腾讯-外包员工信息安全管理规范
腾讯控股集团管理标准
GL/YY
外包员工信息安全管理规范
2013-1-4发布 2013-1-4实施———————————————————————————————————————
腾讯控股集团发布
前言
本规范系公司第一次发布,为规范公司外包员工合理使用公司信息系统资源,制定外包员工信息安全管理措施提供依据,特制定本规范。
本标准由企业IT部和安全平台部负责起草、解释,自发布之日起实施。
本标准主要起草人:wilsonwang(王森);chanche(车世华);veeqihe(何林如);
本标准主要审核人:robynliu(刘若潇);coolcyang(杨勇)
本标准批准人:ponyma(马化腾);Charles(陈一丹);ls(卢山);leon(郭凯天)
本标准首次发布日期: 2013年1月4日
本标准适用范围:全公司
1.目的
本管理规范专为腾讯的外包员工设立,主要为了建立完善的外包员工信息安全管理制度,明确外包员工在场和离场需遵守的规范,包括但不限于:机器使用规范、帐号使用规范、场外接入规范、离场规范等。
2.适用范围
本管理规范适用全公司范围内所有外包员工。
3.相关定义
劳务派遣单位与劳动者建立劳动关系后,按照与用工单位订立的派遣协议将劳动者派到用工单位劳动,这类劳动者称之为外包员工:即企业将其非核心的业务外包出去,利用外部优秀专业团队承接业务,从而使其专注核心业务,达到降低成本、提高效率、增强企业核心竞争力和对环境应变能力的目的,这类服务外包及项目外包的员工统称为外包员工。
腾讯集团域:因投资并购等原因与腾讯构成合作关系的法人企业。
在场外包员工:外包员工在腾讯公司自有或租用办公环境内进行办公的称为在场外包员工。
场外外包员工:外包员工在腾讯公司自有或租用办公环境外进行办公的称为场外外包员工。
腾讯公司办公内网主要包括三类:办公网、开发网、体验网,使用原则是“专网专用,专机专用”,相关定义如下:
办公网:从事日常办公行为,如公文处理、访问内部OA系统、访问授信互联网网站、使用RTX、使用Tencent域收发邮件等。
开发网:从事软件开发、测试等研发行为,如访问SVN代码管理系统、使用开发环境编写代码、对代码进行测试、访问运维接入平台等。
体验网:从事外部互联网产品体验行为,比如访问非授信互联网网站、访问非腾讯公司业务等。
4. 在场外包员工信息安全管理
责任人
外包员工在场办公必须使用腾讯公司提供的办公和开发主机。
外包员工本人对所使用的办公、开发主机和外包帐号负直接责任,应尽到保全资产完整性以及合理使用帐号的义务。
管理外包员工的腾讯员工对外包员工使用的办公、开发主机和外包帐号负管理责任。
办公主机使用管理
外包员工通过办公或开发机接入腾讯公司内部网络进行工作,须遵守公司《办公PC使用管理规范》(见附录A)和《防止办公网内高危行为管理办法》(见附录B)。外包员工使用的办公或开发机必须满足以下要求,才允许接入腾讯内部办公或开发网:
1)必须安装腾讯指定的标准化操作系统;
2)安装腾讯指定办公安全接入软件;
3)安装腾讯指定的防病毒软件和办公安全接入软件。
严禁办公或开发机在接入内网的同时接入其他网络,包括但不限于:1)使用双网卡,在连接内网的同时连接其他网络;
2)在连接内网的同时,使用GPRS或3G;
3)在连接内网的同时,使用拨号或专线的方式连接到公司外部网络。
外包员工必须使用开发机接入开发网访问腾讯内部研发资料。
禁止外包员工在办公和开发主机中安装任何类型的扫描、窃听或攻击性质的应用程序。
帐号和访问权限管理
内网信息系统分级规定:
外包员工默认使用腾讯集团域办公帐号,若有特殊需求,可申请腾讯公司内部帐号:以小写v开头,后跟下划线_和英文ID,如v_waibao。
外包员工帐号须唯一对应一个外包员工,禁止外包员工共用帐号。
外包员工帐号默认不具有内网信息系统访问权限,根据实际工作需要可申请一级和二级信息系统访问权限,申请方式如下:
1)源代码管理系统,权限申请链接:;
2)业务管理系统,权限申请链接:;
3)其它系统,需用人部门经理同意,并通过邮件向IT负责人申请开通,邮
件申请格式参照《外包员工访问内网系统权限申请表》(见附录D)。
禁止外包员工使用开发电脑访问互联网。
禁止外包员工访问三级信息系统。
外包员工进出腾讯公司IDC机房,须由腾讯公司员工陪同,其它要求参照《腾讯IDC出入管理规范》(见附录E)。
信息使用管理
外包员工禁止以任何形式对腾讯公司敏感信息进行未授权访问和处理。
禁止对敏感信息做如下处理:
1)非工作缘由将敏感信息携带出腾讯公司;
2)向非腾讯公司授权方公布敏感信息;
3)未授权浏览、篡改敏感信息。
敏感信息包括:
1)源代码信息,包括但不限于:开发测试代码、已发布产品代码、已下架产品代码等;
2)未发布产品信息,包括但不限于:产品属性、界面UI、功能和使用说明等;
3)用户数据,包括但不限于:用户个人资料、产品使用记录等;
4)人事信息,包括但不限于:薪酬、组织架构、职级等。
5. 场外外包员工信息安全管理
原则上要求所有外包工在腾讯公司提供的职场环境内办公,默认不开放外网接入腾讯公司内网系统进行办公的权限。如因实际工作需要,需从外网环境接入腾讯内网,必须经企业IT部与安全平台部联合评审,由涉及的业务负责方通过邮件发起评审,邮件申请格式参照《场外办公环境接入腾讯内网申请表》(见附录F)。
对场外办公的外包员工开放的内网系统,需与其它内网系统实施隔离措施,隔离方案由企业IT部与安全平台部制定。
对场外办公的外包员工开放的内网系统,不得对外提供如下信息:1)腾讯内部的开发测试代码和IDC运营系统数据。
2)腾讯内部服务器运维操作权限。
6.外包员工离场管理
外包员工离场前须配合腾讯公司完成文档、代码下载检查和访问权限回收工作。外包员工离场流程、门禁使用等参照《外包员工入场离场管理规范》(见附录G)。
7.外包员工违规处罚
在场外包员工须遵守公司《员工行为准则》(见附录H)和《员工奖惩制度》(见附录I),若发现有违反本规范或触及高压线等行为者,停止此外包员工相关工作,退回到外包公司,由外包公司根据商务合同进行处理,并保留追究相关外包员工法律责任的权利。
管理外包员工的腾讯员工对外包员工的行为负管理责任。
8.附录
附录A(规范性附录):《办公PC使用管理规范》
附录B(规范性附录):《防止办公网内高危行为管理办法》附录C(规范性附录):《基础OA应用系统》
附录D(规范性附录):《外包员工访问内网系统权限申请表》附录E(规范性附录):《腾讯IDC出入管理规范》
附录F(规范性附录):《场外办公环境接入腾讯内网申请表》附录G(规范性附录):《外包员工入场离场管理规范》
附录H(规范性附录):《员工行为准则》
附录I(规范性附录):《员工奖惩制度》
附录A
(规范性附录)
办公PC使用管理规范
办公PC使用管理规
范.doc
附录B
(规范性附录)
防止办公网内高危行为管理办法
防止办公网内高危
行为管理办法.doc
附录C
(规范性附录)
基础OA应用系统
(规范性附录)
外包员工访问内网系统权限申请表
(规范性附录)
腾讯IDC出入管理规范
腾讯IDC出入管理规
范.ppt
附录F
(规范性附录)
场外办公环境接入腾讯内网申请表
(规范性附录)
外包员工入场离场管理规范
外包员工入场离场
管理规范.docx
附录H
(规范性附录)
员工行为准则
员工行为准则.docx
(规范性附录)员工奖惩制度
员工奖惩制度.docx
外包工程安全管理规定完整版
外包工程安全管理规定 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
外包工程安全管理规定 第一章总则 第一条为加强外来承包单位、承租单位安全生产管理,有效遏制各类事故发生,确保公司安全生产,特制定本规定。 第二条本规定所涉及的外包单位指进入公司生产区域及作业场所,承担公司外包工程项目从事施工作业并具备安全生产条件或相应资质的施工单位。 第二章安全管理内容与要求 第三条外包单位与公司在签定工程项目承包合同的同时,必须签定“安全生产管理协议”,明确双方责任,必须符合本公司安全管理、防火管理、设备使用、人员教育与培训、安全检查与监督等方面的管理要求。安全生产管理协议具有项目承包合同等法律效力。 第四条外包单位应配备在公司进行施工作业所需要的安全用具、所用机械设备设施、生活物品等安全装置齐全、有效。 第五条外包工程项目承包单位不得擅自将承包项目分包或转包他人;更不得将承包项目分包或转包给不具备安全生产条件或相应资质的单位或个人。 第六条外包单位对其单位全体施工作业人员进行安全教育培训,学习培训内容主要是公司相关安全管理制度和规定,并在作业过程中必须严格遵守。特种作业人员必须持有效安全培训合格证上岗。 第三章安全责任与考核 第七条项目发包单位安全责任: 1、公司或发包方应对承包方的相应资质、项目负责人和安全负责人及具备的安全生产的保障条件进行审查。 2、在签订项目承包合同前,项目发包单位应对承包单位负责人就工程项目涉及的内容、特点、环境、危险源、危险因素、安全生产注意事项及安全生产管理制度进行说明。 3、外包项目存在交叉施工作业时,其生产作业场所安全由项目发包单位进行统一协调和指挥。 4、公司对外包单位安全、文明施工进行监督,对不执行安全技术措施的行为提出整改意见,对违章作业行为,有权责令停止其工作并进行相关处理。 第八条外包单位安全责任: 1、认真编制施工项目的安全技术措施,必要时可请项目发包单位协助编制安全技术措施,并正确执行。 2、开工前应对施工机械、安全用具及安全防护设施进行一次检查,确保符合安全规定。 3、施工过程中作业人员应认真佩戴和使用符合安全要求的劳动保护用品、用具,特种作业人员做到持证上岗。 4、负责向公司提供相应资质证明文本。 第九条外包单位应对不按安全施工方案施工,不执行安全技术措施、违章指挥、违章作业、违反劳动纪律造成的事故负全部责任。 5.用火用电必须向公司申请办理批准手续,动火施工公司安委会申请办理动火证。生活施工、用电向安委会申请,综合办审批公司专业电工负责接电。
私募基金公司基金托管与外包业务管理制度
上海XX资产管理有限公司 基金托管与外包业务管理制度 基金托管与外包业务管理制度 第一章总则 第一条为了规范XX资产管理有限公司(以下简称“公司”或“本公司”)基金托管与运营外包业务。根据《中华人民共和国证券投资基金法》、《私募投资基金监督管理暂行办法》、《私募投资基金管理人内部控制指引》、《基金业务外包服务指引》等法律法规、规范性法律文件及相关监管要求制定本制度。 第二条本制度适用于本公司及其旗下所有子公司。 第三条公司风控合规部负责基金托管机构的选择、评定、确认与监督管理。 第四条公司风控合规部负责运营外包机构的选择、评定、确认与监督管理。 第五条基金托管机构是指依法设立的具有托管资质的商业银行或者其他具备托管资格的金融机构。商业银行担任基金托管机构的,由国务院证券监督管理机构会同国务院银行业监督管理机构核准;其他金融机构担任基金托管机构的,由国务院证券监督管理机构核准。 第六条外包服务机构是指基金业务外包服务机构(以下简称“外包机构”)为基金管理人提供销售、销售支付、份额登记、估值核算、信息技术系统等业务的服务。 第七条外包机构包括为私募基金管理人提供募集服务的在中国证监会注册取得基金销售业务资格且成为中国基金业协会会员的机构(简称基金销售机构),为私募基金募集机构提供支付结算服务、私募基金募集结算资金监督、份额登记等与私
募基金募集业务相关服务的机构。 第二章托管机构遴选与管理 第八条公司所管理的产品原则上都应选定托管机构进行托管,如不进行托管的,应在基金合同中进行约定,并建立独立的保障私募基金财产安全的制度措施和纠纷解决机制。 第九条公司风控合规部负责托管机构遴选工作,遴选工作应主要核查以下内容: (一)属地经营:原则上应当满足基金的托管机构、托管账户与基金注册地需保持一致。 (二)资质管理:托管机构需具备托管资质,托管机构的净资产和风险控制指标应当符合相关规定。 (三)费率合理:托管机构的费率不得高于同期市场平均水平。 (五)协议合规:管理人和托管机构必须签订标准的托管协议。 (六)内控规范:托管机构具有完善的内控机制与操作规范,有完善的内部稽核监控制度和风险控制制度 (六)托管机构需要满足我方划款对于时效性的要求。 (七)系统支持:托管机构须有相应的IT系统满足管理人的业务需求。托管机构需有安全高效的清算、交割系统。 (八)团队配备:托管机构需设有专门基金托管部门,并配备专业的托管团队,取得基金从业资格的专职人员达到法定人数。 (九)资金安全:托管机构需有安全保管基金财产的条件。 (十)场地安全:托管机构有符合要求的营业场所、安全防范设施和与基金托管
信息安全管理规定
信息安全管理规定 1目的 在遵循集团《计算机信息安全管理制度》原则基础上,为确保公司网络平台、信息系统的正常运行及信息系统中的信息数据安全,防止泄密,针对公司实际情况,制定本管理规定。 2范围 本办法适用于公司全体员工。 3术语定义 3.1 计算机信息:是指存储在计算机相关设备上的应用系统(软件)、数据、文档、图纸等含有一定意义的计算机信息资料。 3.2 内部网络:是指园区网络及通过专线与园区互联的其他园区、驻外机构网络(以下简称内网)。 3.3 外部网络:是指互联网或除互联网和公司内网之外的第三方专网(以下简称外网)。 3.4 VPN:虚拟专用网络(Virtual Private Network,简称VPN),是指在公共网络上建立专用网络的技术,属于远程访问技术,就是利用公网链路架设的虚拟私有网络。 4职责 4.1信息化管理部门:公司信息化管理部门,负责计算机信息安全日常工作,事业部接入级网络交换设备的管理工作,及时向总部信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。 4.2 计算机用户:负责本人领用的办公计算机的日常保养、正常操作及安全管理,负责所接触计算机信息的保密性、可用性和完整性;及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。涉密信息的起草人必须按公司《保密制度》相关规定提出信息密级的定级申请。 5内容与要求 5.1 账号和密码安全管理 5.1.1 信息系统用户账号须严格按照业务信息系统要求进行设置,原则上不得设置成共用账号,以确保使用人与账号的唯一性。 5.1.2 员工申请信息系统账号权限时,所在部门的负责人应严格审核,控制授予满足其工作需要的最小权限;员工岗位或工作内容发生变化后应及时提出申请权限变更,应用系统管理员应及时变更异动员工的权限,冻结离职员工的账号。 5.1.3计算机用户应妥善保管好自己的系统账号密码或身份认证设备,如发现遗失或被盗,应立即向信息化管理部门报告,信息化管理部门应及时处理,确保账号使用的合法性。
信息安全管理制度..
信息工作管理制度 第一章总则 第一条为了加强信息管理,规范信息安全操作行为,提高信息安全保障能力和水平,维护信息安全,促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等规定,以《环境信息网络管理维护规范》(环保部制定)等标准为基本管理操作准则,制订本管理制度。 第二条本制度适用范围为信息与监控中心,其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员(包括监控与信息中心技术人员及机关业务系统管理人员)、机房运维人员(包括外包机构人员),应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 (一)系统管理员 系统管理员是从事服务器及存储设备运行管理的人
员,业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立,正式运行后的服务器系统软硬件操作的监管,执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 (二)业务管理员(业务联系人) 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员,业务上应具备业务系统安装及基本调试操作的能力(业务软件厂家负责培训),业务系统及部署操作系统故障分析的能力,预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 (三)网络管理员
外包工程项目管理制度
外包工程项目管理制度 1外包工程项目管理制度 2安全档案之外包工程项目安全管理制度 3外包工程项目安全管理制度 摘要:可考虑将工程项目外包给外部施工方进行施工,外包工程项目须进行公开招标或定向议标,具体的招标过程请参照招标管理制度执行,质量控制应以预防和改进为主项目片区经理应身临施工现。以下是小编整理的3篇最新外包工程项目管理制度范文,欢迎参阅! 外包工程项目管理制度 外包工程项目管理制度 1.0目的 为规范本公司外包工程项目的管理,提高公司的项目管理水平,确保外包工程项目保质、保量,按时完成,降低法律风险,创造更大更佳的投资效益,特制定本制度。 2.0适用范围 适用于公司外包给其他施工方的所有外包工程项目,包括新建、改建、扩建和技术改造的外包工程项目,不包括设计外包。 3.0制度 3.1工程项目外包申请 3.1.1由于项目部技术力量不足、资质欠缺、人员不够或项目过多,不能内部自行完成工程项目时, 可考虑将工程项目外包给外部施工方进行施工。 3.1.2项目部负责人根据公司实际情况,需要将整个工程项目或部门业务外包时,可以填写《外包 工程项目申请表》,交总经理审核,董事长批准后,方可进行外包。 3.1.3外包工程项目须进行公开招标或定向议标。 3.2招标 3.2.1已确定外包的项目由项目部统筹小组组长牵头,会同招标小组成员确定对外招标的参考价格 和相关条件,制作标书。 3.2.2由招标小组组长组织外包项目的公告、招标会等相关的招标、评标工作,并与外包施工方签 定合同,合同需要评审,具体参照《合同评审程序》执行。合同签订三日内将外包项目的有关资料报档案室存档。 3.2.3具体的招标过程请参照《招标管理制度》执行。 3.3外包工程项目的监理机构 3.3.1每个外包工程项目,项目部须委派驻地片区经理(甲方)一名,作为甲方的代表监督施工方 (乙方)组建安全、质量、技术、物料、进度控制体系,全权对承包方项目建设过程安全、质量、进度、施工资料等进行监督验收管理,并负责项目实施过程中相关方之间的沟通和协调。 3.3.2对于大型的施工项目,应聘请具有资质的专业监理单位对项目进行监理。 3.3.3适当时,应委派公司专业技术人员和使用部门的人员对施工质量进行监督。 3.4外包工程项目施工前的准备 3.4.1项目片区经理(甲方)应按项目计划在施工方进入场地之前,协调做好施工场地的“三通一 平”,即水通、电通、路通和场地平的准备工作。 3.4.2索要施工方的项目管理质量保证体系及相应负责人的联系方式等。 3.4.3索要施工方的施工组织设计、进度计划及专项方案。 3.4.4掌握合同条款及质量、工艺要求。 3.4.5与施工方、监理单位、技术人员、使用单位委派人员充分沟通,掌握工程项目的各项细节内 容。 3.4.6收集审查全工程项目的前期资料及特种人员上岗证、吊装设备的检验合格证、准用证及企业
2017食堂外包管理制度
2017外包食堂管理规定 一、目的 为了实现食堂的规范化管理,进一步提高管理水平和服务水平,更好地为员工生活提供服务,特制定此规定。 二、适用范围 本管理规定适用于食堂外包供应商 本管理规定适用于公司所有员工 三.员工餐的用餐标准: 1、外包方根据我司需求提供早、中、晚餐;在保证我司员工满足所需的前提下,对于菜品区分限量品名与非限量品名,以便于员工根据需求予以添加。 2、员工餐的费用标准原则上每年调整一次,由外包方与我司共同完成,由行政科提出调整方案经相关领导审核,报公司总经理批示后执行。 3、用餐时间;早餐:7:00-8:30、中餐:11:00-12:30、晚餐:16:50-18:00 4、用餐地点:行政3级(含3级)在食堂一楼,其余人员在食堂二楼; 5、用餐方式:我司内部员工以磁卡刷卡就餐,非我司人员予外包方购票就餐。 四、食品原料管理 我司不指定原材料品牌与供应商,由外包方提供给我司《食堂原材料进货记录》,所有食品原料食品供应商必须验证并具备合格供应商资质,食品进货时须进行验收,肉类须查看是否有卫生检疫站的动物产品检疫印章,食用油须查看其生产厂家(代理商)的各种资质证件,内容包括包装、商标、生产批号、检验合格证等,禁止使用地沟油等伪劣食品。 五、食品保质期管理 所有熟食品及调味料均需有生产日期和保质期,禁止使用超过保质期限的熟食品及调味料。每月定期检查食品、调味品保质期,并做好检查记录,记录内容包括:检查日期、食品、调味品名称、生产日期、保质日期等 六、食品原材料进货记录 所有食品进货须进行记录,形成《食品进货记录表》,记录内容包括:进货日期、供应商名称、食品名称、食品生产日期、保质期限、数量、金额等。 七、食品安全卫生管理 1、每天食堂供应的每道菜肴须进行留样,做好留样记录。留样要求:每份菜肴不少于100克,保存时间48小时,冷藏温度0-6度,留样盛器需带盖容器,留样放置位置相互间保持一定间距,防止留样食品相互感染。 2、按照《中华人民共和国食品安全法》规定食堂工作人员应取得健康证明和卫生培训合格证后上岗。 3、食堂工作人员做好个人卫生,不留长指甲,不涂指甲油,不戴戒指、手链,上岗前
企业信息安全规范
信息安全管理规范 第一章总则 第一条为规范企业信息系统及所承担维护服务的用户信息系统的信息安全管理,促进信息安全管理工作体系化、规范化,提高信息系统和网络服务质量,提高信息系统管理人员、维护人员以及使用人员的整体安全素质和水平,特制定本管理规范。本管理规范目标是为公司信息安全管理提供清晰的策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全的所需支持和承诺。 第二条本规范是指导公司信息安全工作的基本依据,信息安全相关人员必须认真执行本规程,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全维护管理工作。 第三条信息安全是公司及所承担的用户信息系统系统运维服务工作的重要内容。公司管理层非常重视,大力支持信息安全工作,并给予所需的人力物力资源。 第四条本规范的适用范围包括所有与公司信息系统及本公司所承担维护服务的各方面相关联的人员,它适用于本公司全部员工,集成商,软件开发商,产品提供商,商务伙伴和使用公司信息系统的其他第三方。 第五条本规范适用于公司所承担服务支撑的外部各单位的信息系统的安全工作范围。 第六条本规范主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、电信行业规范和相关标准。 第二章安全管理的主要原则 第七条管理与技术并重的原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,应重视管理,不断积累完善各个信息安全管理章程与规定,全面提高信息安全管理水平。
第八条全过程原则:信息安全是一个系统工程,应将它落实在系统建设、运行、维护、管理的全过程中,安全系统应遵循与信息系统同步规划、同步建设、同步运行的原则,在任何一个环节的疏忽都可能给信息系统带来危害。 第九条风险管理和风险控制原则:应进行安全风险管理和风险控制,以可以接受的成本或最小成本,确认、控制、排除可能影响公司信息系统的安全风险,并将其带来的危害最小化。 第十条分级保护原则:应根据信息资产的重要程度以及面临的风险大小等因素决定各类信息资产的安全保护级别。制订各类网络系统和信息资产的安全保护等级表,在表中明确资产类别,同时确定对何种资产应达到何种级别的安全。 第十一条统一规划、分级管理实施原则:信息安全管理遵循统一规划、分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行统一规划,负责信息安全管理办法的制定和监督实施。各级部门在信息安全领导小组指导与监督下,负责具体实施。 第十二条平衡原则:在公司信息安全管理过程中,应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。 第十三条动态管理原则:在公司信息安全管理过程中,应遵循动态管理原则,要针对信息系统环境的变动情况及时调整管理办法。 第三章安全组织和职责 第十四条建立和健全信息安全组织,设立由高层领导组成的信息安全领导小组,对于信息安全方面的重大问题做出决策,协调信息安全相关各部门之间的关系,并支持和推动信息安全工作在整个信息系统范围内的实施。 第十五条公司应设置相应的信息安全管理机构,负责信息系统的信息安全管理工作,配备专职安全管理员,由安全管理员具体执行本公司信息安全方面的相关工作。 第十六条公司信息系统的安全管理机构职责如下: 根据本规范制定信息系统的信息安全管理制度、标准规范和执行程序;
企业外包工程安全管理制度
企业外包工程安全管理制度 (范本) 1目的 为进一步规范公司外包施工单位的安全管理,强化外包工程的安全监督,保证现场安全文明施工,特制定本制度。 2适用范围 本制度适用于在我公司施工的所有外包单位。 3职责 3.1发包单位(机动部、设材部、原料部)负责外包工程项目的归口管理,主要负责资质审核和承办工程招标、合同签订、过程质量、进度监督管理、组织工程竣工验收等。 3.2安全部负责外包单位的安全综合监督管理, 3.2.1负责审查外包单位的安全资质审查,并签订《外包工程安全生产管理协议书》; 3.2.2对承包方主要管理人员及作业人员进行入厂前的安全教育培训; 3.2.3审查特种作业人员的证件是否有效;负责对复杂、危险的工程项目的安全技术措施/方案进行审批; 3.2.4对外包施工单位施工过程进行安全监督、检查与考核; 3.2.5 参与对外包工程项目竣工验收。
3.3 现场施工实行属地管理原则,所辖单位负责外包工程在本单位施工过程的现场安全检查和监督管理,参与工程项目竣工验收。 4管理程序及要求 4.1.公司对所有外包单位实行安全资质评审确认和准入制度。外包单位在进入本公司承揽工程前必须经过安全资质评审。任何单位未经安全资质审查或审查不合格的严禁录用,更不得私自安排施工作业。 4.2 外包单位的安全资质条件及需要提供的资料: a.企业营业执照(审查后保留复印件); b.法人证明书,或法人委托书或授权书; b.施工资质证书或安全生产许可证;(审查后保留复印件) c.安全管理网络机构、现场施工负责人、安全管理人员;安全管理人员应具有安监部门颁发的安全生产管理资格证。(审查后保留复印件) d.施工涉及特种作业的,操作人员必须持有安监部门颁发的特种作业人员资格证;(身份证及操作证原件,审查后保留复印件) e. 具有满足工程需要、保证安全施工的机械、工器具、安全防护设施和劳保用品。 f. 工程施工计划/方案/安全措施; g. 外包单位购买工伤保险或意外保险的人员的清单及相应材
外包管理制度
外包管理制度 化工生产委员会属各单位、业务外包各单位: 为加强和规范公司生产业务外包的管理,降低成本,提高效率,保证公司生产安全平稳,特制定本制度。 一、适用范围 本制度适用公司范围内所有外包业务,但工程项目及以工程量结算的外委项目由公司安全生产部以项目进行考核。 二、管理原则 (一)坚持依法用工原则; (二)坚持权利与义务并行原则; (三)坚持监督与管理、教育与惩罚、技术与服务原则; (四)坚持属地管理,谁用谁管的原则。 三、内容及要求 (一)承包方所用劳务人员,年龄及健康程度必须符合国家法定要求; (二)参与工作的设施及装备必须经过国家相关部门的安全检测,并出具检测报告及证书。 (三)承包方所用车辆必须有行驶证,并定期进行年检特种作业人员必须持证上岗,并按公司规定安装相应安全设施。 (四)外包单位新增人员和变更人员必须事先报安全生产部登 记审批并进行安全交底,经过岗前安全教育培训考核合格后,
方可上岗作业,如未按规定安全交底的,按安全制度处罚。 (五)外包单位在承接生产任务时,必须在保证安全生产的前提下,按质按量按期完成所承接的生产任务。 (六)外包单位违反本公司有关管理规章制度,发生安全、环保、质量事故,对生产造成影响的,一切责任及费用由该外包单位负担。 (七)外包单位要自觉遵守国家法律法规,接受分厂各项管理制度的约束,爱护生产设施和公共设施,共同维护公共环境卫生。 (八)进入厂区的拉运车辆应按照行车路线指示牌行驶、过磅、卸货、回皮,办完业务的所有车辆严禁在厂内停留。 (九)合理规划物料堆放区域,放置相应标识牌,标识内容需明确清楚。 (十)物料堆放须整齐有序,保持场地周围卫生清洁,无垃圾杂物等。 (十一)拉运车辆应按指定的区域、路线行驶,车速不得超过公司所规定行使速度。 (十二)外来人员未经有关负责人同意,不得随意进入与作业无关的生产区域,不准动用生产工具、原料、设备、 车辆、设施等。 四、考核 厂内所有外包单位需遵照国家各项法律法规,遵守厂区 内各项规章制度,保持本岗位及休息室内卫生清洁,其他事 项具体考核细则如下:
外包施工队安全管理制度
山西集团煤业有限公司 外包施工队安全管理办法 第一节外包施工队安全生产管理办法 第一条为了加强外包队施工的安全管理,贯彻落实《安全生产法》,保障施工作业人员安全和健康,防止事故发生,维护共同利益,根据《中华人民共和国安全生产法》、《中华人民共国安全法》及煤业有限公司安全管理制度有关规定,制定本办法。 第二条本办法所称安全管理,是指在劳动生产过程中保护劳动者的安全和健康所采取的各种措施。 第三条本办法适用于煤业有限公司外来承包工程施工的单位、团体和个人;本办法作为对外承包工程,对外包队员工安全教育、安全检查考核、分析事故、追究责任的依据。 第四条认真贯彻执行党和国家安全生产方针、政策、法律、法规,煤矿有限公司有关规定,坚持“安全第一,预防为主,综合治理”,本着“谁受益谁负责”的原则,落实“企业负责、行业管理、国家监察、群众监督、劳动者遵章守纪”的安全管理工作体制。 第五条外包施工队安全生产实行安全生产合同化管理,明确承包方与发包方双方安全生产职责以及应当享有的
安全生产权利和义务,严密界定各自的法律责任、经济责任。 第六条实行安全生产市场准入制度,不具备安全生产条件和相应资质的单位或个人不得承包生产经营项目、场所、设备。各外包施工队必须三证齐全,即“经营执照,安全管理资质证,经营项目资质证”,并经审查和验证,安全监督人员必须取得安全监管资质证,方能签订《承包工程合同》及《安全生产合同》。 第七条各外包施工队必须严格执行煤矿有限公司安 全教育制度,对施工人员及新入矿人员进行安全教育,进行安全教育时,必须认真核实登记人员的籍贯、身份证号码、简历等情况,建立员工档案,做好登记台帐,按公司的规定组织开展安全学习活动。 第八条各外包施工队特种作业人员必须经过专业技 术教育培训,考核合格,取得操作资格证者,方可上岗操作。 第九条各外包施工队法定代表人或委托代理人依法 对承包经营范围内的安全生产工作全面负责。同时建立健全安全生产责任制和安全生产教育培训制度,保证承包工程项目安全生产条件所需资金的投入,配备安全管理人员,并定期或不定期进行安全检查,同时做好安全检查记录。 第十条各外包施工队专(兼)安全生产管理人员或安全监督人员必须按时参加各种安全检查和会议,负责现场安全监督检查。对违章操作,违章指挥的,必须立即制止。
外包管理制度
外包管理制度 -标准化文件发布号:(9556-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
外包管理制度 化工生产委员会属各单位、业务外包各单位: 为加强和规范公司生产业务外包的管理,降低成本,提高效率,保证公司生产安全平稳,特制定本制度。 一、适用范围 本制度适用公司范围内所有外包业务,但工程项目及以工程量结算的外委项目由公司安全生产部以项目进行考核。 二、管理原则 (一)坚持依法用工原则; (二)坚持权利与义务并行原则; (三)坚持监督与管理、教育与惩罚、技术与服务原则; (四)坚持属地管理,谁用谁管的原则。 三、内容及要求 (一)承包方所用劳务人员,年龄及健康程度必须符合国家法定要求; (二)参与工作的设施及装备必须经过国家相关部门的安全检测,并出具检测报告及证书。
(三)承包方所用车辆必须有行驶证,并定期进行年检, 特种作业人员必须持证上岗,并按公司规定安装相应安全设施。 (四)外包单位新增人员和变更人员必须事先报安全生产部登记审批并进行安全交底,经过岗前安全教育培训考核合格后,方可上岗作业,如未按规定安全交底的,按安全制度处罚。 (五)外包单位在承接生产任务时,必须在保证安全生产的前提下,按质按量按期完成所承接的生产任务。 (六)外包单位违反本公司有关管理规章制度,发生安全、环保、质量事故,对生产造成影响的,一切责任及费用由该外包单位负担。 (七)外包单位要自觉遵守国家法律法规,接受分厂各项管理制度的约束,爱护生产设施和公共设施,共同维护公共环境卫生。 (八)进入厂区的拉运车辆应按照行车路线指示牌行驶、过磅、卸货、回皮,办完业务的所有车辆严禁在厂内停留。 (九)合理规划物料堆放区域,放置相应标识牌,标识内容需明确清楚。 (十)物料堆放须整齐有序,保持场地周围卫生清洁,无垃圾杂物等。
信息安全管理系统的规范
信息安全管理系统的规范 第二部分:信息安全管理系统的规范 1 1. 范围 BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。 注:第一部分给出了对最佳惯例的推荐建议,这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。 2. 术语与定义 为了BS 7799的这个部分,BS 7799-1给出的定义适用于该部分,并有以下专用术语: 2.1 适用性说明 适用于机构的安全要求的目标和控制的批评。 3.信息安全管理系统的要求 3.1概要 机构应建立及维护一个信息安全管理系统,目的是保护信息资产,订立机构的风险管理办法、安全控制目标及安全控制,以及达到什么程度的保障。 3.2建立一个管理框架 以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一): a) 应定义信息安全策略; b) 应定义信息安全管理系统的范围,定义范围可以是机构的特征、位置、资产及 技术;
c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的 冲击,从而定出风险的严重程度; d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险; e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制; f) 应准备一份适用性声明书,说明选出哪些安全控制目标及安全控制以及选择的 原因。 以上步骤应定期重复,确定系统的适用性。 2 3.3实施 选出的安全控制目标及安全控制应由机构有效地执行,实施控制的执行程序是否有效应根据4.10.2的规定进行检查。 3.4文档 信息安全管理系统的说明文档应包括以下信息: a) 按照3.2所定的步骤实现的证据; b) 管理架构的总结,其中包括信息安全策略、在适用性声明书所提及的安全控制 目标和已经实现的安全控制; c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行 动; d) 覆盖该ISMS中的管理和操作的程序,这些程序应该指出有哪些责任及其有关
外包工程安全管理制度-最新范文
外包工程安全管理制度 1 范围 本标准的目的是确保公司《安全生产管理制度》的执行,切实加强对外包工程的安全管理,保证在外包工程中的人身、设备安全,以实现公司的安全目标。 本标准规定了外包工程安全管理职责、承包方资质审查、外包合同安全附件的签订、入厂安全教育及外包工程工作票的办理等内容和要求。 本标准适用于本公司各类外包工程或项目。 2 术语和定义 2.1 外包工程:是指经本公司工程管理部发包给外单位施工作业的工程(劳务)项目。 2.2 施工管理部门:指负责特定的外包工程项目施工管理的部门。一般按公司各部门的职责和权限确定具体部门作为某一外包工程项目的施工管理部门。 2.3 外包工程合同安全附件:是指与外包工程合同具有同等效力的书面安全协议,是外包工程合同的重要组成部分。其内容包括该工程项目的甲、乙双方提供的安全技术交底、安全措施或安全技术要求等。 3 管理职责 3.1 工程管理部 3.1.1 负责对施工单位进行资质审查。 3.1.2 负责通知防损、施工管理等部门办理相关手续(入厂安全教育、
出入厂手续、签定《外包工程合同安全附件》等)。 3.1.3 负责协调公司内部与外包单位之间的关系。 3.1.4 在签定合同时,应预留工程款的5%作为安全施工保证金。 3.1.5 按规定组织或参与对外包工程项目验收。 3.1.6 负责对其它部门提出的罚款意见在工程结算中执行。 3.2 施工管理部门 3.2.1 负责根据实际的外包工程项目,对承包该项目的工程负责人进行现场安全技术交底。 3.2.2 负责制订外包工程项目的安全技术措施,并落实或确认。 3.2.3 负责对承包方提出的安全技术要求进行审定并落实。 3.2.4 指定专人负责外包工程项目管理,对施工现场和施工过程进行安全检查和监督。 3.2.5 对需开工作票的外包工程项目,负责按公司的《工作票制度》办理工作票。 3.2.6 根据外包工程施工期间外包单位人员发生的违章现象、不安全事件及安全职责履行情况,提出处理意见。 4 管理内容与要求 4.1 外包单位安全资质审查 4.1.1 在确定承包单位前,由工程管理部组织施工管理部门共同参与对工程承包方的安全资质进行严格审查。未经安全资质审查或审查不合格的,禁止签定合同。 4.1.2 工程管理部负责审查的内容:
信息技术外包服务安全管理制度通用版
管理制度编号:YTO-FS-PD272 信息技术外包服务安全管理制度通用 版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards
信息技术外包服务安全管理制度通 用版 使用提示:本管理制度文件可用于工作中为规范日常行为与作业运行过程的管理,通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态,从而达到安全生产和减少隐患的效果。文件下载后可定制修改,请根据实际需要进行调整和使用。 第一节总则 1、为加强医院信息技术外包服务的安全管理,保证医院信息系统运行环境的稳定,特制定本制度。 2、本制度所称信息技术外包服务,是指医院以签订合同的方式,委托承担信息技术服务且非本医院所属的专业机构提供的信息技术服务,主要包括信息技术咨询服务、运行维护服务、技术培训及其它相关信息化建设服务等。 3、安全管理是以安全为目的,进行有关安全工作的方针、决策、计划、组织、指挥、协调、控制等职能,合理有效地使用人力、财力、物力、时间和信息,为达到预定的安全防范而进行的各种活动的总和,称为安全管理。 4、外包服务安全管理遵循关于安全的所有商业准则及适当的外部法律、法规。 第二节外包服务范围 5、外包服务包括信息技术咨询服务、运行维护服务、技术培训等。
信息安全系统管理系统要求规范
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
工程外包安全管理制度正式版
Through the joint creation of clear rules, the establishment of common values, strengthen the code of conduct in individual learning, realize the value contribution to the organization.工程外包安全管理制度正 式版
工程外包安全管理制度正式版 下载提示:此管理制度资料适用于通过共同创造,促进集体发展的明文规则,建立共同的价值观、培养团队精神、加强个人学习方面的行为准则,实现对自我,对组织的价值贡献。文档可以直接使用,也可根据实际需要修订后使用。 第一章总则 第一条为了加强外包工程安全管理,防止事故发生,根据安全生产法及其有关规定制定本制度。 第二条本制度适用于公司的外包工程安全管理工作。 第三条公司安全生产办公室负责外包工程安全管理工作。各发包单位负责本单位发包的工程安全管理。 第二章管理内容 第四条管理原则 (1)外包单位系指进入我公司生产区
域及我公司作业场所,从事施工作业的施工队伍,应具有和施工作业相适应的资质。 (2)公司内部生产性、基建性外包工程必须按规定程序进行,做好合同评审。 (3)外包单位应保证安全施工需要的机械工器具及安全保护设施、安全用具等必须齐全、有效。 (4)公司与外包单位签订安全管理协议。安全管理协议具有与项目承包合同同等法律效力,无安全管理协议的承包合同视为无效合同。 (5)外包单位要制定相应的安全技术措施。 (6)严格控制承包单位的承包范围,
安全服务外包管理制度——等保信息安全管理体系模版
安全服务外包管理制度 1引言 1.1 为了推动XX信息通信分公司(以下简称“公司”)信息系统安全服务外 包管理的规范化、程序化、制度化,根据《信息安全等级保护基本要求》等相关国家规定,结合公司实际,制定本制度。 1.2 本制度适用于公司的安全服务外包管理工作。 2规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用文件,其随后所有的修改单或修订版均不适用于本标准(不包括勘误、通知单),然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未注日期的引用文件,其最新版本适用于本标准 《信息安全技术信息系统安全保障评估框架》(GB/T 20274.1-2021) 《信息安全技术信息系统安全管理要求》(GB/T 20269-2021 ) 《信息安全技术信息系统安全等级保护基本要求》(GBT 22239-2021) 本标准未涉及的管理内容,参照国家、电力行业、南方电网公司的有关标准和规定执行。 3细则 3.1 公司生技部是安全服务外包管理的主管责任部门。 3.2 责任部门作为信息安全服务外包管理的实施机构,其实施服务外包管理主要目的是: 确保安全服务产品的质量; 确保外包服务风险的可控性; 确保外包服务的政策符合性; 3.3 应选择具有相应资质的公司或机构作为外包服务商,做到可信可控和可用。
3.4 外包服务人员应遵循已颁布的第三方人员管理规定,同时应明确规定其资质要求、操作规范、保密协议等。 3.5 服务外包管理本质上是解决服务的量化问题和服务的评价问题,这主要依赖于服务计划管理和服务质量管理。其中服务计划管理要求: 整个外包内容细致化、量化; 明确提出服务商该做些什么; 以上内容须写进合同。 3.6服务质量管理要求: 将各类服务指标明确化; 指标需进行量化考核; 以上内容须写进合同。 4附则 本标准由XX公司信息通信分公司负责解释。 本标准自颁布之日起实行。
网络数据和信息安全管理规范
网络数据和信息安全管 理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】
X X X X有限公司 WHB-08 网络数据和信息安全管理规范 版本号: A/0 编制人: XXX 审核人: XXX 批准人: XXX 20XX年X月X日发布 20XX年X月X日实施
目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。 术语 本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识,控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。 狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。 网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用户对网络资源的正常访问和对网络服务的正常使用。 计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。 普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。 主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。 网络服务,包含通过开放端口提供的网络服务,如WWW、Email、FTP、Telnet、DNS等。有害信息,参见国家现在法律法规的定义。
信息安全事件管理规范
信息安全管理部 信息安全事件管理规范 V1.0
文档信息: 文档修改历史: 评审人员:
信息安全事件管理规范 年07月 1.0 目的 明确规定“信息安全事件”的范围和处理流程,以便及时地对信息安全事件做出响应,启动适当的事件防护措施来预防和降低事件影响,并能从事件影响中快速恢复; 2.0 适用范围 本制度适用于在信息安全部负责管理的所有信息资产上发生的对业务产生影响的异常事件的处理及后续响应流程。 3.0 相关角色和职责 ●信息安全总监:负责制定《信息安全事件管理规范》,并督促制度的落实和执行; ●信息安全部经理: ?负责《信息安全事件管理规范》中各项流程制度的日常督促执行; ?负责对各类信息安全事件进行第一时间响应,区分信息安全事件的类别及后续 处理流程; ?负责跟踪各类信息安全事件的后续处理,确保公司能从中汲取教训,不再发生 类似问题; ●信息安全事件发起人:在具体工作中发现异常后应及时上报,并协助完成后续处理 工作。 4.0 信息资产 信息安全管理部负责以下信息资产的安全运行: ●机房环境、硬件设备正常运行: ?互联机房; ?北京办公室机房; ?上海办公室机房; ?机房内的所有硬件设备,包括网络设备、服务器和其它设备; ●办公室网络环境正常运行 ?互联机房内网/外网环境; ?北京办公室内网/外网环境; ?上海办公室内网/外网环境; ●机房内系统工作正常; ?服务器操作系统工作正常 ?应用系统工作正常 ●机房内设备中存放的各类业务信息安全 以上信息资产出现异常情况时,均属于信息安全事件处理的范畴。 5.0 信息安全事件分级、分类
对信息安全事件分级、分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。 5.1 信息安全事件分级 根据信息安全事件所涉及的信息密级、对业务所造成的影响和相关的资产损失等要素,对信息安全事件分为以下几个级别: 1级:本级信息安全事件对公司业务造成了重大影响,例如机密数据丢失,重大考试项目考中异常等; 2级:本级信息安全事件对公司业务造成了一定影响,例如短时间的设备宕机、大规模的网站异常造成客户投拆等; 3级:本级及息安全事件指己发现的可能对公司业务造成重要影响的潜在风险事件,例如在日常维护工作中发现的各类异常事件等; 1级的信息安全事件又称为重大安全事件。 与“信息安全事件”分级相关联的名词解释: ●常规工作:指影响超出单点范围,可能/己经造成了部门/小组级的工作异常,但未造成 实质性损害的信息事件; 5.2 信息安全事件分类 对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等响应工作的重要依据。信息安全事件可分为: ●环境灾害: ?自然/人为灾害:水灾、火灾、地震、恐怖袭击、战争等; ?外围保障设施故障: ◆机房电力故障: 由于供电线路、供电设备出现故障或供电调配的原因而导 致的信息安全事件 ◆外围网络故障:由于外围网络传输信道出现故障而导致业务系统无法对外 正常服务 ◆其它外围保障设施故障:例如拖管机房的服务器、服务器故障等; ●常规事故: ?软硬件自身故障: ◆软件自身故障:由于软件设计存在漏洞或软件系统运行环境发生变化等原 因而导致软件运行不正常的信息安全事件 ◆硬件自身故障:由于硬件设计不合理、硬件自然老化失效等原因引起硬件 设备故障而导致信息系统不能正常运行的信息安全事件 ?无意事故: ◆硬件设备、软件遗失;与业务系统正常运行和使用相关的硬件设备和软件 遗失而导致的信息安全事件 ◆数据遗失:系统中的重要数据遗失 ◆误操作破坏硬件;