第一篇:集團信息安全管理
關于加強集團信息安全管理的重要通知
長期以來,外部網絡信息環境復雜,木馬病毒及各類惡意軟件泛濫,嚴重威脅信息平臺的安全和健康運行,用戶誤入溝通陷阱、機密材料被篡改竊取、網上財務損失等事件層出不窮。隨著集團及各子公司信息化和辦公自動化進程的推進,各類溝通渠道中所含信息的安全管理成為集團安全管理工作的重要內容。為確保集團各類信息的安全運行,保障集團各項利益不受損害,依據集團保密制度的相關規定,現將有關事項通知如下:
一、會議信息安全管理
1、會議須按集團會議級別分類,將會議記錄資料交由會議主辦部門(單位)指定專人進行歸檔存儲;
2、重要涉密會議,應事先制定保密計劃或預案,并做到有領導分管、有專門機構和人員負責保密工作。
3、涉密會議應當選擇有利于保密的場所進行,事前應對會議場所進行安全保密技術檢查。
4、涉密會議必須明確規定參加人員的范圍,并對有關工作人員進行保密教育,規定保密紀律,嚴禁無關人員進入會議場所。
5、涉及企業絕密的會議禁止使用無線話筒,參加會議人員不得將移動電話帶入涉密會議的會場,因特殊原因帶入會場的移動電話應關閉手機并取出電池,統一放置于座位左手上方。會議期間嚴禁使用手機接打電話或錄音錄像。重大涉密會議應使用保密會議移動通信干擾器。/ 6
6、涉密會議期間的秘密文件、資料,要有專人負責管理;要在載體上標明密級、保密期限和份數序號;分發要履行登記、簽收手續,并按照涉密文件資料管理。未經批準不得提供給新聞記者。
7、領導在會議上的講話未經本人同意,不得整理散發。參加會議的人員和工作人員不得以任何形式對外泄露會議內容。
8、秘密會議的傳達,應當按會議主辦部門(單位)確定的內容和范圍進行;確需擴大知悉范圍的,應當經主辦部門(單位)批準。
二、辦公自動化及通信設備安全管理
1、涉密辦公自動化設備,應安置在安全保密的場所,并按照保密要害部門、部位的要求,配備保密安全設施。
2、不得使用移動電話談及企業秘密信息,確需交談的,應使用有線電話。
3、不得將移動電話帶入談論涉及秘密事項的場所,因特殊原因帶入的移動電話應取出電池或采取屏蔽功能。
4、單位打印機、復印機、掃描儀,應統一由法務文印部專人管理,嚴禁擅自打印、復印、掃描涉密文件、資料、圖表等。
5、涉密部門的領導和重要涉密崗位的工作人員不得使用他人贈送的移動電話。
6、未經允許嚴禁私自使用手機或其它電子設備進行重要文件、要害部門設施設備的拍攝、圖片視頻上傳及發送等。
7、不得隨意另存、復制、打印、發送、截屏、拍攝集團內部文件及公文流轉系統中文件(包括但不限于審批件、呈報件等)。/ 6
8、使用涉密計算機的人員,必須妥善保管好自己賬號、密碼,嚴禁外泄。
9、不得以集團企業郵箱以外的電子郵箱傳遞企業秘密文件、信息,電子郵件討論、部署、匯報涉密內容應加密;不得在網上發布秘密文件、信息。
10、嚴禁使用計算機端或手機端的QQ、飛信、微信、易信等網絡溝通聯絡軟件進行傳送、發布、散布企業秘密文件。
11、不得將集團內部文件和資料提供給與工作無關的任何單位和個人,嚴禁將集團內部審批件提供給集團以外的任何單位和個人。
12、不得利用辦公網絡系統從事損害集團信息安全、泄露信息機密的活動。
13、不得查閱、下載、復制、傳播、使用與工作內容無關的電子信息,不得利用網絡聊天。上班期間,不得瀏覽與工作無關的網站。
14、嚴禁未經批準擅自接入集團信息網絡,網絡及計算機使用人要增強安全防范意識,不得擅自修改IP地址、網絡端口、用戶賬號、密碼,并將信息化系統中的信息、數據傳播給他人。
15、辦公計算機使用人不得私接網線,不得私自安裝與工作無關的軟件,不得私自刪除網絡客戶端軟件、殺毒軟件和操作系統文件。
16、辦公網絡嚴禁私自使用無線WIFI路由設備,嚴禁私接無線網卡,一經發現,沒收該設備并將直接追究該使用人責任。
17、非網絡管理人員,嚴禁私自登錄網絡設備、服務器并進行非法設置,一經發現,將直接追究該私設人員責任并除名。/ 6
18、所有外來信息數據,包括郵箱、QQ客戶端、網站下載等來源的數據,在導入計算機使用時必須首先進行殺毒處理,未經處理導致病毒感染、網絡系統使用不正常或出現網絡癱瘓的,一經發現,將直接追究該使用人責任。
19、嚴禁惡意使用非法網絡軟件進行網絡端口的掃描、地址獲取、密碼探測等干擾網絡正常運行的行為,一經發現,將直接追究該使用人責任并除名。
20、嚴禁外來人員在辦公場所內利用手機或其它電子設備拍攝照片視頻資料,集團任何部門及人員均有權應予以制止,并令其刪除拍攝內容。
21、集團電信號碼所開通的微信號碼,自本通知下達后持卡人應立即停止使用。
22、集團內部嚴禁私自架設微信群、QQ群等討論群并在群內傳播、散發集團重要信息。一經發現,將直接追究該使用人責任并除名。
23、集團閉路監控視頻、電話錄音、車輛GPS信息、網絡操作記錄等重要信息,應由專門部門(單位)負責,信息的調閱、查詢均要按規定進行登記,并做好信息的備份和保密工作。
三、秘密載體的安全管理
1、承載秘密的紙介質、光介質、電磁介質等秘密載體,如紙張、光盤、硬盤、U盤、磁帶、錄音筆等,應當做出秘密標志,應當根據有關保密規定確定密級和保密期限。/ 6
2、秘密載體必須由集團機要(保密)部門統一管理,密件收發、交換、借閱應履行登記簽字手續。相關載體借出時,應確保載體內信息不泄露。
3、集團文件只允許發放于部門(單位),一般不得發給個人。
4、傳遞密件應使用安全可靠的交通工具,不得通過普通郵政進行。絕密件的傳遞,應單獨密封,專人護送,不得使用普通傳真機、電話、短信、微信等任何通訊手段和工具。
5、密件傳閱應專夾專人直傳,不得橫傳,并做到當天閱讀當天退還,不得在無保密條件的場所存放。
6、銷毀秘密載體,必須認真登記,經集團分管領導和總經理審批后,統一送公文銷毀機構銷毀。個人不得擅自銷毀密件。
7、因工作需要隨身攜帶秘密載體外出的,必須經集團分管領導及總經理批準,并采取可靠的安全措施。
8、集團領導參加會議帶回的密件應及時交集團信息資料部登記管理,個人不得留存。
自此通知下發之日起各部門(單位)負責人應嚴格按照上述要求執行,具體做好以下工作:
1、綜合部做好會議保密級別的劃分及重要會議的設備使用管理、移動通信設備檢查及干擾器設置工作;
2、信息資料部做好有關網絡及文件信息安全的監督檢查和管理工作。
3、人資部做好有關企業職工的保密安全教育和引導工作。/ 6
4、法務文印部做好有關企業秘密的遺失、泄露等事件的應對及應急處理方案。
5、財務部做好財務報表、往來憑證等重要經濟數據的保密和管理工作。
6、集團其他各部門做好各自部門業務范疇內的重要信息的保密工作。
7、各子公司做好各自公司內部業務范疇內的重要信息的保密工作。
8、集團各部門及子公司負責人應嚴格按照各自簽訂的《2014年目標責任書》和《保密協議書》之要求,做好涉及商業秘密及工作秘密的內容審查工作。
信息部
2014年10月30日 / 6
第二篇:集團信息安全管理制度
剛泰集團信息安全管理制度
品牌信息部 2015.3.5
一、總則
通過加強集團計算機系統、辦公網絡、服務器系統的管理。保證網絡系統安全運行,保證集團機密文件的安全,保障服務器、數據庫的安全運行。加強計算機辦公人員的安全意識和團隊合作精神,把各部門相關工作做好。
二、范圍
適用于集團所有員工。
三、職責
1、品牌信息部為網絡安全運行的管理部門,負責公司計算機網絡系統、計算機系統、數據庫系統的日常維護和管理。
2、系統管理員執行公司保密制度,嚴守公司商業機密。
3、員工執行計算機信息安全管理制度,遵守公司保密制度。
四、管理辦法
I、計算機使用管理制度
1、計算機由集團品牌信息部統一配置并定位,未得允許任何部門和個人不得私自拆裝、挪用、調換、外借和移動計算機。
2、計算機的開、關機應按按正常程序操作,嚴禁直接的人為非法關機;主機和鍵盤周邊不要放置水杯等盛滿液體的容器,以免損毀計算機。
3、所有計算機必須設置登陸密碼,一般不要使用默認的administrator作為登陸用戶名,密碼必須自身保管,嚴禁告訴他人,密碼需要定期更換以確保安全。
4、計算機軟件的安裝與刪除應在系統管理員的許可下進行,任何部門和個人不得安裝來歷不明的軟件,不得擅自修改、移動或刪除計算機硬盤內的數據程序、防病毒軟件、計算機文件和系統設置。
5、員工應采取措施做好電腦的防塵、防盜、防潮、防觸電等工作。下雨打雷天氣注意關閉電源總閘或切斷電源開關。
6、員工在長時間離開計算機時,要求關閉計算機或退出Windows用戶桌面。
7、為文件資料安全起見,勿將重要文件保存在系統活動分區內如:C盤、我的文檔、桌面等;請將本人的重要文件存放在硬盤其它非活動分區(如:D、E、F);并定期清理本人相關文件目錄,及時把一些過期的、無用的文件刪除,以免占用硬盤空間。
8、計算機發生故障應盡快通知系統管理員及時解決,不允許私自打開計算機主機箱操作,以免觸電造成危險或損毀計算機硬件設備。
9、計算機出現重大故障,需要采購配件或較長時間維修時,系統管理員應準備備用機器給員工使用,重要資料及時備份;如果硬盤未損壞,送修前應卸載硬盤妥善保管以確保數據安全。
10、禁止工作時間內在計算機上做與工作無關的事,如玩游戲、聽音樂等。
11、員工不得利用公司郵件系統、微信、QQ等社交工具散播不利于公司言論或刻意泄漏公司機密。
12、員工離職時,系統管理員應及時核對計算機硬件配置信息,并對離職人員計算機中的公司資料信息備份刻盤。
II、計算機軟件管理制度
1、辦公類計算機軟件由集團統一配置和采購,數量較大的軟件項目采購應采取招標或議標方式,并經集團決策層批準。
2、軟件購置完畢后,品牌信息部做好驗收工作后,應及時做好軟件相關信息的登記錄入工作。
3、購置的軟件技術資料應歸檔保管。
4、加強對計算機軟件使用權限的管理。因業務需要開通使用權限,需經過相關的領導批準和審核,有系統管理員設置相應權限。
5、軟件一經安裝使用,未經系統管理員的同意,任何人不得將其卸載或者刪除。III、計算機病毒防范管理制度
1、所有計算機都應安裝防病毒軟件,并定期每周升級和殺毒,定期每月更新系統補丁,緊急補丁及時更新。
2、員工在工作中發現計算機有被病毒感染的跡象或因計算機病毒引起的計算機信息系統癱瘓、程序和數據嚴重破壞等重大事故時,應及時向系統管理員報告,并保護現場。
3、使用外來U盤等拷貝資料時,應先進行病毒檢測。
4、遠程傳輸的資料和程序,需經過殺毒檢測確認無病毒后方可使用。
5、禁止在辦公電腦安裝游戲軟件,上色情網站等容易感染病毒的非法操作。
6、對互聯網上來歷不明的電子郵件,下載附件后必須殺毒,不要直接打開附件,防止受到計算機病毒攻擊感染。
7、對互聯網上直接下載的資料,在使用之前都必須進行查毒殺毒,確保無破壞性病毒后才可以進行操作。
8、及時檢測、清理計算機系統中的病毒,無法清除的,應當迅速采取隔離控制措施,保護好重要數據,并及時向系統管理員報告。
IV、服務器數據安全管理制度
1、服務器UPS不間斷電源每季度都需要進行一次充放電檢查,確保負荷安全可靠,電池等設備工作穩定正常。
2、系統管理員負責定期備份更新服務器系統數據,并定期殺毒和防毒,及時下載最新的防病毒庫進行查殺病毒并做好殺毒記錄。
3、服務器應用系統等正常使用后,應及時的備份系統并刻錄光盤保存。
4、應用服務器,如OAERP等數據庫,應每天下班后17:30備份一次數據庫,在備份服務器中進行邏輯備份的驗證工作,經過驗證的邏輯備份存放在不同的物理設備中,每周五的數據進行加密刻盤,超過1年的刻盤數據應及時銷毀處理。
5、重要的服務器系統備份以及數據庫備份,應充分考慮到火宅地震等嚴重自然災害,做好相關備份的同時,應每月異地備份數據一份。
6、維護服務器日志以及網絡訪問日志,監控外來訪問和對外訪問情況,如有安全問題,應及時處理。
7、應用服務器密碼安全管理:包括ERP服務器、OA服務器、域服務器、郵箱服務器、視頻會議系統等。品牌信息部為確保服務器置于外網相對安全,針對每個服務器創建一個復雜的、不同的密碼,并每年更換一次新密碼,并做好相關的密碼更新記錄工作。
8、系統后臺數據只能由服務器系統管理員進行維護,若需外援時,必須在管理員的陪同下進行操作,其他終端用戶不得設置權限進入數據管理后臺。
9、當遇到服務器需要變更時,管理員應該做好詳細的變更記錄。如:程序變更、緊急變更、配置/ 參數變更、基礎架構變更、數據庫修改等。
10、個人計算機的備份統一由各部門自行負責,可使用移動硬盤、信息光盤等儲存介質進行安全備份。
V、網絡安全管理制度
1、從事計算機網絡信息活動時,必須遵守《計算機信息網絡國際聯網安全保護管理辦法》的規定,應遵守國家法律、法規,加強信息安全教育。
2、員工因公需要者除外,于公司內任何時間均不得瀏覽非法網站,包括色情網站、聊天室、BBS站、購物網站、游戲網站等等。
3、員工上班時間內除緊急情況之外,不得使用P2P等下載軟件下載與工作無關的視頻資料,以免造成網絡癱瘓。
4、禁止安裝一切與無關公司業務的軟件,如股票軟件等,嚴禁上班期間涉及私人事務,如炒股、網購等等。
5、請員工對自己賬號嚴格保密,系統管理員不負責因賬號泄漏而造成的與之相關的一切責任。
6、對于系統和網絡出現的異常現象,系統管理員應及時組織相關人員進行分析,制定處理方案,采取積極措施。針對當時沒有解決的問題或重要的問題應將問題描述、分析原因、處理方案、處理結果、及時制定出解決方案。
7、公司的無線WIFI等設備,應做好相關的權限設置和密碼設定,防止越權訪問以及信息泄露。
VI、手機信息安全管理制度
1、員工需配合系統管理員,在手機操作系統中裝入工作相關的APP軟件,例如OA、微信公共賬號、郵件等手機客戶端軟件。
2、為確保手機數據的安全,手機開機必須設定開機密碼,并定期進行修改以確保安全。
3、手機客戶端軟件中的賬戶和密碼,禁止勾選記住密碼以及自動登錄,防止手機遭到不法分子竊取后,非法詐騙和盜取重要資料信息。
4、手機被盜或者遺失后,應第一時間通知公司所有員工,并讓系統管理員更新賬號密碼,以確保數據安全。
5、微信企業號等與工作相關聯的社交工具,不發與工作無關的信息,不散播不利于公司言論或刻意泄漏公司機密。
五、違規操作賠償標準
1、違規操作者:沒有造成經濟損失的,給當事人和責任人口頭批評。
2、違規操作者:造成經濟損失的,需賠償相關的經濟損失,造成嚴重后果的,由人力資源中心根據公司其他相關制度進行處理。
六、附則
1、本制度由自公布之日起實施。
2、本制度有不妥之處在運行中修改并公布。
第三篇:信息安全管理
概述
1、信息安全定義:在技術上和管理上為數據處理系統建立的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因而遭至破壞、更改和泄露
2、分類:實體安全、運行安全、信息安全、管理安全
3、信息安全保障:人員、技術、管理
4、管理活動的五個基本要素:
誰來管:管理主體,回答由誰管的問題;
管什么:管理客體,回答管什么的問題;
怎么管:組織的目的要求,回答如何管的問題;
靠什么管:組織環境或條件,回答在什么情況下管的問題。
管得怎么樣:管理能力和效果,回答管理成效問題。
5、信息安全管理是通過維護信息的機密性、完整性和可用性等,來管理和保護信息資產的一項體制,是對信息安全保障進行指導、規范和管理的一系列活動和過程。
6、信息安全管理是信息安全保障體系建設的重要組成部分
7、信息安全管理的內容:安全方針和策略;組織安全;資產分類與控制;人員安全;物理與環境安全;通信、運行與操作安全;訪問控制;
第四篇:軍工集團信息安全管理的實踐與探索
軍工集團信息安全管理的實踐與探索
李 笑 林王為
中國航天科工集團公司信息管理中心
摘要:本文在參考國內外信息安全管理標準和規章制度的基礎上,結合本集團信息安全管理體系建設實踐經驗,從總體規劃、組織體系、規章制度、日常監督管理等方面探討軍工集團的信息安全管理體系建設。關鍵詞:軍工集團信息安全管理
1.引言
信息安全保障體系的建設主要有兩個方面:信息安全技術保障體系和信息安全管理體系。軍工集團對信息系統的安全性有很高的要求,必須充分分析各類安全風險并采取技術措施解決,但同時由于信息安全管理中人是決定因素,因此僅靠先進的信息安全技術和產品并不能完全保障信息系統的安全,只有建立有效的信息安全管理體系,才能有效地降低安全風險,建立起長效機制。目前在集團公司內部,信息系統是由信息化管理部門負責規劃、建設和維護的,本著“誰主管,誰負責”的原則,信息化管理部門承擔了主要的信息安全工作,本文是在參考國內外信息安全管理標準和規章制度的基礎上,結合日常工作實踐經驗,探討軍工集團的信息安全管理體系建設。
2.信息安全管理規劃
信息安全工作首先應從總體規劃開始,與信息化建設做到同步規劃、同步設計、同步實施。我集團根據《國家信息化領導小組關于加強信息安全保障工作的意見》等有關部委的文件,從2000年起制定了一系列的規章制度,要求集團各成員單位在編制信息系統建設方案時就結合本單位實際情況,同步規劃、設計涉密信息系統建設方案。在方案設計時就結合本單位實際情況進行安全風險分析,并確定技術措施,明確必須采用取得國家主管部門認可資質的信息安全產品。建設方案經集團公司批準后,各單位在系統建設中必須同步建設涉密信息系統的安全設計方案。在各單位信息系-1-
統正式運行前,都由上級單位信息化管理部門和保密部門共同到現場,從管理和技術兩方面檢查單位的信息安全管理制度是否完善和落實,技防、物防的各項措施是否到位,檢查通過并由集團公司保密委員會批準后,系統才能正式運行。集團公司的信息化管理部門和保密部門每年均對各單位的信息系統進行遠程或現場安全檢查,并通報檢查結果,要求發現問題的單位限期整改。信息系統的規劃、建設、維護全過程都納入集團信息安全管理體系,嚴格監督和管理。
3.組織體系
確定合適的安全組織機構能合理地協調各方面因素,實現安全組織的規范化、科學化,通過各級組織機構對集團成員單位的信息安全建設進行監督管理和檢查指導,能統一規劃全集團信息安全體系,保證安全策略有機整合,避免安全漏洞和重復投資。在部門之間,信息化管理部門在信息安全技術上主要負責,在安全管理上與本單位的保密部門、機要部門等相關部門協調合作,共同做好信息安全管理工作。
我集團設立了由集團副總經理擔任組長的信息安全領導小組,和由信息化管理部門、保密部門和辦公廳(機要管理部門)組成的信息安全辦公室,具體負責集團公司的信息安全管理工作。各主要軍品任務承擔單位也相應成立了信息安全領導小組和辦公室。在各級信息化技術部門均設置系統管理員、安全管理員、安全審計員,從管理結構設計上保證人員權限互相監督、互相制約。
4.規章制度
設立合適的信息安全主管機構,確定職責分工,反映了企業在信息安全管理方面的決心。此后必須制定相應的規章制度、管理辦法等,這反映了企業的信息安全策略,同時嚴格的安全管理制度可以保證各類人員正確執行信息安全策略,落實安全保密要求,減少人為因素影響。
由于我集團的高安全性、高保密性要求,信息化管理部門、保密部門、機要部門都根據國家部門的相關規章制度制訂了多個關于信息安全的內部管理辦法,包括人員崗位職責、涉密信息系統管理辦法、移動存儲介質管理辦法等。為了加強對信息化建設過程中外部人員的監管,確保在各系統建設過程中,國家秘密不被非法竊取或無意泄露,集團公司還制訂下發了《加強對外部技術支持人員保密管理的通知》,通知中規定了對外部人員的工作全過程監督,禁止外部工作人員單獨在內網系統中進行各種操作,禁止外部工作人員接觸涉密信息,監督人員填寫工作記錄,并由監督人員和
外部工作人員簽字確認等要求。
目前國際上比較通用的信息安全管理參考資料是由英國標準協會(BSI)制定的信息安全管理體系標準BS-7799。它包括兩部分,第一部分《信息安全管理實施規則》主要提供了綜合的、由信息安全慣例組成的實施規則,其目的是作為確定企業信息系統在大多數情況下,所需控制范圍的參考基準。第二部分《信息安全管理體系規范》詳細說明了建立、實施和維護信息安全管理體系的要求,提出了應該如何建立信息安全管理體系的步驟,注重過程管理模式,建議公司將信息安全管理體系與其他管理體系進行整合,并持續改進其有效性。BS-7799標準總的來說并不完全適用于中國的軍工集團,其考慮到標準的普遍適用性,所以在細節上并不明確,同時在保密方面要求較少,但其對信息安全管理體系的建立有一定的指導作用。我們計劃參考BS-7799標準,根據國家各部門文件的精神、要求,結合本集團實際情況制訂企業的信息安全戰略,編寫信息安全實施手冊等文檔。通過制定信息安全規章制度,編寫各種層次的信息安全體系文件,構建信息安全管理體系框架。這是建立信息管理體系的重要基礎性工作。主要包括如下幾類文件:
(1)管理總則
總則是集團公司為滿足安全需要而選擇的控制目標和控制方式的說明性文件,在文件中主要明確公司的信息安全要求(包括風險評估、法律法規、業務三方面),選擇控制目標與控制方式。管理總則是制定公司信息安全技術策略、管理策略,建立組織機構的依據。
(2)信息安全管理要求
管理要求主要是闡明集團公司的信息安全管理方針,描述信息安全管理體系的文件。在手冊中包括信息安全方針的闡述、信息安全管理體系的范圍、信息安全策略的描述、控制目標與控制方式的描述、關于手冊修改與控制的規定等。企業員工可以通過信息安全管理手冊明確公司在信息安全方面的要求。
(3)程序文件
信息安全管理程序主要有安全控制程序、管理與運作程序等,如數據備份、風險評估等工作任務,程序文件應描述信息安全管理各種工作任務的責任及相關活動,說明工作任務的目的、內容、負責人、時間、地點、要求等,是信息安全政策的支持性文件。程序文件中說明了企業不同工作崗位員工在信息安全方面的職責和工作。
(4)作業指導書
作業指導書是程序文件的支持性文件,描述如何完成某項工作任務的具體做法,包括規范、指南、操作流程等,是任務如何完成的具體指導。
(5)工作記錄
工作記錄是信息安全管理體系運行的證據,信息安全記錄內容與格式應該符合各程序的實際并反映結果,應有追溯性,并可以進行審計分析。
(6)應急響應預案
應對企業面臨的安全風險充分分析,制訂信息安全應急響應預案,對可能發生的病毒流行、黑
客攻擊等各種潛在威脅制訂響應策略。
5.日常信息安全管理
由于信息安全的脆弱性,除了在系統設計上增加安全功能,完善系統的安全保密措施外,還應高度重視和加強提倡安全管理,因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面,而這又是信息安全所必須考慮的基本問題,我集團的日常信息安全管理主要基于以下三個原則。
(1)多人負責原則
集團公司信息管理中心設置網絡系統管理員、數據庫管理員、安全管理員和安全審計員,實行各崗位雙崗制,負責集團總部計算機信息系統的安全管理工作。每一項與信息安全有關的活動,都必須有兩人或多人在場。這些人都是經過保密部門審查,忠誠可靠,能勝任此項工作,每項日常工作都設立工作日志。以下是幾項與安全有關的活動:
?
?
?
? 應用系統管理,包括數據備份、權限設置等; 信息系統硬件和軟件的維護; 信息系統軟件的設計、實現和修改; 重要程序和數據的刪除和銷毀等。
(2)任期有限原則
一般情況下,技術人員不長期擔任與安全有關的職務,遵循任期有限原則。通過工作人員不定期地輪崗任職,實行休假制度,對工作人員進行輪流培訓等,便于監督和管理。同時根據人員調動和解聘的情況,對工作調動和離職人員要及時調整相應的授權。
(3)職責分離原則
要求工作人員不要打聽或參與職責以外的任何與系統權限、安全管理有關的事情,除非主管領導批準。出于對安全的考慮,下面每組內的兩項工作均分開進行:
?
?
?
? 系統開發與系統管理; 系統管理與安全管理; 安全管理與審計; 介質使用與介質銷毀等。
建立規章制度目的是減少企業組織對人為的依賴,并運用分工、合作的方法處理工作中出現的各種問題,提高工作效率。要實現管理制度的目的,使制度真正發揮作用,日常的管理、監督檢查
是非常重要的。在日常信息安全管理工作中,以表格等形式建立各種工作記錄,使信息安全工作有據可查、工作規范化。工作記錄主要包括以下六類:
(1)信息安全工作日志,內容主要包括各安全設備的運行情況,維護升級等;
(2)審計工作日志,內容主要包括對各類日志的審計分析,對安全員工作的審計;
(3)安全風險評估記錄;
(4)信息安全運行分析報告;
(5)安全事件處理記錄;
(6)設備授權、更改記錄單,如防火墻策略更改記錄。
6.結語
在信息安全管理體系的建設過程中,規劃是信息系統安全管理體系建立的基礎保證,信息安全管理組織機構的建立是組織保障,規章制度是進行信息安全管理的指導原則,日常管理是保證制度執行的有效手段。人員是信息安全管理的核心,信息安全人員的管理和培訓無疑是非常重要的,歸根到底組織機構的建立、規章制度的建立和執行都是要靠人來完成的,提高全集團工作人員的信息安全意識是建立信息安全保障體系的重要工作。軍工集團的信息安全管理是一個復雜的管理體系,必須不斷根據文件要求和技術發展及時動態調整,并融入企業其他管理體系相融合,才能真正有效地建立企業信息安全保障體系。
參考文獻
[1]《BS-7799 第一部分 信息安全管理實施規則:1999》(ISO/IEC 17799-2000)
[2]《BS-7799 第二部分 信息安全管理體系規范:1999》
[3]《ISO/IEC 21827-2001 系統安全工程能力成熟模型2.0b》
[4]《GB/T18336信息技術安全性評估準則》(ISO/IEC15408)
[5]《信息安全管理 全球最佳實務與實施指南》 孫強、陳偉、王東紅等著,清華大學出版社,2004年10月
The Practice and Exploration of Information Security Management in Military Industrial Conglomerates
Abstract:
After consulting the information security management criteria and regulations both at home and abroad and summarizing the practice of information security management in the Conglomerate, the thesis intends to probe into the establishment of an information security management system in military industrial Conglomerates in terms of general planning, organization system, regulations and routine supervision.Key Words: military industrial Conglomerateinformation security management
第一作者簡介:
姓名:李笑林年齡:55歲職務:副主任
工作單位:中國航天科工集團公司信息管理中心
聯系電話:68370474電子郵件:li_xiaolin@casic.com.cn
作者簡介:現在中國航天科工集團公司信息管理中心負責全集團信息化管理方面工作。
第五篇:信息安全防病毒管理
防病毒管理程序
1目的保護組織的信息系統和計算機,預防病毒與各種惡意軟件的入侵,保障業務系統和日常工作的正常進行。
2范圍
公司所有的信息和信息設備。
3術語和定義
惡意代碼:是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。
移動代碼:是指以某種方式傳遞到客端計算機上并執行的程序代碼。4職責和權限
XXX部負責公司的防病毒工作,負責防病毒軟件的安裝、病毒庫的更新管理及提供其它相關技術性支持。
其他各部門具體負責本部門的防病毒及相關預防措施的實施。
5相關活動
5.1 軟件安裝
由XXX部負責,確定公司的防病毒軟件,并組織安裝。并設置防病毒軟件在計算機系統啟動時自動執行。
其他各部門和員工不得私自安排防病毒軟件。
5.2 掃描和升級
每臺計算機和服務器,每天應全面掃描一次病毒;
要啟用殺毒軟件的自動升級病毒庫功能,并設定自動升級的時間,安裝了網絡版殺毒軟件客戶端的接受防病毒服務器的統一管理,及時從防病毒服務器下載最新病毒庫進行更新;
插入計算機的軟盤、光盤和其它介質要做病毒檢查,對電子郵件和從互聯網下載的文件做病毒檢查;
對新購置的計算機軟件在使用前也要進行病毒檢測;
禁止從任何不可靠的渠道下載任何軟件,對安全下載的軟件在安裝前先做病毒掃描。
5.3 殺毒日志
對殺毒日志要自動記錄,并保存相關記錄,以備審核。
5.4病毒事件響應
當發現不可清除的病毒和異常情況時,要及時報告XXXX部,報告的內容包括: ?
?
?
?
?
? 系統運行速度比平時明顯變慢; 有打印、顯示異常現象; 文件夾下有不明的文件自動生成; 磁盤空間自動產生壞簇或磁盤空間無故減少; 系統文件無故丟失; 系統異常死機的次數增加;
XXX部要及時對用戶報告的病毒事件進行響應,并記錄病毒檢測和處理的情況,填寫《信息安全事件報告記錄》。為以后問題的處理提供幫助。
5.5 預防通知
XXX部應收集、整理、分析的新病毒信息;必要時發出通知,描述新病毒的名稱、特征和危害;
及時升級病毒庫,通知所有工作人員應及時升級病毒庫。
6相關文件和記錄
信息安全事件管理程序
點擊咨詢 