备份后对报废设备中存储的信息进行彻底清除处理。
8、开发及过程文档使用git服务器统一存储及管理,新文档必须及时上传到服务器。
9、禁止将数据库结构、代码及相关文档私自拷贝或通过网络对外传输。
第四条代码安全管理的要求及规定1、禁止使用已公布的、有漏洞的第三方程序依赖包。
2、禁止在程序中植入木马病毒。
3、每月要进行一次依赖包漏洞检测,在特殊情况(如感染病毒)下,必须立即对依赖包进行漏洞检测。
已公布的高危漏洞,必须在依赖包提供更新版本后3天内升级到新版本。
4、代码使用git服务器统一存储及管理,开发人员要每日提交代码。
信息安全事件管理程序
信息安全事件管理程序一、背景随着互联网快速发展和信息化建设的普及,信息安全问题日益突显。
信息安全事件的发生与日俱增,极大地影响了社会的稳定和人们的生产生活。
信息安全事件的损失不仅涉及到企业、机构的经济利益,还可能涉及到国家安全,因此越来越多的机构和企业都开始认识到信息安全的重要性,并提出了一系列的安全威胁防范措施和解决方案。
信息安全事件管理程序是指企业或机构在出现信息安全事件时的应急处置流程,以及这个流程的实施方案。
具有明确的应急处置流程和操作标准,能够快速、科学地处理各类安全事件,保障企业或机构的安全运营。
二、信息安全事件管理程序的组成部分1. 预防措施预防措施是指在整个信息安全管理流程中进行信息安全保障的方案,旨在预先识别企业或机构可能存在的各种安全风险,以及对应策略的制定和实施。
常见的预防措施包括:•安全培训:对员工和相关人员进行关于信息安全的知识普及、风险可识别和应对等方面的培训。
•安全审计:定期对企业或机构的各种IT系统、网络设备和其他关键信息系统进行安全审计,以发现漏洞并加以修复,防止黑客攻击。
•安全检测:对企业或机构各种IT系统和网络设备进行安全检测,定期更新各种安全防护设施、软件更新,提高系统的安全性。
•数据备份:定期对企业或机构各种重要数据进行备份和存档,防止数据丢失造成的损失。
•访问控制:对系统操作人员的访问权限进行严格管理,防止管理员恶意行为或人为疏忽引发的安全问题。
2. 事件响应机制当一种或多种安全事态发生时,就需要根据安全事件的分类和级别来制定响应机制。
响应机制一般需要包括的内容有:•事件记录:对事件进行详细记录,包括事件发生时间、发生地点、事件类型、事件级别、影响范围、处理结果等等。
•紧急响应:根据事件的紧急程度,尽快启动紧急响应预案,进行事件处置和解决。
•保全措施:对于已经发生的安全事件,需要尽可能保留证据,以保证后续调查工作的正常开展。
•风险评估:对已经发生的事件进行风险评估和分析,以便更好地掌握事件的性质和后果,为后续处理工作提供数据支持。
信息安全控制程序文件
信息安全控制程序文件---摘要本文档旨在制定一套完善的信息安全控制程序,以确保组织内部信息的机密性、完整性和可用性。
通过明确的政策、流程和控制措施,帮助组织有效保护敏感信息,降低信息泄露和丢失的风险。
目录- [引言](#引言)- [信息安全政策](#信息安全政策)- [信息分类与标记](#信息分类与标记)- [访问控制](#访问控制)- [网络安全](#网络安全)- [物理安全](#物理安全)- [应急响应](#应急响应)- [培训与意识](#培训与意识)- [评估与持续改进](#评估与持续改进)- [结论](#结论)引言信息安全控制程序的目标是确保组织内部的信息安全,防止未经授权的访问、修改、泄露和破坏。
本程序文件对信息安全建立了一套标准化的流程和控制措施,旨在帮助组织有效应对信息安全风险。
信息安全政策1. 确立和发布组织的信息安全政策,规定概括的信息安全目标和原则。
2. 安排专门的信息安全管理团队负责制定、执行和监督信息安全政策。
3. 定期审查和更新信息安全政策,确保其与组织的变化保持一致。
信息分类与标记1. 根据信息的敏感程度和重要性,对信息进行分类,并按照不同等级进行标记。
2. 制定明确的信息分类和标记的准则,指导员工正确识别和处理不同级别的信息。
访问控制1. 建立适当的身份验证和授权机制,确保只有经过授权的人员可以访问敏感信息。
2. 实施最小权限原则,将每个员工的访问权限限制在必要的范围内。
3. 定期审查和更新用户账户,及时删除不再需要的账户和权限。
网络安全1. 建立防火墙、入侵防御系统和入侵检测系统,保护组织内部网络免受网络攻击。
2. 加密网络通信,防止敏感信息在传输过程中被窃听和篡改。
3. 定期进行漏洞扫描和安全评估,及时修补系统和应用程序的安全漏洞。
物理安全1. 控制进入组织内部的人员和访客,确保物理资产的安全。
2. 采用视频监控、入侵报警系统等设备,监测和记录物理环境的安全状态。
信息安全管理规范
信息安全管理规范一、引言信息安全是现代社会高度关注的重要问题,各类组织和企业都面临着信息泄露、数据丢失、黑客攻击等安全风险。
为了确保信息系统的安全性和可靠性,本文档旨在制定一套信息安全管理规范,以指导组织内部的信息安全管理工作。
二、范围本规范适合于本组织内的所有信息系统和相关信息资源,包括但不限于计算机网络、服务器、数据库、应用程序、存储设备等。
三、信息安全政策1. 组织应制定明确的信息安全政策,并将其在组织内部广泛宣传,以确保所有员工都了解和遵守该政策。
2. 信息安全政策应包括对信息安全目标、责任分工、风险管理、合规要求等方面的规定。
四、信息资产管理1. 组织应对所有信息资产进行分类、归档和标记,确保其价值、敏感性和保密性的合理评估。
2. 组织应制定信息资产管理流程,包括信息资产的获取、使用、存储、传输和处置等环节的规定。
五、访问控制1. 组织应制定访问控制策略,确保惟独授权的用户可以访问相应的信息资源。
2. 组织应采取适当的措施,如密码策略、身份认证、访问权限管理等,确保访问控制的有效性。
六、网络安全1. 组织应建立防火墙、入侵检测系统、网络流量监控等安全设施,确保网络的安全性和稳定性。
2. 组织应定期对网络进行安全扫描和漏洞评估,及时修补安全漏洞,防止黑客攻击和恶意软件的侵入。
七、安全事件管理1. 组织应建立安全事件管理流程,包括安全事件的报告、调查、处理和应急响应等环节。
2. 组织应定期进行安全事件演练,提高员工对安全事件的应对能力和反应速度。
八、物理安全1. 组织应对信息系统所在的物理环境进行安全评估,并采取相应的物理安全措施,如门禁系统、监控摄像头等。
2. 组织应定期检查和维护信息系统的物理安全设施,确保其正常运行和有效性。
九、备份与恢复1. 组织应制定备份和恢复策略,确保重要数据的备份和恢复工作得以顺利进行。
2. 组织应定期测试备份数据的完整性和可恢复性,以确保备份方案的有效性。
十、培训与意识提升1. 组织应定期组织信息安全培训,提高员工对信息安全的意识和知识。
信息安全事件管理程序
文件制修订记录1.0目的和范围为加强和改进信息安全事件管理;在发生信息安全事件时能及时报告,快速响应,将损失控制在最小范围;在发生信息安全事件后,能够分析事故原因及产生影响、反馈处理结果、吸取事故教训;在发现信息安全异常现象时,能及时沟通,采取有效措施,防止安全事故的发生;特制订本管理程序。
适用于影响信息安全的所有事故以及安全异常现象以及全体人员(包括外协人员、实习生、长期客户员工、来访客户等)。
2.0引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
1)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求2)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则3)《业务连续性管理制度》3.0职责和权限1)信息安全管理领导小组:负责对内部信息安全事件的处理和奖惩意见进行审批;负责对纠正预防措施进行审批。
2)信息安全工作小组:负责组织制定内部信息安全事件处理制度;听取信息安全事件的汇报,负责对信息安全事件进行调查取证,提出处理措施,提出奖惩意见以及纠正预防措施,负责信息安全有关的所有文件的管理与控制;负责组织制定项目信息安全事件处理制度;听取信息安全事件的汇报,负责对信息安全事件进行调查取证,提出处理措施,提出奖惩意见以及纠正预防措施,负责信息安全有关的所有文件的管理与控制。
3)各部门:积极预防信息安全事件的发生;及时准确的汇报信息安全事件,配合信息安全事件的调查取证工作;配合执行处理措施,奖惩决定以及纠正预防措施。
4)异常现象和事件发现人:异常现象和事件发现人有义务及时准确地报告异常现象和事件的真实情况,并采取适当的临时措施制止事故的进一步扩大。
各部门信息安全管理职责和流程及岗位职责
******************各部门信息安全管理职责和流程及岗位职责为实现平台信息化目标,规范平台信息化建设,建立和完善平台信息化管理体系,明确管理职责,保障平台公司信息系统安全、高效、稳定运行,为公司提供准确、有效的财务、生产、技术及其它相关信息,为公司高层科学决策提供依据,从而进一步增强企业的核心竞争力,特设立集团信息部,统筹管理信息化建设,向技术总监负责。
一、组织架构二、公司信息部部门及岗位职责1。
信息部部门职责(1)负责集团信息化建设的总体规划及网络体系结构的设计,负责集团信息化系统选型工作,并负责编制集团信息化总体规划与选型报告,并报集团领导审批。
(2)负责集团信息化系统的推进与执行,负责集团信息化项目实施工作的日常管理,并协调解决项目实施过程中碰到的问题。
(3)负责组织调研集团各部门信息化需求并汇总,负责组织集团财务、生产、技术、办公自动化系统软件的开发,使公司信息化系统形成一个无缝连接的整体。
负责公司各种汇总报表、查询软件、分析软件的二次开发,为领导决策和各业务经营环节提供及时、准确的决策信息。
(4)负责集团所有信息化项目的持续改进与日常维护,负责公司计算机网络及信息管理系统的安全管理、技术支持和维护工作,在保证公司的计算机网络安全运行的前提下,树立服务意识,为公司领导、各业务职能部门提供最优质服务. (5)负责公司人员计算机应用方面的培训,提高公司计算机应用的整体水平和办公效率。
(6)负责公司计算机及相关设备的采购及维修计划编制。
2。
岗位职责1.信息部部长(1)在集团常务副总裁的领导下,负责主持信息部的全面日常工作,负责制定本部门的管理制度及组织建设,并监督本部人员全面完成部门职责范围内的各项工作任务;负责本部门员工的工作检查、考核及评价。
(2)贯彻落实本部岗位责任制和工作标准,密切各部门工作关系,加强与集团各部门的协作配合,做好衔接协调工作;(3)负责集团信息化系统总体构架,构建集团信息化实施组织,结合业务流程、项目管理,实施公司集成信息化系统。
信息管理程序
信息管理程序1.目的为了使公司质量、职业健康安全和环境管理过程中的内、外部信息能够及时得到交流,确保质量、职业健康安全和环境管理体系的有效运行。
2.范围适用于公司内部履行质量、职业健康安全和环境管理体系职能,开展活动以及与顾客和外部各方的信息沟通。
3.职责3.1公司经理负责在组织内建立适当的沟通过程,并确保对质量、职业健康安全和环境管理体系的信息进行沟通。
3.2管理者代表负责组织内部沟通工作,协调内部沟通中出现的问题,向公司经理报告重大问题的沟通情况。
3.3公司企管办负责技术、质量科主责的质量、安技科主责的职业健康安全和工程部主责的环境管理体系信息的收集、汇总和传递。
3.4公司各科室负责与体系相关职责信息的收集、汇总、传递和处置及改进措施的落实。
包括了解传递顾客信息以及外部质量、职业健康安全和环境有关信息。
3.5公司工会主席是职业健康安全和环境的员工代表,公司工会负责收集、处理反馈员工及其代表所关心的职业健康安全和环境信息。
4.工作程序4.1过程表述4.2原则要求公司各级必须保持沟通,及时传递获取信息,保证有关文字、数据信息准确,真实可靠,不隐瞒,不遗漏,传递信息时要留下痕迹,填写《信息联络处理单》4.3信息识别信息分内部信息和外部信息两类。
4.3.1外部信息包括a.法律、法规及其他要求:新出台的有关质量、职业健康安全和环境的法律、法规、标准、规范信息;国家、行业、地方行政、执法部门、认证机构及其它社会中介组织检查、监测反馈结果的信息。
b.相关方信息:如顾客、供方、设计、监理、计量单位、协会、安全、环保监督部门、媒体、周边居民等反馈的信息及投诉,合同变更、重大设计变更、建设单位对项目工程的满意程度。
c.市场信息:有关建筑市场动向、工程承揽等信息。
d.其他信息:有关的管理经验、新技术、新材料、新工艺、新设备等。
4.3.2内部信息包括:a.体系信息:如体系文件或体系结构的修改或调整、目标的完成情况、内审及管理评审报告的传递、纠正和预防措施的验证。
信息安全管理制度范文(四篇)
信息安全管理制度范文一、目的为了保护公司的信息资产,防止信息泄露、损毁、篡改等安全风险,建立一个有效的信息安全管理制度。
二、适用范围该制度适用于公司内所有的信息系统、网络和数据。
三、信息安全管理责任1. 建立信息安全管理组织,明确组织结构和职责。
2. 指定专门的信息安全管理负责人,负责制定、执行和监督信息安全管理制度。
3. 全员参与,每个员工都有责任维护信息安全。
四、信息资产分类和保护1. 对所有的信息资产进行分类,根据其重要性设定相应的安全级别和保护措施。
2. 确保所有信息资产都有相应的备份和恢复机制。
3. 禁止未经授权的人员接触和使用信息资产。
五、网络安全1. 采取有效的措施保护公司的内部网络和对外连接的网络安全。
2. 确保所有网络设备都有安全配置,并严格限制外部访问。
3. 建立网络监控系统,定期检测和排查网络安全隐患。
六、访问控制1. 各系统和应用程序必须设立访问控制机制,确保只有授权的用户才能访问。
2. 管理员必须定期审查用户权限,并及时取消不需要的权限。
3. 确保所有用户都有唯一的身份认证信息,严禁共享密码。
七、安全审计和监督1. 建立安全审计机制,对信息系统的安全状况进行定期审计。
2. 对安全事件进行及时记录、报告和处理。
3. 建立安全事故处理机制,及时应对和处置安全事故。
八、员工管理1. 为员工提供必要的信息安全培训,增强信息安全意识。
2. 严禁员工擅自泄露、篡改、销毁信息资产。
3. 对员工进行信息安全行为评估,及时发现和纠正不当行为。
九、安全检测和评估1. 定期进行系统和网络的安全检测和评估。
2. 及时修复系统和网络的安全漏洞。
十、制度的修订和推广1. 对该制度定期进行修订和更新,并及时告知相关人员。
2. 推广制度,确保所有员工都遵守制度。
本信息安全管理制度将于XX年XX月XX日起执行,各部门必须按照制度要求落实相关安全措施,确保公司的信息安全。
违反该制度的行为将会受到相应的处罚,必要时将移交给相关部门处理。
信息技术管理流程与程序制度
信息技术管理流程与程序制度信息技术在现代社会的发展中扮演着重要的角色,它对企业的管理和运营起到了关键的推动作用。
为了保证信息技术的有效运作和管理,建立一套科学、规范的信息技术管理流程与程序制度是必不可少的。
本文将从以下几个方面来探讨信息技术管理流程与程序制度的重要性以及建立的具体方法。
一、信息技术管理流程的意义信息技术管理流程是指针对信息技术系统的各个环节,从投资审批、需求分析、系统设计、实施开发,到系统运行、维护和升级等一系列环节,建立起来的一套科学、规范的管理手段和程序。
具有以下几个方面的意义:1. 优化资源配置。
通过建立管理流程,可以明确各个环节的职责和工作内容,使得资源得到合理的分配和利用,从而提高整体资源的利用效率。
2. 提高工作效率。
通过规范流程,可以避免重复、低效的工作,减少冗余,提高工作效率。
3. 保证信息安全。
信息技术管理流程可以确保系统的安全性和稳定性,防止信息泄露和非法入侵,保护企业的核心数据和信息资产。
4. 促进业务创新。
通过规范的管理流程,可以有效推进信息技术与业务的融合,为企业创新提供支持和保障。
二、信息技术管理流程的建立方法建立科学、规范的信息技术管理流程需要从以下几个方面进行考虑:1. 明确管理目标。
根据企业的战略和运营目标,确定信息技术管理的总体目标和具体目标,为后续的管理流程制定提供指导。
2. 制定流程步骤。
根据管理目标,明确每个流程环节的具体步骤和要求,确保整个管理流程的连贯性和顺畅性。
3. 设定相应的规章制度。
制定管理流程所需要的规章制度和标准,明确各个环节的要求和标准,为管理人员提供明确的操作指南。
4. 建立监督机制。
建立相应的监督机制,通过内部审核和监督评估等手段,对管理流程的执行情况进行监督和评估,确保技术管理流程的有效实施。
5. 培训和宣贯。
对管理人员进行培训,使其熟悉和掌握管理流程和操作要求,并通过宣贯活动,使全体员工了解和支持管理流程的建立和实施。
信息网络安全建设管理制度程序
信息网络安全建设管理制度程序一、信息网络安全建设管理制度的制定过程1.问题意识的形成:信息网络安全问题的形成、发展,严重威胁到国家利益和社会稳定,引起相关部门和机构的高度关注,形成制定制度的迫切需求。
2.研究与调研:委托相关专家和机构开展信息网络安全建设的研究与调研工作,通过国际比较和国内实际情况分析,了解相关国家和行业的信息网络安全建设管理制度,汇总相关数据和信息。
3.制定工作组成立:依据研究与调研结果,设立信息网络安全建设管理制度制定工作组,由多个相关部门和机构的代表组成,负责制定制度的具体内容。
4.内外部合作与意见征集:工作组在制定制度过程中,积极与相关部门、机构以及相关行业的专家进行合作与交流,征集各方对制度的意见和建议。
5.初稿的编制与修改:工作组在充分收集、整理各方意见和建议的基础上,初步编制制度的草案,并通过内部反复讨论、修改,以确保制度的科学性和实用性。
6.试行与修订:制定完成后,将制度草案进行试行,对实施效果进行评估和监控。
在试行的过程中,及时收集反馈意见和建议,定期召开制度修订会议,对制度进行修订和完善。
二、信息网络安全建设管理制度的主要内容1.管理机构的设置:确定主管部门和管理机构的职责,明确各级管理机构的组成、职责和权限。
2.安全责任制度:明确信息网络安全相关的各方责任,包括政府部门、企事业单位和个人的安全责任。
3.安全管理制度:明确信息网络安全建设管理的各项制度,包括安全管理规定、安全审计制度、漏洞整改制度等。
4.安全技术规范:制定信息网络安全技术规范,包括密码规范、系统和网络安全配置规范等,以确保系统和网络的安全。
5.事件处理与应急预案:制定信息网络安全事件处理和应急预案,明确各类事件的处理程序,提供快速应对措施。
6.安全培训与教育:制定信息网络安全培训与教育制度,包括对从业人员的安全培训和定期安全教育活动。
7.安全监测与评估:建立信息网络安全监测与评估制度,对系统和网络的安全状况进行定期监测和评估,并及时修复漏洞和弱点。
公司信息安全管理体系记录控制程序
公司信息安全管理体系记录控制程序公司信息安全管理体系是指针对公司的信息系统设计与实施一种科学的管理体系,旨在保护公司的信息资产,防止信息系统遭受各种内外部威胁,确保公司业务的顺利运作。
为了实现公司信息安全管理体系的有效运作,并确保其长期持续的有效性与适用性,制定了公司信息安全管理体系记录控制程序。
一、程序目的本程序的目的是通过有效的记录控制,确保公司信息安全管理体系的规范化、有效运营,促进信息系统管理的持续改进,并满足相关标准及法律安全要求。
二、程序应用范围该程序适用于公司全体员工及所有涉及公司信息资产的相关方。
三、程序内容记录是信息安全管理活动的重要组成部分,可以有力地支持信息技术安全政策和控制的实施、评估和监控。
通过对记录进行控制,可以确保相关信息得到合理地利用、维护、处理和保护。
同时还可以帮助公司更好地合规经营,并有效地保护公司的信息资产,确保业务的稳定运行。
因此,公司信息安全管理体系记录控制程序具体内容如下:3.1 建立记录管理档案为保证信息资产的完整性,管理者应制定详细的档案管理规则,负责档案中的内容、保存期限、复原和保护机制。
记录管理应按照规章制度,对所有阶段的记录建立相应的目录和管理档案,确保其一致性和可控性。
3.2 操作规范所有的操作活动都应该遵守标准化操作规程,以确保操作的一致性,有效性以及运行的可追溯性。
各类活动中包括输入数据、进行计算、执行结果、生成输出、审核确认等。
各类操作活动记录的格式、内容、数量等也应该遵循标准化操作规程。
3.3 商业协议与合同记录公司与客户及供应商的商业协议和合同也应以标准化的方式进行记录,以确保条款的执行,以及甲方和乙方都能够遵循相关要求进行操作和管理,保证业务运营的顺畅,同时也可确保客户、供应商的知识产权及商业机密得到了保护。
3.4 审计与自查记录为了更好地了解公司的信息安全状况,公司应定期进行各项审计与自查。
为确保审核效果,需要对全部审计与自查活动进行记录。
信息安全管理流程图
信息安全管理流程说明书(S-I)信息安全管理流程说明书1信息安全管理1.1目的本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动,保证信息安全管理目标的实现,满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。
1)在所有的服务活动中有效地管理信息安全;2)使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题,识别并跟踪组织内任何信息安全授权访问;3)满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求;4)执行操作级别协议和基础合同范围内的信息安全需求.1.2范围本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。
向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定,以及客户自身的相关安全管理规定。
公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。
2术语和定义2.1相关ISO20000的术语和定义1)资产(Asset):任何对组织有价值的事物。
2)可用性(Availability):需要时,授权实体可以访问和使用的特性。
3)保密性(Confidentiality):信息不可用或不被泄漏给未授权的个人、实体和流程的特性。
4)完整性(Integrity):保护资产的正确和完整的特性。
5)信息安全(Information security):保护信息的保密性、完整性、可用性及其他属性,如:真实性、可核查性、可靠性、防抵赖性。
6)信息安全管理体系(Information security management system ISMS):整体管理体系的一部分,基于业务风险方法以建立、实施、运行、监视、评审、保持和改进信息安全.7)注:管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资源.8)风险分析(Risk analysis):系统地使用信息以识别来源和估计风险。
企业信息安全管理制度
企业信息安全管理制度•相关推荐进行备案管理。
如有变更,应在变更计算机负责人一周内向IT管理员申请备案。
2、公司内所有的计算机应由各部门指定专人使用,每台计算机的使用人员均定为计算机的负责人,如果其他人要求上机(不包括IT管理员),应取得计算机负责人的同意,严禁让外来人员使用工作计算机,出现问题所带来的一切责任应由计算机负责人承担。
3、计算机设备未经IT管理员批准同意,任何人不得随意拆卸更换;如果计算机出现故障,计算机负责人应及时向IT管理员报告,IT 管理员查明故障原因,提出整改措施,如属个人原因,对计算机负责人做出处罚。
4、日常保养内容A、计算机表面保持清洁。
B、应经常对计算机硬盘进行整理,保持硬盘整洁性、完整性。
C、下班不用时,应关闭主机电源。
5、计算机IP地址和密码由IT管理员指定发给各部门,不能擅自更换。
计算机系统专用资料(软件盘、系统盘、驱动盘)应由专人进行保管,不得随意带出公司或个人存放。
6、禁止将公司配发的计算机非工作原因私自带走或转借给他人,造成丢失或损坏的要做相应赔偿,禁止计算机使用人员对硬盘格式化操作。
7、计算机的内部调用A、IT管理员根据需要负责计算机在公司内的调用,并按要求组织计算机的迁移或调换。
B、计算机在公司内调用,IT管理员应做好调用记录,《调用记录单》经副总经理签字认可后交IT管理员存档。
8、计算机报废A、计算机报废,由使用部门提出,IT管理员根据计算机的使用、升级情况,组织鉴定,同意报废处理的,报部门经理批准后按《固定资产管理规定》到财务部办理报废手续。
B、报废的计算机残件由IT管理员回收,组织人员一次性处理。
C、计算机报废的条件:(1)主要部件严重损坏,无升级和维修价值。
(2)修理或改装费用超过或接近同等效能价值的设备。
三、环境管理1、计算机的使用环境应做到防尘、防潮、防干扰及安全接地。
2、应尽量保持计算机周围环境的整洁,不要将影响使用或清洁的用品放在计算机周围。
信息安全管理制度范本(三篇)
信息安全管理制度范本下面是一个信息安全管理制度的范本:1. 信息安全政策1.1 信息安全政策的目标公司致力于确保所有机密信息的保密性、完整性和可用性,以保护公司的利益和客户的利益,遵守法律法规,并建立一个安全的信息环境。
1.2 信息安全政策的内容1.2.1 保密性公司将确保所有机密信息的保密性,并采取适当的措施,防止非授权人员访问和披露机密信息。
1.2.2 完整性公司将采取措施确保所有信息的完整性,包括防止未经授权的修改、删除或损坏信息。
1.2.3 可用性公司将确保信息系统和服务的可用性,并采取相应的措施来防止服务中断。
1.2.4 法律法规遵循公司将遵守适用的法律法规,包括但不限于个人隐私保护、信息安全等相关法律法规。
2. 责任和权限2.1 信息安全管理部门公司设立信息安全部门,负责制定和推广信息安全策略、规定和流程,并监督其执行。
2.2 管理人员责任各部门主管应负有保护和管理部门内部和外部的信息安全的责任,并确保员工遵守信息安全政策和相关规定。
2.3 员工责任所有员工应遵守信息安全政策和相关规定,确保信息安全,并汇报任何安全事件。
3. 信息资产管理3.1 信息资产分类公司将对所有信息资产进行分类,并为不同级别的信息资产制定相应的保护措施。
3.2 信息资产的保护公司将采取措施确保所有信息资产的保护,包括但不限于密码保护、访问控制和备份。
3.3 信息资产的清理和处置公司将对不再使用的信息资产进行清理和合适的处置,以防止信息泄露。
4. 安全意识培训公司将定期进行安全意识培训,包括但不限于员工的信息安全责任、信息安全政策和相关规定的理解。
5. 安全漏洞管理公司将建立安全漏洞管理制度,定期检查和修复系统和应用程序中的安全漏洞。
6. 安全事件响应公司将建立安全事件响应机制,并采取相应的措施处理和响应安全事件。
7. 安全审计和监督公司将定期进行安全审计,监督信息安全政策的执行情况,并对违反信息安全政策的行为进行处理。
信息安全管理制度
信息安全管理制度一、前言信息安全管理制度是组织内部的一种规章制度,其目的在于规范和管理组织内部的信息安全活动,确保组织的信息安全得到有效保障,保护组织及其所有利益相关者的信息安全。
为此,本制度将全面介绍我们组织信息安全管理制度的原则、要求、程序、管理责任等,以期能够为相关工作的开展提供准确、明确的指导和保障。
二、信息安全原则1. 信息安全意识普及原则组织内部将不断开展安全意识培训活动,并制定相应的信息安全规定,提高全体员工的安全意识和保密意识。
2. 信息安全最小原则在信息采集、传输、存储、处理等环节中,应遵循最小化原则,只收集必要的信息,保证信息的真实性、完整性和机密性。
3. 信息安全全面性原则信息安全管理应从全面、系统的角度考虑,采取多种手段进行信息安全保护,确保信息安全风险得到有效控制,包括技术手段和管理手段等。
4. 信息安全风险评估原则组织应该对信息系统、信息资源和信息安全进行全面评估和调查,确定信息安全威胁和风险,制定切实可行的措施和方案,实现信息安全的全面保护。
5. 信息安全追溯原则当组织发生信息安全事件时,应该采取逐级追溯的措施,进行事故的调查、分析、并进行责任追究,避免类似安全事件再次发生。
三、信息安全管理要求1. 信息安全管理的组织结构和职责本组织应该成立信息安全管理委员会,主要负责信息安全相关工作的组织协调和管理。
该委员会由高管层、信息管理人员、技术专家等组成,确定信息安全工作计划、审核和管理信息安全政策及规定等。
2. 信息安全保护的范围和措施组织应该采取措施保护以下方面的信息安全:(1)保护组织的信息系统与网络安全,防止未经授权的访问、篡改、延迟、中断或拒绝服务等攻击;(2)防止对关键信息系统、数据和设备等的破坏、破解、篡改、数据丢失等危害;(3)确保对重要信息和数据的保密性、完整性和可用性;(4)保护公司的品牌声誉和商业机密,并确保未授权的信息泄露。
3. 信息安全管理过程和控制措施组织应该采取一系列信息安全管理过程和控制措施,包括但不限于:(1)确保信息安全政策及规定得到有效实施,对相关人员进行培训并定期回顾更新;(2)建立安全的网络、系统和应用架构,进行访问控制、身份验证、安全管理等操作;(3)采取防御性的安全措施,如攻击检测、入侵预防、边界安全等,防范未知的威胁;(4)建立备份、复原和灾难恢复机制,以便在遭受攻击或突发事件时能够及时恢复正常业务运营;(5)进行定期的安全审计和风险评估,发现隐患并采取措施加以纠正;(6)开展安全漏洞通报和个人信息保护工作。
信息安全管理体系程序文件
信息安全管理体系程序文件一、引言信息安全是当前社会中不可忽视的重要议题之一。
随着信息技术的飞速发展,各种信息泄露和网络攻击事件层出不穷,使得信息安全管理成为组织中至关重要的事务。
为了确保组织内部信息的机密性、完整性和可用性,以及保护客户和合作伙伴的利益,我们制定了本信息安全管理体系程序文件。
二、目的与范围本文件的主要目的是为了确保组织内部的信息安全得到充分的重视和保护,为组织信息的安全管理提供指导和规范。
本文件适用于所有与组织相关的信息和信息系统。
三、信息安全管理体系的框架本信息安全管理体系遵循以下框架:1. 领导承诺:组织领导层要高度重视信息安全,确保资源的充分配置,制定明确的信息安全策略,并将其落实到行动中。
2. 风险评估与管理:对组织内部的信息安全威胁进行全面评估,并制定相应的风险管理策略,包括隐私保护、数据备份与恢复、网络安全、系统访问控制等。
3. 资源分配与保护:确保组织内部的信息资源能够得到适当的保护,包括物理访问控制、网络安全防护、系统漏洞修复等。
4. 员工培训与意识提升:通过定期培训与教育,提高员工的信息安全意识,教授相关的安全政策和操作规范。
5. 安全监控与响应:建立完善的安全监控体系,对异常活动进行及时响应,并积极采取应对措施,防止信息安全事故的发生和蔓延。
6. 定期审查与改进:定期对信息安全管理体系进行审查,发现问题并及时改进,确保一直保持有效性和适应性。
四、信息安全管理的具体流程1. 风险评估与管理流程:1.1 识别信息安全威胁:通过分析组织内部和外部环境,识别可能对信息安全造成威胁的因素。
1.2 评估风险等级:根据威胁的重要性和潜在影响,评估风险等级,确定优先处理的风险。
1.3 制定风险管理策略:根据评估结果,制定相应的风险管理策略和措施,并明确责任人和实施时间。
1.4 监控与评估:定期监控和评估风险管理策略的实施效果,及时调整和改进。
2. 资源分配与保护流程:2.1 确定信息资源:对组织内部的信息资源进行定义和分类,明确其重要性和敏感程度。
信息安全管理制度(全)
为了进一步加强公司信息安全管理,根据公司的要求和保密规定,结合公司实际情况,特制定本制度。
1、公司负责信息安全的职能部门为 XX.2、公司设置专人为信息管理员,负责信息系统和网络系统的运行维护管理。
3、负责公司计算机的系统安装、备份、维护。
4、负责催促各部及时对计算机中的数据进行备份。
5、负责计算机病毒入侵防范工作。
6、定期对网络信息系统安全检查。
7、违规对外联网的监控,信息安全的监督.8、负责组织计算机使用人进行内部网络使用规范的宣传教育和培训工作。
9、负责与上级管理部门联络工作,参加之级组织的各类培训,并及时上报相关报表.(一)密级制度从保密性角度,公司对于信息分成两大类:公开信息和保密信息。
1、公开信息:公司已对外公开辟布的信息,如公司宣传册、产品或者公司介绍视频等.2、保密信息:公司仅允许在一定范围内发布的信息,一旦泄露 , 将可能给公司或者相关方造成不良影响。
比如公司投资计划等。
3、保密信息密级划分根据信息价值、影响及发放范围的不同,公司将保密信息划分为绝密、机密、秘密、内部公开四个级别.绝密信息:关系公司前途和命运的公司最重要、最敏感的信息 , 对公司根本利益有着决定性影响的保密信息,如 :公司定单,研发资料,重大投资决议等。
机密信息:公司重要秘密,一旦泄露将使公司利益受到严重损害的保密信息,如:未发布的任命文件,公司财务分析报告等文件。
秘密信息:公司普通性信息,但一旦泄露会使公司利益受到损害的保密信息,如:人事档案,供应商选择评估标准等文件。
内部公开:仅在公司内部公开或者仅在公司某一个部门内公开,对外泄露可能会使公司利益造成伤害的保密信息的保密信息,如:年度培训计划,员工手册,各种规章制度等。
4、密级标识创建文档时,需要根据内容在页眉处添加正确的密级,页脚处注明“XX 机密,未经许可不得扩散”或者类似字样。
电子档及打印文档皆须包含上述字样。
(二)人员安全1、外来人员根据来访性质,可将来访人员分为两类, 1 ) 预约来访人员:计划内来访,指公司相关接待部门事先已明确来访人员的相关信息(单位、姓名及人数等)、来访时间及来访事由的情况。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
金陵石化公司一体化管理体系信息管理与信息安全管理程序文件编号JLSH-T20.32.00.027.2011 版本/修改A/0 第 1 页共16页1 目的明确公司信息化及信息资源管理要求,对内外部信息及信息系统进行有效管理,以确保各部门(单位)和岗位能及时、安全地识别、获取并有效运用、保存所需信息。
2 适用范围适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。
3 术语和定义3.1 信息有意义的数据、消息。
公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、内部控制、三基等和生产经营管理中所有信息。
3.2 企业信息化建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应,其本质是加强企业的“核心竞争力”。
3.3 信息披露指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。
3.4 ERP企业资源规划3.5 MES制造执行系统3.6 LIMS实验室信息管理系统3.7 IT信息技术4 职责4.1 信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策,定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。
4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况,协调处理有关问题,及时向总部支持中心上报月报、年报。
4.3 信息中心是公司信息化工作的归口管理部门,主要职责:a)负责制定并组织实施本程序及配套规章制度,对各部门(单位)信息化工作进行业务指导和督促;b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施;c)负责统一规划、组织、整合和管理公司信息资源系统,为各部门(单位)信息采集、整理、汇总和发布等环节提供技术支持;对Internet用户、电子邮箱进行设置管理;统一管理分公司互联网出口;d)负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算机设备检维修管理;e)负责ERP等支持中心日常管理工作;f)负责通信管理。
4.4 发展项目处负责将信息化项目列入公司投资建议计划,提交信息化工作领导小组讨论通过后,上报总部。
4.5 技术质量处负责对列入科技开发计划的信息管理项目按《科技开发控制程序》执行。
4.6 财务部门负责信息化、通信系统维护专项费核算、管理。
4.7 机动处负责对计算机、网络、机房等基础设施安排检维修计划并组织实施。
4.8 教培中心协助组织进行员工的信息化应用和现代信息技术基本知识的培训。
4.9 人力资源处负责信息系统关键岗位的设定和管理。
4.10 企业管理处负责组织对各部门(单位)的信息化工作进行专项考核;负责审定公司各项信息化管理规章制度。
4.11 物资装备中心负责信息技术项目设备、材料和计算机设备配件、耗材的物资供应。
4.12 总经理(外事)办公室负责公司信息门户和信息披露的管理,负责公司计算机及配件的维修管理。
4.13 宣传处负责公司宣传思想网的日常管理,负责对外宣传报道稿件的审核。
党委办公室负责公司党群工作信息系统的日常管理。
4.14 计量管理中心、质量检验中心、安全环保处负责涉及产品质量、环境质量和测量的相关技术程序[包括测试程序、方法、(产品和测量方法)标准等相关文件]、软件、记录和标识的所有信息管理。
4.15情报档案室负责公司内部归档档案信息管理、外部文献信息、生产技术、经营课题调研信息等信息资源的采集、管理。
4.16 各部门(单位)职责:a)负责提出信息资源需求,及时录入和维护有关数据,有效利用和管理信息资源;负责公司信息门户中本部门(单位)信息的发布及维护;b)负责本部门(单位)计算机及通讯设备、网络系统和信息系统的安全运行管理;c)提出本部门(单位)的信息技术项目立项和系统故障维修的申请报告,组织信息技术项目在本部门(单位)的实施、推广和应用,负责及时录入和维护有关数据,协调处理有关业务问题;d)负责建立和完善技术档案和基础技术资料。
5 工作程序5.1 工作机构5.1.1 公司成立由总经理为组长、分管副总经理为副组长、有关部门(单位)主要负责人为组员的信息化工作领导小组,其主要职责见4.1。
5.1.2 公司设立由信息中心及有关部门(单位)关键用户组成的ERP等系统支持中心,其主要职责见4.2。
5.2 信息化建设管理5.2.1 信息化计划5.2.1.1 在总部信息化建设规划指导下,信息中心编制公司信息建设专业发展计划,征求各部门(单位)意见并组织专家组进行评审,报信息化工作领导小组审核,经公司总经理批准后,报总部信息系统管理部备案,并纳入公司生产发展总体规划,在执行过程中滚动调整和完善。
5.2.1.2 各部门(单位)根据公司生产发展总体规划和生产经营管理的需要,每年6月份前向信息中心申报下一年度的信息化项目建议书,信息中心组织审核并汇总编制公司年度信息技术项目建议计划,报发展项目处纳入公司年度投资建议计划统筹平衡,经公司信息化工作领导小组讨论批准后,由发展项目处上报总部,由信息中心报信息系统管理部备案。
5.2.1.3 信息中心负责编制年度公司信息系统运行维护费用预算,经财务部门综合平衡后,报公司全面预算管理委员会审定后执行。
5.2.2 项目立项5.2.2.1 信息化项目的立项权限、限额划分及相关工作的管理,按《固定资产投资控制程序》和内部控制的有关规定执行。
5.2.2.2 信息化项目申请立项,必须符合公司发展总体规划中的目标和任务,依据公司信息技术项目年度建议计划,进行信息技术项目立项工作。
5.2.2.3 申请股份公司立项的信息技术项目按《金陵石化信息技术项目管理规定》执行。
5.2.2.4 申请公司立项的信息技术项目按《固定资产投资控制程序》和《科技开发控制程序》执行。
5.2.2.5 信息中心按照《固定资产投资控制程序》、《科技开发控制程序》的规定,组织信息技术项目的招投标。
5.2.2.6 凡属信息技术项目,须经信息中心审核,未经信息化工作领导小组批准,不予立项,不予拨付资金,项目不得实施。
5.2.3 项目实施5.2.3.1 项目责任单位按照《金陵石化信息技术项目管理规定》的要求,参与制定项目实施计划,提出项目实施计划要求和建设质量要求;配合系统开发,负责项目进度和质量管理,组织人员培训、试运行、单轨运行。
制定配套的系统运行管理制度、提出项目竣工验收申请并进行其它的相关工作。
5.2.3.2 信息中心组织项目实施例会、中间交接、系统测试、项目竣工验收等工作,并协助项目责任单位完成总部组织的项目的后评价、制定配套的系统运行管理制度。
5.2.3.3 物资装备中心负责组织进行信息技术项目建设的设备及材料供应,信息中心按《一般物资采购程序》执行。
5.3 系统运行维护5.3.1 信息系统的运行维护包括对计算机、网络、数据库、应用系统、机房及附属设备的运行维护。
5.3.2 系统应用责任部门(单位)要按照《金陵石化信息技术项目管理规定》、《金陵石化信息系统安全管理规定》和《金陵石化信息基础设施运行维护管理规定》的要求做好系统应用维护,同时加强对信息系统各类用户及第三方技术支持、服务人员的管理,做好风险防范管理,确保系统安全运行。
5.3.3 信息中心负责管理信息系统的基础设施如计算机、网络、数据库系统及机房的运行和维护管理。
为各部门(单位)信息应用系统的正常运行提供技术支持和服务。
5.3.4 各部门(单位)严格执行《金陵石化信息基础设施运行维护管理规定》,用好管好本部门(单位)的计算机网络系统和计算机设备,建立和更新本部门(单位)计算机设备台帐,并报信息中心备案。
5.3.5 信息中心依据《金陵石化信息基础设施运行维护管理规定》进行计算机设备检维修管理。
各部门(单位)的计算机设备发生故障,需经本部门(单位)处理审核后报信息中心,由信息中心组织进行检维修。
信息中心无法维修的,各部门(单位)须填报“计算机维修单”,由总经理(外事)办公室审核确认后,方能送外修理,将实际发生的检维修费用报财务进行结算。
5.3.6 标准代码管理执行《中国石油化工集团公司信息标准代码管理办法》。
对于总部统一组织实施的信息技术应用系统,当各部门(单位)需要增加标准代码时,向信息中心报“标准代码申请单”,信息中心审核后报总部,各部门(单位)将总部批准的标准代码维护到系统中。
5.3.7 计算机软件产品购置、测试、评估、开发应用、升级、保存管理执行《金陵石化信息系统应用管理规定》。
5.3.8 信息中心负责对因特网和其他对外出口的安全管理和监控,动态监控信息系统安全状况,及时组织处理突发的安全故障,保障信息系统正常运行。
5.3.9 对于总部统一组织实施的信息技术应用系统,凡不能自行解决的运行维护问题,由信息中心将各部门(单位)提交的信息系统问题上报总部主管部门,待回复后,将问题解决方案交问题提报部门(单位)执行。
5.3.10 各部门(单位)作为应用系统的业务管理者和使用者,负责业务流程、业务工作标准、数据维护、用户管理、数据使用安全的运行和管理工作。
5.3.11 信息中心负责每月8日前组织召开ERP系统运行月度例会,协调解决有关问题,编写ERP系统运行维护月度报告,上报股份公司信息系统管理部。
5.4 信息资源管理5.4.1 信息资源分类与管理公司信息按下属方式进行分类:a)按来源划分。
包括生产经营管理方面的内部信息和需从外部购入的信息;b)按载体划分。
包括电子载体信息和纸质载体信息。
其中电子载体信息主要包括由ERP、MES、LIMS、实时数据库等基础信息系统及专业信息系统采集(或形成)并存储的信息、使用计算机编制并存储的信息以及从外部获得各类有关的电子类信息等。
纸质载体信息包括各类纸质的文件记录、资料等。
5.4.2 外部信息需求的识别和获取5.4.2.1 专业管理信息由各部门(单位)按“谁主管,谁负责”的原则,通过网络、专业协会、总部、政府部门等途径对外部信息进行识别和获取。
5.4.2.2 各部门(单位)对需要单位间共享或购买的外部文献信息、生产技术、经营等课题调研信息,按公司《文献信息管理制度》、《信息调研管理制度》由情报档案室管理,其他所需外部信息按《中国石化信息资源管理办法》的要求形成相应的信息需求目录,并明确信息内容、信息提供频率和信息提供方式等,经本部门(单位)负责人签字确认后报情报档案室。
5.4.2.3 情报档案室组织汇总各部门(单位)需要其他单位提供的信息和需外购的信息,编制内部信息需求和外购信息需求目录。
各部门(单位)内部共享信息需求及外购信息需求内容经分管副总经理审核批准后实施。