第一篇:淺談如何加強企業(yè)信息安全風險管理
淺談如何加強企業(yè)信息安全風險管理
摘要:隨著全球信息化程度的提高,企業(yè)信息化程度也隨之提高,企業(yè)信息安全風險管理也顯得越發(fā)重要。企業(yè)網絡的安全防范對于企業(yè)來說也是不容忽視的。本課題研究了企業(yè)所面臨的信息安全風險,試圖從企業(yè)管理的各個主要環(huán)節(jié)入手進行分析,認為可以構建一個安全的企業(yè)網絡。
關鍵詞:企業(yè)、信息安全、風險、管理
前言
隨著國內經濟建設的持續(xù)發(fā)展和知識經濟模式的到來,企業(yè)得以高速發(fā)展,企業(yè)管理水平也亟待提高,不少企業(yè)也正以一種前所未有的熱情來致力于企業(yè)內部管理素質與效率的提高;信息化的管理手段在網絡經濟迅速發(fā)展的時代顯得尤為重要。
第一章:企業(yè)信息安全管理的重要性
信息化已經成為一個大型企業(yè)的發(fā)展戰(zhàn)略,只有實現(xiàn)信息化,企業(yè)才有可能抓住機遇,實現(xiàn)企業(yè)的快速、健康發(fā)展。信息在企業(yè)的經營和發(fā)展中的作用由此可窺一斑,有時候信息甚至可以左右一個企業(yè)的存亡。如今,企業(yè)之間以及企業(yè)內部的信息傳遞越來越依賴于網絡。在寬帶網絡建設得到飛速發(fā)展,信息得到快速傳遞的同時,因為企業(yè)信息安全問題而倒閉或蒙受巨大經濟損失的案例也不勝枚舉。2010年1月12日,baidu.com域名被劫持,此次網站被“黑”事件創(chuàng)下了百度創(chuàng)建以來最大的一次斷網事故,也給民眾和各企業(yè)敲響了警鐘:網絡信息安全問題不可忽視。
隨著互聯(lián)網的發(fā)展和網絡技術的不斷進步,企業(yè)信息安全問題已經成為每一個企業(yè)面對生死存亡必須要考慮的一個問題。由于互聯(lián)網的開放性和通信協(xié)議原始設計的局限性的影響,企業(yè)信息因為諸多方面的原因容易造成外泄,給公司的正常運營帶來安全隱患。企業(yè)在充分利用網絡資源,享受信息傳遞的方便快捷的同時,降低企業(yè)安全信息管理風險顯得尤為重要。
第二章:企業(yè)信息安全面對的風險
一、企業(yè)外部人員的信息竊取;內部服務器被非法訪問,破壞傳輸信息的完整性。
黑客、木馬的破壞性,相信很多企業(yè)的CTO都感受頗深。很多企業(yè)的局域網設計、辦公自動化(OA)系統(tǒng)都存在著或多或少的漏洞。網絡布線之后,局域網沒有經過深思熟慮的規(guī)劃,路由器密碼為空或者沒有經過修改,網關設臵過于簡單等等。辦公自動化(OA)系統(tǒng)方面,權限管理過于簡單或者基本沒有,用戶名及密碼明文傳輸等等,都會給日后的使用,埋下隱患的種子。
二、企業(yè)內部人員的故意或過錯而造成的商業(yè)機密泄漏。黑客的攻擊,或許只會對企業(yè)的局域網、以及辦公系統(tǒng)帶來破壞,很少能夠有目的地,如其所愿地獲取所希望的信息。企業(yè)核心信息的泄露,很大一部分,要歸咎于企業(yè)內部管理的不規(guī)范,或者內部員工的有目的的向競爭對手提供企業(yè)重要信息。
企業(yè)的核心數據,也就是所謂的商業(yè)機密,一定要保證,除了核心管理層之外的人員,其他員工無權獲取。對商業(yè)機密的保護不夠重視,或者對企業(yè)信息訪問權限缺乏強有力的約束,以及權限管理不健全,都會帶來企業(yè)核心數據信息的外泄,無論是有意還是無意,都會給企業(yè)帶來無法估計的損失。
因此,面對企業(yè)信息安全所面臨的威脅,企業(yè)必須把信息安全風險降到最低,避免因企業(yè)信息外泄或被竊而給企業(yè)帶來不可估量的損失。對當今的企業(yè)而言,必須通過加強企業(yè)信息安全風險管理,對可
3預見的風險加強防范,維護企業(yè)信息安全,避免造成不必要的損失,在保證企業(yè)信息正常流轉的同時,保障企業(yè)的正常運行。
企業(yè)信息化建設的概念是發(fā)展的,它隨著管理理念、實現(xiàn)手段等因素的發(fā)展而發(fā)展。因而管理也是企業(yè)信息安全得到保證的重要組成部分,也是防止來自內部網絡入侵必需的重要部分。管理混亂、安全管理制度不健全等都可能引起企業(yè)信息安全風險。即除了從技術下功夫外,還得依靠管理來實現(xiàn)。
應對企業(yè)信息安全風險不只是給電腦設臵密碼,安裝殺毒軟件那么簡單,這需要企業(yè)的每一位員工以每一件小事,每一個細節(jié)為出發(fā)點,從工作的方方面面加強防范。加強企業(yè)信息安全風險管理,要求企業(yè)每位員工提高安全防范意識。
第三章:如何降低企業(yè)信息安全的風險
一、制定企業(yè)信息安全規(guī)范,并嚴格加以執(zhí)行。
企業(yè)要重視局域網規(guī)劃,完善網絡設計、建設,首先從網絡層面規(guī)范信息安全要求。企業(yè)內部的網絡使用方面,要求員工不要隨意到網上下載軟件、不要打開不明郵件附件等等。企業(yè)內部管理人員或員工應該設臵用戶口令,并且保證該口令不會因為過于簡單而容易破解,并明確權限管理,把責任落實到個人,禁止信息泄密。
二、警惕對企業(yè)內部不滿的員工和已離職員工。
員工離職之后及時更換管理員用戶名及口令等信息。防止員工在把內部網絡結構、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風險而造成經濟損失。
三、加強對員工企業(yè)信息安全方面的培訓。
提升安全技能,并通過運用企業(yè)信息方面危機的事例分析,逐步培養(yǎng)企業(yè)人員信息安全意識,使員工充分認識企業(yè)信息安全風險防范的必要性和重要性,并注重提高處理計算機系統(tǒng)安全問題的能力。
四、提高對計算機安全的重視程度。
企業(yè)網絡管理人員應定期對計算機進行安全檢查,并選擇最適合自己公司需要的管理軟件。
加強企業(yè)信息安全風險管理還要求企業(yè)員工從身邊的細節(jié)加強防范,在日常工作中對辦公郵箱加強管理,經常更換登錄密碼,并對重要數據進行備份。打印紙不隨意丟棄,過期文件及時銷毀。
結論
通過以上措施,我們基本上可以從里到外,從上級管理者到普通員工之間,形成一個立體的信息防護網,保護企業(yè)的重要信息不外泄,形成了企業(yè)信息安全的立體化防護。
第二篇:企業(yè)信息安全管理 先從內網管理著手
企業(yè)信息安全管理先從內網管理著手
隨著互聯(lián)網技術在企業(yè)的中大規(guī)模運用,現(xiàn)代化企業(yè)已經離不開網絡,但是由于許多企業(yè)網絡管理意識薄弱,越來越多的網絡問題就在不斷危害著企業(yè)的利益。網絡問題會給企業(yè)帶來什么樣的危害呢?小草上網行為管理軟路由從眾多企業(yè)的反饋中,收集整理了一些。
首先員工對互聯(lián)網的濫用使企業(yè)的生產力嚴重流失、工作效率降低。使用QQ、MSN等即時通信工具是目前最為普遍的網絡使用形式之一。上自企業(yè)管理者,下至普通員工,均對此情有獨鐘。大量的時間被用來聊天、處理私事,經由聊天工具傳播的病毒、惡意軟件更是不勝枚舉。企業(yè)花巨資打造的信息化工作平臺成為員工的私人領地和病毒桃花源。
P2P等下載軟件導致關鍵業(yè)務應用帶寬無法保證。P2P下載技術使人們可以高速獲取海量的網絡資源,員工可以通過這些下載工具以最快捷的方式獲得自己喜歡的資源(主要是影音娛樂文件)。企業(yè)組織有限的帶寬資源成為這些員工獲取娛樂享受的專用通道,一條條專用通道的建立使企業(yè)組織的IT系統(tǒng)建設事倍功半。
通過 E-mail、MSN或者移動硬盤造成文件流失、泄露。現(xiàn)在越來越多的泄密事件在網上流傳,比如前段時間,由于一封著名企業(yè)的高管發(fā)給同事的內部郵件不慎泄露,其中相關內容在企業(yè)內部及業(yè)內均造成了重大影響,直接致使該高管離職。
這些泄密事件表明:通過論壇、外發(fā)郵件等導致的組織內部機密信息泄漏事件的發(fā)生越來越普遍,企業(yè)所建立的機密文件管理體系形同虛設。
網頁和郵件中潛伏著病毒、木馬、間諜程序。調查發(fā)現(xiàn),很多病毒事件是因為員工訪問一些非法網頁、BBS論壇或下載通過即時通信軟件傳播的文件而引發(fā)的。這些病毒程序不僅會降低系統(tǒng)效率、侵占網絡帶寬,而且會使企業(yè)組織的網絡門戶洞開,受到各種形式的威脅,從而使企業(yè)網絡處于高風險和不穩(wěn)定的狀態(tài),企業(yè)組織網絡成了病毒實驗所。
面對這些問題,小草上網行為管理軟路由能夠輕松管理P2P軟件下載、P2P視頻、在線電影、網絡電視;針對帶寬擁堵難題,還可以智能分配帶寬,同時能夠根據總流量的限制合理管控帶寬資源使用,更出色的是還可以為企業(yè)關鍵業(yè)務設置優(yōu)先級帶寬使用,從而最大程度保障公司業(yè)務流通順暢。
小草上網行為管理軟路由能夠幫助企業(yè)管理者管控網絡濫用問題,防止網絡攻擊、黑客入侵,提升網絡使用效率,提高員工的工作效率。
第三篇:企業(yè)信息安全保密制度
企業(yè)集 團 管 理 制 度
信息安全保密制度
(2016初稿)/ 9
上海企業(yè)經營管理股份有限公司
信息安全保密制度 第一章 總 則
第一條 根據國家相關規(guī)定,結合《企業(yè)知識產權管理規(guī)范》及具體情況,為保障公司整體利益和長遠利益,使公司長期、穩(wěn)定、高效地發(fā)展,適應激烈的市場競爭,特制定本制度。
第二條 本規(guī)定是安全保密、知識產權及專利保護工作的依據和準則。各部室要把安全保密工作列入工作規(guī)劃,使安全工作落到實處。
第三條 公司秘密是關系公司權力和利益,依照程序只允許特定時空范圍的人員知悉的事項,包括但不限于技術專利、財務、人事和其他商業(yè)機密。技術秘密是指能為公司帶來經濟利益、具有實用性的技術信息、設計方案等,包括但不限于:技術信息、工程設計、科研專利、知識產權等等。財務秘密包括但不限于公司經營的財務、資產及相關統(tǒng)計數字。人事秘密主要是與公司人力資源現(xiàn)狀、招聘計劃、員工隱私、勞資狀況等相關的信息。包括但不限于:人事檔案、合同、協(xié)議、職員工資性收入、招聘計劃等。日常秘密主要包括不限于:日常文件文檔、資料等。商業(yè)秘密包括但不限于:客戶名單、定價政策、財務資料、進貨渠道,等等。
第四條 公司所有職員、外派人員都有保守公司秘密的義務。接觸到公司秘密的高級員工,如:管理人員、技術人員、財務人員、秘書等負有特別的保秘責任。
第五條 保密工作實行安全、便利可行、積極預防的工作方針。保密范圍和密級確定: / 9
第六條 公司秘密包括本制度第三條規(guī)定的及下列秘密事項:(一)公司重大決策中的秘密事項;
(二)公司尚未付諸實施的經營戰(zhàn)略、方向、規(guī)劃及決策等;(三)公司內部掌握的合同、協(xié)議、意見書及可行性報告;(四)公司財務預決算報告及各類財務報表、統(tǒng)計報表;(五)公司職員人事檔案,工資性、勞務性收入及資料;(六)公司科研專有技術、專利、知識產權、工程設計、等等;(七)其他經公司確定應當保密的事項。
第七條 公司秘密的密級分為“絕密”、“機密”、“秘密”三級。
絕密是最重要的公司秘密,泄露會使公司權益和利益遭受特別嚴重損害;機密是重要的公司秘密,泄露會使公司權益和利益遭受到嚴重損害;秘密是一般的公司秘密,泄露會使公司權力和利益遭受損害。
第八條 秘級的確定:
(一)公司經營發(fā)展中,直接影響公司權益和利益的重要決策文件、技術資料、技術專利等為絕密級;(二)公司的規(guī)劃、財務報表、統(tǒng)計資料、重要會議記錄、公司經營情況為機密級;(三)公司人事檔案、合同、協(xié)議、職員工資性收入、尚未進入市場或尚未公開的各類信息為秘密級。
第九條 秘密級別由董事會秘書辦公室依據第七條確定,并確定保密期限:分永久、長期、短期,一般與密級相對應,特殊情況外標明。保密期限屆滿,自行解密。/ 9
第十條 發(fā)現(xiàn)已經或者可能泄露秘密時,應立即采取補救措施并報告主管部室或公司領導;主管部室或領導接到報告,應及時處理。
第十一條 本制度規(guī)定的泄密是指下列行為之一:(一)使秘密被不應知悉者知悉的;(二)使秘密超出接觸限定范圍,而不能證明未被不應知悉者知悉的。
第二章 日常保密管理規(guī)定
第十二條 日常保密包括但不限于文印文檔、資料、人事及其他保密事項等。辦公室為日常保密工作管理部室。辦公室主要保密職責:
(一)根據法律及上級公司規(guī)定,結合公司實際制定安全保密管理規(guī)定,并監(jiān)督實施;
(二)負責組織宣傳安全保密管理規(guī)定、制度,組織培訓學習公司有關保密安全條例;
(三)制定并落實人事、檔案保密管理措施;
(四)配合其他部室完成技術、財務、商業(yè)等保密的管理、監(jiān)督和檢查工作;(五)嚴格機要、文印人員、招聘選拔;
(六)對安全保密突發(fā)事件應急處理,日常安全保密工作的監(jiān)督;協(xié)助公司領導完成保密工作檢查、獎懲及與之相關的活動等;
(七)承辦上級領導交辦的其他保密事項。
第十三條 日常保密工作,各部室、各崗位應做到:
(一)領導干部、部室負責人、專業(yè)組長:增強保密意識、以身作則,模范遵守保密規(guī)定,落實保密責任。做到:不泄露知悉的公司秘密;不在無保密保障的/ 9
場所閱辦秘密文件、資料;不在家屬、親友、熟人和其他無關人員面前談論公司秘密事項;不攜帶秘密文件、資料參加社交活動;不在出訪、考察等外事活動中攜帶秘密文件、資料;閱辦完秘密文件及時清退、歸檔;審校、簽發(fā)文件及稿件時,要把好定密關;下級發(fā)生泄密問題后,及時上報、設法補救,不掩蓋包庇。
(二)員工應做到:不該說的秘密不說;不該問的秘密不問;不該看的秘密不看;不該記錄的秘密不記錄;不在非保密本上記錄秘密;不在公共場所和家屬、子女、親友面前談論公司秘密事項;不在不利于保密的地方存放秘密文件、資料;不攜帶秘密材料游覽、參觀、探親、訪友和出入公共場所;不在私人交往中泄露公司秘密。日常保密措施:
第十四條 健全收發(fā)文制度,各部室要有專人負責文件、設計圖紙、技術檔案等機密文件的管理和清退工作,發(fā)現(xiàn)秘級文件資料丟失、被竊、泄密時,須立即報告,及時追查、力挽損失。
第十五條 檔案管理按照質量管理體系文件中有關規(guī)定執(zhí)行。
第十六條 有秘密內容的會議或活動,主辦部門應采取措施:
(一)選擇具備保密條件的會議場所,嚴禁使用無線話筒傳達密件或向室外擴音;
(二)根據需要,限定參會人員的范圍,指定參會人員;(三)依照規(guī)定使用會議設備和管理會議文件;
(四)規(guī)定不準記錄的會議內容,不得記錄,不攜帶錄音機進入會場錄音;不以任何形式對外泄露會議秘密內容,會議結束后,要對會議場所進行保密檢查;/ 9
嚴禁濫印、復印會議秘密文件資料,確需要復制的須經批準。
第十七條 文印崗人員應該做到:
(一)復印的秘密文件:需經批準后才能復印;嚴格控制份數,復印件要按原件一樣管理;
(二)嚴格保管承印的秘密文稿、資料及有秘密內容的磁盤、錄音筆等;對會議記錄和有關文件、資料嚴加保管,及時立卷歸檔;
(三)嚴格遵守保密紀律,打印、復印涉密文稿的內容不得傳播,不得讓無關人員閱看,不私自多印留存;
(四)打印的密件廢頁、圖紙廢頁、蠟紙應及時處理,不讓無關人員閱看;發(fā)現(xiàn)密件丟失或下落不明,要立即報告,并抓緊查找,采取補救措施。定期檢查、清理、清退、銷毀文件;嚴防將秘密文件、資料和文件底稿隨同舊報紙等出售。
第十八條 對于密級文件、資料設計圖紙、方案、技術標準和其他物品,須采取保密措施:
(一)非經批準,不得復制和摘抄;收發(fā)、傳遞和外出攜帶,由指定人員擔任,并采取必要的安全措施;
(二)在設備完善的保險裝置中保存;
(三)如有與質量管理體系中規(guī)定相左之處,以后者為準。第十九條 如有必要公司應與相關人員簽訂《保密合同》。
第三章 商業(yè)保密管理規(guī)定
第二十條 商業(yè)保密包括但不限于:客戶信息、采購資料、定價政策、財務資料、進貨渠道、投標信息、經營策略等。
第二十一條 市場部為商業(yè)保密的主管部門,辦公室及其他部門配合市場部/ 9
完成商業(yè)保密管理。市場部主要保密職責:
(一)制定商業(yè)保密管理有關規(guī)范、制度,并組織實施、監(jiān)督;(二)組織宣傳、培訓商業(yè)管理規(guī)定;
(三)負責本部門保密管理工作,監(jiān)督其他部門管理工作;(四)負責商業(yè)泄密事件的應急、調查、處理、處罰工作;
第二十二條 涉及公司商業(yè)秘密的合作、代理、交易合同或協(xié)議,依據情況設置相關“保密條款”,限制對方行為。
第二十三條 市場部有關人員不可將商業(yè)秘密透露給任何第三方或用于合同目的以外的用途,離職、辭職時,要及時交出相關資料,同時不得泄露公司經營秘密;不可在對外接受訪問或者與任何第三方交流時泄露秘密內容。
第四章 財務保密管理規(guī)定
第二十四條 財務保密工作包括但不限于資產、財務統(tǒng)計數字及工資及其他報表的保密。
第二十五條 財務部為財務保密的歸主管部門,市場部、辦公室及其他部門配合財務部落實財務保密工作。財務部主要保密職責:
(一)根據法律及上級單位規(guī)定,結合實際制定財務保密規(guī)范;(二)組織本部門員工學習并執(zhí)行財務保密制度的有關規(guī)定;(三)負責組織宣傳保密、安全管理規(guī)定、規(guī)范,組織培訓學習公司有關保密安全規(guī)定;
(四)負責本部門保密管理工作,監(jiān)督其他部門管理工作; / 9
(五)負責財務泄密事件的應急、調查、處理、處罰工作;
第五章 計算機與互聯(lián)網信息保密管理規(guī)定
第二十六條 IT部要健全各項信息保密管理制度,強化機房計算機的應用管理。凡秘密數據的傳輸和存貯均應采取相應的保密措施,錄有文件的存貯設備要妥善保管,嚴防丟失。
(一)保障公司計算機及其相關的配套設備、設施的安全,保障信息的安全,保障計算機功能的正常發(fā)揮,維護計算機信息系統(tǒng)的安全性。應及時發(fā)現(xiàn)安全隱患,及時提出解決方案,及時處理解決問題;
(二)新用戶登記時,應認真核實其身份,并詳細記錄用戶的相關信息。員工不允許將公司“用戶信息和網絡密碼”告知非本公司人員。員工離開本公司,IT部應注銷該員工的所有用戶信息;
(三)對于安全性較高的信息,需要嚴格管理。無論是紙張形式還是電子形式,均要落實到責任人。嚴禁將工作中的數據文檔帶離。
(四)企業(yè)研發(fā)的各辦公系統(tǒng)的數據內容要嚴格把關;IT部要將審核后的內容準確、安全、即時地上傳至托管服務器。
(五)加強計算機系統(tǒng)的保密安全管理。對涉密與非保密計算機予以明確區(qū)分,涉密機必須完全與局域網脫離連接,并禁止上因特網以防泄密。并采取身份認證、存儲傳輸加密、配置防視頻泄密干擾器等措施加強保密防范。
第二十七條 屬于公司秘密的信息、資料和其它物品的制作、收發(fā)、傳遞、使用、復制、摘抄、保存和銷毀,由辦公室或主管領導委托專人執(zhí)行;采用電腦技術存取、處理、傳遞的公司秘密由IT部門負責保密。/ 9
第二十八條 計算機房內,禁止無關人員逗留、參觀,嚴禁會客。
第六章 罰則 和 獎則
第二十九條 公司對在安全保密工作中做出突出成績的個人和部室給予獎勵。
第三十條 對未按本《規(guī)定》進行管理或管理不善造成秘密泄漏的,除對直接責任者按規(guī)定給予相應處理外,還將追究所屬部室主要負責人的責任,并對直接責任者和所屬部室給予相應的經濟處罰。
第三十一條 對無視本《規(guī)定》,以謀取個人或小集團利益為目、蓄意泄漏秘密的,造成重大損失和嚴重后果的,將依《中華人民共和國刑法》追究法律責任。
第三十二條 保密管理人員因玩忽職守使秘密泄漏造成經濟損失,削弱競爭能力的,視情節(jié)輕重給予不同程度的行政處分和經濟處罰,明知故犯者加重處罰。對違反本《規(guī)定》,使單位秘密泄露,造成直接或間接經濟損失的,由公司保衛(wèi)部及所屬管理部門負責調查核實,并提出處理意見,報公司領導批準后執(zhí)行。
第七章 附 則
第三十三條 本《規(guī)定》自發(fā)布之日起執(zhí)行。第三十四條 本規(guī)定的解釋權屬于本公司保衛(wèi)部。/ 9
第四篇:企業(yè)信息安全管理辦法
信息安全管理辦法
第一章 總則
第一條
為加強公司信息安全管理,推進信息安全體系建設,保障信息系統(tǒng)安全穩(wěn)定運行,根據國家有關法律、法規(guī)和《公司信息化工作管理規(guī)定》,制定本辦法。
第二條
本辦法所指的信息安全管理,是指計算機網絡及信息系統(tǒng)(以下簡稱信息系統(tǒng))的硬件、軟件、數據及環(huán)境受到有效保護,信息系統(tǒng)的連續(xù)、穩(wěn)定、安全運行得到可靠保障。
第三條
公司信息安全管理堅持“誰主管誰負責、誰運行誰負責”的基本原則,各信息系統(tǒng)的主管部門、運營和使用單位各自履行相關的信息系統(tǒng)安全建設和管理的義務與責任。
第四條
信息安全管理,包括管理組織與職責、信息安全目標與工作原則、信息安全工作基本要求、信息安全監(jiān)控、信息安全風險評估、信息安全培訓、信息安全檢查與考核。
第五條
本辦法適用于公司總部、各企事業(yè)單位及其全體員工。
第二章 信息安全管理組織與職責
第六條
公司信息化工作領導小組是信息安全工作的最高決策機構,負責信息安全政策、制度和體系建設規(guī)劃的審批,部署并協(xié)調信息安全體系建設,領導信息系統(tǒng)等級保護工作。
第七條
公司建立和健全由總部、企事業(yè)單位以及信息技術支持單位三方面組成,協(xié)調一致、密切配合的信息安全組織和責任體系。各級信息安全組織均要明確主管領導,確定相關責任,設置相應崗位,配備必要人員。
第八條
信息管理部是公司信息安全的歸口管理部門,負責落實信息化工作領導小組的決策,實施公司信息安全建設與管理,確保重要信息系統(tǒng)的有效保護和安全運行。具體職責包括:組織制定和實施公司信息安全政策標準、管理制度和體系建設規(guī)劃,組織實施信息安全項目和培訓,組織信息安全工作的監(jiān)督和檢查。
第九條
公司保密部門負責信息安全工作中有關保密工作的監(jiān)督、檢查和指導。
第十條
企事業(yè)單位信息部門負責本單位信息安全的管理,具體職責包括:在本單位宣傳和貫徹執(zhí)行信息安全政
策與標準,確保本單位信息系統(tǒng)的安全運行,實施本單位信息安全項目和培訓,追蹤和查處本單位信息安全違規(guī)行為,組織本單位信息安全工作檢查,完成公司部署的信息安全工作。
第十一條
技術支持單位在信息管理部的領導下,承擔所負責的信息系統(tǒng)和所在區(qū)域的信息安全管理任務,主要包括:在所維護系統(tǒng)和本區(qū)域內宣傳和貫徹信息安全政策與標準,確保所負責信息系統(tǒng)的安全運行。
第十二條
各級信息管理部門設立信息安全管理和技術崗位,包括信息安全、應用系統(tǒng)、數據庫、操作系統(tǒng)、網絡負責人和管理員,重要崗位可設置兩個員工互為備份。
第十三條
信息安全崗位的設立應遵循職責分離的要求,包括:制度監(jiān)督者與執(zhí)行者分離,信息系統(tǒng)授權者與操作者分離,應用系統(tǒng)管理員與數據庫管理員分離,程序開發(fā)人員不應具備對生產環(huán)境的訪問權限。
第十四條
公司員工必須嚴格遵守公司信息安全政策、管理制度、技術標準和信息系統(tǒng)控制要求,承擔相關安全義務和責任,并及時報告信息安全事件。
第三章 信息安全目標與工作原則
第十五條
信息安全工作的總體目標是:實施信息系統(tǒng)安全等級保護,建立和健全先進實用、完整可靠的信息安全體系,保證系統(tǒng)和信息的完整性、真實性、可用性、保密性和可控性,保障信息化建設和應用,支撐公司業(yè)務持續(xù)、穩(wěn)定、健康發(fā)展。
第十六條
信息安全體系建設必須堅持以下原則: 堅持統(tǒng)一。信息安全體系必須統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一設計、統(tǒng)一投資、統(tǒng)一建設、統(tǒng)一管理。
保障應用。保障網絡和信息系統(tǒng),特別是全局網絡和重要業(yè)務信息系統(tǒng)不間斷穩(wěn)定運行及其信息的安全,實現(xiàn)以應用促安全,以安全保應用。
符合法規(guī)。信息安全體系要滿足法律法規(guī)要求,包括國家對信息系統(tǒng)等級保護、企業(yè)內部控制要求,積極采用法律法規(guī)允許的、成熟的先進技術和專業(yè)安全服務。
綜合防范。管理與技術并重,相互補充。從組織與流程、制度與人員、場地與環(huán)境、網絡與系統(tǒng)、數據與應用等多方面著手,在系統(tǒng)設計、建設和運維的多環(huán)節(jié)進行綜合防范。
集中共享。建立集中、統(tǒng)一的信息安全技術服務平臺和
集中專業(yè)化的信息安全隊伍。
第四章 信息安全工作基本要求
第十七條
根據公司信息安全專項規(guī)劃和總體方案,分層次建立以安全組織體系為核心、安全管理體系為保障、安全技術體系為支撐的全面信息安全體系,并保持三個體系穩(wěn)定、均衡發(fā)展。
第十八條
建立全面的信息安全管理體系:
制定并實施統(tǒng)一的信息安全策略、管理制度和技術標準。
實行信息系統(tǒng)資產管理責任制,保護信息系統(tǒng),特別是核心信息系統(tǒng)的設備、軟件、數據和技術文檔的安全。
建立信息系統(tǒng)物理環(huán)境、網絡、系統(tǒng)、應用、數據等各層面的安全管理流程,實現(xiàn)對信息系統(tǒng)全生命周期的安全管理。
實現(xiàn)對信息系統(tǒng)的安全風險管理,及時發(fā)現(xiàn)和防范安全隱患。
第十九條
建立有效的信息安全技術體系:
強化網絡、桌面和應用系統(tǒng)安全防護體系,按照自主定級、自主保護的原則,評估確定各信息系統(tǒng)保護等級并實施
相應的保護措施。
建立統(tǒng)一的網絡安全信任體系,加強網絡實體身份管理與認證,為網絡和信息系統(tǒng)安全運行提供信任基礎。
建立完善有效的安全監(jiān)控和預警體系,監(jiān)控重要網絡和核心業(yè)務系統(tǒng),及時發(fā)現(xiàn)安全隱患。
建立全面有效的應急響應體系,制定并落實完整、規(guī)范的應急處理和響應流程,完善信息安全報告、處理機制。
建立包括同城和異地容災備份中心的信息系統(tǒng)災難恢復體系,定期進行災難恢復的測試和演練,確保災難發(fā)生后能夠充分發(fā)揮備份的效能,降低造成的影響和損失。
第五章 信息安全監(jiān)控
第二十條
信息安全監(jiān)控的目的是對威脅系統(tǒng)、數據庫及網絡安全的因素進行有效控制,防止由于技術或人為因素導致的異常和損失,同時為其他安全措施的設計和實施提供可靠依據。安全監(jiān)控的結果要保存一年以上。
第二十一條
信息系統(tǒng)的運行和維護單位,在國家法律和公司有關規(guī)定許可的范圍內,具體進行規(guī)范、合理、有效的信息安全監(jiān)控。使用公司網絡及應用系統(tǒng)的用戶有義務接受
必要的監(jiān)控。監(jiān)控不能影響、泄漏不涉及安全問題的網上行為和個人隱私的內容。
第二十二條
各級信息部門負責制定和實施信息安全監(jiān)控計劃,包括日常監(jiān)控、應急處理和定期匯報。
第二十三條
日常監(jiān)控分為實時監(jiān)控和定期檢查,包括應用系統(tǒng)、數據庫、操作系統(tǒng)、網絡、物理環(huán)境以及外部人員對信息系統(tǒng)訪問的實時監(jiān)控與定期檢查。監(jiān)控及檢查結果要存檔備查,異常情況須及時向有關負責人匯報。
第二十四條
各級信息部門應對網絡及重要信息系統(tǒng)制定詳細的應急處理預案。應急處理按照預案進行,并至少每年組織一次相關崗位人員進行應急預案演練。
第二十五條
各級信息部門編制、上報信息安全月報和年報,及時向主管領導和上級部門匯報重大信息安全風險和事件。
第六章 信息安全風險評估
第二十六條
信息管理部負責組織建立風險評估規(guī)范及實施團隊,定期或在重大、特殊事件發(fā)生時進行風險評估。
第二十七條
風險評估包括范圍確定、風險識別、風險分析和控制措施,確保信息安全,滿足應用和業(yè)務需要。
評估范圍可包括管理組織、流程、政策與標準、應用系統(tǒng)、數據庫、操作系統(tǒng)、網絡、物理環(huán)境,應涵蓋公司內部關鍵控制點。
風險識別包括識別風險類型和風險事件,形成風險列表,更新信息風險數據庫。
風險分析包括信息資產分類、風險發(fā)生概率和影響程度分析,并確定風險等級,形成風險評估報告。
控制措施包括安全管理策略和風險控制措施,形成風險控制報告。
第二十八條
信息管理部將風險評估和控制報告上報信息主管領導審批。根據領導審批意見,落實控制措施。
第七章 信息安全培訓
第二十九條
信息管理部負責制定公司信息安全培訓計劃,組織、實施信息安全管理和技術培訓。各級信息部門負責相應層級的信息安全培訓,培訓計劃報信息管理部備案。
第三十條
信息管理部及各企事業(yè)單位信息部門對應用系統(tǒng)、數據庫、操作系統(tǒng)和網絡管理員、開發(fā)人員進行信息安全技術培訓,提高信息安全管理和維護水平。
第三十一條
信息管理部及各企事業(yè)單位信息部門分層次、分類型對員工進行信息安全培訓,包括針對業(yè)務和技術管理人員進行管理層面的信息安全管理培訓,針對從事日常業(yè)務處理人員進行操作層面基本安全知識培訓。
第三十二條
員工上崗前,應進行崗位信息安全培訓,并簽署信息安全保密協(xié)議。在崗位發(fā)生變動時,及時調整信息系統(tǒng)操作權限。
第三十三條
信息安全政策與標準發(fā)生重大調整、新建和升級的信息系統(tǒng)投入使用前,開展必要的安全培訓,明確相關調整和變更所帶來的信息安全權限和責任的變化。
第八章 信息安全檢查與考核
第三十四條
信息管理部定期進行信息安全檢查與考核,包括信息安全政策與標準的培訓與執(zhí)行情況、重大信息安全事件及整改措施落實情況、現(xiàn)有信息安全措施的有效性、信息安全技術指標完成情況。
第三十五條
各企事業(yè)單位信息部門按照本辦法和《公司信息系統(tǒng)運行維護管理辦法》進行信息安全自我考核,信息管理部進行綜合評價,形成考核報告,報信息主管領導。
第三十六條
對于不執(zhí)行本辦法造成嚴重后果的,應追究相關部門和個人責任。
第九章 附則
第三十七條
各企事業(yè)單位可參照本管理辦法制定相應的實施細則。
第三十八條 第三十九條
本辦法由公司信息管理部負責解釋。本辦法自印發(fā)之日起施行。
第五篇:關于企業(yè)信息安全管理制度
關于企業(yè)信息安全管理制度
安全生產是企業(yè)的頭等大事,必需堅持“安全第一,預防為主”的方針和群防群治制度,認真貫徹落實安全管理制度,切實加強安全管理,保證職工在生產過程中的安全與健康。根據國家和省有關法規(guī)、規(guī)定和文件,制定本企業(yè)信息安全管理制度。
一、計算機設備安全管理制度
計算機不同于其他辦公設備,其有用性、嚴密性、操作技術性強,含量高、部件易受損,特殊是聯(lián)網計算機,開放性程度比較高,電腦內部易受外界的愉窺、攻擊和病毒感染。為確保計算機軟、硬件及網絡的正常使用,特制定本制度。
1、公司內全部計算機歸網絡部統(tǒng)一管理,配備計算機的員工只負責使用操作;
2、計算機管理涉及的范圍
2.1全部硬件(包括外接設備)及網絡聯(lián)接線路:
2.2計算機及網絡故障的排除:
2.3計算機及網絡的維護與修理:
2.4操作系統(tǒng)的管理:
3、公司內全部計算機使用人員均為計算機操作員:
4、網絡維護部負責對公司內全部計算機進行定期檢查,一般每兩月進行一次;
5、計算機的使用部門要保持清潔、安全、良好的計算機設備工作環(huán)境,禁止在計算機應用環(huán)境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設備安全的物品。
6、非本單位技術人員對我單位的設備、系統(tǒng)等進行修理、維護時,必需由本單位相關技術人員現(xiàn)場全程監(jiān)督。計算機設備送外修理,須經有關部門負責人批準。
7、嚴格遵守計算機設備使用、開機、關機等安全操作規(guī)程和正確的使用方法。任何人不允許帶電插撥計算機外部設備接口,計算機出現(xiàn)故障時應準時向電腦負責部門報告,不允許私自處理或找非本單位技術人員進行修理及操作。
二、操作員安全管理制度
1、計算機原那么上由專人負責操作維護,不得串用設備。下班后必需按程序關閉主機和其他設備,切斷電源。
2、為保證計算機信息安全,必需為計算機設置密碼。
3、計算機操作員除使用操作計算機外,不允許有以下行為:
3.1硬件設備出現(xiàn)故障擅自拆開主機機箱蓋板;
3.2更換計算機配件(如鼠標、鍵盤、耳麥):如有向網絡管理員寫設備申請單審批。
3.3刪除計算機操作系統(tǒng)及公司指定的軟件:
3.4使用帶病毒的計算機軟件;
3.5讓外來人員進行有損于計算機的技術性操作;
4、不得使用來路不明或未經殺毒的盤片。計算機操作員定期對計算機進行殺毒。如覺察計算機有病毒時,應準時去除,去除不了的病毒,要準時上報,5、個人的公司重要文檔、資料和數據保存時必需將資料儲存在除操作系統(tǒng)外的其它磁盤空間,嚴禁將重要文件存放于桌面或C盤下。
6、工作時間內嚴禁工作人員在計算機上進行與工作無關的操作,不準上網與工作無關的聊天、玩電腦游戲、看影視、聽音樂,迅雷下載等,7、電腦及網絡設備所在環(huán)境應保持清潔、衛(wèi)生、通風,留意防塵、防潮、防火。
8、公司全部計算機使用者,不得破壞網管員對計算機的安全設置。包括用戶使用權限。
9、除服務器外,其他全部計算機下班后必需關機并切斷電源;
10、計算機使用者離職時必需由網絡管理員確認其計算機硬件設備完好、移動存儲設備歸還、信息系統(tǒng)管理帳戶密碼和資料未破壞、個人帳戶密碼去除后方可辦理離職手續(xù)。
11、如工作人員不按規(guī)定操作,造成不良后果的,將按有關規(guī)定,由操作者承擔相應責任,并追究科室負責人的有關責任。
12、操作員設置與管理
(1)網絡管理員管理操作權限必需經過公司領導授權取得;根據不同部門的要求及崗位職責而設置:
[2)網絡管理員負責故障恢復等管理及維護,必需有其上級授權:不得使用他人操作代碼進行業(yè)務操作;
三、密碼與權限安全管理制度
1、密碼設置應具有安全性、保密性,不能使用簡潔的代碼和標記。密碼是愛護系統(tǒng)和數據安全的把握代碼,也是愛護用戶自身權益的把握代碼。密碼分設為用戶密碼和操作密碼,用戶密碼是登陸系統(tǒng)時所設的密碼,操作密碼是進入各應用系統(tǒng)的操作員密碼。密碼設置不應是名字、生日,重復、順序、規(guī)律數字等簡潔猜測的數字和字符串;
2、密碼應定期修改,間隔時間不得超過一個月,如覺察或懷疑密碼遺失或泄漏應馬上修改,并在相應登記簿記錄用戶名、修改時間、修改人等內容。
3、服務器、路由器等重要設備的超級用戶密碼由運行機構負責人指定專人(不參與系統(tǒng)開發(fā)和維護的人員)設置和管理,并由密碼設置人員將密碼裝入密碼信封,在騎縫處加蓋個人名章或簽字后交給密碼管理人員存檔并登記。如遇特殊狀況需要啟用封存的密碼,必需經過相關部門負責人同意,由密碼使用人員向密碼管理人員索取,使用完畢后,須馬上更改并封存,同時在“密碼管理登記簿”中登記,4、系統(tǒng)維護用戶的密碼應至少由兩人共同設置、保管和使用管理制度,5、有關密碼授權工作人員調離崗位,有關部門負責人須指定專人接替并對密碼馬上修改或用戶刪除,同時在“密碼管理登記簿”中登記,四、數據安全管理制度
1、存放備份數據的介質必需具有明確的標識。備份數據必需異地存放。
2、留意計算機重要信息資料和數據存儲介質的存放、運輸安全和保密管理,保證存儲介質的物理安全,3、任何非應用性業(yè)務數據的使用及存放數據的設備或介質的調撥、轉讓、廢棄或銷毀必需嚴格根據程序進行逐級審批,以保證備份數據安全完好,4、數據恢復前,必需對原環(huán)境的數據進行備份,防止有用數據的丟失。數據恢復過程中,出現(xiàn)問題時由技術部門進行現(xiàn)場技術支持。數據恢復后,必需進行驗證、確認,確保數據恢復的完好性和可用性。
5、數據清理前必需對數據進行備份,在確認備份正確后方可進行清理操作。歷次清理前的備份數據要進行定期保存或永久保存,并確保可以隨時使用。數據清理的實施應避開業(yè)務高峰期,避開對聯(lián)機業(yè)務運行造成影響。
6、需要長期保存的數據,數據管理部門需與相關部門制定轉存,根據轉存和查詢使用方法要在介質有效期內進行轉存,防止存儲介質過期失效,通過有效的查詢、使用方法保證數據的完好性和可用性。
7、非本單位技術人員對本公司的設備、系統(tǒng)等進行修理、維護時,必需由本公司相關技術人員現(xiàn)場全程監(jiān)督。計算機設備送外修理,須經設備管理機構負責人批準。送修前,需將設備存儲介質內應用軟件和數據等涉經營管理的信息備份后刪除,并進行登記。對修復的設備,設備修理人員應對設備進行驗收、病毒檢測。
8、管理部門應對報廢設備中存有的程序、數據資料進行備份后去除,并妥當處理廢棄無用的資料和介質,防止泄密。
9、運行維護部門需指定專人負責計算機病毒的防范工作,建立本單位的計算機病毒防治管理制度,常常進行計算機病毒檢查,覺察病毒準時去除。
10、營業(yè)用計算機未經有關部門允許不準安裝其它軟件、不準使用來歷不明的載體(包括軟盤、光盤、移動硬盤等)。
五、網絡管理
1、網絡系統(tǒng)屬于公司無形資產,公司有權限制上網行為,根據工作需要限制各部門的上網行為。
2、公司網絡管理員對計算機IP地址統(tǒng)一安排、登記、管理,嚴禁私自更改IP地址。
3、公司員工必需自覺遵守企業(yè)的有關保密法規(guī),嚴禁利用網絡有意或無意泄漏公司的涉密文件、資料和數據。不得非法復制、轉移和破壞公司的文件、資料和數據,4、實行“絕密”文件、涉秘件與計算機網絡確定隔離,不得在計算機網絡中輸入、打印、復制“絕密”文件和有關涉秘件;
5、網絡維護部負責文字工作的計算操作人員必需遵守有關的保密制度,對保密的文件資料進行加密存放,不得上網共享。
六、附
1、本制度由網絡部負責解釋,2、本制度由總經理批準后生效,自公布之日起執(zhí)行。
點擊咨詢 