9、信息安全漏洞管理流程
信息安全漏洞管理规定
主导部门:IT部
支持部门:N/A
审批:IT部
文档编号:IT-V01
生效日期:
版本发布日期发布原因生效日期Version Issuance Date Reasons of Issuance Effective Date
1.0 新版本发布
会签批准人签名签署日期
Approval(s) Signatures Date Signed
起草人
Editor
IT经理
IT Manager
IT高级总监
Senior IT Director
信息安全漏洞管理规定
1. 目的
建立信息安全漏洞管理流程的目的是为了加强公司信息安全保障能力,建立健全公司的安全管理体系,提高整体的网络与信息安全水平,保证业务系统的正常运营,提高网络服务质量,在公司安全体系框架下,本策略为规范公司信息资产的漏洞管理(主要包含IT设备的弱点评估及安全加固),将公司信息资产的风险置于可控环境之下。
2. 范围
本策略适用于公司所有在生产环境和办公环境中使用的网络系统、服务器、应用系统以及安全设备。
3. 定义
3.1 ISMS
基于业务风险方法,建立、实施、运行、监控、评审、保持和改进信息安全的体系,是公司整个管理体系的一部分。
3.2 安全弱点
安全弱点是由于系统硬件、软件在设计实现时或者是在安全策略的制定配置上的错误而引起的缺陷,是违背安全策略的软件或硬件特征。有恶意企图的用户能够利用安全弱点非法访问系统或者破坏系统的正常使用。
3.3 弱点评估
弱点评估是通过风险调查,获取与系统硬件、软件在设计实现时或者是在安全策略的制定配置的威胁和弱点相关的信息,并对收集到的信息进行相应分析,在此基础上,识别、分析、评估风险,综合评判给出安全弱点被利用造成不良事件发生的可能性及损失/影响程度的观点,最终形成弱点评估报告。
4. 职责和权限
阐述本制度/流程涉及的部门(角色)职责与权限。
4.1 安全管理员的职责和权限
1、制定安全弱点评估方案,报信息安全经理和IT相关经理进行审批;
2、进行信息系统的安全弱点评估;
3、生成弱点分析报告并提交给信息安全经理和IT相关经理备案;
4、根据安全弱点分析报告提供安全加固建议。
4.2 系统管理员的职责和权限
1、依据安全弱点分析报告及加固建议制定详细的安全加固方案(包括回退方案),报信息安全经
理和IT相关经理进行审批;
2、实施信息系统安全加固测试;
3、实施信息系统的安全加固;
4、在完成安全加固后编制加固报告并提交给信息安全经理和IT相关经理备案;
5、向信息安全审核员报告业务系统的安全加固情况。
4.3 信息安全经理、IT相关经理的职责和权限
1、信息安全经理和IT相关经理负责审核安全弱点评估方案、弱点分析报告、安全加固方案以及
加固报告。
4.4 安全审计员的职责和权限
1、安全审计员负责安全加固后的检查和验证,以及定期的审核和汇报。
5. 内容
5.1 弱点管理要求
通过定期的信息资产(主要是IT设备和系统)弱点评估可以及时知道公司安全威胁状况,这对及时掌握公司主要IT设备和系统弱点的状况是极为有重要的;通过评估后的安全加固,可以及时弥补发现的安全弱点,降低公司的信息安全风险。
5.1.1 评估及加固对象
a)公司各类信息资产应定期进行弱点评估及相应加固工作。
b)弱点评估和加固的信息资产可以分为如下几类:
i.网络设备:路由器、交换机、及其他网络设备的操作系统及配置安全性。
ii.服务器:操作系统的安全补丁、账号号口令、安全配置、网络服务、权限设置等。
iii.应用系统:数据库及通用应用软件(如:WEB、Mail、DNS等)的安全补丁及安全配置,需应用部门在测试环境测试通过后方可在正式环境中进行安全补丁加载。
iv.安全设备:VPN网关、防火墙、各类安全管理系统等设备或软件的操作系统及配置
安全性。
5.1.2 评估及加固过程中的安全要求
a)在对信息资产进行弱点评估前应制定详细的弱点评估方案,充分考虑评估中出现的风
险,同时制定对应的详细回退方案。
b)在对信息资产进行安全加固前应制定详细的安全加固方案,明确实施对象和实施步骤,
如涉及到其他系统,应分析可能存在的风险以及应对措施,并与关联部门和厂商沟通。
c)对于重要信息资产的弱点评估及安全加固,在操作前要进行测试。需经本部门经理的确
认,同时上报信息安全经理和IT相关经理进行审批。
d)对信息资产进行弱点评估和加固的时间应选择在业务闲时段,并保留充裕的回退时间。
e)对信息资产进行安全加固后,应进行总结并生成报告,进行弱点及加固措施的跟踪。
f)对信息资产进行安全加固完成后,应进行业务测试以确保系统的正常运行。加固实施期
间业务系统支持人员应保证手机开机,确保出现问题时能及时处理。
g)安全加固完成后次日,系统管理员及业务系统支持人员应对加固后的系统进行监控,确
保系统的正常运行。
h)弱点评估由IT相关经理和安全管理员协助进行,安全加固由系统管理员执行。如由供应
商或服务提供商协助实施安全加固,则应由系统管理员确保评估和加固的有效性并提交
信息IT信息安全经理和IT相关经理进行评定。
5.2 安全弱点评估
5.2.1公司每季度进行一次弱点评估工作,信息资产的弱点评估由安全管理员负责。
5.2.2在进行信息资产弱点评估时应采用公司认可的扫描工具及检查列表,弱点评估计划需由
IT信息安全经理和IT相关经理进行确认和审批。
5.2.3信息安全经理和IT相关经理弱点评估完成后,相关IT人员参考弱点评估报告编写安全
加固方案,并进行系统安全加固工作。
5.2.4安全管理员在各系统完成安全加固后,组织弱点评估复查,验证加固后的效果。
5.2.5所有安全弱点评估文档应交付信息安全经理和IT相关经理备案。
5.3 系统安全加固
5.3.1安全加固
a)公司每次完成安全弱点评估后,各系统管理员应根据弱点评估结果确定需要加固的资
产,针对发现的安全弱点制定加固方案。
b)安全加固前,加固人员应制定详细的加固测试方案及加固实施方案(包括回退方案),
并在测试环境中进行加固测试,确认无重大不良影响后才可实施正式加固。
c)在完成安全加固后,加固人员应根据加固过程中弱点的处理情况编制加固报告。安全管
理员应对加固后的信息资产进行弱点评估复查,评估复查结果作为加固的措施验证。
d)所有加固文档应交付信息安全经理及IT相关经理备案。
5.3.2紧急安全加固
a)当安全管理部发现高危漏洞时,提出紧急加固建议,通知相关IT人员进行测试后进行紧
急变更实施加固并事后给出评估报告。
5.4 监督和检查
5.4.1安全审计员负责对信息安全弱点管理的执行情况进行检查,可通过安全漏洞扫描和现场
人工抽查进行审计和检查,检查的内容包括弱点评估和安全加固的执行情况及相关文档记
录。
6. 参考文件
无
7. 更改历史记录
IT-007-V01 新版本发布
8. 附则
本制度由信息技术部每年复审一次,根据复审结果进行修订并颁布执行。本制度的解释权归信息技术部。本规定自签发之日起生效,凡有与该规定冲突的,以此规定为准。
9. 附件
无
信息管理系统流程图
ERP 标准业务流程 上海()有限公司 二〇二〇年六月
一、销售部分: (一)、发出商品销售业务: 编号: PR-SA-003业务编号SA-003业务名称发出商品销售业务 流程适用范 围 无论赊销、现销,当月完成发货后,以后月份结算的销售业务 相关岗位及权限 岗位系统操作权限 销售助理销售管理模块中录入销售订单录入 销售主管销售管理模块中审核销售订单审核 销售助理销售管理模块中录入发货单增加、审核 保管员库存管理模块中仓库调拨单录入、一审录入、一审 发货检验员仓库调拨单二审二审 财务开票员以后期间,开据销售发票录入 材料成本会计根据销售调拨单生成出库单并钩稽发发票,存货核算模 块中记账、制单 记账、制单 应收往来会计应收账款模块中结转收入、应收往来核算审核、核销、制单 相关部门或岗位 客户销售部库房记账员材料成本会计/往来会计
具体工作流程以后结算 钩稽 流程描述1、销售业务员与客户签订销售合同,销售助理依据在【销售管理】模块录入销售订单并销售主管对销售订单进行确认,并在系统中对订单进行审核。 2、产品生产完毕完工入库后,销售助理在【销售管理】模块根据销售订单生成销售发货通知单, 3、保管员根据【销售管理】模块中审核后的销售发货单通知单生成仓库调拨单并进行审核,产品出门。 4、以后期间结算时,销售助理根据客户开票需求,对已审核的提货存根联及开票通知单,并送财务部门进行开票; 5、财务开票员根据销售助理复核后的开票通知单,开具销售发票。 6、材料成本会计在【仓库核算】模块根据仓库调拨单生成销售出库单,材料会计对销售发票进行审核处理并钩稽销售出库单,月底根据根据销售出库单生成销售成本结转凭证。。 7、往来会计收款时在【应收管理】模块中填制收款单并根据收款单生成收款凭证。 合同签定, 或接到订 单。 填制发货通知 收 货 填写销售订单 仓库调拨单 审核销售订单 开据销售 审核调拨单 销售发票 应收账款 现结 审核 收款 填制收款单 销 售 收 结 转 销 售
管理信息化工作流程手册
XX市电力总公司 管理信息化工作流程手册 二O一O年十一月 目录 1.生产MIS各模块工作流程手册 (1)
2.营销MIS各模块工作流程手册 (7)
生产MIS各模块工作流程手册 1、综合工作计划流程: 计划新建(各部门计划员)---->部门主任审批(各供电所还需发乡镇电管理部汇总审核)----->分管领导审批---->发展策划部计划专工汇总---->发展策划部主任审批---->总经理审批----->计划审批完成,计划专工历史归档 2、生产计划流程: 1)月、周生产计划流程: 计划新建(各部门生产计划员)---->部门主任审批---->生技部计划专工汇总------>生技部主任审批----->分管领导审批----->总
经理审批---->计划审批完成,计划专工历史归档 2)临时生产计划流程: 计划新建(各部门生产计划员)---->部门主任审批---->生技部计划专工汇总------>生技部主任审批----->分管领导审批---->计划审批完成,计划专工历史归档
3、设备缺陷流程: 1)变电设备一般、严重缺陷: 变电缺陷登记(操作队值班员)---->调度所确认(调度值班员)---->生技部变电专工接收---->变电检修工区缺陷处理(工作负责人)---->协同验收(操作队值班员)---->缺陷完成,历史归档2)变电设备紧急缺陷: 变电缺陷登记(操作队值班员)---->调度值班员---->检修公司缺陷处理(并同时报知生产经理、生技部)---->协同验收(操作队值班员)---->缺陷完成,历史归档 3)输电设备缺陷:
设备缺陷登记(线路运行工区) ---->生技部专工接收---->恒泰送变电工程公司缺陷处理(工作负责人)---->协同验收(线路运行工区)---->缺陷完成,历史归档 4)配电设备缺陷: 设备缺陷登记(供电所人员)---->生技部专工受理---->消缺单位缺陷处理(供电所人员)---->协同验收(生技部专工)---->缺陷完成,历史归档
信息安全管理方案计划经过流程
信息安全管理流程说明书 (S-I)
信息安全管理流程说明书 1 信息安全管理 1.1目的 本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动,保证信息安全管理目标的实现,满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 1) 在所有的服务活动中有效地管理信息安全; 2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题,识别并跟 踪组织内任何信息安全授权访问; 3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求; 4) 执行操作级别协议和基础合同范围内的信息安全需求。 1.2范围 本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。 向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定,以及客户自身的相关安全管理规定。 公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。 2术语和定义 2.1相关ISO20000的术语和定义 1) 资产(Asset):任何对组织有价值的事物。 2) 可用性(Availability):需要时,授权实体可以访问和使用的特性。 3) 保密性(Confidentiality):信息不可用或不被泄漏给未授权的个人、实体和流程的 特性。 4) 完整性(Integrity):保护资产的正确和完整的特性。
5) 信息安全(Information security):保护信息的保密性、完整性、可用性及其他属 性,如:真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系(Information security management system ISMS):整体管理 体系的一部分,基于业务风险方法以建立、实施、运行、监视、评审、保持和改 进信息安全。 7) 注:管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资 源。 8) 风险分析(Risk analysis):系统地使用信息以识别来源和估计风险。 9) 风险评价(Risk evaluation):将估计的风险与既定的风险准则进行比较以确定重 要风险的流程。 10) 风险评估(Risk assessment):风险分析和风险评价的全流程。 11) 风险处置(Risk treatment):选择和实施措施以改变风险的流程。 12) 风险管理(Risk management):指导和控制一个组织的风险的协调的活动。 13) 残余风险(Residual risk):实施风险处置后仍旧残留的风险。 2.2其他术语和定义 1) 文件(document):信息和存储信息的媒体; 注1:本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:文件的例子,如策略声明、计划、程序、服务级别协议和合同; 2) 记录(record):描述完成结果的文件或执行活动的证据; 注1:在本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:记录的例子,如审核报告、变更请求、事故响应、人员培训记录; 3) KPI:Key Performance Indicators 即关键绩绩效指标;也作Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、 计算、分析,衡量流程绩效的一种目标式量化管理指标,流程绩效管理的基础。
信息安全运维流程模板
信息安全运维 服务流程 审核:XXX 批准:XXX 版本.修改号:A.0 受控状态:受控 XXX年XX月XX日发布XXX年XX月XX日实施 XXX公司
1.安全运维服务流程 流程图 根据目前安全运维的整体情况,制定了运维服务流程图,具体流程如下图:
1.1需求调研与分析 依据公司自身的运维服务业务定位,业务部负责对客户需要运维的信息系统现状、安全设备设施等内容进行调研,通过会议或者讨论等方式采集客户服务需求和服务目标,明确客户的系统运维服务时间、服务期限、服务内容以及相关服务方式频次等需求,并将调研信息总结整理形成调研分析报告。 1.2报价与成本核算 由公司项目组成员结合公司市场部门,对运维项目的服务内容进行工作量和工作成本的预估。成本核算主要根据信息系统的运维服务时间、工作量、服务方式、服务内容、以及相关人日费用进行。将个单项服务的设备费用、和人力成本等费用总和考虑核算出单项和整体项目的成本以及相应的项目报价。 1.3合同签订 公司项目部门与客户研讨后制定合同方案,并签订项目合同。合同中应明确运维服务的范围、项目周期、服务内容、运维方式、合同金额、付款方式、保密条款、验收条件等。 1.4运维方案设计与编制
根据系统安全运维的实际需求,公司项目部分负责编制安全运维服务方案。服务方案中应明确制定运维服务时间、服务内容、服务方式、服务期限、项目组成员和项目主要沟通联络负责人、服务汇报材料、项目相关的质量管理程序和措施以及运维服务中的风险管理等。 其中,运维时间与期限应写明项目运维起止时间和交付验收的时间节点;服务内容应列出运维服务设备清单和系统边界,以及运维服务的安全检查项目和运维服务周期。 1.5运维服务实施阶段 根据运维服务的方案进行服务实施。主要根据资产列表对设备和系统进行分类、标识,对系统中的配置信息进行备份和安全检查。 对方案中周期性维护的设备和系统,应做好维护记录:巡检、安全查杀、备份、更新、升级、故障排查等。由项目经理负责汇总并整理,最终形成月报、季报和年度总结报告。 1.6运维服务配置管理 配置管理的目的是通过将客户组织、信息、关系进行集中、统一管理,为服务过程提供基础的数据支持,以优化服务流程、提高服务效率、确保服务质量。配置管理范围是公司运维合同范围内的客户的生产和运行环境中的硬件、软件、应用系统、信息资源、服务包以及组织人员等。 配置管理应使用有效管理工具,以确保在运维服务过程中,能够
信息系统管理制度
信息系统管理制度 第一章总则 第一条为明确岗位职责,规范操作流程,保障本中心信息系统安全、有效运行,根据有关法律、法规和政府有关规定,结合信息统计中心实际情况,特制定本制度。 第二条目的:使信息化建设工作规范化进行,做到统一规划、统一标准、统一建设、统一管理。使用范围:适用于本中心信息化建设。 第三条利用信息系统实施内部控制至少应当关注下列风险: (一)信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致中心管理效率低下。 (二)系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。 (三)系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。 第四条职责: (一)信息统计中心负责中心信息化管理总体规划,建立统一的信息化建设标准、规范。负责中心各科(所)信息化项目总体协调及中心办公自动化网络和系统软硬件的维护工作。 (二)各科(所)负责指定专人担任本专业信息化网络工作,并负责本科(所)日常信息管理工作。 第五条工作要求: (一)各科(所)在开展涉及信息化建设及申报信息化建设项目之前,需报主管领导审批后,将业务需求、建设规划等报信息统计中心,信息统计中心应按照中心信息化建设规划及相关要求进行审核。 (二)经信息统计中心审核同意后的信息化建设项目,由信息中心提出信息化技术要求及软硬件需求,同意规划整合后报市卫生局信息中心。 (三)各科(所)申报的信息化项目批准后,信息统计中心技术人员全程参与项目的招标、实施、验收。
第二章信息系统的开发 第六条信息统计中心根据信息系统建设整体规划提出项目建设方案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的流程报批通过后配合相关公司实施。 信息统计中心负责监督开发流程,明确系统设计、安装调试、验收、上线等全过程的管理要求。 第七条信息统计中心需要深入了解各个业务科(所)的业务流程、关键控制点、处理规则、用户范围以及手工环境下难以实现的控制功能等较为核心的信息系统需求点。在系统开发过程中,应当按照不同业务的控制要求,通过信息系统中的权限管理功能控制用户的操作权限,避免将不相容职责的处理权限授予同一用户。 应当针对不同数据的输入方式,考虑对进入系统数据的检查和校验功能。对于必需的后台操作,应当加强管理,建立规范的流程制度,对操作情况进行监控或者审计。 应当在信息系统中设置操作日志功能,确保操作的可审计性。对异常的或者违背内部控制要求的操作,应当设计系统自动报告并设置跟踪处理机制。 第八条信息统计中心需要组织开发单位或开发人员与各科(所)的日常沟通和协调,督促开发单位或开发人员按照建设方案、计划进度和质量要求完成编程工作。 第九条统计中心应根据配备的硬件设备和系统软件的具体情况,组织安排相应的硬件厂家或软件开发商的技术人员入场安装调试。对于关键的软硬件设备,应安排专人负责跟踪、记录整个安装调试过程;在完成软硬件设备的安装调试后,应注意做好有关文档的验收及归档保存工作。 第十条信息系统上线前,需要对信息系统进行等保定级,没有定级的信息系统不能正式上线。另外,信息统计中心都应当切实做好上线的各项准备工作,应查验设备厂商或软件开发商或开发人员提交的有关运行维护资料,包括技术手册、操作手册等,并负责监督设备厂商或软件开发商提供对相关岗位人员的技术培训。制定科学的上线计划和新旧系统转换方案,考虑应急预案,确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的,还应制定详细的数据迁移计划。
管理信息系统数据流程图和业务流程图(经典作品)
1.采购部查询库存信息及用户需求,若商品的库存量不能满足用户的需要,则编制相应的采购订货单,并交送给供应商提出订货请求。供应商按订单要求发货给该公司采购部,并附上采购收货单。公司检验人员在验货后,发现货物不合格,将货物退回供应商,如果合格则送交库房。库房管理员再进一步审核货物是否合格,如果合格则登记流水帐和库存帐目,如果不合格则交由主管审核后退回供应商。 画出物资订货的业务流程图。 2.在盘点管理流程中,库管员首先编制盘存报表并提交给仓库主管,仓库主管查询库存清单和盘点流水账,然后根据盘点规定进行审核,如果合格则提交合格盘存报表递交给库管员,由库管员更新库存清单和盘点流水账。如果不合格则由仓库主观返回不合格盘存报表给库管员重新查询数据进行盘点。 根据以上情况画出业务流程图和数据流程图。 3.“进书”主要指新书的验收、分类编号、填写、审核、入库。主要过程:书商将采购单和
新书送采购员;采购员验收,如果不合格就退回,合格就送编目员;编目员按照国家标准进行的分类编号,填写包括书名,书号,作者、出版社等基本信息的入库单;库管员验收入库单和新书,如果合格就入库,并更新入库台帐;如果不合格就退回。“售书”的流程:顾客选定书籍后,收银员进行收费和开收费单,并更新销售台帐。顾客凭收费单可以将图书带离书店,书店保安审核合格后,放行,否则将让顾客到收银员处缴费。 画出“进书”和“售书”的数据流程图。 进书业务流程: 进书数据流程: F3.2不合格采购单 售书业务流程:
售书数据流程: 4.背景:若库房里的货品由于自然或其他原因而破损,且不可用的,需进行报损处理,即这些货品清除出库房。具体报损流程如下: 由库房相关人员定期按库存计划编制需要对货物进行报损处理的报损清单,交给主管确认、审核。主管审核后确定清单上的货品必须报损,则进行报损处理,并根据报损清单登记流水帐,同时修改库存台帐;若报损单上的货品不符合报损要求,则将报损单退回库房。 试根据上述背景提供的信息,绘制出“报损”的业务流程图、数据流程图。 报损业务流程图: 业务流程图:
信息管理与信息安全管理程序
1 目的 明确公司信息化及信息资源管理要求,对外部信息及信息系统进行有效管理,以确保各部门(单位)和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2 适用围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3 术语和定义 3.1 信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、部控制、三基等和生产经营管理中所有信息。 3.2 企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应,其本质是加强企业的“核心竞争力”。 3.3 信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6 LIMS 实验室信息管理系统 3.7 IT 信息技术 4 职责 4.1 信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策,定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况,协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3 信息中心是公司信息化工作的归口管理部门,主要职责: a)负责制定并组织实施本程序及配套规章制度,对各部门(单位)信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施; c)负责统一规划、组织、整合和管理公司信息资源系统,为各部门(单位)信息采集、整理、汇总和发布等环节提供技术支持;对Internet用户、电子进行设置管理;统一管理分公司互联网出口; d)负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算
信息安全管理规范完整篇.doc
信息安全管理规范1 1.0目的 为了预防和遏制公司网络各类信息安全事件的发生,及时处理网络出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本规范。 2.0 适用范围 本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。 3.0 信息安全组织机构及职责: 根据集团公司关于信息安全组织的指导意见,为保证信息安全工作的有效组织与指挥,四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组,由公司分管网络的副总经理任组长,网络部分管信息安全副总经理任副组长,由省公司网络部归口进行职能管理,省公司各网络生产维护部门设置信息安全管理及技术人员,负责信息安全管理工作,省监控中心设置安全监控人员,各市州分公司及生产中心设置专职或兼职信息安全管理员,各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 3.1.1网络与信息安全工作管理组组长职责: 负责公司与相关领导之间的联系,跟踪重大网络信息安全事
件的处理过程,并负责与政府相关应急部门联络,汇报情况。 3.1.2网络与信息安全工作管理组副组长职责: 负责牵头制定网络信息安全相关管理规范,负责网络信息安全工作的安排与落实,协调网络信息安全事件的解决。 3.1.3省网络部信息安全职能管理职责: 省公司网络部设置信息安全管理员,负责组织贯彻和落实各项安全管理要求,制定安全工作计划;制订和审核网络与信息安全管理制度、相关工作流程及技术方案;组织检查和考核网络及信息安全工作的实施情况;定期组织对安全管理工作进行审计和评估;组织制定安全应急预案和应急演练,针对重大安全事件,组织实施应急处理 工作及后续的整改工作;汇总和分析安全事件情况和相关安全状况信息;组织安全教育和培训。 3.1.4信息安全技术管理职责: 各分公司、省网络部、省生产中心设置信息安全技术管理员,根据有限公司及省公司制定的技术规范和有关技术要求,制定实施细则。对各类网络、业务系统和支撑系统提出相应安全技术要求,牵头对各类网络和系统实施安全技术评估和工作;发布安全漏洞和安全威胁预警信息,并细化制定相应的技术解决方案;协助制定网络与信息安全的应急预案,参与应急演练;针对重大安全事件,组织实施应急处理,并定期对各类安全事件进行技术分析。
(itil体系管理)信息安全管理流程v.
信息安全管理流程
版本记录
目录 信息安全管理流程 (1) 1介绍 (4) 1.1基本概念 (4) 1.2用途和目标 (4) 1.3范围 (4) 1.4流程运行的前提和时机 (5) 2流程详细说明 (5) 2.1输入 (5) 2.2输出 (5) 2.3流程执行 (7) 2.4流程质量控制 (9) 2.4.1关键绩效指标KPI (9) 2.4.2流程报告 (10) 3流程角色和职责 (10) 4附录 (12) 4.1术语表 (12)
1 介绍 1.1 基本概念 安全管理流程主要描述为确保企业信息系统中信息资源的安全而制定安全政策和规章制度,并且通过实施一整套适当的控制措施(包括策略、实践、流程、组织结构和工具)来实现企业信息的保密性、完整性、可用性的整个过程。 安全管理中的关键词汇定义如下: ?信息安全(Information Security):对于信息的保密性、完整性和可用性的保证。 ?可用性(availability):确保被授权的用户在需要时可以访问到相关的信息和资产。 ?完整性(Integrity):维护信息的正确性和完全性。 ?保密性(Confidentiality):保证信息只能由被授权者访问。 ?风险评估(Risk Assessment):对与信息与信息处理机制所面临的威胁、影响和弱点分析以及这些威胁、影响和薄弱环节发生几率的评估。 1.2 用途和目标 安全管理流程的目标是通过持续性提高的方式,不断分析、发现潜在的风险,通过成本平衡的手段消除和控制潜在或已经发生的风险与威胁,从而保障远东租赁信息技术服务的保密性、完整性与可用性,其用途在于: ?保证满足内部的安全需求,保证远东租赁内部的信息完整性以及其之持续提高。 ?通过不同的服务级别协议、合同、法律条款以及其它安全策略的贯彻实施来保障外部安全要求的满足。 1.3 范围 下表对一些容易混淆的方面作了说明,用来表明安全管理的工作覆盖范围:
信息系统管理制度流程
信息系统管理制度 为保障我局XX信息系统的操作系统和数据库系统的安全,根据《中华人民共和国计算机信息系统安全保护条例》,结合本单位系统建设实际情况,特制定本制度。 本制度适用于所有系统使用部门和人员。 信息中心是XX信息系统的责任主体,负责具体的管理和维护,我局人员应配合信息中心做好各项工作。 一、工作制度 (一)在分管领导的指导下,配合信息中心做好雅安市XX系统信息网络的正常运行、日常维护工作。 (二)与软件商协作,负责XX信息系统数据的管理、汇总、分析和系统升级,协助做好XX统计数据工作。 (三)按照有关规定,做好信息保密工作。 (四)遵守各项规章制度,尽职尽责做好本职工作,及时完成领导交办的任务。 二、保密原则 (一)严格执行国家保密局《信息系统和信息设备使用保密管理规定》。 (二)遵守信息安全的“五禁止”。 1.禁止将涉密信息系统接入国际互联网及其他公共信息网络。 2.禁止在涉密计算机与非涉密计算机之间交叉使用U盘等移动存储设备。 3.禁止在没有防护措施的情况下将国际互联网等公共信息网络上的数据拷贝到涉密信息系统。
4.禁止涉密计算机、涉密移动存储设备与非涉密计算机、非涉密移动存储设备混用。 5.禁止使用具有无线互联功能的设备接入网路或处理涉密信息。 同时遵守涉密信息不上网,上网信息不涉密。 (三)不将秘密文件、资料和存储介质放在不安全的地方. (四)不擅自翻印、复印、传抄、拷贝秘密文件、资料、数据。 (五)不隐瞒失密、泄密事故;保密检查不敷衍,不马虎。 三、信息安全管理 (一)日常管理 协助信息中心做好XX信息系统的服务器、网络及周边设备管理,保障网络设备完好。 (二)网络安全管理 1.XX信息系统内外网物理隔离,同时做好内外网络防病毒软件安装、升级、管理工作。安装实时病毒防护软件,及时升级病毒代码库,做好病毒防范工作。 2.加强对网络系统的管理工作,并对用户做好安全教育,提高安全意识。局内网严禁外来存储介质直接安装、使用。 3.为确保局外网正常使用,使用者要遵守信息中心及我局关于互联网使用的有关规定。 4.为防止非法用户的侵入和病毒对网络的破坏,严格执行网络中系统用户分级管理规定。 (三)数据安全管理 1.协助信息中心做好XX信息系统数据的备份及应急安全管理工作,确保XX信息系统和网络的通畅运行。
信息技术部工作流程
信息技术部工作流程 一、IT 专业技术岗位考核流程 (1) 二、版本发布管理流程 (2) 三、测试管理流程 (5) 四、对外数据报送工作流程 (8) 五、基础运营管理流程 (11) 六、计算机桌面管理流程 (13) 七、系统开发流程 (17) 八、数据库管理流程 (19) 九、网络管理流程 (21) 十、系统维护流程 (25) 十一、项目管理流程 (27) 十二、信息安全管理流程 (31) 十三、需求管理流程 (35) 十四、需求变更管理流程 (38)
一、IT专业技术岗位考核流程 1、各部门权限情况 总公司信息技术部 提取机构IT工作绩效数据;数据结果确认与分析;实施考核评价;公示考核结果分公司IT 根据总公司要求上报工作月报 分公司IT管理部门 分公司IT考核结果确认 2、流程图 3、流程说明
. 二、版本发布管理流程 1、各部门权限情况 分公司管理部门 进行人员培训及政策宣导;进行系统发布反馈 总公司管理部门 提交上线申请;审批版本上线计划;协调分公司进行政策宣导及操作培训 分公司IT 配合进行发布实施;核实发布反馈 信息技术部 提交、调整、颁布发布计划;实施版本发布,分析发布反馈信息;提交上线报告2、流程图
3、流程说明
1、上线计划是否与开发版本存在冲突 2、上线前是否完成政策宣导与培训 3、上线机构是否得到确认,是否需要回 滚版本
三、测试管理流程 1、各部门权限情况 分公司管理部门 进行用户测试;进行测试反馈 总公司管理部门 进行用户测试;组织、协调分公司开展用户测试工作;进行用户测试进度跟踪;签署测试验收报告;提交上线申请 分公司IT 配合测试工作—程序安装、权限设置等;核实测试反馈 信息技术部 负责内部集成测试;向分公司提供测试程序;收集反馈用户测试信息;分析用户测试反馈2、流程图
信息安全管理程序
信息安全管理程序 1.目的 为了防止信息和技术的泄密,避免严重灾难的发生,特制定此安全规定。。2.适用范围 包括但不限于电子邮件、音频邮件、电子文件、个人计算机、计算机网络、互联网和其它电子服务等相关设备、设施或资源。 2.1权责 2.1.1人力资源部:负责信息相关政策的规划、制订、推行和监督。 2.2.2 IT部:负责计算机、计算机网络相关设备设施的维护保养以及信息数据的备份相关事务处理。 2.2.3全体员工:按照管理要求进行执行。 3.内容 3.1公司保密资料: 3.1.1公司年度工作总结,财务预算决算报告,缴纳税款、薪资核算、营销报表和各种综合统计报表。 3.1.2公司有关供货商资料,货源情报和供货商调研资料。 3.1.3公司生产、设计数据,技术数据和生产情况。 3.1.4公司所有各部门的公用盘共享数据,按不同权责划分。 3.2公司的信息安全制度 3.2.1 凡涉及公司内部秘密的文件数据的报废处理,必须碎纸后丢弃处理。 3.2.2 公司员工工作所持有的各种文件、数据、电子文件,当本人离开办公室外出时,须存放入文件柜或抽屉,不准随意乱放,更未经批准,不能复制抄录或携带外出。 3.2.3 未经公司领导批准,不得向外界提供公司的任何保密数据和任何客户数据。 3.2.4经理室要运用各种形式经常对所属员工进行信息安全教育,增强保密意识:3.2. 4.1在新员工入职培训中进行信息安全意识的培训,并经人事检测合格后,方可建立其网络账号及使用资格。 3.2. 4.2每年对所有计算机用户至少进行一次计算机安全检查,包括扫病,去除与工作无关的软件等。 3.2.5不要将机密档及可能是受保护档随意存放,文件存放在分类目录下指定位
信息安全事件处理流程
信息安全事件处理流程 Document number【AA80KGB-AA98YT-AAT8CB-2A6UT-A18GG】
信息安全事件处理流程 一、信息安全事件分类 根据公司实际生产运行情况,将信息安全事件分为两大类:重大信息安全事件和一般信息安全事件。 1、重大信息安全事件 1) 重要信息系统遭受严重的系统损失; 1.1 通信线路和设备故障、主机(服务器)、存储系统、网络设备(各类网络交换机、路由器、防火墙等)、电源故障运行中断不能为超过80%(包括80%)的网络注册用户提供服务,时间达4小时;不能为80%以下网络注册用户提供服务,持续等效服务中断时间达8小时。 1.2 系统(硬、软件)损坏或失窃,直接经济损失达1万元以上者。 1.3 重要技术开发、研究数据损坏或丢失,或重要信息系统数据损坏或丢失,数据量在时间上连续超过48小时。 1.4 发生计算机程序、系统参数和数据被删改等信息攻击和破坏或计算机病毒疫情导致信息系统不能提供正常服务达到上述的规定。 1.5 发生传播有害数据、发布虚假信息、滥发商业广告、随意侮辱诽谤他人、滥用信息技术等信息污染和滥用,网络地址和用户身份信息的窃取、盗用。 1.6 发生自然灾害性事件导致的信息安全事故。 2)产生的社会影响波及到一个或多个地市的大部分地区,引起社会恐慌,对经济的建设和发展有较大负面影响,或损害到公众利益。 2、一般信息安全事件 1)重要信息系统遭受较小的系统损失; 1.1 通信线路和设备故障、主机(服务器)、存储系统、网络设备(各类网络交换机、路由器、防火墙等)、电源故障运行中断导致不能为超过80%(包括80%)的网络注册用户提供服务,时间达2小时;不能为80%以下网络注册用户提供服务,持续等效服务中断时间达4小时。
信息员工作流程(老系统)
信息员工作操作流程 1、每天早上信息员必须6:20之前到达店面,首先变菜的售价:先看菜单上的 进价,根据店面的实际情况(看看前一天的库存和菜的质量)定菜的售价。 进入锐翔管理系统:价格管理→生鲜商品变价处理→输入商品条码(如2160001红椒)→输入现售价(以公斤计算)→保存→变价单审核→右键(全部变价单已审核通过)→执行变价。 2、传称步骤: (1)系统设置→条码称数据传送→选择正确的路径(如:D:\rxmis\spxx.scl)→寺岗称导出→确定。 (2)打开TOP2000(一般在桌面上或状态栏上)→点击文件菜单→打开如:D:\rxmis\spxx.scl→部分下传→输入商品条码省略第一位(如:红椒:160001)小技巧:可以直接从160001到190495一次性全传完。下传→输入部门号01或输入称号用逗号隔开(要保证称是开着的)→确定。 3、变进价:(变生鲜的进价如鱼、菜、肉以公斤输入,其中注意肉的每个单品都 要变进价,如:文杰白条:2130311变16.5元/公斤(注意:前夹、后座、全精肉、肋排、小排、大排、腿骨等白条分割出来的单品的进价全部要变成16.5元/公斤)价格管理→生鲜商品进价变价→输入商品条码(如2160001红椒)→输入现进价(以公斤计算)→保存→生鲜商品进价变价审核→右键(全部变价单已审核通过)→执行变价(不需要传称)。 4、上传当天水果订单:拿到店面水果订单→打开已存水果订单表格→改日期填 入数据→保存→联网→上传(8:30左右) 5、日报表(统计前一天的销售): (1)销售管理→日销售汇总统计→统计→日结库处理 注:如果统计出错,看报什么错A:出现较大的收银误差或找不台号→拷表先POS数据回传,然后开始→运行→pos01\02\03→D:\→POS→dlib拷当天日期的B、M表(如:B9030101、M9030101)如果出现找不到表(打电话4843793、)没有权限(运行前台电脑D:\解决局域网共享问题\共享方式:访问本机无需验证即可进入)要密码(打电话、、) B:出现空记录(Is not……某某表出错)打电话(4843793或) (2)查销售、销售毛利:销售报表查询→日销售报表查询(记下销售金额和销售毛利)。 (3)客流量、客单价:销售信息查询→客流量、客单价查询(记下数据)。(4)单品销售查询:销售信息查询→分类销售明细查询→改日期(前一天的日期) A:米:米面类→米类→散装米(记下每种米的销售,不联网的店面记下所有米
IT信息安全事件管理程序
IT信息安全事件管理程序 1 目的 为了在尽可能小地影响用户和用户业务的情况下使IT系统尽快恢复,从而维持良好的服务质量和可用性级别,特制定本程序。 2 范围 本程序适用于IT信息对核心系统及总行各部门及各分行、支行相关主机、网络、终端等IT事件处理流程的管理。 3 相关文件 《变更管理控制程序》 4 职责 4.1 网管值班人员负责接收所有事件的报告并记录,根据事件类型决定事件处理; 4.2 事件经理负责事件类型的确定,事件过程的管理; 4.3 支持团队负责针对事件的方案的实施和解决; 4.4 信息总经理负责重大事件的管理,担当重大事件经理的角色。 5 程序 5.1 事件管理目标 对于事件管理过程,应遵循以下目标: a)尽快恢复正常服务。 b)最小化事件对业务的影响。 c)确保一致地处理事件和服务请求而不会有任何遗漏。 d)定向到最需要的支持资源。 e)提供允许优化支持流程、减少事件数量和执行管理计划的信息。
5.2 事件的分类 5.2.1基于两个方面对事件进行分类: a)事件所造成的影响 b)事件的紧急程度 5.2.1.1 事件的影响等级 5.2.1.2 事件的紧急程度等级 5.2.1.3 事件的优先级 事件的优先级是根据事件的影响等级和事件的紧急程度来决定的。影响等级高并且紧急程度高的事件优先级为最高级,影响等级低并且紧急程度低的事件优先级为低级。
下表显示了与这些参数相关事件的分类: 5.3 事件的发现、记录和报告 5.3.1 事件的发现 事件通常由用户、IT团队、供应商或监控系统检测到。对于各类来源所探测到的事件报告,均应由首先接到报告的人员根据事件分类的原则进行判断,属于高等级或最高等级的事件,应立即向信息总经理报告,必要时应继续报告行领导及上级监管机构。 一般事件的处理按照5.4.1要求执行。 5.3.2 事件的记录 所有被报告或主动探测到的事件均应被记录。记录内容应包括: a)唯一参考号 b)记录日期和时间 c)记录事件的人员的身份 d)报告事件的人员的身份(包括姓名、部门、位置和联系详细信息) e)联系方法 f)受影响的配置项 (CI) 的详细信息 g)症状描述和任何错误代码 h)重现该问题所需要的步骤 5.4 事件的处理 5.4.1 一般事件 一般事件根据引起事件的不同原因,按照各类日常维护工作所涉及到的管理程序执行处理过程。
信息管理系统流程图
十、信息处理流程图
ERP
标准业务流程
上海()有限公司 二〇二〇年十二月
.1
十、信息处理流程图
一、销售部分:
(一)、发出商品销售业务:
业务编 号
流程适 用范围
相关岗 位及权限
SA-003
业务名
编号: PR-SA-003
发出商品销售业务
称
无论赊销、现销,当月完成发货后,以后月份结算的销售业务
岗位
销售助理
系统操作
销售管理模块中录入销售订单
权限
录入
销售主管
销售管理模块中审核销售订单
审核
销售助理
销售管理模块中录入发货单
增加、审核
保管员
库存管理模块中仓库调拨单录入、一审
录入、一审
发货检验
仓库调拨单二审
二审
员
财务开票
以后期间,开据销售发票
录入
员
材料成本
根据销售调拨单生成出库单并钩稽发发票,存货核
记账、制单
会计
算模块中记账、制单
应收往来
应收账款模块中结转收入、应收往来核算
审核、核销、
会计
制单
相关部门或岗位 客户
销售部
库房记账员
材料成本会计/往来会计
.2
十、信息处理流程图
收 货
合同
具签定,或接 体 到订单。 工 作 流 程
填写销售 订单
审核销售 订单
填制发货 通知单并审核
审核调 拨单项式单
仓库调 拨单
以后结算 开 据
销售出库 单
钩稽
销售发票
审核
结 转
销 售 成 本
销 售 收 入
现结
应收 账款
填制收款 单
收款
1、销售业务员与客户签订销售合同,销售助理依据在【销售管理】模块录入销售订单 并销售主管对销售订单进行确认,并在系统中对订单进行审核。
2、产品生产完毕完工入库后,销售助理在【销售管理】模块根据销售订单生成销售发 流 货通知单, 程 3、保管员根据【销售管理】模块中审核后的销售发货单通知单生成仓库调拨单并进行 审核,产品出门。 描 4、以后期间结算时,销售助理根据客户开票需求,对已审核的提货存根联及开票通知单, 并送财务部门进行开票; 述 5、财务开票员根据销售助理复核后的开票通知单,开具销售发票。
6、材料成本会计在【仓库核算】模块根据仓库调拨单生成销售出库单,材料会计对销 售发票进行审核处理并钩稽销售出库单,月底根据根据销售出库单生成销售成本结转凭
证。。 7、往来会计收款时在【应收管理】模块中填制收款单并根据收款单生成收款凭证。
.3
信息工作管理操作流程
信息工作管理操作流程 1目的 本文件规定了农村银行(以下简称“本行”)信息工作管理操作的流程及控制要点,旨在推动信息工作的规范化、制度化建设,进一步完善信息考评机制,增强信息工作的责任意识,切实提高本行信息服务、宣传工作的质量和水平。 2适用范围 本文件适用于本行信息工作管理活动。 3定义、缩写与分类 3.1定义 信息工作:是指对本行改革、发展、管理活动中相关的各类信息资料数据进行采集、处理、传递、发布等过程,目的是为本系统互通情况和各级领导决策提供服务。 3.2缩写 无 3.3分类 无 4职责与权限
5原则与基本规定 5.1原则 1)真实性原则。信息所反映的情况应当全面准确、真实可靠,防止以偏概全。具体事件、时间、地点、数字、名称、计量单位、专业术语等要确保准确。 2)时效性原则。要快速、及时地收集、整理和传递信息,涉及的情况、数据要有时效性和可比性。 3)规范性原则。信息要主题鲜明,文题相符,言简意赅,用词规范,力求用简练的文字和有代表性的数据反映事物的概貌和发展趋势。 4)适用性原则。根据本行的工作重点和特点,结合上级定期通报的信息报送参考要点,有针对性地报送信息。 5)保密性原则。在对信息内容进行筛选、分类、加工、处理、送审等各个环节中,实行严格的责任制,确保工作质量和信息安全,对涉及国家和本行秘密信息的处理,要严格按照有关法律、法规规定的保密要求办理。 5.2基本规定 1)本行综合办公部门是本行信息工作的归口管理部门,承担信息的收集、整理、发布等日常工作,负责研究制定信息工作计划和调研计划,并组织、协调、指导、监督、检查和评比本行各机构的信息工作。 2)本行应切实加强对信息工作的领导,建立健全本行信息工作网络,完善信息报送机制,确保信息渠道快捷畅通,工作高效运转。 3)本行应严格按照政治强、业务精、作风正、纪律严的要求,配备必要的专职或兼职信息工作人员,具体负责信息工作,并保持队伍相对稳定。 4)信息工作人员应具备下列基本条件: a)政治立场坚定,熟悉国家政策尤其是经济、金融等领域的大政方针和本行各
公司信息安全管理制度流程1.doc
公司信息安全管理制度流程1 **公司信息安全管理制度 一、信息安全指导方针 保障信息安全,创造用户价值,切实推行安全管理,积极预防风险,完善控制措施,信息安全,人人有责,不断提高顾客满意度。 二、计算机设备管理制度 1 2 3 进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置; (二)系统管理操作代码的设置与管理 1、系统管理操作代码必须经过经营管理者授权取得; 2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作 代码的生成和维护,负责故障恢复等管理及维护; 3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有
其上级授权; 4、系统管理员不得使用他人操作代码进行业务操作; 5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销 1 3 1 码。 重复、顺序、规律数字等容易猜测的数字和字符串; 2、密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人 等内容。 3、服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。
1 2 3 4 失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复 的完整性和可用性。 5、数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保 存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联 机业务运行造成影响。 6、需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存 的数据必须有详细的文档记录。
信息安全等级保护工作流程图
信息安全等级保护工作流程
一、定级 一、等级划分 计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 二、定级程序 信息系统运营、使用单位应当依据《信息系统安全等级保护定级指南》(下载专区附)确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。 跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。 对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 三、定级注意事项 第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。
第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统,地市级以上国家机关、企事业单位网站等 第三级信息系统:一般适用于地市级以上国家机关、企事业单位内部重要的信息系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省门户网站和重要网站;跨省连接的网络系统等。例如网上银行系统、证券集中交易系统、海关通关系统、民航离港控制系统等为三级信息系统。 第四级信息系统:一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全、影响社会稳定的核心系统。例如电信骨干传输网、电力能量管理系统、银行核心业务系统、铁路票客系统、列车指挥调度系统等 第五级信息系统:适用于国家特殊领域的极端重要系统。 二、备案 一、总体要求 新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 二、备案管辖 (一)管辖原则。 备案管辖分工采取级别管辖和属地管辖相结合。 (二)中央在京单位。 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由公安部公共信息网络安全监察局受理备案,其他信息系统由北京市公安局公共信息网络安全监察部门(简称网监部门,下同)受理备案。