信息安全管理体系制度汇编V1.0
信息安全管理体系汇编(第一版)网络运营中心监制
xx年3月目录目录信息安全工作指导方针I 信息安全工
作流程图II 信息安全工作示意图III 信息安全管理体系框架IV 信息安全工作总体方针1
第一章总则1
第二章总体安全方针1
第三章总体安全目标1
第四章安全工作原则1
第五章安全工作要求2
第六章安全组织保障3
第七章附则4 架构与安全委员会章程5
第一章总则5
第二章组织结构5
第三章架构与安全委员会6
第四章信息安全实施小组7
第五章例会制度9
第六章附则10 附件11 附件1:架构与安全委员会名单11
附件2:架构与安全委员会例会纪要12 信息系统安全管理制度13 第一章总则13
第二章信息系统安全管理13
第三章数据中心机房安全管理14
第四章网络安全管理14
第五章系统安全管理15
第六章应用安全管理15
第七章数据安全管理15
第八章信息系统建设安全管理16
第九章信息系统变更安全管理16
第章信息系统运维安全管理16
第一章信息系统安全事件管理17
第二章信息安全检查与审计管理17
第三章信息系统风险评估管理17
第四章信息系统安全应急预案17
第五章业务连续性与灾难恢复管理18
第六章信息系统安全值守巡检规范18
第七章附则18 信息系统日常安全管理规范19 第一章总则19
第二章信息系统日常管理19
第三章人员安全管理20
第四章第三方人员安全管理制度20
第五章信息资产安全管理制度20
第六章办公设备安全管理制度20
第七章桌面终端安全管理21
第八章介质安全管理21
第九章附则21 数据中心机房管理制度22
第一章总则22
第二章机房出入管理22
第三章机房操作管理24
第四章机房设备管理24
第五章附则25 附件26 附件1:机房人员、设备进出申请表26 附件2:数据中心维护工作登记表27 网络安全管理制度29
第一章总则29
第二章管理职责29
第三章网络架构安全29
第四章网络配置安全30
第五章网络运维安全32
第六章附则34 系统安全管理制度35
第一章总则35
第二章管理职责35
第三章系统配置安全35
第四章系统运维安全36
第五章附则37 应用安全管理制度38
第一章总则38
第二章身份鉴别38
第三章WEB页面安全39
第四章访问控制39
第五章安全审计40
第六章过期信息、文档处理40
第七章资源控制40
第八章应用容错40
第九章报文完整性41
第章报文保密性41
第一章抗抵赖41
第二章编码安全41
第三章电子认证应用41
第四章附则42 数据安全管理制度43 第一章总则43
第二章数据分级43
第三章数据传输安全44
第四章数据存储安全44
第五章数据变更安全45
第六章数据访问安全46
第七章数据备份安全46
第八章数据恢复安全47
第九章数据销毁安全48
第章密码和密钥安全48
第一章附则50 附件51 附件1:备份记录51 附件2:备份计划表52 附件3:备份数据可用性测试申请表53 附件4:备份数据可用性测试记录54 附件5:数据恢复申请表55 业务系统建设安全管理制度56
第一章总则56
第二章总体安全要求56
第三章业务系统研发、测试56
第四章业务系统上线57
第五章附则59 附件60 附件1:新业务上线申请表60 信息系统变更安全管理制度61
第一章总则61
第二章变更分类61
第三章变更管理流程61
第四章附则64 附件65 附件1:变更申请表65 附件2:变更记录表66 信息系统运维安全管理制度67
第一章总则67
第二章日常巡检67
第三章信息系统运维账号管理68
第四章安全监控与入侵防范管理70
第五章恶意代码防范70
第六章附则71 附件72 附件1:信息系统运维账号申请表72 信息系统安全事件管理制度73
第一章总则73
第二章安全事件定义73
第三章安全事件分级77
第四章安全事件处理79
第五章附则80 附件81 附件1:故障记录登记表81 附件2:故障记录汇总审批表82 信息安全检查与审计管理制度83 第一章总则83
第二章安全检查与审计内容83
第三章全面安全检查与审计流程85
第四章附则87 突发业务高可用性管理制度89
第一章总则89
第二章管理职责89
第三章技术保障89
第四章突发业务高可用性管理90
第五章附则93 附件94 附件1:突发业务高可用性影响分析报告94 附件2:突发业务高可用性实施计划95 附件3:突发业务高可用性实施计划测试报告96 附件4:突发业务高可用性实施计划评审报告97 信息系统安全应急预案98
第一章总则98
第二章组织和职责98
第三章事件分类98
第四章机房故障应急预案99
第五章业务系统故障应急预案100
第六章应急处理保障101
第七章应急处理培训及演练101
第八章附则102 信息系统风险评估管理规范103
第一章总则103
第二章风险的概念103
第三章风险评估职责104
第四章风险评估过程104
第五章附则107 信息系统安全值守巡检规范108
第一章总则108
第二章组织和职责108
第三章机房安全值守108
第四章办公室安全值守109
第五章附则110 人员安全管理制度111
第一章总则111
第二章人员录用111
第三章人员调/离岗112
第四章信息安全意识教育112
第五章人员考核112
第六章附则113 附件114 附件1:保密协议书114 附件2:培训记录单119
第三方人员安全管理制度120
第一章总则120
第二章第三方人员安全管理120
第三章第三方人员安全操作120
第四章附则121 附件122 附件1:第三方人员访问申请流程122 附件2:第三方人员入网申请表123 信息资产安全管理制度124
第一章总则124
第二章信息资产分类124
第三章信息资产分级124
第四章信息资产管理125
第五章信息资产盘点126
第六章附则126 附件128 附件1:信息资产保密性赋值定义128 附件2:信息资产完整性赋值定义129 附件3:信息资产可用性赋值定义130 附件4:信息资产清单131 办公设备安全管理制度132
第一章总则132
第二章管理职责132
第三章设备申请采购管理132
第四章设备使用维护管理133
第五章设备维修报废管理136
第六章附则136 附件137 附件1:办公设备申请采购工作流程137 附件2:办公设备领用工作流程138 附件3:办公设备调
拨工作流程139 附件4:办公设备维修报废流程140 附件5:办公设备领用单141 附件6:办公设备调拨申请表142 附件7:办公设备送外维修申请表143 桌面终端安全管理制度144 第一章总则144
第二章员工桌面终端安全要求144
第三章桌面终端初始配置145
第四章桌面终端接入网络145
第五章桌面终端日常使用146
第六章桌面终端连接互连网148
第七章桌面终端维修报废149
第八章附则149 介质安全管理制度150
第一章总则150
第二章介质保管150
第三章介质使用与维护150
第四章介质维修与销毁151
第五章附则152 附件153 附件1:介质目录清单153 附件2:介质申请表154 附件3:介质送外维修申请表155 附件4:介质移交单156 附件5:介质销毁清单157 附件6:保密介质销毁申请表158 网络运营中心监制信息安全工作指导方针信息安全工作指导方针网络运营中心监制 IV 信息安全工作流程图信息安全工作流程图信息安全工作示意图信息安全工作示意图信息
安全管理体系框架信息安全管理体系框架信息安全工作总体方针信息安全工作总体方针
第一章总则
第一条为给集团信息安全工作提供清晰的指导方向,加强信息安全管理,保证业务系统的安全运行,提高服务质量,特制定本方针。
第二条信息安全工作是集团运营发展的基础,是保障网络质量,保护客户利益的基础,因此必须重视信息安全工作。
第三条信息安全是集团各部门所有员工共同分担的责任,与每一位员工的日常工作息息相关,所有员工必须提高认识,高度重视,从自己开始,坚持不懈地做好信息安全工作。
第四条本方针适用于集团全体员工。
第二章总体安全方针
第五条集团信息安全应坚持“信息安全与业务并重,安全管理与技术并重”的总体方针,实现信息系统安全可查、可视、可控。依照“分区、分级、分域”的总体安全防护策略,执行信息系统安全防护。
第三章总体安全目标
第六条集团的信息安全目标是:
一、保障信息系统安全稳定运行,保证业务连续性;
二、保护客户隐私,保障客户资料的机密性,维护客户的利益;
三、保护集团的商业机密和技术机密,维护集团的利益;
四、建立集团的信息安全体系,确保信息资产的安全可靠。
第四章安全工作原则
第七条安全工作应遵循以下基本原则:
一、“分级保护”原则:应根据各业务系统的重要程度以及面临的风险大小等因素决定各类信息的安全保护级别,分级保护,合理投资。
二、“同步规划、同步建设、同步运行”原则:安全建设应与业务系统同步规划、同步建设、同步运行,在任何一个环节的疏忽都可能给业务系统带来危害。
三、“三分技术、七分管理”原则:信息安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安全管理规章制度和操作规程,全面提高安全管理水平。
四、“内外并重”原则:安全工作需要做到内外并重,在防范外部威胁的同时,加强规范内部人员行为和审计机制。
五、“整体规划,分步实施”原则:需要对集团信息安全建设进行整体规划,分步实施,逐步建立完善的信息安全体系。
六、“风险管理”原则:进行安全风险管理,确认可能影响信息系统的安全风险,并以较低的成本将其降低到可接受的水平。
七、“适度安全”原则:没有绝对的安全,安全和易用性是矛盾的,需要做到适度安全,找到安全和易用性的平衡点。
第五章安全工作要求
第八条集团必须建立和完善信息安全管理规章制度和操作程序,规范和加强信息安全管理工作,所有员工都必须遵守与其相关的信息安全规章制度。
第九条加强内部人员安全管理,依据最小特权原则清晰划分岗位,在所有岗位职责中明确信息安全责任,要害工作岗位实现职责分离,关键事务双人临岗,重要岗位要有人员备份。
第条各部门必须加强信息资产管理,建立和维护信息资产清单,建立信息资产责任制,对信息资产进行分类管理和贴标签。
第一条加强系统建设的安全管理,配套安全系统必须与业务系统“同步规划、同步建设、同步运行”,加强安全规划、安全审批、安全验收管理。
第二条建立维护作业计划,严格执行维护作业计划,加强对网络设备、操作系统、数据库、应用系统的运行监控,编写日常运行维护报告。
第三条部署网络层面和系统层面的访问控制、安全审计以及安全监控技术措施,保障业务系统的安全运行。
第四条建立日常维护操作手册和变更控制流程,规范日常运行维护操作,严格控制和审批任何变更行为,加强机房和办公区
域的安全管理,为业务系统的正常运行提供物理和环境安全保障。
第五条增强主机系统的安全配置,定期进行安全评估和安全加固,加强防范恶意软件,定期更新病毒特征代码,及时报告发现的病毒。所有Windows操作系统的电脑必须及时进行补丁升级。
第六条制定各业务系统的应急方案,定期更新、维护和测试,做好数据备份工作,确保出现故障时数据能够及时恢复,保证数据的安全。
第七条加强用户账号和权限管理,按照最小特权原则为用户分配权限,避免出现共用账号的情况。
第八条加强用户口令的管理,口令长度至少8位,并采用数字、字母和特殊字符的组合,定期修改用户口令。
第九条加强应用系统的安全管理,包括软件开发安全管理、投产测试和上线安全管理、应用软件版本和配置管理,加强外包开发的业务系统软件的安全管理。
第二条加强第三方访问和外包服务的安全控制,在风险评估的基础上制定安全控制措施,并与第三方集团和外包服务集团签署安全责任协议,明确其安全责任。
第二一条所有员工都应签署保密协议,并接受信息安全教育培训,提高安全意识,及时报告信息安全事件。
第六章安全组织保障
第二二条架构与安全委员会是集团管理委员会领导下的IT 服务管理的安全监督机构,下设信息安全实施小组,全面负责集团信息安全的各项工作。
第二三条架构与安全委员会负责集团信息安全相关的技术指导和管理工作,定期向管理委员会汇报
集团网络与信息安全现状;负责根据集团的智慧大北农平台战略建立网络与信息安全管理体系工作规划。
第二四条信息安全实施小组由信息安全部、网络运维部、技术中心安全相关人员以及外部组织技术人员组成,是集团信息安全的具体实施组织,信息安全部负责根据架构与安全委员会的各项决策提出具体解决方案并组织实行,制定并落实集团的信息安全管理体系规范,并为委员会决策提供真实、有效的信息安全数据。小组其他部门负责配合信息安全部完成委员会各项信息安全决策的具体落实。
第七章附则
第二五条本方针的制定和修改需要经架构与安全委员会成员讨论通过后,管理委员会批准之日起生效。
第二六条本方针解释权属架构与安全委员会。
网络运营中心监制26 架构与安全委员会章程架构与安全委员会章程
第一章总则
第一条为了加强集团信息安全保障能力,建立健全集团的安全管理体系,提高整体的网络与信息安全水平,保证网络通信畅通和业务系统的正常运营,提高网络服务质量,经集团批准设立架构与安全委员会。
第二条架构与安全委员会(以下简称“委员会”)是集团管理委员会领导下的IT服务管理的安全监督机构,负责集团信息安全相关的技术指导和管理工作,定期向管理委员会汇报集团网络与信息安全现状;负责根据集团的智慧大北农平台战略建立网络与信息安全管理体系工作规划。
第三条委员会的宗旨是集中团队力量,落实集团信息化发展战略,建立统一的IT管理体系,规范IT管理制度,合理配置IT 资源,优化IT体系结构,更好地为集团业务发展服务。
第二章组织结构
第四条委员会下设信息安全实施小组,由网络运营中心、技术中心、外部组织等安全相关人员组成,是集团信息安全的具体实施组织,负责信息系统日常的运维安全和安全管理体系的具体落实。
第五条委员会成员由集团管理委员会指派,每届任期为1年。详细人员名单见附件一。
第六条信息安全实施小组组织架构如下图所示:
第三章架构与安全委员会
第七条架构与安全委员会职责如下:
一、负责集团信息安全相关的技术指导和管理工作,定期向集团管理委员会汇报
集团网络与信息安全现状;
二、负责根据集团的智慧大北农平台战略,制定网络与信息安全体系的发展规划,并根据规划的内容向集团管理委员会提交安全建议和方案;
三、根据国家信息安全管理的相关法律法规和制度,建立和健全集团的信息安全管理体系;
四、根据集团信息安全管理体系要求,组织落实信息安全管理制度规范,并定期评审制度规范的落实情况;
五、根据集团信息安全管理体系要求,定期组织开展信息系统安全检查,及时预见潜在的重大信息安全风险并向集团管理委员会提交防范建议;六、负责集团重点网络与信息安全项目的审议与决策;七、负责集团信息安全相关问题的对内及对外的协调工作。协调内部实施小组各部门成员处理集团信息安全工作中的各项安全事件和安全问题,在遭遇重大安全事件内部无法解决时协调外部技术人员协助处理问题;八、负责定期组织技术人员进行信息安全方面的培训和学习。
第四章信息安全实施小组
第八条信息安全实施小组是集团信息安全的具体实施组织,下设的信息安全部是集团信息安全实际管理执行部门,小组其他
部门人员负责配合信息安全部完成委员会各项信息安全决策的具体落实。
第九条信息安全实施小组职责如下:
一、负责集团信息安全工作的具体实施落实;
二、负责制定并不断改进集团的信息安全管理体系制度规范,提交给委员会进行审核;
三、负责落实集团的信息安全管理体系制度规范,并针对落实过程中出现的不合理之处及时修订安全管理体系制度规范;
四、负责落实集团的信息安全检查工作,实施内部安全检查审计或协助第三方人员实施安全评估工作;
五、负责协助第三方人员实施重大网络与安全项目,保障项目顺利实施;六、负责制定集团信息系统日常安全运行维护的工作流程和操作手册,监控信息系统日常的安全运行,保障信息系统安全稳定运行;七、负责集团信息安全事件的应急响应处理;八、负责定期参与集团组织的技术培训和信息安全培训。
第条实施小组各成员工作职责如下:
一、网络安全工程师工作职责: n 负责集团信息安全技术及管理体系的规划设计、实施; n 负责集团信息安全管理体系具体安全管理制度流程的制定、维护、更新; n 负责定期开展内部的信息安全检查及审计工作,配合第三方人员实施外部安全评估; n 负责集团新上线业务的安全检测; n 负责业务相关安全设备的配置维护、更新,梳理业务系统访问关系,制定访问控制
规则; n 负责日常的网络设备、服务器、数据库、应用中间件、应用系统等的安全检查与安全日志审计,及时发现安全问题及攻击事件,排除安全隐患; n 负责监控业务网站的安全状态,处理集团信息安全事件; n 负责定期开展信息安全教育培训,提高内部人员的安全意识; n 负责定期提交集团信息安全工作报告。
二、网络工程师工作职责: n 负责网络基础架构的方案设计、实施; n 负责各业务平台省级运营商骨干网的架构设计、实施; n 负责各业务平台、各数据中心相关网络的实施、优化; n 负责业务相关网络设备的配置维护、变更; n 负责制定集团网络设备的安全操作手册; n 负责堡垒主机的账号权限管理; n 负责业务相关网络的监控、维护和故障处理,并定期提交工作报告; n 负责定期检查网络设备日志,排除安全隐患; n 协助网络安全工程师处理集团信息安全事件,配合集团各项信息安全工作实施。
三、网络管理员工作职责: n 负责集团办公网络的监控、维护和故障处理,并定期提交工作报告; n 负责集团网络会议、视频会议的网络部署、监控和故障处理; n 负责集团总部办公区网络、员工终端PC、固定电话等的部署、维护和故障处理; n 协助网络工程师进行业务相关网络的监控、维护和故障处理; n 协助网络安全工程师处理集团信息安全事件,配合集团各项信息安全工作实施。
四、系统工程师安全工作职责: n 负责业务相关服务器操作系统的安装和账号管理; n 负责业务相关服务器操作系统的配置维护、软件安装和补丁升级; n 负责制定集团服务器操作系统的安全操作手册; n 负责业务相关服务器操作系统的运行监控、维护和故障处理; n 负责定期检查服务器日志,排除安全隐患;n 协助网络安全工程师处理集团信息安全事件,配合集团各项信息安全工作实施。
五、数据库工程师安全工作职责: n 负责业务相关数据库的安装、配置和补丁升级; n 负责制定集团数据库的安全操作手册; n 负责业务相关数据库的运行监控、维护和故障处理; n 负责定期检查数据库日志,排除安全隐患; n 协助网络安全工程师处理集团信息安全事件,配合集团各项信息安全工作实施。
六、研发工程师安全工作职责: n 负责按照应用安全编码规范编写各业务系统的代码; n 协助网络安全工程师处理集团信息安全事件,配合集团各项信息安全工作实施。
第五章例会制度
第一条委员会要定期组织例会,听取和讨论集团的信息安全发展状况,当出现如下情况时需及时组织发起会议:
一、集团网络与信息安全的发展规划的制定;
二、集团信息安全管理规范及制度的颁布;
三、集团重点网络与信息安全项目方案的部署;
四、集团网络与信息安全项目涉及的重大更新;
五、集团网络与信息安全评估的总结汇报
;六、其他重要的网络与信息安全技术投入。
第二条委员会成员必须全体参加例会,会议要形成会议记录并留档。
第三条会议议题要清晰,需提前发布会议目的,各成员须提前就议题内容进行资料的准备及方案的整理,以便提升会议效率。
第六章附则
第四条本章程的制定和修改需要经架构与安全委员会成员讨论通过后,管理委员会批准之日起生效。
第五条本章程解释权属架构与安全委员会。
附件附件1:架构与安全委员会名单委员会成员:孙安、李玉福、薛素金、赵万冬、张传民、刘东栋、陈健源附件2:架构与安全委员会例会纪要农信集团架构与安全委员会例会纪要会议时间会议地点参会人员会议议题会议纪要会议结果信息系统安全管理制度信息系统安全管理制度
第一章总则
第一条为加强信息系统安全管理,保证信息系统的安全、可靠运行,提高服务质量,特制定本制度。
第二条信息系统安全管理是保障网络质量,保护客户利益的基础,因此必须重视信息系统安全工作。
信息工作管理制度 第一章总则 第一条为了加强信息管理,规范信息安全操作行为,提高信息安全保障能力和水平,维护信息安全,促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等规定,以《环境信息网络管理维护规范》(环保部制定)等标准为基本管理操作准则,制订本管理制度。 第二条本制度适用范围为信息与监控中心,其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员(包括监控与信息中心技术人员及机关业务系统管理人员)、机房运维人员(包括外包机构人员),应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 (一)系统管理员 系统管理员是从事服务器及存储设备运行管理的人
员,业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立,正式运行后的服务器系统软硬件操作的监管,执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 (二)业务管理员(业务联系人) 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员,业务上应具备业务系统安装及基本调试操作的能力(业务软件厂家负责培训),业务系统及部署操作系统故障分析的能力,预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 (三)网络管理员
信息安全管理制度 一、总则 为了加强公司内所有信息安全的管理,让大家充分运用计算机来提高工作效率, 特制定本制度。 二、计算机管理要求 1.IT管理员负责公司内所有计算机的管理,各部门应将计算机负责人名单报给 IT管理员,IT管理员(填写《计算机IP地址分配表》)进行备案管理。如有变更,应在变更计算机负责人一周内向IT管理员申请备案。 2.公司内所有的计算机应由各部门指定专人使用,每台计算机的使用人员均定为计算机的负责人,如果其他人要求上机(不包括IT管理员),应取得计算机负责人的同意,严禁让外来人员使用工作计算机,出现问题所带来的一切责任应由 计算机负责人承担。 3.计算机设备未经IT管理员批准同意,任何人不得随意拆卸更换;如果计算机出现故障,计算机负责人应及时向IT管理员报告,IT管理员查明故障原因,提出整改措施,如属个人原因,对计算机负责人做出处罚。 4.日常保养内容: A.计算机表面保持清洁 B.应经常对计算机硬盘进行整理,保持硬盘整洁性、完整性; C.下班不用时,应关闭主机电源。 5.计算机IP地址和密码由IT管理员指定发给各部门,不能擅自更换。计算机系统专用资料(软件盘、系统盘、驱动盘)应由专人进行保管,不得随意带出公司 或个人存放。 6.禁止将公司配发的计算机非工作原因私自带走或转借给他人,造成丢失或损坏的 要做相应赔偿,禁止计算机使用人员对硬盘格式化操作。
7.计算机的内部调用: A. IT管理员根据需要负责计算机在公司内的调用,并按要求组织计算机的迁移 或调换。 B. 计算机在公司内调用,IT管理员应做好调用记录,《调用记录单》经副总经理 签字认可后交IT管理员存档。 8.计算机报废: A. 计算机报废,由使用部门提出,IT管理员根据计算机的使用、升级情况,组 织鉴定,同意报废处理的,报部门经理批准后按《固定资产管理规定》到财 务部办理报废手续。 B. 报废的计算机残件由IT管理员回收,组织人员一次性处理。 C. 计算机报废的条件:1)主要部件严重损坏,无升级和维修价值;2)修理或 改装费用超过或接近同等效能价值的设备。 三、环境管理 1.计算机的使用环境应做到防尘、防潮、防干扰及安全接地。 2.应尽量保持计算机周围环境的整洁,不要将影响使用或清洁的用品放在计算机 周围。 3.服务器机房内应做到干净、整洁、物品摆放整齐;非主管维护人员不得擅自进 入。 四、软件管理和防护 1.职责: A. IT管理员负责软件的开发购买保管、安装、维护、删除及管理。 B. 计算机负责人负责软件的使用及日常维护。 2.使用管理: A. 计算机系统软件:要求IT管理员统一配装正版Windows专业版,办公常用办
信息系统安全人员管理制度1信息系统安全人员管理制度汇编 第一章总则 第一条为规范公司信息系统安全人员管理,保障公司信息安全,根据公司相关规章制度汇编整理,制订本制度。 第二条公司所有涉及信息系统安全人员(简称信息安全人员),适用本制度。 第二章录用与入职 第三条信息安全人员招聘、录用一般流程参考《人才引进与任用管理暂行办法》 第四条对拟录用信息安全人员应进行详细的背景调查,对其经历背景确认无误后才可办理录用手续。 第五条信息安全人员在签订《劳动合同》同时应签订《劳动合同补充协议》约定纪律、保密及其他方面条款。 第六条对信息安全人员进行入职培训时,应加强信息安全规章制度的教育培训,将制度掌握及执行情况纳入试用期考核。 第三章信息安全规范 第七条公司信息安全管理应严格遵照《信息安全管理责任制度》及《公司保密制度》执行。 第八条未经公司同意,信息安全人员不得复制公司资料,不得
将公司机密资料向公众展示、发行,不得向第三方出售公司机密资料或产品。 第九条信息安全人员接受外部邀请进行演讲、交流或授课,应事先 征得公司批准,并就可能涉及的有关公司业务的重要内容征求领导意见。 第十条信息安全人员不得利用职务之便,以盗窃、欺诈、胁 迫等不正当手段窃取公司的技术秘密或商业秘密、人事秘密、财务(税)秘密。未经公司许可,不得擅自允许第三方使用公司的技术成果。 第^一条信息安全人员应对各种工作密码保密,不对外提供 和泄露。严禁盗用他人密码。 第十二条信息安全人员在传阅文件时不得擅自扩大传阅范围,不得与无关人员或在公共场所谈论,不得擅自翻印、复制、抄袭或在公开发表的文章中引用。 第十三条需销毁的文件资料由综合办公室统一集中处理。 第十四条从事核心技术岗位的员工,如中途离开公司,自离 开之日起两年之内,不得从事与本行业及本岗位相关的活动。 第十五条信息安全人员在公司工作中接触到公司的技术秘密、关键技术及其他机密信息的,在离职后不得向第三方泄漏其所熟知有关公司机密的信息。
十八、信息安全管理制度 一、计算机安全管理 1、医院计算机操作人员必须按照计算机正确的使用方法操作计算机系统。严禁暴力使用计算机或蓄意破坏计算机软硬件。 2、未经许可,不得擅自拆装计算机硬件系统,若须拆装,则通知信息科技术人员进行。 3、计算机的软件安装和卸载工作必须由信息科技术人员进行。 4、计算机的使用必须由其合法授权者使用,未经授权不得使用。 5、医院计算机仅限于医院内部工作使用,原则上不许接入互联网。因工作需要接入互联网的,需书面向医务科提出申请,经签字批准后交信息科负责接入。接入互联网的计算机必须安装正版的反病毒软件。并保证反病毒软件实时升级。 6、医院任何科室如发现或怀疑有计算机病毒侵入,应立即断开网络,同时通知信息科技术人员负责处理。信息科应采取措施清除,并向主管院领导报告备案。 7、医院计算机内不得安装游戏、即时通讯等与工作无关的软件,尽量不在院内计算机上使用来历不明的移动存储工具。
二、网络使用人员行为规范 1、不得在医院网络中制作、复制、查阅和传播国家法律、法规所禁止的信息。 2、不得在医院网络中进行国家相关法律法规所禁止的活动。 3、未经允许,不得擅自修改计算机中与网络有关的设置。 4、未经允许,不得私自添加、删除与医院网络有关的软件。 5、未经允许,不得进入医院网络或者使用医院网络资源。 6、未经允许,不得对医院网络功能进行删除、修改或者增加。 7、未经允许,不得对医院网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。 8、不得故意制作、传播计算机病毒等破坏性程序。 9、不得进行其他危害医院网络安全及正常运行的活动。 三、网络硬件的管理 网络硬件包括服务器、路由器、交换机、通信线路、不间断供电设备、机柜、配线架、信息点模块等提供网络服务的设施及设备。 1、各职能部门、各科室应妥善保管安置在本部门的网络设备、设施及通信。 2、不得破坏网络设备、设施及通信线路。由于事故原因造
a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间:2015年12月
信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由 新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的 就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,三分技术,七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下
中心机房管理制度 计算机机房属机密重地。为做到严格管理,保证安全,特制订如下制度: 第一条中心机房的管理由系统管理员负责,非机房工作人员未经允许不准进入,机房门口明显位置应张贴告示:“机房重地,非请莫入”。 第二条机房内应保持整洁,严禁吸烟、吃喝、聊天、会客、休息。不准在计算机及工作台附近放置可能危及设备安全的物品。 第三条机房内严禁一切与工作无关的操作。严禁外来信息载体带入机房,未经允许不准将机器设备和数据带出机房。 第四条认真做好机房内各类记录介质的保管工作,落实专人收集、保管,信息载体必须安全存放并严密保管,防止丢失或失效。机房资料外借必须经批准并履行手续,方可借出。作废资料严禁外泄。 第五条机房工作人员要随时掌握机房运行环境和设备运行状态,保证设备随时畅通。机房设备开关必须先经检查确认正常后再按顺序依次开关机。 第六条机房工作人员对机房存在的隐患及设备故障要及时报告,并与有关部门及时联系处理。非常情况下应立即采取应急措施并保护现场。
第七条机房设备应由专业人员操作、使用,禁止非专业人员操作、使用。对各种设备应按规范要求操作、保养。发现故障,应及时报请维修,以免影响工作。 第八条外单位人员因工作需要进入机房时,必须报经局领导审批后方可进入,进入机房后须听从工作人员的指挥,未经许可,不得触及机房内设施。 第九条外来人员参观机房,须指定人员陪同。操作人员按陪同人员要求可以在电脑演示、咨询;对参观人员不合理要求,陪同人员应婉拒,其他人员不得擅自操作。 第十条中心机房处理秘密事务时,不得接待参观人员或靠近观看。
网络安全管理制度 第一条严格遵守法律、行政法规和国家其他有关规定,确保计算机信息系统的安全。 第二条连入局域网的用户严禁访问外部网络,若因工作需要,上网查询信息,允许访问与工作相关的网站,但须报告计算机管理部门,并在专业人员的指导下完成。非本局工作人员不允许上网查询信息。严禁访问宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪等违法网站。禁止在网络上聊天及玩游戏。 第三条加强信息发布审核管理工作。发布网络信息不得有危害国家安全、泄露国家秘密,侵犯国家、社会、集体的利益和公民的合法权益的内容出现。 第四条禁止非工作人员操纵系统,禁止不合法的登录情况出现。遇到安全问题应及时向计算机管理部门报告,并采取措施及时解决。 第五条局域网要采取安全管理措施,保障计算机网络设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第六条不得利用局域网络从事危害本局利益、集体利益和发表不适当的言论,不得危害计算机网络及信息系统的安全。在局域网上不允许进行干扰任何网络用户、破坏网络
ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT 服务管理体系, 现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理,开展持续改进 服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 :2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针,根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表,作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责:
a)建立服务管理计划; b)向组织传达满足服务管理目标和持续改进的重要性; e)确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005 标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT 服务管理体系,不断改进IT 服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告 IT 服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服 务管理目标所应做出的贡献。 总经理:
鑫欧克公司信息安全管理制度 一、信息安全指导方针 保障信息安全,创造用户价值,切实推行安全管理,积极预防风险,完善控制措施,信息安全,人人有责,不断提高顾客满意度。 二、计算机设备管理制度 1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2、非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。 3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。三、操作员安全管理制度 (一)操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置; (二)系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得; 2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护; 3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权; 4、系统管理员不得使用他人操作代码进行业务操作; 5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; (三)一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。 四、密码与权限管理制度 1、密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串; 2、密码应定期修改,间隔时间不得超过一个月,如发
内部资料 注意保存 XXXXXXXXXX 信息安全制度汇编 XXXXXXXXXX 二〇一六年一月
目录 一、总则 (6) 二、安全管理制度 (7) 第一章管理制度 (7) 1.安全组织结构 (7) 1.1信息安全领导小组职责 (7) 1.2 信息安全工作组职责 (8) 1.3信息安全岗位 (9) 2.安全管理制度 (11) 2.1安全管理制度体系 (11) 2.2安全方针和主策略 (12) 2.3安全管理制度和规范 (12) 2.4安全流程和操作规程 (14) 2.5安全记录单 (14) 第二章制定和发布 (15) 第三章评审和修订 (16) 三、安全管理机构 (17) 第一章岗位设置 (17) 1.组织机构 (17) 2.关键岗位 (19) 第二章人员配备 (21) 第三章授权和审批 (23) 第四章沟通和合作 (25) 第五章审核和检查 (27) 四、人员安全管理 (29) 第一章人员录用 (29) 1.组织编制 (29) 2.招聘原则 (29) 3.招聘时机 (29) 4.录用人员基本要求 (30) 5.招聘人员岗位要求 (30) 6.招聘种类 (30) 6.1 外招 (30) 6.2 内招 (31) 7.招聘程序 (31) 7.1 人事需求申请 (31) 7.2 甄选 (31) 7.3 录用 (33)
第二章保密协议 (34) 第三章人员离岗 (36) 第三章人员考核 (38) 1.制定安全管理目标 (38) 2.目标考核 (39) 3.奖惩措施 (39) 第四章安全意识教育和培训 (40) 1.安全教育培训制度 (40) 第一章总则 (40) 第二章安全教育的含义和方式 (40) 第三章安全教育制度实施 (40) 第四章三级安全教育及其他教育内容 (42) 第五章附则 (44) 第五章外部人员访问管理制度 (45) 1.总则 (45) 2.来访登记控制 (45) 3.进出门禁系统控制 (46) 4.携带物品控制 (47) 五、系统建设管理 (48) 第一章安全方案设计 (48) 1.概述 (48) 2.设计要求和分析 (49) 2.1安全计算环境设计 (49) 2.2安全区域边界设计 (50) 2.3安全通信网络设计 (51) 2.4安全管理中心设计 (51) 3.针对本单位的具体实践 (52) 3.1安全计算环境建设 (52) 3.2安全区域边界建设 (53) 3.3安全通信网络建设 (53) 3.4安全管理中心建设 (54) 3.5安全管理规范制定 (55) 3.6系统整体分析 (55) 第二章产品采购和使用 (56) 第三章自行软件开发 (59) 1.申报 (59) 2.安全性论证和审批 (59) 3.复议 (59)
ISO标准——IEC 27001:2005 信息安全管理体系—— 规范与使用指南 Reference number ISO/IEC 27001:2005(E)
0简介 0.1总则 本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系(ISMS)的模型。采用ISMS应是一个组织的战略决定。组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统预计会随事件而变化。希望根据组织的需要去扩充ISMS的实施,如,简单的环境是用简单的ISMS解决方案。 本国际标准可以用于内部、外部评估其符合性。 0.2过程方法 本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。 一个组织必须识别和管理许多活动使其有效地运行。通过利用资源和管理,将输入转换为输出的活动,可以被认为是一个过程。通常,一个过程的输出直接形成了下一个过程的输入。 组织内过程体系的应用,连同这些过程的识别和相互作用及管理,可以称之这“过程的方法”。 在本国际标准中,信息安全管理的过程方法鼓励用户强调以下方面的重要性: a)了解组织信息安全需求和建立信息安 全策略和目标的需求; b)在组织的整体业务风险框架下,通过 实施及运作控制措施管理组织的信息 安全风险; c)监控和评审ISMS的执行和有效性; d)基于客观测量的持续改进。 本国际标准采用了“计划-实施-检查-改进”(PDCA)模型去构架全部ISMS流程。图1显示ISMS如何输入相关方的信息安全需求和期望,经过必要的处理,产生满足需求和期望的产品信息安全输出,图1阐明与条款4、5、6、7、8相关。 采用PDCA模型将影响OECD《信息系统和网络的安全治理》(2002)中陈述的原则,0 Introduction 0.1 General This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution. This International Standard can be used in order to assess conformance by interested internal and external parties. 0.2 Process approach This International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS. An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process. The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”. The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security; b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks; c) monitoring and reviewing the performance and effectiveness of the ISMS; and d) continual improvement based on objective measurement. This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8. The adoption of the PDCA model will also reflect the principles as set out in the
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
北京XXXXXXXXXXXXX 信息安全管理制度 制定部门:技术部与行政部 制定人:XXX 制定时间:2016.4.21
1.安全管理制度要求 总则为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a安全岗位管理制度 b系统操作权限管理; c安全培训制度; d用户管理制度 e新服务、新功能安全评估 f用户投诉举报处理; g信息发布审核、合法资质查验和公共信息巡查; h个人电子信息安全保护;安全事件的监测、报告和和应急处置制度;现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查 2.个人履历的核查 3.学历、学位、专业资质证明 4.从事关键岗位所必须的能力 3.2.2应与关键岗位人员签订保密协议。 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员是 1上岗前的培训 2.安全制度及其修订后的培训 3.法律、法规的发展保持同步的继绩培训。 应严格规范人员离岗过程: a及时终止离岗员工的所有访间权限; b关键岗位人员须承诺调离后的保密义务后方可离开; c配合公安机关工作的人员变动应通报公安机关。 3.4人员离岗 应严格规范人员离岗过程 a及时终止离岗员工的所有访间权限; b关键岗位人员须承诺调离后的保密义务后方可离开;
一、信息安全管理体系标准业务介绍 1、背景介绍 信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失: ·直接损失:丢失订单,减少直接收入,损失生产率; ·间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉; ·法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。 所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。 俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
2、标准发展 目前,在信息安全管理体系方面,ISO27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织,如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。 2008年6月,ISO27001同等转换成国内标准GB/T22080-2008,并在2008年11月1日正式实施。 经过多年的发展,信息安全管理体系国际标准已经出版了一系列的标准,其中ISO/IEC27001是可用于认证的标准,其他标准可为实施信息安全管理的组织提供实施的指南。目前各标准的现行状态如下表1: 表1 ISO27000标准族现行状态
佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 编写人员:黄世荣 编写日期:2015年12月7日 项目缩写: 文档版本:V1.0 修改记录: 时间:2015年12月
一、信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展过程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面,伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中小企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经刻不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系协同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重要的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由于新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的范围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,“三分技术,七分管理”的理念已经被广泛接受。结合ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管理能力。 二、ISO27001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下图所示)。首先,各个组织应该根据自身的状况来搭建适合自身业务发展和信息安全需求的ISO27001信息安全管理体系框架,并在正常的业务开展过程中具体
*******公司网络安全管理制度 根据有关计算机、网络和信息安全的相关法律、法规和安全规定,结合本单位网络系统建设的实际情况,制定网络安全管理制度,成立本单位网络安全小组: 组长:****** 副组长:****** 成员:********************* 一、网络安全管理领导小组职责 1.组织宣传计算机信息网络安全管理方面的法律、法规和有关政策; 2.拟定并组织实施本单位计算机信息网络安全管理的各项规章制度; 3.定期组织检查计算机信息网络系统安全运行情况,及时排除各种信息安全隐患; 4.负责组织本单位信息安全审查; 5.负责组织本单位计算机使用人员的安全教育和培训; 6.发生安全信息事故或计算机违法犯罪案件时,应立即向公安机关网监部门或网络安全信息部门报告并采取妥善措施,保护现场,避免危害的扩散。 二、网络管理员职责 1.协助分管领导制定网络建设及网络发展规划,确定网络安全及资源共享策略; 2.负责单位公共网络设施,如服务器、交换机、集线器、
防火墙、网关、配线架、网线、接插件等的维护和管理; 3.负责服务器和系统软件的安装、维护、调整及更新; 4.负责账号管理、资源分配、数据安全和系统安全管理; 5.监视网络运行,调整网络参数,调度网络资源,保持网络安全、稳定、畅通; 6.负责系统备份和网络数据备份; 7.保管设备规格及配置单、网络管理记录、网络运行记录、网络检修记录等网络资料; 8.定期对网络的效能和业务电脑性能进行评价,对网络结构、网络管理进行优化维护。 三、机房安全管理制度 机房是支持信息系统正常运行的重要场所,为保证机房设备与信息的安全,保障机房有良好的运行环境,机房内严禁堆放易燃、易爆物品;机房内或附近应配备足够的消防器材,严格加强机房安全管理,采取防火防盗、防潮防雷等措施,保障机房内配电系统和电器安全,发现问题应及时维修更换。 1.机房消防安全设施应包括:①24小时不间断空调系统,机房内保持一定的温度和湿度;②安装湿度和温度显示装置; ③安装烟雾感应探测器和温度感应探测器;④安装火灾报警和自动灭火系统;⑤配备手动灭火器; 2.管理人员应严格遵守操作规程,对各类设备、设施实行规范措施,并做好日常维护和保养。定时做好服务器等设备的日志和存档工作,任何人不得删除运行记录的文档;
目录 前言 (3 0 引言 (4 0.1 总则 (4 0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5 2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5 4.1 了解组织及其景况 (5 4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6 5.3 组织的角色,职责和权限 (7 6. 计划 (7 6.1 应对风险和机遇的行为 (7
6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11 8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12 9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13 10.1 不符合和纠正措施 (13 10.2 持续改进 (14 附录A(规范参考控制目标和控制措施 (15
参考文献 (28 前言 0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性
信息安全管理制度 为加强公司各信息系统管理,保证信息系统安全,据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门相关规定和要求,结合公司实际,制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理,应当保障网络系统设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动: 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。 3、未经允许,对信息网络功能进行删除、修改或增加。 4、未经允许,对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。
6、利用公司网络,访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作,对本单位单位所属计算机网络的运行进行巡检,发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件,一经发现个人计算机由感染病毒等原因影响到整体网络安全,信息中心将立即停止该用户使用公司网络,待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务,一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全子网,信息中心对其提供指导,必要时可以中断其与骨干网连接,待子网恢复正常后再恢复连接。