第一篇:廣石化桌面安全管理守衛企業信息安全
廣石化桌面安全管理守衛企業信息安全
近日,廣州石化的計算機用戶發現,計算機桌面右下角多了一個帶圓圈的“b”圖標。這是廣州石化為確保網絡信息安全穩定運行,在計算機客戶端全面升級安裝的桌面安全管理系統。
企業信息保密與計算機桌面安全息息相關。據美國聯邦調查局和犯罪現場調查組織調查,80%以上的信息外泄事件來自企業內部。
2007年,集團公司在廣州石化推廣應用了桌面安全管理系統,應用于漏洞管理、防病毒機制管理及資產管理。管理員可從統一的控制臺即時檢查并找出全公司的安全威脅、安全弱點和安全狀態問題并加以修正。僅在2009年8月11~18日期間,管理員就成功下發了1萬多臺(次)的嚴重等級補丁。據悉,該系統在廣州石化實施應用以來,因病毒傳播所造成的網絡故障逐年降低,目前月發生故障不足0.3例,而在2007年以前,這個數字約為8例/月。
為使桌面安全管理系統發揮更大作用,今年8月,廣州石化對計算機桌面安全管理系統進行升級。升級后的系統通過網絡對客戶端進行掃描,收集到客戶端的硬件信息;控制臺管理員或操作員還可定制資產管理報表,包括設備地點、設備型號、內存等信息。通過報表分析,就可得知哪些客戶端的硬盤空間不足,是否應該擴容等,方便了辦公地點分散、計算機數量較多的單位的設備管理。
此外,升級后的桌面安全管理系統,還能進行節能應用管理——電源管理。許多計算機用戶下班后長期不關機,造成能源浪費。從集團公司前期在茂名石化推廣應用該系統的數據來看,9萬臺計算機實施電源管理后,全年可節約用電2600萬千瓦時。
目前,廣州石化桌面安全管理系統已由過去的被動手工管理變為主動自動運行維護。(吳萬榮戴蓮芬)
第二篇:淺談如何加強企業信息安全風險管理
淺談如何加強企業信息安全風險管理
摘要:隨著全球信息化程度的提高,企業信息化程度也隨之提高,企業信息安全風險管理也顯得越發重要。企業網絡的安全防范對于企業來說也是不容忽視的。本課題研究了企業所面臨的信息安全風險,試圖從企業管理的各個主要環節入手進行分析,認為可以構建一個安全的企業網絡。
關鍵詞:企業、信息安全、風險、管理
前言
隨著國內經濟建設的持續發展和知識經濟模式的到來,企業得以高速發展,企業管理水平也亟待提高,不少企業也正以一種前所未有的熱情來致力于企業內部管理素質與效率的提高;信息化的管理手段在網絡經濟迅速發展的時代顯得尤為重要。
第一章:企業信息安全管理的重要性
信息化已經成為一個大型企業的發展戰略,只有實現信息化,企業才有可能抓住機遇,實現企業的快速、健康發展。信息在企業的經營和發展中的作用由此可窺一斑,有時候信息甚至可以左右一個企業的存亡。如今,企業之間以及企業內部的信息傳遞越來越依賴于網絡。在寬帶網絡建設得到飛速發展,信息得到快速傳遞的同時,因為企業信息安全問題而倒閉或蒙受巨大經濟損失的案例也不勝枚舉。2010年1月12日,baidu.com域名被劫持,此次網站被“黑”事件創下了百度創建以來最大的一次斷網事故,也給民眾和各企業敲響了警鐘:網絡信息安全問題不可忽視。
隨著互聯網的發展和網絡技術的不斷進步,企業信息安全問題已經成為每一個企業面對生死存亡必須要考慮的一個問題。由于互聯網的開放性和通信協議原始設計的局限性的影響,企業信息因為諸多方面的原因容易造成外泄,給公司的正常運營帶來安全隱患。企業在充分利用網絡資源,享受信息傳遞的方便快捷的同時,降低企業安全信息管理風險顯得尤為重要。
第二章:企業信息安全面對的風險
一、企業外部人員的信息竊取;內部服務器被非法訪問,破壞傳輸信息的完整性。
黑客、木馬的破壞性,相信很多企業的CTO都感受頗深。很多企業的局域網設計、辦公自動化(OA)系統都存在著或多或少的漏洞。網絡布線之后,局域網沒有經過深思熟慮的規劃,路由器密碼為空或者沒有經過修改,網關設臵過于簡單等等。辦公自動化(OA)系統方面,權限管理過于簡單或者基本沒有,用戶名及密碼明文傳輸等等,都會給日后的使用,埋下隱患的種子。
二、企業內部人員的故意或過錯而造成的商業機密泄漏。黑客的攻擊,或許只會對企業的局域網、以及辦公系統帶來破壞,很少能夠有目的地,如其所愿地獲取所希望的信息。企業核心信息的泄露,很大一部分,要歸咎于企業內部管理的不規范,或者內部員工的有目的的向競爭對手提供企業重要信息。
企業的核心數據,也就是所謂的商業機密,一定要保證,除了核心管理層之外的人員,其他員工無權獲取。對商業機密的保護不夠重視,或者對企業信息訪問權限缺乏強有力的約束,以及權限管理不健全,都會帶來企業核心數據信息的外泄,無論是有意還是無意,都會給企業帶來無法估計的損失。
因此,面對企業信息安全所面臨的威脅,企業必須把信息安全風險降到最低,避免因企業信息外泄或被竊而給企業帶來不可估量的損失。對當今的企業而言,必須通過加強企業信息安全風險管理,對可
3預見的風險加強防范,維護企業信息安全,避免造成不必要的損失,在保證企業信息正常流轉的同時,保障企業的正常運行。
企業信息化建設的概念是發展的,它隨著管理理念、實現手段等因素的發展而發展。因而管理也是企業信息安全得到保證的重要組成部分,也是防止來自內部網絡入侵必需的重要部分。管理混亂、安全管理制度不健全等都可能引起企業信息安全風險。即除了從技術下功夫外,還得依靠管理來實現。
應對企業信息安全風險不只是給電腦設臵密碼,安裝殺毒軟件那么簡單,這需要企業的每一位員工以每一件小事,每一個細節為出發點,從工作的方方面面加強防范。加強企業信息安全風險管理,要求企業每位員工提高安全防范意識。
第三章:如何降低企業信息安全的風險
一、制定企業信息安全規范,并嚴格加以執行。
企業要重視局域網規劃,完善網絡設計、建設,首先從網絡層面規范信息安全要求。企業內部的網絡使用方面,要求員工不要隨意到網上下載軟件、不要打開不明郵件附件等等。企業內部管理人員或員工應該設臵用戶口令,并且保證該口令不會因為過于簡單而容易破解,并明確權限管理,把責任落實到個人,禁止信息泄密。
二、警惕對企業內部不滿的員工和已離職員工。
員工離職之后及時更換管理員用戶名及口令等信息。防止員工在把內部網絡結構、管理員用戶名及口令以及系統的一些重要信息傳播給外人帶來信息泄漏風險而造成經濟損失。
三、加強對員工企業信息安全方面的培訓。
提升安全技能,并通過運用企業信息方面危機的事例分析,逐步培養企業人員信息安全意識,使員工充分認識企業信息安全風險防范的必要性和重要性,并注重提高處理計算機系統安全問題的能力。
四、提高對計算機安全的重視程度。
企業網絡管理人員應定期對計算機進行安全檢查,并選擇最適合自己公司需要的管理軟件。
加強企業信息安全風險管理還要求企業員工從身邊的細節加強防范,在日常工作中對辦公郵箱加強管理,經常更換登錄密碼,并對重要數據進行備份。打印紙不隨意丟棄,過期文件及時銷毀。
結論
通過以上措施,我們基本上可以從里到外,從上級管理者到普通員工之間,形成一個立體的信息防護網,保護企業的重要信息不外泄,形成了企業信息安全的立體化防護。
第三篇:企業信息安全保密制度
企業集 團 管 理 制 度
信息安全保密制度
(2016初稿)/ 9
上海企業經營管理股份有限公司
信息安全保密制度 第一章 總 則
第一條 根據國家相關規定,結合《企業知識產權管理規范》及具體情況,為保障公司整體利益和長遠利益,使公司長期、穩定、高效地發展,適應激烈的市場競爭,特制定本制度。
第二條 本規定是安全保密、知識產權及專利保護工作的依據和準則。各部室要把安全保密工作列入工作規劃,使安全工作落到實處。
第三條 公司秘密是關系公司權力和利益,依照程序只允許特定時空范圍的人員知悉的事項,包括但不限于技術專利、財務、人事和其他商業機密。技術秘密是指能為公司帶來經濟利益、具有實用性的技術信息、設計方案等,包括但不限于:技術信息、工程設計、科研專利、知識產權等等。財務秘密包括但不限于公司經營的財務、資產及相關統計數字。人事秘密主要是與公司人力資源現狀、招聘計劃、員工隱私、勞資狀況等相關的信息。包括但不限于:人事檔案、合同、協議、職員工資性收入、招聘計劃等。日常秘密主要包括不限于:日常文件文檔、資料等。商業秘密包括但不限于:客戶名單、定價政策、財務資料、進貨渠道,等等。
第四條 公司所有職員、外派人員都有保守公司秘密的義務。接觸到公司秘密的高級員工,如:管理人員、技術人員、財務人員、秘書等負有特別的保秘責任。
第五條 保密工作實行安全、便利可行、積極預防的工作方針。保密范圍和密級確定: / 9
第六條 公司秘密包括本制度第三條規定的及下列秘密事項:(一)公司重大決策中的秘密事項;
(二)公司尚未付諸實施的經營戰略、方向、規劃及決策等;(三)公司內部掌握的合同、協議、意見書及可行性報告;(四)公司財務預決算報告及各類財務報表、統計報表;(五)公司職員人事檔案,工資性、勞務性收入及資料;(六)公司科研專有技術、專利、知識產權、工程設計、等等;(七)其他經公司確定應當保密的事項。
第七條 公司秘密的密級分為“絕密”、“機密”、“秘密”三級。
絕密是最重要的公司秘密,泄露會使公司權益和利益遭受特別嚴重損害;機密是重要的公司秘密,泄露會使公司權益和利益遭受到嚴重損害;秘密是一般的公司秘密,泄露會使公司權力和利益遭受損害。
第八條 秘級的確定:
(一)公司經營發展中,直接影響公司權益和利益的重要決策文件、技術資料、技術專利等為絕密級;(二)公司的規劃、財務報表、統計資料、重要會議記錄、公司經營情況為機密級;(三)公司人事檔案、合同、協議、職員工資性收入、尚未進入市場或尚未公開的各類信息為秘密級。
第九條 秘密級別由董事會秘書辦公室依據第七條確定,并確定保密期限:分永久、長期、短期,一般與密級相對應,特殊情況外標明。保密期限屆滿,自行解密。/ 9
第十條 發現已經或者可能泄露秘密時,應立即采取補救措施并報告主管部室或公司領導;主管部室或領導接到報告,應及時處理。
第十一條 本制度規定的泄密是指下列行為之一:(一)使秘密被不應知悉者知悉的;(二)使秘密超出接觸限定范圍,而不能證明未被不應知悉者知悉的。
第二章 日常保密管理規定
第十二條 日常保密包括但不限于文印文檔、資料、人事及其他保密事項等。辦公室為日常保密工作管理部室。辦公室主要保密職責:
(一)根據法律及上級公司規定,結合公司實際制定安全保密管理規定,并監督實施;
(二)負責組織宣傳安全保密管理規定、制度,組織培訓學習公司有關保密安全條例;
(三)制定并落實人事、檔案保密管理措施;
(四)配合其他部室完成技術、財務、商業等保密的管理、監督和檢查工作;(五)嚴格機要、文印人員、招聘選拔;
(六)對安全保密突發事件應急處理,日常安全保密工作的監督;協助公司領導完成保密工作檢查、獎懲及與之相關的活動等;
(七)承辦上級領導交辦的其他保密事項。
第十三條 日常保密工作,各部室、各崗位應做到:
(一)領導干部、部室負責人、專業組長:增強保密意識、以身作則,模范遵守保密規定,落實保密責任。做到:不泄露知悉的公司秘密;不在無保密保障的/ 9
場所閱辦秘密文件、資料;不在家屬、親友、熟人和其他無關人員面前談論公司秘密事項;不攜帶秘密文件、資料參加社交活動;不在出訪、考察等外事活動中攜帶秘密文件、資料;閱辦完秘密文件及時清退、歸檔;審校、簽發文件及稿件時,要把好定密關;下級發生泄密問題后,及時上報、設法補救,不掩蓋包庇。
(二)員工應做到:不該說的秘密不說;不該問的秘密不問;不該看的秘密不看;不該記錄的秘密不記錄;不在非保密本上記錄秘密;不在公共場所和家屬、子女、親友面前談論公司秘密事項;不在不利于保密的地方存放秘密文件、資料;不攜帶秘密材料游覽、參觀、探親、訪友和出入公共場所;不在私人交往中泄露公司秘密。日常保密措施:
第十四條 健全收發文制度,各部室要有專人負責文件、設計圖紙、技術檔案等機密文件的管理和清退工作,發現秘級文件資料丟失、被竊、泄密時,須立即報告,及時追查、力挽損失。
第十五條 檔案管理按照質量管理體系文件中有關規定執行。
第十六條 有秘密內容的會議或活動,主辦部門應采取措施:
(一)選擇具備保密條件的會議場所,嚴禁使用無線話筒傳達密件或向室外擴音;
(二)根據需要,限定參會人員的范圍,指定參會人員;(三)依照規定使用會議設備和管理會議文件;
(四)規定不準記錄的會議內容,不得記錄,不攜帶錄音機進入會場錄音;不以任何形式對外泄露會議秘密內容,會議結束后,要對會議場所進行保密檢查;/ 9
嚴禁濫印、復印會議秘密文件資料,確需要復制的須經批準。
第十七條 文印崗人員應該做到:
(一)復印的秘密文件:需經批準后才能復印;嚴格控制份數,復印件要按原件一樣管理;
(二)嚴格保管承印的秘密文稿、資料及有秘密內容的磁盤、錄音筆等;對會議記錄和有關文件、資料嚴加保管,及時立卷歸檔;
(三)嚴格遵守保密紀律,打印、復印涉密文稿的內容不得傳播,不得讓無關人員閱看,不私自多印留存;
(四)打印的密件廢頁、圖紙廢頁、蠟紙應及時處理,不讓無關人員閱看;發現密件丟失或下落不明,要立即報告,并抓緊查找,采取補救措施。定期檢查、清理、清退、銷毀文件;嚴防將秘密文件、資料和文件底稿隨同舊報紙等出售。
第十八條 對于密級文件、資料設計圖紙、方案、技術標準和其他物品,須采取保密措施:
(一)非經批準,不得復制和摘抄;收發、傳遞和外出攜帶,由指定人員擔任,并采取必要的安全措施;
(二)在設備完善的保險裝置中保存;
(三)如有與質量管理體系中規定相左之處,以后者為準。第十九條 如有必要公司應與相關人員簽訂《保密合同》。
第三章 商業保密管理規定
第二十條 商業保密包括但不限于:客戶信息、采購資料、定價政策、財務資料、進貨渠道、投標信息、經營策略等。
第二十一條 市場部為商業保密的主管部門,辦公室及其他部門配合市場部/ 9
完成商業保密管理。市場部主要保密職責:
(一)制定商業保密管理有關規范、制度,并組織實施、監督;(二)組織宣傳、培訓商業管理規定;
(三)負責本部門保密管理工作,監督其他部門管理工作;(四)負責商業泄密事件的應急、調查、處理、處罰工作;
第二十二條 涉及公司商業秘密的合作、代理、交易合同或協議,依據情況設置相關“保密條款”,限制對方行為。
第二十三條 市場部有關人員不可將商業秘密透露給任何第三方或用于合同目的以外的用途,離職、辭職時,要及時交出相關資料,同時不得泄露公司經營秘密;不可在對外接受訪問或者與任何第三方交流時泄露秘密內容。
第四章 財務保密管理規定
第二十四條 財務保密工作包括但不限于資產、財務統計數字及工資及其他報表的保密。
第二十五條 財務部為財務保密的歸主管部門,市場部、辦公室及其他部門配合財務部落實財務保密工作。財務部主要保密職責:
(一)根據法律及上級單位規定,結合實際制定財務保密規范;(二)組織本部門員工學習并執行財務保密制度的有關規定;(三)負責組織宣傳保密、安全管理規定、規范,組織培訓學習公司有關保密安全規定;
(四)負責本部門保密管理工作,監督其他部門管理工作; / 9
(五)負責財務泄密事件的應急、調查、處理、處罰工作;
第五章 計算機與互聯網信息保密管理規定
第二十六條 IT部要健全各項信息保密管理制度,強化機房計算機的應用管理。凡秘密數據的傳輸和存貯均應采取相應的保密措施,錄有文件的存貯設備要妥善保管,嚴防丟失。
(一)保障公司計算機及其相關的配套設備、設施的安全,保障信息的安全,保障計算機功能的正常發揮,維護計算機信息系統的安全性。應及時發現安全隱患,及時提出解決方案,及時處理解決問題;
(二)新用戶登記時,應認真核實其身份,并詳細記錄用戶的相關信息。員工不允許將公司“用戶信息和網絡密碼”告知非本公司人員。員工離開本公司,IT部應注銷該員工的所有用戶信息;
(三)對于安全性較高的信息,需要嚴格管理。無論是紙張形式還是電子形式,均要落實到責任人。嚴禁將工作中的數據文檔帶離。
(四)企業研發的各辦公系統的數據內容要嚴格把關;IT部要將審核后的內容準確、安全、即時地上傳至托管服務器。
(五)加強計算機系統的保密安全管理。對涉密與非保密計算機予以明確區分,涉密機必須完全與局域網脫離連接,并禁止上因特網以防泄密。并采取身份認證、存儲傳輸加密、配置防視頻泄密干擾器等措施加強保密防范。
第二十七條 屬于公司秘密的信息、資料和其它物品的制作、收發、傳遞、使用、復制、摘抄、保存和銷毀,由辦公室或主管領導委托專人執行;采用電腦技術存取、處理、傳遞的公司秘密由IT部門負責保密。/ 9
第二十八條 計算機房內,禁止無關人員逗留、參觀,嚴禁會客。
第六章 罰則 和 獎則
第二十九條 公司對在安全保密工作中做出突出成績的個人和部室給予獎勵。
第三十條 對未按本《規定》進行管理或管理不善造成秘密泄漏的,除對直接責任者按規定給予相應處理外,還將追究所屬部室主要負責人的責任,并對直接責任者和所屬部室給予相應的經濟處罰。
第三十一條 對無視本《規定》,以謀取個人或小集團利益為目、蓄意泄漏秘密的,造成重大損失和嚴重后果的,將依《中華人民共和國刑法》追究法律責任。
第三十二條 保密管理人員因玩忽職守使秘密泄漏造成經濟損失,削弱競爭能力的,視情節輕重給予不同程度的行政處分和經濟處罰,明知故犯者加重處罰。對違反本《規定》,使單位秘密泄露,造成直接或間接經濟損失的,由公司保衛部及所屬管理部門負責調查核實,并提出處理意見,報公司領導批準后執行。
第七章 附 則
第三十三條 本《規定》自發布之日起執行。第三十四條 本規定的解釋權屬于本公司保衛部。/ 9
第四篇:企業信息安全管理辦法
信息安全管理辦法
第一章 總則
第一條
為加強公司信息安全管理,推進信息安全體系建設,保障信息系統安全穩定運行,根據國家有關法律、法規和《公司信息化工作管理規定》,制定本辦法。
第二條
本辦法所指的信息安全管理,是指計算機網絡及信息系統(以下簡稱信息系統)的硬件、軟件、數據及環境受到有效保護,信息系統的連續、穩定、安全運行得到可靠保障。
第三條
公司信息安全管理堅持“誰主管誰負責、誰運行誰負責”的基本原則,各信息系統的主管部門、運營和使用單位各自履行相關的信息系統安全建設和管理的義務與責任。
第四條
信息安全管理,包括管理組織與職責、信息安全目標與工作原則、信息安全工作基本要求、信息安全監控、信息安全風險評估、信息安全培訓、信息安全檢查與考核。
第五條
本辦法適用于公司總部、各企事業單位及其全體員工。
第二章 信息安全管理組織與職責
第六條
公司信息化工作領導小組是信息安全工作的最高決策機構,負責信息安全政策、制度和體系建設規劃的審批,部署并協調信息安全體系建設,領導信息系統等級保護工作。
第七條
公司建立和健全由總部、企事業單位以及信息技術支持單位三方面組成,協調一致、密切配合的信息安全組織和責任體系。各級信息安全組織均要明確主管領導,確定相關責任,設置相應崗位,配備必要人員。
第八條
信息管理部是公司信息安全的歸口管理部門,負責落實信息化工作領導小組的決策,實施公司信息安全建設與管理,確保重要信息系統的有效保護和安全運行。具體職責包括:組織制定和實施公司信息安全政策標準、管理制度和體系建設規劃,組織實施信息安全項目和培訓,組織信息安全工作的監督和檢查。
第九條
公司保密部門負責信息安全工作中有關保密工作的監督、檢查和指導。
第十條
企事業單位信息部門負責本單位信息安全的管理,具體職責包括:在本單位宣傳和貫徹執行信息安全政
策與標準,確保本單位信息系統的安全運行,實施本單位信息安全項目和培訓,追蹤和查處本單位信息安全違規行為,組織本單位信息安全工作檢查,完成公司部署的信息安全工作。
第十一條
技術支持單位在信息管理部的領導下,承擔所負責的信息系統和所在區域的信息安全管理任務,主要包括:在所維護系統和本區域內宣傳和貫徹信息安全政策與標準,確保所負責信息系統的安全運行。
第十二條
各級信息管理部門設立信息安全管理和技術崗位,包括信息安全、應用系統、數據庫、操作系統、網絡負責人和管理員,重要崗位可設置兩個員工互為備份。
第十三條
信息安全崗位的設立應遵循職責分離的要求,包括:制度監督者與執行者分離,信息系統授權者與操作者分離,應用系統管理員與數據庫管理員分離,程序開發人員不應具備對生產環境的訪問權限。
第十四條
公司員工必須嚴格遵守公司信息安全政策、管理制度、技術標準和信息系統控制要求,承擔相關安全義務和責任,并及時報告信息安全事件。
第三章 信息安全目標與工作原則
第十五條
信息安全工作的總體目標是:實施信息系統安全等級保護,建立和健全先進實用、完整可靠的信息安全體系,保證系統和信息的完整性、真實性、可用性、保密性和可控性,保障信息化建設和應用,支撐公司業務持續、穩定、健康發展。
第十六條
信息安全體系建設必須堅持以下原則: 堅持統一。信息安全體系必須統一規劃、統一標準、統一設計、統一投資、統一建設、統一管理。
保障應用。保障網絡和信息系統,特別是全局網絡和重要業務信息系統不間斷穩定運行及其信息的安全,實現以應用促安全,以安全保應用。
符合法規。信息安全體系要滿足法律法規要求,包括國家對信息系統等級保護、企業內部控制要求,積極采用法律法規允許的、成熟的先進技術和專業安全服務。
綜合防范。管理與技術并重,相互補充。從組織與流程、制度與人員、場地與環境、網絡與系統、數據與應用等多方面著手,在系統設計、建設和運維的多環節進行綜合防范。
集中共享。建立集中、統一的信息安全技術服務平臺和
集中專業化的信息安全隊伍。
第四章 信息安全工作基本要求
第十七條
根據公司信息安全專項規劃和總體方案,分層次建立以安全組織體系為核心、安全管理體系為保障、安全技術體系為支撐的全面信息安全體系,并保持三個體系穩定、均衡發展。
第十八條
建立全面的信息安全管理體系:
制定并實施統一的信息安全策略、管理制度和技術標準。
實行信息系統資產管理責任制,保護信息系統,特別是核心信息系統的設備、軟件、數據和技術文檔的安全。
建立信息系統物理環境、網絡、系統、應用、數據等各層面的安全管理流程,實現對信息系統全生命周期的安全管理。
實現對信息系統的安全風險管理,及時發現和防范安全隱患。
第十九條
建立有效的信息安全技術體系:
強化網絡、桌面和應用系統安全防護體系,按照自主定級、自主保護的原則,評估確定各信息系統保護等級并實施
相應的保護措施。
建立統一的網絡安全信任體系,加強網絡實體身份管理與認證,為網絡和信息系統安全運行提供信任基礎。
建立完善有效的安全監控和預警體系,監控重要網絡和核心業務系統,及時發現安全隱患。
建立全面有效的應急響應體系,制定并落實完整、規范的應急處理和響應流程,完善信息安全報告、處理機制。
建立包括同城和異地容災備份中心的信息系統災難恢復體系,定期進行災難恢復的測試和演練,確保災難發生后能夠充分發揮備份的效能,降低造成的影響和損失。
第五章 信息安全監控
第二十條
信息安全監控的目的是對威脅系統、數據庫及網絡安全的因素進行有效控制,防止由于技術或人為因素導致的異常和損失,同時為其他安全措施的設計和實施提供可靠依據。安全監控的結果要保存一年以上。
第二十一條
信息系統的運行和維護單位,在國家法律和公司有關規定許可的范圍內,具體進行規范、合理、有效的信息安全監控。使用公司網絡及應用系統的用戶有義務接受
必要的監控。監控不能影響、泄漏不涉及安全問題的網上行為和個人隱私的內容。
第二十二條
各級信息部門負責制定和實施信息安全監控計劃,包括日常監控、應急處理和定期匯報。
第二十三條
日常監控分為實時監控和定期檢查,包括應用系統、數據庫、操作系統、網絡、物理環境以及外部人員對信息系統訪問的實時監控與定期檢查。監控及檢查結果要存檔備查,異常情況須及時向有關負責人匯報。
第二十四條
各級信息部門應對網絡及重要信息系統制定詳細的應急處理預案。應急處理按照預案進行,并至少每年組織一次相關崗位人員進行應急預案演練。
第二十五條
各級信息部門編制、上報信息安全月報和年報,及時向主管領導和上級部門匯報重大信息安全風險和事件。
第六章 信息安全風險評估
第二十六條
信息管理部負責組織建立風險評估規范及實施團隊,定期或在重大、特殊事件發生時進行風險評估。
第二十七條
風險評估包括范圍確定、風險識別、風險分析和控制措施,確保信息安全,滿足應用和業務需要。
評估范圍可包括管理組織、流程、政策與標準、應用系統、數據庫、操作系統、網絡、物理環境,應涵蓋公司內部關鍵控制點。
風險識別包括識別風險類型和風險事件,形成風險列表,更新信息風險數據庫。
風險分析包括信息資產分類、風險發生概率和影響程度分析,并確定風險等級,形成風險評估報告。
控制措施包括安全管理策略和風險控制措施,形成風險控制報告。
第二十八條
信息管理部將風險評估和控制報告上報信息主管領導審批。根據領導審批意見,落實控制措施。
第七章 信息安全培訓
第二十九條
信息管理部負責制定公司信息安全培訓計劃,組織、實施信息安全管理和技術培訓。各級信息部門負責相應層級的信息安全培訓,培訓計劃報信息管理部備案。
第三十條
信息管理部及各企事業單位信息部門對應用系統、數據庫、操作系統和網絡管理員、開發人員進行信息安全技術培訓,提高信息安全管理和維護水平。
第三十一條
信息管理部及各企事業單位信息部門分層次、分類型對員工進行信息安全培訓,包括針對業務和技術管理人員進行管理層面的信息安全管理培訓,針對從事日常業務處理人員進行操作層面基本安全知識培訓。
第三十二條
員工上崗前,應進行崗位信息安全培訓,并簽署信息安全保密協議。在崗位發生變動時,及時調整信息系統操作權限。
第三十三條
信息安全政策與標準發生重大調整、新建和升級的信息系統投入使用前,開展必要的安全培訓,明確相關調整和變更所帶來的信息安全權限和責任的變化。
第八章 信息安全檢查與考核
第三十四條
信息管理部定期進行信息安全檢查與考核,包括信息安全政策與標準的培訓與執行情況、重大信息安全事件及整改措施落實情況、現有信息安全措施的有效性、信息安全技術指標完成情況。
第三十五條
各企事業單位信息部門按照本辦法和《公司信息系統運行維護管理辦法》進行信息安全自我考核,信息管理部進行綜合評價,形成考核報告,報信息主管領導。
第三十六條
對于不執行本辦法造成嚴重后果的,應追究相關部門和個人責任。
第九章 附則
第三十七條
各企事業單位可參照本管理辦法制定相應的實施細則。
第三十八條 第三十九條
本辦法由公司信息管理部負責解釋。本辦法自印發之日起施行。
第五篇:關于企業信息安全管理制度
關于企業信息安全管理制度
安全生產是企業的頭等大事,必需堅持“安全第一,預防為主”的方針和群防群治制度,認真貫徹落實安全管理制度,切實加強安全管理,保證職工在生產過程中的安全與健康。根據國家和省有關法規、規定和文件,制定本企業信息安全管理制度。
一、計算機設備安全管理制度
計算機不同于其他辦公設備,其有用性、嚴密性、操作技術性強,含量高、部件易受損,特殊是聯網計算機,開放性程度比較高,電腦內部易受外界的愉窺、攻擊和病毒感染。為確保計算機軟、硬件及網絡的正常使用,特制定本制度。
1、公司內全部計算機歸網絡部統一管理,配備計算機的員工只負責使用操作;
2、計算機管理涉及的范圍
2.1全部硬件(包括外接設備)及網絡聯接線路:
2.2計算機及網絡故障的排除:
2.3計算機及網絡的維護與修理:
2.4操作系統的管理:
3、公司內全部計算機使用人員均為計算機操作員:
4、網絡維護部負責對公司內全部計算機進行定期檢查,一般每兩月進行一次;
5、計算機的使用部門要保持清潔、安全、良好的計算機設備工作環境,禁止在計算機應用環境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設備安全的物品。
6、非本單位技術人員對我單位的設備、系統等進行修理、維護時,必需由本單位相關技術人員現場全程監督。計算機設備送外修理,須經有關部門負責人批準。
7、嚴格遵守計算機設備使用、開機、關機等安全操作規程和正確的使用方法。任何人不允許帶電插撥計算機外部設備接口,計算機出現故障時應準時向電腦負責部門報告,不允許私自處理或找非本單位技術人員進行修理及操作。
二、操作員安全管理制度
1、計算機原那么上由專人負責操作維護,不得串用設備。下班后必需按程序關閉主機和其他設備,切斷電源。
2、為保證計算機信息安全,必需為計算機設置密碼。
3、計算機操作員除使用操作計算機外,不允許有以下行為:
3.1硬件設備出現故障擅自拆開主機機箱蓋板;
3.2更換計算機配件(如鼠標、鍵盤、耳麥):如有向網絡管理員寫設備申請單審批。
3.3刪除計算機操作系統及公司指定的軟件:
3.4使用帶病毒的計算機軟件;
3.5讓外來人員進行有損于計算機的技術性操作;
4、不得使用來路不明或未經殺毒的盤片。計算機操作員定期對計算機進行殺毒。如覺察計算機有病毒時,應準時去除,去除不了的病毒,要準時上報,5、個人的公司重要文檔、資料和數據保存時必需將資料儲存在除操作系統外的其它磁盤空間,嚴禁將重要文件存放于桌面或C盤下。
6、工作時間內嚴禁工作人員在計算機上進行與工作無關的操作,不準上網與工作無關的聊天、玩電腦游戲、看影視、聽音樂,迅雷下載等,7、電腦及網絡設備所在環境應保持清潔、衛生、通風,留意防塵、防潮、防火。
8、公司全部計算機使用者,不得破壞網管員對計算機的安全設置。包括用戶使用權限。
9、除服務器外,其他全部計算機下班后必需關機并切斷電源;
10、計算機使用者離職時必需由網絡管理員確認其計算機硬件設備完好、移動存儲設備歸還、信息系統管理帳戶密碼和資料未破壞、個人帳戶密碼去除后方可辦理離職手續。
11、如工作人員不按規定操作,造成不良后果的,將按有關規定,由操作者承擔相應責任,并追究科室負責人的有關責任。
12、操作員設置與管理
(1)網絡管理員管理操作權限必需經過公司領導授權取得;根據不同部門的要求及崗位職責而設置:
[2)網絡管理員負責故障恢復等管理及維護,必需有其上級授權:不得使用他人操作代碼進行業務操作;
三、密碼與權限安全管理制度
1、密碼設置應具有安全性、保密性,不能使用簡潔的代碼和標記。密碼是愛護系統和數據安全的把握代碼,也是愛護用戶自身權益的把握代碼。密碼分設為用戶密碼和操作密碼,用戶密碼是登陸系統時所設的密碼,操作密碼是進入各應用系統的操作員密碼。密碼設置不應是名字、生日,重復、順序、規律數字等簡潔猜測的數字和字符串;
2、密碼應定期修改,間隔時間不得超過一個月,如覺察或懷疑密碼遺失或泄漏應馬上修改,并在相應登記簿記錄用戶名、修改時間、修改人等內容。
3、服務器、路由器等重要設備的超級用戶密碼由運行機構負責人指定專人(不參與系統開發和維護的人員)設置和管理,并由密碼設置人員將密碼裝入密碼信封,在騎縫處加蓋個人名章或簽字后交給密碼管理人員存檔并登記。如遇特殊狀況需要啟用封存的密碼,必需經過相關部門負責人同意,由密碼使用人員向密碼管理人員索取,使用完畢后,須馬上更改并封存,同時在“密碼管理登記簿”中登記,4、系統維護用戶的密碼應至少由兩人共同設置、保管和使用管理制度,5、有關密碼授權工作人員調離崗位,有關部門負責人須指定專人接替并對密碼馬上修改或用戶刪除,同時在“密碼管理登記簿”中登記,四、數據安全管理制度
1、存放備份數據的介質必需具有明確的標識。備份數據必需異地存放。
2、留意計算機重要信息資料和數據存儲介質的存放、運輸安全和保密管理,保證存儲介質的物理安全,3、任何非應用性業務數據的使用及存放數據的設備或介質的調撥、轉讓、廢棄或銷毀必需嚴格根據程序進行逐級審批,以保證備份數據安全完好,4、數據恢復前,必需對原環境的數據進行備份,防止有用數據的丟失。數據恢復過程中,出現問題時由技術部門進行現場技術支持。數據恢復后,必需進行驗證、確認,確保數據恢復的完好性和可用性。
5、數據清理前必需對數據進行備份,在確認備份正確后方可進行清理操作。歷次清理前的備份數據要進行定期保存或永久保存,并確保可以隨時使用。數據清理的實施應避開業務高峰期,避開對聯機業務運行造成影響。
6、需要長期保存的數據,數據管理部門需與相關部門制定轉存,根據轉存和查詢使用方法要在介質有效期內進行轉存,防止存儲介質過期失效,通過有效的查詢、使用方法保證數據的完好性和可用性。
7、非本單位技術人員對本公司的設備、系統等進行修理、維護時,必需由本公司相關技術人員現場全程監督。計算機設備送外修理,須經設備管理機構負責人批準。送修前,需將設備存儲介質內應用軟件和數據等涉經營管理的信息備份后刪除,并進行登記。對修復的設備,設備修理人員應對設備進行驗收、病毒檢測。
8、管理部門應對報廢設備中存有的程序、數據資料進行備份后去除,并妥當處理廢棄無用的資料和介質,防止泄密。
9、運行維護部門需指定專人負責計算機病毒的防范工作,建立本單位的計算機病毒防治管理制度,常常進行計算機病毒檢查,覺察病毒準時去除。
10、營業用計算機未經有關部門允許不準安裝其它軟件、不準使用來歷不明的載體(包括軟盤、光盤、移動硬盤等)。
五、網絡管理
1、網絡系統屬于公司無形資產,公司有權限制上網行為,根據工作需要限制各部門的上網行為。
2、公司網絡管理員對計算機IP地址統一安排、登記、管理,嚴禁私自更改IP地址。
3、公司員工必需自覺遵守企業的有關保密法規,嚴禁利用網絡有意或無意泄漏公司的涉密文件、資料和數據。不得非法復制、轉移和破壞公司的文件、資料和數據,4、實行“絕密”文件、涉秘件與計算機網絡確定隔離,不得在計算機網絡中輸入、打印、復制“絕密”文件和有關涉秘件;
5、網絡維護部負責文字工作的計算操作人員必需遵守有關的保密制度,對保密的文件資料進行加密存放,不得上網共享。
六、附
1、本制度由網絡部負責解釋,2、本制度由總經理批準后生效,自公布之日起執行。
點擊咨詢 