第一篇:信息安全管理制度
網絡信息安全管理制度
一、信息安全管理責任制
1.總則
1.1通過加強本公司辦公設備、網站、公眾號、OA辦公系統等管理,保證網絡信息安全正常運行,保證公司機密文件的信息安全,保障服務器和數據庫的安全運行,加強本公司員工的網絡信息安全意識,把相關工作做好。
2.設備管理
2.1本公司電腦設備僅用于本公司辦公使用,不得用于工作無關的內容。
2.2為保護辦公電腦資料的安全,辦公電腦必須設置密碼,并且不能設置過于簡單的密碼,并應依據一定規則定期更新。
2.3電腦配置采購由上級部門統一進行,電腦軟硬件更換需上級管理人同意,未經許可任何個人不得隨意拆卸更換電腦設備,私自拆卸、更換電腦設備,否則按公司相關規定賠償并處理。
3.數據安全管理
3.1本公司工作所需的資料、數據,不得帶出辦公區。因外派等業務需帶出的除外,但需始終注意做好相關資料的保密工作。外派等工作結束后,必須將相關資料數據及時帶回,并清除保留在外面設備上的資料。
3.2個人資料及工作資料應定期做好備份工作(重要資料應隨時雙重備份在其他電腦和其他介質上),以防病毒侵襲、硬件損壞等造成數據丟失。
4.網絡信息安全管理
4.1新員工入職,在得到自己的賬戶名和密碼后,應立即更改自己的密碼。4.2不得利用計算機技術侵占用戶合法利益,不得制作、復制、和傳播妨害公司穩定的有關信息;不得利用公司計算機網絡從事危害國家安全及其他法律明文禁止的活動;不訪問不明網站的內容,以避免惡意網絡攻擊和病毒的侵擾。
4.3員工個人QQ、微信等其他網絡通訊工具,在個人信息資料中不得包含公司相關(如公司電話、IP地址等)信息,在工作時間不使用QQ、微信進行與工作無關的事情。
5.病毒防護管理
5.1配備的辦公電腦必須安裝防毒軟件。
5.2任何人不得在公司的網絡上制造、傳播任何計算機病毒,不得故意引入病毒。網絡使用者發現病毒應立即向上級部門報告以便獲得及時處理。
6.下載管理
6.1不準在任何時間利用公司網絡下載黑客工具、解密軟件,系統掃描工具,木馬程序等威脅系統和網絡安全的軟件。
6.2本公司辦公電腦不允許下載和在線觀看與工作無關的軟件或其他內容,如MP3、小說、電影、電視和圖片等。
6.3由于擅自進行下載/上傳造成網絡堵塞甚至癱瘓或致病毒傳播者,一經核實,公司依據相關規定處理。
二、信息安全評估
1.信息安全風險評估(information security risk assessment)是依據有關信息安全技術與管理標準,對信息系統及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行評價的過程。它要評估資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性,并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響。
2.信息安全風險評估分為自評估、檢查評估兩種形式。自評估是指網絡與信息系統擁有、運營或使用單位發起的對本單位信息系統進行的風險評估。檢查評估是指信息系統上級管理部門組織的或國家有關職能部門依法開展的風險評估。信息安全風險評估應以自評估為主,自評估和檢查評估相互結合、互為補充。自評估和檢查評估可依托自身技術力量進行,也可委托第三方機構提供技術支持。
3.信息安全風險評估包括資產重要性等級、威脅識別、威脅分類、威脅賦值、脆弱性賦值、已有安全措施確認、風險分析、風險評估記錄等。
三、用戶信息安全管理
1.相關內部人員不得對外泄露需要保密的信息;內部人員不得發布、傳播國家法律禁止的內容;
3.信息發布之前應該經過相關人員審核;
4.對相關管理人員設定網站管理權限,不得越權管理網站信息;
5.一旦發生網站信息安全事故,應立即報告相關方并及時進行協調處理; 6.對有毒有害的信息進行過濾、用戶信息進行保密。
7.登記注冊表應由專人負責保管,未經授權不得復制、透露給第三方; 8.只允許用戶的單一登錄;即單一用戶名只對應單一口令
9.對登陸用戶信息閱讀與發布按需要設置權限用戶可自主改變登錄密碼,以保護用戶信息的隱私權;
10.對用戶在網站上的行為進行有效監控,保證內部信息安全; 11.規定用戶不得傳播、發布國家法律禁止的內容。
12.針對用戶發布信息建立審核機制,設定信息開關,所有信息一律師事務所審核后再開放顯示。
13.除用戶授權外,系統管理員不得對用戶信息進行復制、刪改; 14.定期將用戶信息備份并保存,以防用戶誤操作,丟失原有信息;
15.加強對用戶的網絡制度、法律法規的宣傳;并組織集中學習與培訓,加強用戶相關的法律意識,提高用戶的自我束約能力。
16.固定用戶不得傳播、發布國家法律禁止的內容。
17.如用戶要求對服務器網絡配置進行改動、增減信息目錄結構,用戶需要向系統分析員提出書面申請。
四、違法違規互聯網信息服務和違法信息的巡查與處置
1.總則
1.1為了加強對網站的安全保護,根據《中華人民共和國計算機信息系統安 全保護條例》、《計算機信息網絡國際聯網安全保護管理辦法》及其他有關法律、行政法規的規定,制定本機制。
1.2有害信息的本著“誰主管,誰負責”、遵循依法、客觀公正、合理恰當 的原則。
1.3有害信息事件是指單位和個人利用網站制作、復制、查閱和傳播下列的事件:
1.3.1煽動抗拒、破壞憲法和法律、行政法規實施的;
1.3.2煽動顛覆國家政權、推翻社會主義制度的;
1.3.3煽動分裂國家、破壞國家統一的;
1.3.4煽動民族仇恨、民族歧視,破壞民族團結的;
1.3.5捏造或者歪曲事實,散布謠言,擾亂社會次序的;
1.3.6宣揚封建迷信、淫穢、色情、賭博、暴力、兇殘、恐怖、教唆犯罪的;
1.3.7公然侮辱他人或者捏造事實誹謗他人的;
1.3.8損害網站形象和網站利益的;
1.3.9其他違反憲法和法律、行政法規的。
1.4有害信息發生部位:在BBS、留言板等交互式欄目,在網站首頁、商品 信息頁中張貼、傳播有害信息。利用電子郵件發送危害安全、宣揚“法輪功”等邪教和擾亂社會秩序的各種謠言等有害信息。1.5用戶的通信自由和通信秘密受法律保護。任何單位和個人不得違反法律 規定,不得利用網站侵犯用戶的通信自由和通信秘密。
2.違法違規網站信息處置程序
2.1 一旦發現網絡有害信息的,應立即啟動預案,采取“及時處理、下載保 存和24小時上報制度”。
2.2網絡有害信息處置前期工作程序:
2.2.1發現有害信息的公司員工要立即報告公司信息部,由信息部協調處理網上突發事件,摸清情況,采取措施,最大限度地遏制有害信息在網站上傳播和擴散,并在第一時間內向公司主管領導及有關部門報告。
2.2.2 信息部負責有害信息的界定及監控,一旦發現不良信息要馬上刪除(如遇緊
急情況,可直接關閉服務器,暫停網絡運行)。
2.2.3信息部及時對有害信息予以刪除,取證留樣,對有害信息的來源進行調查; 在最短時間內向網絡有害信息處置相關機構報告情況。
2.2.4信息部要對網絡安全設備的記錄留存,監督檢查有害信息報告、清除等情況。
2.2.5信息安全員負責調查有害信息散布的原因、經過,收集相關證據,以有利于 事件處理時事實清楚,責任明確。
3.網絡有害信息處置后期工作程序:
3.1.信息部要利用網絡與信息安全技術平臺,對網上有害信息和公共有害短信及 時進行封堵:對違規從事網上業務或傳播有害信息的用戶,依法采取責任令整頓,予以封禁用戶等行政處罰措施。
3.2.在事實清楚、責任明確的情況下,公司網絡安全管理領導小組要對事件做出 處理決定。
3.3有關事件的處置經過、結論等相關事宜,一律由信息部統一對外宣傳。
3.4做好經費保障工作和技術開發工作。公司劃撥一定的網絡安全管理經費投入,要在技術管理和軟件開發利用上下工夫,提高網絡信息安全管理技能。網站服務器必須安裝必要的信息安全軟件。
4.處置后期工作
4.1有害信息的責任認定與后期工作按照有關法律和規定確定。
4.2對于在上述事件中對處理不服的,由信息部做好思想教育疏導工作。4.3各職能部門繼續做好網站有害信息的收集監控工作。
五、重大信息安全事件應急處置和報告制度 1.總則
1.1為預防和及時處置網絡突發事件,保證網絡信息安全,維護社會穩定,特制訂網絡信息安全事件應急處置預案。
在公司領導的統一管理下,貫徹執行《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際互聯網管理暫行規定》等相關法律法規,堅持積極防御、綜合防范的方針,本著以防為主、注重應急工作原則,預防和控制風險,在發生信息安全事故或事件時最大程度地減少損失,維護社會和公司穩定,盡快使網絡和系統恢復正常,做好網絡運行和信息安全保障工作。
2.信息網絡安全事件定義
2.1網站受到黑客攻擊,主頁被惡意篡改、交互式欄目里發表煽動分裂國家、破壞國家統一和民族團結、推翻社會主義制度;煽動抗拒、破壞憲法和國家法律、行政法規的實施;捏造或者歪曲事實,故意散布謠言,擾亂社會秩序;公然侮辱他人或者捏造事實誹謗他人;宣揚封建迷信、淫穢色情、暴力、兇殺、恐怖;發送危害國家安全、宣揚“法輪功”等邪教及宗教極端勢力的信息;破壞社會穩定的信息及損害國家、公司聲譽和穩定的謠言等。
2.2網內網絡應用服務器被非法入侵,應用服務器上的數據被非法拷貝、修改、刪除,發生泄密事件。
2.3在網站上發布的內容違反國家的法律法規、侵犯知識產權等,已經造成嚴重后果。
3.信息安全事件應急處置辦法
3.1加大培訓和宣傳力度,加強和完善互聯網安全管理,設置專門管理部門,采取統一管理體制,落實負責人。各部門要建立健全內部安全保障制度,按照“誰主管、誰負責”、“誰主辦、誰負責”的原則,落實責任制,明確責任人和職責,細化工作措施和流程,建立完善管理制度和實施辦法,加強信息的審查和備案工作,確保網絡與信息安全。加強我公司互聯網絡信息安全管理,連接國際互聯網的計算機用戶絕對不能存儲涉及國家秘密、公司內部機密的文件。
3.2加強信息審查工作,若發現主頁被惡意更改,應立即停止主頁服務并恢復正確內容,同時檢查分析被更改的原因,在被更改的原因找到并排除之前,不得重新開放主頁服務。各級各類服務器提供信息服務,必須事先登記、審批,建立使用規范,落實責任人,并具備相應的安全防范措施(如:日志留存、安全認證、實時監控、防黑客、防病毒等),加強網絡設備日志分析,及時收集信息,排查不安定因素。加強BBS、留言板等交互式欄目的專人管理,交互式欄目內容發布實行審核制度。對于非法網站要做到:發現一個,禁止一個,并及時向主管領導匯報,杜絕其蔓延。建立有效的網絡防病毒工作機制,及時做好防病毒軟件的網上升級,保證病毒庫的及時更新。
3.3網絡部對互聯網實施24小時值班責任制,必要時實行遠程控制。網絡管理人員應定期對互聯網的硬件設備進行狀態檢查。對用戶上網進行監控,若發現有異常行為應立即關閉該用戶的網絡連接,及時記錄在案,并對其警告和批評教育,嚴重違法行為立即上報有關部門。
3.4加強突發事件的快速反應。網絡管理員具體負責相應的網絡安全和信息安全工作,不允許有任何觸犯國家網絡管理條例的網絡信息,對突發的信息網絡安全事件應做到以下幾點。
3.4.1及時發現、及時報告,在發現后在第一時間向上一級領導或部門報告。
3.4.2保護現場,立即與網絡隔離,防止影響擴大。3.4.3及時取證,分析、查找原因。
3.4.4消除有害信息,防止進一步傳播,將事件的影響降到最低。
3.4.5在處置有害信息的過程中,任何單位和個人不得保留、貯存、散布、傳播所發現的有害信息。
3.4.6追究相關責任。根據實際情況提出口頭警告、書面警告、停止使用網絡,情節嚴重和后果影響較大者,提交公司及國家司法機關處理,追究部門負責人和直接責任人的行政或法律責任。
3.5及時整頓,加強防范。各部門要積極配合上級網絡安全管理部門的例行檢查,并接受其技術指導。針對網絡存在的安全隱患和出現的問題,及時提出整治方案并具體落實到位,完善網絡安全機制,防范網絡安全事件再度發生。逐步建立網絡信息安全管理長效工作機制,實現公司信息安全管理,創造良好的網絡環境。
3.6在重要、敏感時期,加大網絡安全教育宣傳力度,加強員工的法律意識和安全意識教育,提高其安全意識和防范能力;開展安全文明上網的教育引導工作,凈化互聯網網上環境,及時收集信息,排查不安定因素;堅持24小時值班制度,開通值班電話,保證與上級主管部門、電信部門和當地公安機關的熱線聯系,積極做好預防工作,發現問題及時處理,防患于未然。
3.7做好機房及戶外網絡設備的防火、防盜竊、防雷擊、防鼠害等工作。若發生事故,應立即組織人員自救,并報警。
4.網絡安全事件報告與處置:
事件發生并得到確認后,有關人員應立即將情況報告有關領導,由領導指揮處理網絡安全事件。應及時向當地公安機關報案。阻斷網絡連接,進行現場保護,協助調查取證和系統恢復等工作,有關違法事件移交公安機關處理。
六、信息安全教育培訓
1.定期組織網絡安全管理人員認真學習《計算機信息網絡國際互聯網安全保護管理辦法》、《網絡安全管理制度》及《信息審核管理制度》,提高工作人員的維護網絡安全的警惕性和自覺性。
2.定期對本公司網絡用戶進行安全教育和培訓,使用戶自覺遵守和維護《計算機信息網絡國際互聯網安全保護管理辦法》,使他們具備基本的網絡安全知識。
3.對本單位網絡用戶進行安全教育和培訓,杜絕發布違犯《計算機信息網絡國際互聯網安全保護管理辦法》的信息內容。
4.不定期地進行信息安全方面的培訓,加強對有害信息,特別是影射性有害信息的識別能力,提高防犯能力。
5.定期對職工進行網絡安全教育,強化網絡安全意識, 增強守法觀念。
七、客戶舉報和投訴處理等制度
1.總則
1.1為提高公司客戶服務質量和服務水平,規范客戶投訴處理程序,形成有效的投訴管理機制,根據公司相關制度和規定,制定本制度。
1.2對客戶投訴的處理應以有關規章制度為依據,以實事求是、公平合理、處理及時為原則,最大限度地滿足客戶的正當要求,認真解決客戶提出的問題,改進工作,優化服務,及時發現客戶糾紛風險和不穩定因素,維護公司信譽和合法權益。
2.客戶投訴
2.1公司各部門的經理為公司一般投訴事項的處理負責人。涉及違規行為和導致訴訟的投訴事件,由公司總經理負責處理。公司總經理為投訴事件的最終處理負責。
2.2公司如遇到客戶撥打電話或上門投訴的情況,應當穩定客戶情緒,耐心聽取意見,做好投訴記錄并立即報告客服中心。
2.3客戶投訴的具體事項應當按照公司有關部門和領導的要求,配合投訴事項的調查、反饋等工作。
2.4在處理投訴過程中,如發現公司各部門相關責任人存在違規行為的,應當立即報告上級領導核實。
2.5每周將投訴記錄情況提交運營部。3.處理原則 3.1客戶投訴時,投訴受理人應做到耐心聽取、認真審閱,做到及時、專業、禮貌,體現良好的職業道德和服務意識,堅持“冷處理”原則。
3.2客戶投訴時,投訴受理人須注意方式方法,耐心說服教育,切忌態度粗暴生硬,切忌隨意表態、許愿,對于客戶的不合理要求,也要耐心解釋和說服防止矛盾激化;對揚言采取過激行為的對象要落實專人負責看管,對可能被報復的人員和被破壞的目標,采取有效的防范措施;
3.3投訴受理須與客戶在合法、合理、自愿的基礎上積極協商,妥善解決,不得簡單了事,力爭把矛盾和問題在公司內部解決和消化。
4.基本處理程序
4.1投訴按方式可分為電話投訴、上門投訴等。4.2各類客戶投訴的受理及處理的基本程序如下:
4.2.1受理:客服人員及投訴受理人員需了解客戶投訴事情的過程,記錄投訴事件內容,對客戶進行必要和適當的解釋及安撫。如客戶對受理人的解釋、回復表示滿意,并表示不再就同一事件繼續投訴,則將客戶投訴處理情況記錄完整,處理完畢;
4.2.2轉發:客服人員對受理的投訴事件需要公司其他部門協助核查或轉辦的,投訴受理人在受理客戶投訴后1小時內,轉發給相關投訴事件責任部門;
4.2.3處理:相關責任部門應在收到客戶投訴處理通知后的24小時內與客戶進行聯系,妥善處理客戶投訴,特殊情況下應在3個工作日內處理完畢。對不能立即回復的投訴,應主動告知客戶目前的處理進度;
4.2.4記錄:投訴事件記錄相關的電子文檔整理保存完整; 5.不同內容投訴的處理
5.1對于影響公司形象和聲譽的重大投訴,投訴受理人員應先上報分管領導及公司總經理后進行投訴處理。
5.2對客戶的信函投訴,要分清投訴信件和舉、檢信件。如舉、檢信件則應及時向分管領導匯報,并及時通報公司總經理。
5.3投訴按內容可區分為服務質量投訴(服務態度)、業務投訴(員工工作失誤、系統及機具故障、公司內部協調)、非公司責任投訴等。
5.4對因服務質量和服務態度而引起的投訴,經調查如確屬員工服務態度或操作技能問題,當事人和主管領導應主動向客戶道歉,取得客戶諒解。
5.5對因部門之間溝通、協調不足引起的投訴,應首先協調將客戶業務辦理完畢,然后由投訴時間受理人提交建議,建議相關上級領導進行部門協調,提出解決方法,理順內部關系。
5.6對非公司責任的投訴,如因客戶對有關規定不理解或因操作不當引起的投訴,判斷客戶的要求是否超出或違反公司規定及政策的,應向客戶做耐心解釋和說明,化解矛盾和排除不合理要求。
第二篇:信息安全管理制度
信息安全管理制度
為了防止信息和技術的泄密,導致嚴重災難的發生,請各位嚴格遵守以下安全規定:
一、工廠秘密具體范圍包括:
1.1 工廠董事會資料,會議記錄、紀要,保密期限內的重要決定事項 1.2 工廠的工作總結,財務預算決算報告,繳納稅款、營銷報表和各種綜合統計報表
1.3 工廠有關銷售業務資料,貨源情報和對供應商調研資料 1.4 工廠開發設計資料,技術資料和生產情況 1.5 客戶提供的一切文件、樣板等
1.6 工廠各部門人員編制.調整,未公布的計劃,員工福利待遇資料.員工手冊
1.7 工廠的安全防范狀況及存在問題
1.8 工廠員工違法違紀的檢舉.投訴.調查材料,發生案件,事故的調查登記資料
1.9 工廠、法人代表的印章、營業執照、財務印章、合同協議。
二、工廠的保密制度
2.1 文件、傳真郵件的收發登記、簽收、催辦、清退、借閱、歸檔由指定人員處理
2.2 凡涉及公司內部秘密的文件資料的報廢處理,必須首先碎紙,不準未經2.3 碎紙丟棄處理
工廠員工本人工作所持有的各種文件、資料、電子文檔(磁碟,光盤等),當本人離開辦公室外出時,須存放入文件柜或抽屜,不準隨意亂放,更未經批準,不能復制抄錄或攜帶外出
未經工廠領導批準,不得向外界提供公司的任何保密資料 未經工廠領導批準,不得向外界提供客戶的任何資料 妥善保管好各種財務賬冊、公司證照、印章 2.4 2.5 2.6
三、電腦保密措施
3.1 不要將機密文件及可能是受保護文件隨意存放,文件的存放在分類分目錄存放于指定位置。3.2 未經領導及他人許可,不要打開或嘗試打開他人文件,以避免泄密或文件的損壞。
3.3 對不明來歷的郵件或文件不要查看或嘗試打開,以避免計算機中病毒,并盡快請電腦室人員來檢查。
3.4 郵件的附件中,如果有出現一些附加名是:EXE,COM等可執行的附件或其它可疑附件時,請先用殺毒軟件詳細查殺后再使用,或請OA中心人員處理。3.5 不要隨便嘗試不明的或不熟悉的計算機操作步驟。遇到計算機發生異常而自己無法解決時,就立即通知OA中心外,請專業人員解決。3.6 不要隨便安裝或使用不明來源的軟件或程序。不要隨便刪除電腦上的文件或程序及修改計算機參數等。
3.7 收到無意義的郵件后,應及時清除,不要蓄意或惡意地回寄這些郵件。3.8 不向他人披露微機密碼,防止他人接觸計算機系統造成意外。
3.9 公司電腦不允許隨便使用移動存儲器(U盤、MP3、MP4、光盤、移動硬盤等),確需使用的,應先向OA中心提出書面申請,由電腦管理人員登記使用。
3.10 定期更換密碼,如發現密碼已泄漏,應盡快更換。或請電腦專業人員處理。
3.11 定期用殺毒程序掃描計算機系統。對于新的軟件、檔案或電子郵件,應選用殺毒軟件掃描,檢查是否帶有病毒、有害的程序編碼,進行適當的處理后才可開啟使用。
3.12 先以加密技術保護敏感的數據文件,然后才通過工廠網絡及互聯網進行傳送。在適當的情況下,利用數定證書為信息及數據加密或加上數字簽名關閉電子郵件所備有自動處理電子郵件附件功能,關閉電子郵件應用系統或其它應用軟件中可自動處理的功能,以防電腦病毒入侵。
3.13 對于不熟的人員,請不要讓其隨意使用你的計算機,如非要使用,應有人在其身旁監督。
3.14 不要隨意將工廠或個人的文件發送給他人,或打開給他人查看或使用。3.15 在計算機使用或管理上如有任何疑問,請詢問電腦室人員。
四、工廠的保密措施
4.1 工廠中層以上領導,要自覺帶頭遵守保密制度。
4.2 工廠各部門要運用各種形式經常對所屬員工進行保密教育,增強保密觀念。
4.3 全體員工自覺遵守保密基本準則,做到:不該說的機密,絕對不說,不該看的機密,絕對不看(含超越自己職責、業務范圍的文件、資料、電子文檔)。
4.4.對員工依照工廠本規定,保守工廠秘密,發現他人泄密,立即采取補救措施,避免或減輕損害后果的;對泄密或者非法獲取工廠秘密的行為及時檢舉投訴的,按照有關規定給予獎勵。
4.5.對員工因不遵守工廠規定,造成泄密事件,依照有關法規及工廠的獎懲規定, 給予紀律制裁.解雇,直至追究刑事責任。
第三篇:信息安全管理制度
信息安全管理組織機構和人員職責管理
辦法
[日期:2010-12-18]作者:瀏覽:1812
第一章 總則
第一條 為加強海南電網公司信息安全管理工作,保障網絡與信息系統的正常運行,依據有關法律、法規及信息安全標準,特制定本辦法。
第二條 本辦法適用于海南電網公司(以下簡稱公司)本部、分公司,以及直屬各單位的信息安全組織機構和人員職責的管理。其他聯網單位參照執行。
第二章 信息安全領導小組
第三條 公司成立信息安全領導小組。領導小組是信息安全的最高決策機構,下設辦公室掛靠在公司信息中心,負責信息安全領導小組的日常事務。
第四條 信息安全領導小組下設兩個工作組:
信息安全工作組
應急處理工作組
第五條 信息安全領導小組的職責主要包括:
根據國家和行業有關信息安全的政策、法律和法規,批準公司信息安全總體策略規劃、管理規范和技術標準;
確定公司信息安全各有關部門工作職責,指導、監督信息安全工作。
第三章 信息安全工作組
第六條 信息安全工作組組長由公司信息中心的負責人擔任。
第七條 信息安全工作組的主要職責包括:
貫徹執行公司信息安全領導小組的決議,協調和規范公司信息安全工作; 根據信息安全領導小組的工作部署,對信息安全工作進行具體安排、落實; 組織對重大的信息安全工作制度和技術操作策略進行審查,擬訂信息安全總體策略規劃,并監督執行;
負責協調、督促各職能部門和有關單位的信息安全工作,參與信息系統工程建設中的安全規劃,監督安全措施的執行;
組織信息安全工作檢查,分析信息安全總體狀況,提出分析報告和安全風險的防范對策;
負責接受各單位的緊急信息安全事件報告,組織進行事件調查,分析原因、涉及范圍,并評估安全事件的嚴重程度,提出信息安全事件防范措施;
及時向信息安全工作領導小組和上級有關部門、單位報告信息安全事件。跟蹤先進的信息安全技術,組織信息安全知識的培訓和宣傳工作。
第四章 應急處理工作組
第八條 應急處理工作組組長由公司信息中心的主要負責人擔任。
第九條 應急處理工作組的主要職責包括:
審定公司網絡與信息系統的安全應急策略及應急預案;
決定相應應急預案的啟動,負責現場指揮,并組織相關人員排除故障,恢復系統;
每年組織對信息安全應急策略和應急預案進行測試和演練。
第五章 各分公司及直屬單位信息安全工作常設機構及人員
第十條 各分公司及直屬單位應指定分管信息的單位領導負責本單位信息安全管理,并配備信息安全技術人員,有條件的應設置信息安全工作小組或辦公室,對海南電網公司信息安全領導小組和工作小組負責,落實本單位信息安全工作和應急處理工作。
第六章 信息安全人員基本要求
第十一條 信息安全管理人員和專(兼)職信息安全技術人員應當政治可靠、業務素質高、遵紀守法、恪盡職守。
第十二條 信息安全管理人員及專職和兼職信息安全技術人員應有計算機專業工作三年以上經歷,具備專科以上學歷。
第十三條 違反國家法律、法規和行業規章受到處罰的人員,不得從事信息安全管理與技術工作。
第七章 信息安全人員管理
第十四條 信息安全人員的配備和變更情況,應向上一級單位報告、備案。第十五條 信息安全人員調離崗位,必須嚴格辦理調離手續,承諾其調離后的保密義務。涉及海南電網業務核心技術的信息安全人員調離單位,必須進行離崗審計,并在規定的脫密期后,方可調離。
第八章 信息安全人員職責范圍
第十六條 信息安全人員應履行以下職責:
負責信息安全管理的日常工作;
開展信息安全檢查工作,對要害崗位人員安全工作進行指導和監督;
負責維護和審查有關安全審計記錄,及時發現存在問題,提出安全風險防范對策;
開展信息安全知識的培訓和宣傳工作;
監控信息安全總體狀況,提出信息安全分析報告;
及時向信息安全工作領導小組和有關部門、單位報告信息安全事件。
第十七條 信息安全人員在行使職責時,確因工作需要,經批準,可了解涉及電力生產、經營與管理有關的信息系統的機密信息。
第十八條 信息安全人員發現本單位重大信息安全隱患,有權向上級機構信息安全主管部門報告。
第十九條 信息安全人員發現信息系統要害崗位人員使用不當,應及時建議有關單位、部門進行調整。
第二十條 信息安全人員必須嚴格遵守國家有關法律、法規和公司有關規章制度,嚴守公司商業秘密。
第九章 要害崗位人員管理
第二十一條 信息系統要害崗位人員,是指與重要信息系統直接相關的系統管理人員、網絡管理人員、重要應用開發人員、系統維護人員、重要業務操作人員等崗位人員。
第二十二條 重要信息系統,是指涉及公司生產、建設與經營、管理等核心業務且有保密要求的信息系統。
第二十三條 要害崗位人員上崗前必須經單位人事部門進行政治素質審查,技術部門進行業務技能考核,工作經歷和工作經驗考查等,合格者方可上崗。
第二十四條 要害崗位人員有責任保護信息系統的秘密,并以簽署保密協議的方式作出安全承諾。
第二十五條 要害崗位人員上崗必須實行“權限分散、不得交叉覆蓋”的原則。系統管理人員、網絡管理人員、系統開發人員、系統維護人員不得兼任業務操作員;系統開發人員原則上不應兼任系統管理員。
第二十六條 對要害崗位人員應實行定期考查制度,要害崗位人員應定期接受安全培訓,加強自身安全意識和風險防范意識。
第二十七條 要害崗位人員調離崗位,必須嚴格辦理調離手續,承諾其調離后的保密義務。涉及公司業務保密信息的要害崗位人員調離單位,必須進行離崗審計,在規定的脫密期后,方可調離。
第二十八條 要害崗位人員離崗后,必須即刻更換操作密碼或注銷用戶。
第十章 要害崗位安全責任
第二十九條 系統管理員安全責任
負責系統的運行管理,實施系統安全運行細則;
嚴格用戶權限管理,維護系統安全正常運行;
認真記錄系統安全事項,及時向信息安全人員報告安全事件;
對進行系統操作的其他人員予以安全監督。
第三十條 網絡管理員安全責任
負責網絡的運行管理,實施網絡安全策略和安全運行細則;
安全配置網絡參數,嚴格控制網絡用戶訪問權限,維護網絡安全正常運行; 監控網絡關鍵設備、網絡端口、網絡物理線路,防范黑客入侵,及時向信息安全人員報告安全事件;
對操作網絡管理功能的其他人員進行安全監督。
第三十一條 系統開發員安全責任
系統開發建設中,應嚴格執行系統安全策略,保證系統安全功能的準確實現; 系統投產運行前,應完整移交系統源代碼和相關涉密資料;
不得對系統設置“后門”;
對系統核心技術保密。
第三十二條 系統維護員安全責任
負責系統維護,及時解除系統故障,確保系統正常運行;
不得擅自改變系統功能;
不得安裝與系統無關的其他計算機程序;
維護過程中,發現安全漏洞應及時報告信息安全人員。
第三十三條 業務操作員安全責任
嚴格執行系統操作規程和運行安全管理制度;
不得向他人提供自己的操作密碼;
及時向系統管理員報告系統各種異常事件。
第三十四條 各要害崗位人員必須嚴格遵守保密法規和有關信息安全管理規定。
第十一章 第三方人員管理
第三十五條 第三方人員包括軟件開發商,硬件供應商,系統集成商,設備維護商和服務提供商,以及實習學生和臨時工作人員。
第三十六條 應對第三方人員的物理訪問和邏輯訪問實施訪問控制,根據其在系統中完成工作的時間、性質、范圍、內容等方面的需要給予最低授權。
第三十七條 第三方人員的現場工作或遠程維護工作內容應在合同中明確規定,如工作涉及機密或秘密信息內容,應要求其簽署保密協議。
第三十八條 一般情況下第三方人員的現場工作,如數據庫、系統、漏洞掃描、入侵檢測、白客滲透以及其他軟件的安裝等,不許接入自帶的設備。
第三十九條 第三方人員的現場工作應在本單位信息部門有關人員的陪同和監督下完成。第三方人員自帶設備接入信息系統應得到特別授權,其操作應受到審計。
第四十條 第三方人員工作結束后,應及時清除有關賬戶、過程記錄等信息。第十二章 培訓與教育
第四十一條 信息安全人員應定期參加下列信息安全知識和技能的培訓:
信息安全法律法規及行業規章制度的培訓;
信息安全基本知識的培訓;
信息安全專門技能的培訓。
第四十二條 信息安全人員應定期接受政治思想教育、職業道德教育和安全保密教育。
第四十三條 應對所有使用計算機的人員定期進行基本的信息安全知識和技能的培訓,并應注意培養信息安全意識。
第十三章 附則
第四十四條 本辦法由海南電網公司信息中心負責解釋。
第四十五條 本辦法自發布之日起施行。
第四篇:安全信息管理制度
安全信息管理制度
為發揮承包商在安全管理中的作用,傾聽承包商對安全管理的建議和要求,形成群策群力的安全監督網絡,進一步加強現場安全管理,及時整改生產過程中的各類隱患,超前預防重大事故。根據安全生產的實際,特制定本制度。
一、項目部是信息收集、整理、傳遞和報送的中心,是信息管理部門和信息報送單位。
二、項目經理分管信息工作,各承包商、供應商兼信息員,加強信息的上報工作。
三、健全安全信息反饋體系,拓寬安全信息反饋渠道和增加安全信息源,及時、準確地掌握生產一線作業現場的安全狀況,為安全工作決策提供可靠的依據。
四、建立安全信息的直通快車,使各承包商有渠道快捷地向項目部反映對安全工作的合理化建議和要求,迅速有效地解決生產過程中出現的安全生產問題。
五、形成安全管理的互補、激勵和約束機制,促進安全管理制度的不斷完善和有效實施。
六、安全信息員的條件及范圍
(1)“安全第一”思想牢固,對安全生產有較高認識,能夠積極參與各項安全活動。
(2)具備一定的安全、技術業務素質,現場經驗豐富。
(3)有一定語言或書面表達能力,不怕得罪人,敢說真話不徇私情,不畏各種壓力,勇于為生產工作奉獻。
七、安全信息員的義務與職責
(1)認真學習安全技術業務知識,了解和掌握國家安全生產法律、法規及企業安全生產規章制度。
(2)積極參與本項目的各項安全活動,宣傳上級單位和項目的安全生產指示、指令和安全生產各項規定,應邀列席相關安全工作會議。參加“信息反饋”、“安全座談”或現場安全監察活動。
(3)收集和反映一線員工對安全管理的建議和要求。
(4)對各自的工作崗位和涉及到得所有施工現場、各級干部安全責任制的落實,實施安全監督,隨時項目部匯報發現的情況。
(5)及時發現和真實地放映生產作業現場安全上存在的不安全隱患、質量、管理問題和有一定價值的建議,隨時發現隨時反映,每月不少于兩條。
八、安全信息員的權利
(1)有權制止任何人違章作業;有權拒絕任何人的違章指揮。
(2)對于單位或領導忽視職工安全健康的錯誤決定和錯誤行為,有權提出批評或越級控告。
(3)發現生產作業存在“三違”或威脅安全生產的隱患和問題,有權直接向本單位主要領導報告或直接向安監人員匯報,有權提出處理意見。
(4)兼職安全信息員在行使職權中,各單位和各級負責人要給與大力的支持和幫助,給與一定的活動時間;任何單位和個人不允許干涉和阻止,更不允許對其進行任何形式的打擊報復。否則,將嚴肅追究單位和相關領導的責任,維護安全信息員的正當權益。
第五篇:信息安全管理制度
信息安全管理制度
為了切實有效的保證總公司信息系統安全,提高信息系統為總公司生產經營的服務能力,特制定信息系統相關安全管理制度,設定信息管理部門及系統管理人員對總公司整體信息系統進行管理,以保證總公司信息系統的正常運行。
1、相關介紹
1.1 計算機網絡系統由基礎線路,網絡硬件設備、軟件,終端設備的網絡系統及各應用系統配置組成。
1.2 基礎線路是指:聯系整個信息系統的所有基礎線路,包括公司內部的局域網線路及相關管路。
1.3 網絡硬件設備是指:服務器、防火墻、交換機、光纖接入器及各終端設備;軟件包括:PC操作系統、數據庫及應用軟件、有關專業的網絡應用軟件等。
1.4 終端設備的網絡系統配置包括終端設備在網絡上的名稱,IP地址分配,用戶登錄名稱、用戶密碼、用戶權限及Internet的配置等。
1.5 應用系統是指:辦公平臺、門戶網站以及財務管理軟件和各類生產經營管理軟件。
2、信息管理人員職責
2.1 負責系統軟件的調研、采購、安裝、升級、保管工作。
2.2 負責公司網絡系統基礎線路的實施、安全及維護。
2.3 負責軟件有效版本的管理。
2.4 信息管理部門為計算機系統、網絡、數據庫安全管理的歸口管理部門。
2.5 信息管理人員負責計算機網絡、辦公自動化、生產經營各類應用軟件的安全運行;服務器安全運行和數據備份;internet對外接口安全以及計算機系統防病毒管理;各種軟件的用戶密碼及權限管理;協助職能科室進行數據備份和數據歸檔。
2.6 信息管理人員執行企業保密制度,嚴守企業商業機密。
2.7 系統管理員的密碼必須由信息管理部門相關人員掌握。
3、用戶的職責和義務
3.1 用戶有權以自己合法的身份登錄網絡及使用指定應用系統。
3.2 用戶不得盜用其他人的身份登陸網絡或進入應用系統,確因工作需要需取得他人受權或征得他人同意。
3.3 用戶應保管好自己的密碼,并三個月更換一次密碼,以保證數據安全。
3.4 用戶執行計算機安全管理制度,遵守企業保密制度。
4、基礎線路建設管理
4.1 在進行網絡系統基礎線路新建或增加時,系統管理部門應會同相關部門及專業公司盡可能的從整體性、先進性、可拓展性等方面規劃建設,有公司網絡系統的可持續發展打下良好的基礎。
4.2 基礎建設完成后,將基礎建設所涉及的圖紙、標識等竣工資料保管整齊,以備后續的增添及維護。
4.3 在日常維護中,如有增加或改變走線方向等,需在原有資料上作好相應更改。
4.4 在重要線路或容易遭受破壞部位,應設立警示牌或其它警示標志,以保護基礎線路。
5、軟件有效版本管理
5.1 信息管理員應建立系統、平臺、專業、管理軟件的有效版本清單,并定期發布。
6、數據備份管理
6.1 服務器數據備份
6.1.1 每周應至少做一次賬務管理軟件數據的備份,并在備份服務器中進行邏輯備份的驗證工作,經過驗證的邏輯備份存放在不同的物理設備中,至少同時保留兩個完整的數據備份。
6.1.2 每月至少對數據服務器、應用服務器和文件服務器做一次數據備份。
6.1.3 數據庫進行自動實時備份。
6.1.4 自動或手工備份的數據應在數據庫故障時能夠準確恢復。
6.2 管理信息的備份
6.2.1 各部門應定時對管理數據進行備份。
6.2.2 每年的1或2月份,計算機人員應協助職能科室對上一的管理數據進行備份、標識并歸檔。
7、計算機病毒防治
7.1 在服務器和客戶端微機上安裝病毒自動檢測程序和防病毒軟件,信息管理人員應及時下載防病毒疫苗,用戶應及時下載疫苗并檢測、殺毒。
7.2 在向微機及服務器拷貝或安裝軟件前,首先要進行病毒檢測。如用戶經管理代表批準安裝外來軟件,應經過計算機人員對安裝軟件進行防病毒檢測。
7.3 對于外來的圖紙和文件,在使用前要進行病毒監測。
7.4 送外維修和欲聯網的計算機必須經過病毒檢測后,方可聯入網絡。
7.5 為了防止病毒侵蝕,員工和信息管理人員不得從internet網下載游戲及與工作無關的軟件,不得在服務器或關鍵客戶端微機上安裝、運行游戲軟件。
8、文件服務器的管理
8.1 文件服務器中為用戶預留了一定的存儲空間,存放重要文件、設計圖紙和階段成果,以避免在本地硬盤遭到損壞時丟失文件。
9、系統管理員安全責任
9.1 系統管理員應對所管理系統的用戶權限的安全負責。
9.2 系統管理員不得擅自泄露其他用戶的用戶名及密碼,不得為員工檢索其他人員信息和企業保密信息。
9.3 因工作需要,經主管領導批準,系統管理員可以為用戶檢索、打印企業信息,但應妥善保管打印件,并對作廢內容及時銷毀。
9.4 系統管理員不得隨意修改合法用戶的身份,確因工作需要應得到主管領導的批準。
9.5 系統管理員應遵守保密制度,不泄漏企業信息。
9.6 對于新上崗信息管理人員,系統管理員應對其進行崗位培訓,培訓崗位標準、計算機管理制度、操作規程,落實安全職責。
10、重大操作事項審批制度
10.1 涉及到服務器系統、網絡、數據庫安全的操作應填寫《重大操作事項審批表》,任何人不得擅自更改運行系統的相關配置。
10.2 部門負責人應組織相關人員及專家討論操作的必要性和可行性,制定安全措施和操作步驟。
10.3 經批準的重大操作需做充分的實驗和準備,并驗證其可行和安全后,由兩人以上共同操作。
10.4 對管理軟件的重大操作和維護應執行重大操作審批制度,不允許對運行的軟件進行直接調試和試運行。
10.5 在重大操作實施之前,應做好系統的備份。在實施過程中,應詳細記錄操作過程,以保證實施過程發生意外時能將系統恢復到實施前的運行狀況。
點擊咨詢 