第一篇:公司的信息安全管理體系
公司的信息安全管理體系
信息安全通過人員安全、文檔與數(shù)據(jù)安全,軟件與系統(tǒng)安全、硬件與網(wǎng)絡(luò)安全,區(qū)域安全實現(xiàn)對信心機密性,完整性,可用性的保護(hù)。信息安全管理體系的引入,可以協(xié)調(diào)各個方面信息管理,管理更為有效。信心安全管理體系是對系統(tǒng)地組織敏感信息進(jìn)行管理,涉及到人,程序和信息技術(shù)(IT)系統(tǒng)。
Iso27001:2005是一套國際公認(rèn)的信息安全管理體系標(biāo)準(zhǔn),按照標(biāo)準(zhǔn)實施,可以幫助公司識別,管理和減少信息通常所面臨的各種威脅。11個角度:
1. 安全方針:為信息安全提供管理指導(dǎo)和支持
2. 安全組織:在公司內(nèi)管理信息安全
3. 資產(chǎn)分類與管理:對公司的信息資產(chǎn)采取適當(dāng)?shù)谋Wo(hù)措施
4. 人員安全:減少人為錯誤,偷竊,欺詐或濫用信息及處理設(shè)施的風(fēng)險
5. 實體和環(huán)境安全:防止對商業(yè)場所及信息未經(jīng)授權(quán)的訪問,損壞及干擾
6. 通訊與運作管理:確保信息處理設(shè)施正確和安全運行
7. 訪問控制:管理對信息的訪問
8. 系統(tǒng)的獲得、開發(fā)和維護(hù):確保將安全納入信息系統(tǒng)的整個生命周期
9. 安全事件管理:確保安全事件發(fā)生后有正確的處理流程和報告方式
10. 商業(yè)活動的連續(xù)性管理:防止商業(yè)活動的中斷,并保護(hù)關(guān)鍵的業(yè)務(wù)過程免收重大故
障或災(zāi)難的影響
11. 符合法律:避免違反任何刑法和民法,法律法規(guī)或合同義務(wù)以及任何安全要求。
信息安全建設(shè)的原則
領(lǐng)導(dǎo)重視,全民參與:信息安全不僅僅是發(fā)務(wù)部和IT中心的工作,需要各事業(yè)部,中心以及公司全體員工的共同參與
管理與技術(shù)結(jié)合:技術(shù)不是絕對的,信息安全管理遵循“七分管理,三分技術(shù)”管理原則。
“二八”原則:20%的信息安事件來自外部攻擊,80%的信息安全事件發(fā)生在公司內(nèi)部
管理原則:管理為主,技術(shù)為輔,內(nèi)外兼防,發(fā)現(xiàn)漏洞,消除隱患,確保安全。
信息安全管理體系建設(shè)的目的1管理理解企業(yè)所擁有的信息資產(chǎn)的價值
2提高企業(yè)員工對安全的認(rèn)識和對安全管理的參與
3提好企業(yè)用戶及合作伙伴對企業(yè)的信心,信任,滿意程度
4提高企業(yè)信息安全管理的只連年感和水平
5遵守相關(guān)法律法規(guī)的要求
6使企業(yè)更有效的管理和處理安全事件
7通過制定和實施符合國標(biāo)標(biāo)準(zhǔn)的安全管理制度來提高企業(yè)的競爭優(yōu)勢和聲譽
8為將來企業(yè)全面發(fā)展電子商務(wù)打下最重要的基礎(chǔ)
計算機安全
1計算機密碼設(shè)置要求
至少6位
包含下面4類字符組中的3類,數(shù)字,英文大小寫字母和非字母數(shù)字字符
不包含用戶名的全部或大部分
至少90天更換一次密碼
新密碼不能與舊密碼相同
2開機密碼
計算機必須設(shè)置開機密碼,不設(shè)開機密碼,那么他人可隨意操作你的計算機
3登入密碼
計算機必須設(shè)置登錄密碼,不設(shè)置登錄密碼,黑客將會很輕松的攻破你的計算機 操作系統(tǒng),并且竊取重要資料,其他人也可以輕易的使用你的計算機
4屏幕保護(hù)密碼
計算機必須設(shè)置屏幕保護(hù)密碼,當(dāng)你離開座位最少10分鐘請及時激活屏幕保護(hù),防止他人乘機使用你的電腦
4文件夾共巷享密碼
計算機必須設(shè)置文件夾共享密碼,禁止不帶密碼的共享方式
6硬盤加密密碼
筆記本電腦必須要設(shè)置硬盤加密密碼,7磁盤消磁
當(dāng)計算機硬盤需要換廠更換或者報廢時,必須通過硬盤消磁盤處理,消除存儲數(shù)據(jù),維護(hù)信息安全
8計算機軟件安裝
公司禁止員工私自安裝有版權(quán)爭議的軟件
9usb監(jiān)控
公司目前實施的usb安全策略分為兩種:usb封閉和監(jiān)控。
網(wǎng)絡(luò),郵件系統(tǒng),文件安全
1公司內(nèi)部網(wǎng)絡(luò)安全注意事項:
禁止通過公司網(wǎng)絡(luò)訪問互聯(lián)網(wǎng),從事與工作無關(guān)的事情
禁止在網(wǎng)絡(luò)上偽裝為他人
禁止在公司網(wǎng)絡(luò)上運行黑客工具
禁止在公司網(wǎng)絡(luò)上使用非公司的電子郵件
禁止員工私自撥號上網(wǎng)
禁止未經(jīng)批準(zhǔn)增加網(wǎng)絡(luò)設(shè)備到公司的網(wǎng)絡(luò)架構(gòu)中
2ip地址獲得
公司的內(nèi)部的ip地址設(shè)置為自動獲取方式,禁止私自固定ip地址 禁止私自架設(shè)代理服務(wù)器上網(wǎng)
第二篇:信息安全及信息技術(shù)服務(wù)管理體系
信息安全及信息技術(shù)服務(wù)管理體系
保
密
協(xié)
議
甲方:
乙方:
新紀(jì)源認(rèn)證有限公司
依據(jù)工信部聯(lián)協(xié)[2010]394號文《關(guān)于加強信息安全管理體系認(rèn)證安全管理的通知》及各地方和有關(guān)主管部門/監(jiān)管部門,認(rèn)證認(rèn)可相關(guān)規(guī)定對信息安全,信息技術(shù)服務(wù)管理體系認(rèn)證的要求,為保證申請認(rèn)證組織信息資產(chǎn)的安全,雙方簽訂此保密協(xié)議。具體條款如下:
1、甲方應(yīng)填寫“保密和敏感信息資產(chǎn)和區(qū)域聲明表”,明確甲方的重要敏感信息和區(qū)域,并明確乙方的接觸要求;
2、乙方審核組將嚴(yán)格遵守保密承諾。審核組在現(xiàn)場審核過程中不以任何形式記錄甲方的保密或敏感信息。審核組在離開審核現(xiàn)場前,接受甲方的檢查和確認(rèn)審核組攜帶的文件、資料和設(shè)備中未夾帶甲方的任何保密或敏感信息;
3、未經(jīng)甲方的書面授權(quán),乙方及其審核組不得將甲方在經(jīng)營、生產(chǎn)、技術(shù)、管理等方面的非公開信息以任何方式泄密給第三方但下列情況除外:
?甲方已公開的信息,或在提供時已為公眾所知的信息,或雖不為公眾所知但已不再是秘密的信息;
?得到甲方的書面同意;
?應(yīng)法律要求時,但發(fā)生該等情形時應(yīng)及時通知甲方。
4、乙方所有保密義務(wù)及于乙方內(nèi)部人員及為乙方工作的外部人員,上述人員已經(jīng)與乙方簽署了保密協(xié)議或具有保密條款的法律文件。如甲方要求,我方直接接觸客戶組織信息的認(rèn)證人員(如審核組成員)可按照甲方的保密要求與甲方簽署保密協(xié)議。
5、本協(xié)議作為認(rèn)證合同的附件,與認(rèn)證合同具有同等法律效力;
6、本協(xié)議一式兩份,雙方各執(zhí)一份,經(jīng)雙方簽章后生效,且不因認(rèn)證協(xié)議的解除而失效。
甲方(名稱加蓋單位公章):
甲方 法定代表人 或授權(quán)人:
日
期 :
****年**月**日
乙方(名稱加蓋單位公章):新紀(jì)源認(rèn)證有限公司 乙方 法定代表人或 授權(quán)人:
日
期:
****年**月**日
第三篇:信息安全管理體系記錄控制程序
信息安全管理體系記錄控制程序 1.適用
本程序適用于本公司產(chǎn)生的記錄的管理。
2.目的為支持信息安全體系的運作而明確記錄的管理。
3.管理方法
3-1保管方法
(1)記錄由各保管部門在可快速檢索的條件下,決定保管場所,放在箱子、柜子等適當(dāng) 容器中保管。
(2)對保管場所的環(huán)境,本程序沒有特別指定。由各保管部門考慮記錄媒體的特性做適 當(dāng)處理。
(3)以電子媒體保管的場合,為預(yù)防意外,需做適當(dāng)?shù)膫浞荨浞莸陌踩髨?zhí)行《信息備份管理程序》。
(4)記錄保管部門應(yīng)建立《記錄清單》,明確規(guī)定保管記錄類別、記錄保存期限等。記錄的保存應(yīng)符合有關(guān)法律法規(guī)的要求,保存期限參考本規(guī)格書第 4 條款。
(5)因工作需要,借閱其他部門的秘密記錄,應(yīng)獲得記錄保管部門負(fù)責(zé)人授權(quán)后方可借 閱,并留下授權(quán)記錄和借閱記錄。借閱者在借閱期內(nèi)應(yīng)妥善保管記錄,并按期歸還;機 密記錄只準(zhǔn)在現(xiàn)場查閱。
(6)記錄的字跡應(yīng)清晰、真實、文字表達(dá)準(zhǔn)確、簡練,記錄不得隨意修改。確需修改時,必須在修改處作標(biāo)識,并由修改人簽名確認(rèn)。
3-2廢棄 超過保管期限的記錄,由保管部門作為秘密文件處理廢棄。廢棄應(yīng)采用安全可靠的處置 方法(如書面記錄采用粉碎方法、電子媒體采用格式化方法等),處置記錄應(yīng)予以保存。但若保管部門認(rèn)為必要時,仍可繼續(xù)保管超出保管期限的記錄。
4.記錄的分類和保存年限
記錄類型 測試報告
關(guān)于合同內(nèi)容確認(rèn)的記錄 購買管理
保管期限(年)3 年 合同
保管部門 技術(shù)部 行政部 集成部
行政部 集成部
質(zhì)量保證書 定單
供應(yīng)商變更申請書 供應(yīng)商清單 購買需求單 購買合同
購買質(zhì)量保證書 供應(yīng)商評價表 供應(yīng)商檢查表 5 年
合同結(jié)束后 3 年
文件管理 內(nèi)部審核 員工教育履歷
信息安全管理評審會議記錄以及糾正措施記錄 信息安全目標(biāo)以及分解 預(yù)防措施 影響分析報告業(yè)務(wù)持續(xù)性計劃業(yè)務(wù)持續(xù)性計劃測試報 業(yè)務(wù)持續(xù)管理 告
業(yè)務(wù)持續(xù)性計劃評審報 告
信息資產(chǎn)識別表
重要信息資產(chǎn)清單重要信息資產(chǎn)評估表風(fēng)險評估報告 資產(chǎn)識別和風(fēng)險評估 風(fēng)險處理計劃
調(diào)查報告
信息事故、異常處理記糾正措施 錄 信息設(shè)備更改申請書 變更管理 軟件安裝/升級申請書
采購記錄
維護(hù)記錄 授權(quán)記錄 訪問記錄 訪問保密協(xié)議 用戶訪問授權(quán)記錄 用戶訪問權(quán)限評審記錄
審核日志(電子媒體)參見檔案 管理規(guī)程年 5 年 2 年 3 年 1 年 2 年 10 年 10 年 行政部 行政部 行政部 行政部 行政部 各部門 集成部 集成部年 集成部年 3 年 3 年 3 年 3 年 3 年 3 年 3 年 3 年年 3 年
設(shè)備使用期間保 管 2 年 2 年 3 年
保持至員工 離職 3 年 1 年 參見檔案 管理規(guī)程 5 年
信息處理設(shè)備相關(guān)記錄
集成部 行政部 集成部 集成部 集成部 集成部 行政部 集成部
集成部或技術(shù)部 集成部 集成部 集成部 技術(shù)部
系統(tǒng)開發(fā)相關(guān)記錄
用戶邏輯訪問相關(guān)記錄
技術(shù)部
技術(shù)部 集成部 集成部 行政部 行政部
人事相關(guān)記錄 財務(wù)相關(guān)記錄
第四篇:信息安全管理體系作業(yè)文件
信息安全管理體系作業(yè)文件 Token管理規(guī)定
產(chǎn)品運輸保密方法管理規(guī)定 介質(zhì)銷毀辦法
保安業(yè)務(wù)管理規(guī)定
信息中心主機房管理制度 信息中心信息安全處罰規(guī)定 信息中心密碼管理規(guī)定
信息安全人員考察與保密規(guī)定 信息開發(fā)崗位工作標(biāo)準(zhǔn) 信息系統(tǒng)訪問權(quán)限說明 信息銷毀制度(檔案室)
可移動媒體使用與處置管理規(guī)定 各部門微機專責(zé)人工作標(biāo)準(zhǔn) 復(fù)印室管理規(guī)定
工程師室和電子間管理規(guī)定 數(shù)據(jù)加密管理規(guī)定
文件審批表
機房安全管理規(guī)定
檔案室信息安全職責(zé)
法律法規(guī)與符合性評估規(guī)定 生產(chǎn)經(jīng)營持續(xù)性管理戰(zhàn)略計劃 監(jiān)視系統(tǒng)管理規(guī)定
系統(tǒng)分析員崗位工作標(biāo)準(zhǔn) 經(jīng)營部信息事故處理規(guī)定 經(jīng)營部信息安全崗位職責(zé)規(guī)定 經(jīng)營部計算機機房管理規(guī)定 經(jīng)營部訪問權(quán)限說明 網(wǎng)站信息發(fā)布管理規(guī)定
網(wǎng)絡(luò)中間設(shè)備安全配置管理規(guī)定 網(wǎng)絡(luò)通信崗位工作標(biāo)準(zhǔn) 計算機硬件管理維護(hù)規(guī)定 財務(wù)管理系統(tǒng)訪問權(quán)限說明 遠(yuǎn)程工作控制規(guī)定
第五篇:地鐵信息管理體系
沈陽地鐵與上海地鐵信息管理體系分析
一. 沈陽地鐵公司信息管理體系
1.財務(wù)管理
核算管理:總賬管理 應(yīng)收賬款 固定資產(chǎn) 應(yīng)付資產(chǎn) 預(yù)算管理:目標(biāo)設(shè)定 預(yù)算編制 預(yù)算監(jiān)控 預(yù)算報告 資金管理:資金計劃 資金預(yù)測 現(xiàn)金管理 賬戶管理 2.人力資源管理
員工發(fā)展管理:員工發(fā)展計劃 員工發(fā)展評估 員工發(fā)展反饋 人事信息管理:員工基礎(chǔ)信息 員工檔案信息 人事組織信息 教育培訓(xùn)管理:培訓(xùn)計劃 培訓(xùn)執(zhí)行 培訓(xùn)評估 組織與崗位管理:崗位設(shè)計 工作說明書 指標(biāo)設(shè)計 3.物資管理 需求計劃管理:需求預(yù)測 補貨計劃 采購計劃 需求平衡 采購申請審批與分配
采購管理:詢報價管理 合同管理 采購預(yù)算控制 采購單交付 采購支付和發(fā)票校驗
供應(yīng)商管理:供應(yīng)商信息管理 供應(yīng)商評估和分析 供應(yīng)商協(xié)同管理 庫存管理:入庫 出庫 轉(zhuǎn)庫 退庫管理 庫存盤點 庫存報廢 庫存報表 4.設(shè)備設(shè)施管理 設(shè)備臺賬管理:存儲各類設(shè)備的靜態(tài)臺賬信息和動態(tài)臺賬信息,各種設(shè)備的查詢 工單管理:根據(jù)各類設(shè)備屬性和地理位置創(chuàng)建各類工具,控制各類工單的執(zhí)行并與財務(wù)‘物質(zhì)等進(jìn)行集成
維修計劃管理:根據(jù)不同類型的設(shè)備制定基于時間‘性能或者狀態(tài)的維修計劃,并發(fā)布工單
設(shè)備狀態(tài)分析:支持設(shè)備缺陷和故障‘設(shè)備對象的狀態(tài)和趨勢,技術(shù)參數(shù)歷史與設(shè)備成本分析。5.資源租賃管理
租賃單元管理:租賃申請‘租賃要約‘租賃合同’租入業(yè)務(wù)
租賃合約管理:出租資源管理‘出租單元管理’租戶及合作伙伴管理 租賃結(jié)算管理:租金管理‘租賃會計’服務(wù)費用結(jié)算 6.文檔管理
包括條目管理 電子文件管理檔案業(yè)務(wù)管理 流程管理 報表統(tǒng)計管理 安全管理 7.客戶關(guān)系管理
市場管理:市場計劃和預(yù)算 市場活動管理,品牌管理,渠道促銷管理,市場分析
服務(wù)管理;投訴管理,事件管理。服務(wù)分析
銷售管理:客戶和聯(lián)系人管理,線索和商機管理,合同管理,報價和訂單管理,合作伙伴管理,銷售分析 8.辦公自動化
企業(yè)文化:企業(yè)形象,信息發(fā)布,規(guī)章制度,電子期刊,技術(shù)交流,電子論壇,員工建議
個人事務(wù):今日工作,個人文檔,通訊錄,日程安排,電子郵件,個人設(shè)置,短信提醒
辦公管理:收文管理,發(fā)文管理,傳真服務(wù),呈批件,會議審批,公告與通知,催辦,業(yè)務(wù)聯(lián)系單,人員動態(tài),目錄管理,檔案管理,電子報銷,報表傳遞,辦公車輛管理 9.客運管理
票務(wù)管理:儲值票管理,單程票管理,計次票管理,往返票管理 行車管理:行車計劃管理,施工計劃申報、審批 10.決策支持系統(tǒng)
客流量查詢:各站客流量,日客流量,周客流量,高峰小時最大客流量 收入查詢:票務(wù)收入,資源租賃收入查詢,其他收入查詢等
二、上海地鐵公司信息管理體系
上海地鐵信息系統(tǒng)分為隱患控制、安全責(zé)任、安全統(tǒng)計分析、事故管理和安全檔案5個子系統(tǒng)
1、隱患子系統(tǒng)是整個信息管理系統(tǒng)中的核心部分,其他子系統(tǒng)從某種意義上說都是為該子系統(tǒng)服務(wù)的,其主要功能是收集各種固有隱患情況和確定事故類型,進(jìn)行分析、分級、歸類、制定風(fēng)險控制策略,實現(xiàn)對安全生產(chǎn)的預(yù)先防范和動態(tài)控制,并將控制的結(jié)果及時歸納總結(jié)。
2、安全責(zé)任子系統(tǒng)負(fù)責(zé)建立各級管理責(zé)任和考核指標(biāo),記錄措施落實情況和考核結(jié)果,對安全員反饋的各種信息的數(shù)量和質(zhì)量進(jìn)行統(tǒng)計和評價。
3、安全統(tǒng)計分析子系統(tǒng)負(fù)責(zé)建立安全作業(yè)計劃安排表,收集日常安全生產(chǎn)報表。
4、事故管理子系統(tǒng)對事故處理過程中需要描述事故的大量數(shù)據(jù)、文字、圖像進(jìn)行輸入、歸納和整理,并要隨時調(diào)閱各類圖紙、法令、法規(guī)、技術(shù)規(guī)范等信息。在此基礎(chǔ)上形成對事故的總結(jié)與分析報告。
5、安全檔案子系統(tǒng)負(fù)責(zé)建立各級安全組織、安全管理人員、安全教育集訓(xùn)和勞動保護(hù)情況的檔案等。
09交運七班 20092878 秦偉杰
點擊咨詢 