ISMS-2018信息应用系统安全管理程序

深圳市首品精密模型有限公司

信息应用系统安全管理程序

文件编号:ISMS-2018

变更履历

1目的

为保障公司管理信息系统的操作系统和数据库管理系统的安全、稳定运行，规范操作系统和数据库管理系统的安全配置和日常操作管理，特制订本管理办法。

2范围

本办法适用于公司信息系统的操作系统和数据库系统的管理和运行。

3术语和定义

下列术语和定义适用于本标准

操作系统安全：操作系统所存储、传输和处理的信息的保密性、完整性、和可用性表征。

数据库管理系统安全：数据库管理系统所存储、传输和处理的信息的保密性、完整性和可用性的表征。

4操作系统运行管理

4.1操作系统管理员的任命

4.1.1操作系统管理员的任命应遵循“任期有限、权限分散”的原则；

4.1.2对每个操作系统要分别设立操作系统管理员和操作系统审计员，并分别由不同的人员担任。在多套系统的环境下，操作系统管理员和操作系统审计员岗位可交叉担任；

4.1.3操作系统管理员和操作系统审计员的任期可根据系统的安全性要求而定，最长为三年，期满通过考核后可以续任；

4.1.4操作系统管理员和操作系统审计员必须签订保密协议书。

4.2操作系统管理员帐户的授权、审批

4.2.1操作系统管理员和操作系统审计员账户的授权由所在部门填写《操作系统账户授权审批表》，经部门领导批准后设置；

4.2.2操作系统管理员和操作系统审计员人员变更后，必须及时更改帐户设置。

4.3其他帐户的授权、审批

4.3.1其他账户的授权由使用人填写《操作系统账户授权审批表》，经信息管理部门领导批准后，由操作系统管理员进行设置；

4.3.2外单位人员需要使用公司系统时, 须经信息管理部门领导同意, 填写《外单位人员操作系统账户授权审批表》，报信息管理部门领导批准后, 由操作系统管理员按规定的权限、时限设置专门的用户帐号；

4.3.3严禁公司任何人将自己的用户帐号提供给外单位人员使用。

4.4口令的复杂性、安全性要求和检查

4.4.1系统账户的口令长度设置至少为8位，口令必须从小写字符（a-zA-Z）、大写字符（A-Z）、数字（0-9）、符号(~!@#$%^&*()_<>)中至少选择两种进行组合设置；

4.4.2系统账户的口令必须经常更改，每次更新的口令不得与旧的口令相同，操作系统应设置相应的口令规则；

4.4.3系统用户的帐号、口令、权限等禁止告知其他人员；

4.4.4须根据系统的安全要求对操作系统密码策略进行设置和调整，以确保口令符合要求。

4.5系统维护和应急处理记录

4.5.1应对系统安装、设置更改、帐号变更、备份等系统维护工作进行记录，以备查阅；

4.5.2应对系统异常和系统故障的时间、现象、应急处理方法及结果作详细的记录

4.6操作系统软件、资料以及许可证的管理

4.6.1必须对操作系统软件的介质、资料和许可证进行登记，并设专人负责保管；

4.6.2登记的内容应包括软件的名称和版本、软件出版商、许可证类型和数量、介质的编号和数量、软件安装序列号、手册名称和数量、购买日期等；

4.6.3应有软件和资料的借用审批和借还登记手续；

4.6.4对重要的系统软件介质和资料要进行复制，借用时宜提供复制品，以保护好原件及避免丢失。

4.7操作系统的系统管理员帐户名称、口令的管理

4.7.1操作系统账户应按照《操作系统账户授权审批表》批准的账户名称、权限和有效期予以设置；必须关闭不必使用的账号；

4.7.2操作系统管理员帐户的口令除了要满足本规范第六条中的口令要求外，还必须每42天更改一次，发现有异常情况时应立即更改，每次更新的口令不得与旧的口令相同；

4.7.3严禁把操作系统管理员的帐户名称和口令告知其他人员。

4.8操作系统配置的备份管理

4.8.1操作系统管理员应对操作系统的配置参数及相关文件进行备份，当配置发生变更时必须重新备份，以便系统发生故障时能尽快恢复系统配置。

4.9操作系统的安全检查

4.9.1操作系统管理员应经常检查操作系统的安全配置，并确保符合安全配置要求；

4.9.2操作系统管理员和操作系统审计员应定期查看操作系统的运行日志和审计日志，以及时发现出现的安全问题；

4.9.3操作系统管理员应定期使用最新的安全检查或安全分析工具对系统进行检查，并及时消除存在的漏洞。特别是在新软件安装或软件更新之后。

5数据库系统运行管理

5.1数据库管理员的任命

5.1.1数据库管理员(DBA)的任命应遵循“任期有限、权限分散”的原则；

5.1.2对每个数据库系统要分别设立数据库管理员和数据库审计员，并分别由不同的人员担任。在多套系统的环境下，数据库管理员和数据库审计员岗位应交叉担任；

5.1.3数据库管理员和数据库审计员的任期可根据系统的安全性要求而定，最长为三年，期满通过考核后可以续任；

5.1.4数据库管理员和数据库审计员必须签订保密协议书。

5.2数据库管理员帐户的授权，审批

5.2.1数据库管理员和数据库审计员账户的授权由系统运行维护单位填写《数据库系统账户授权审批表》，经信息管理部门领导批准后设置；

5.2.2数据库管理员和数据库审计员人员变更后，必须及时更改帐户设置。

5.3其他帐户的授权，审批

5.3.1本单位其他数据库账户的授权由使用单位填写《数据库系统账户授权审批表》，经信息管理部门领导批准后，由数据库管理员进行设置；

5.3.2外单位人员需要使用本单位数据库系统时, 须经接待部门主管同意, 填写《外单位人员数据库系统账户授权审批表》，报信息管理部门领导批准后, 由数据库管理员按规定的权限、时限设置专门的用户帐号；

5.3.3《外单位人员数据库系统账户授权审批表》应包括使用者姓名、身份证号、工作单位、接待部门、数据库系统名称和版本、主机型号、主机号、账户名称、账户类别、授予权限、账号和权限授予期限等；

5.3.4严禁本单位任何人将自己的用户帐号提供给外单位人员使用。

5.4口令的复杂性、安全性要求和检查

5.4.1数据库账户的口令长度设置至少为8位，口令必须从字符、数字、符号中至少选择两种进行组合设置；不宜使用与账户名称中相同的字符或使用姓名、生日和电话号码等其他容易猜测的字符组合；

5.4.2数据库账户的口令必须经常更改，至少每季度更改一次，每次更新的口令不得与旧的口令相同，应设置相应的口令规则；

5.4.3网络用户的帐号、口令、权限等禁止告知其他人员；

5.4.4必须根据安全要求对数据库管理系统的密码策略进行设置和调整，以确保口令符合要求。

5.5系统维护和应急处理记录

5.5.1应记录数据库系统维护和应急处理记录；

5.5.2应对系统安装、设置更改、帐号变更、表空间变更、数据对象变更、数据库备份等系统维护工作进行记录，以备查阅；

5.5.3应对系统异常和系统故障的时间、现象、应急处理方法及结果作详细的记录。

5.6数据库系统软件、资料以及许可证的管理

5.6.1必须对数据系统软件的介质、资料和许可证进行登记，并设专人负责保管；

5.6.2登记的内容应包括软件的名称和版本、软件出版商、许可证类型和数量、介质的编号和数量、软件安装序列号、资料名称和数量、购买日期等；

5.6.3应有软件和资料的借用审批和借还登记手续；

5.6.4对数据库系统软件介质和资料要进行复制，借用时宜提供复制品，以保护原件及避免丢失。

5.7数据库管理员帐户名称、口令的管理

5.7.1数据库管理员账户名称不宜使用系统安装时默认的管理员账户名，应按照《数据库系统账户授权审批表》批准的账户名称、权限和有效期予以设置。必须更改系统安装时默认的管理员账户和具有特殊权限的账户的口令，关闭不必使用的账号；

5.7.2数据库管理员的口令长度必须设置至少为8位，满足口令的复杂性要求，还必须每两周更改一次，发现有异常情况时应立即更改，每次更新的口令不得与旧的口令相同；

5.7.3严禁把DBA的帐户名称和口令告知其他人员。

5.8数据库系统配置的备份的管理

5.8.1数据库系统管理员应对数据库系统的配置参数及相关文件进行备份，当配置发生变更时必须重新备份，以便系统故障时能尽快恢复系统配置。

5.9数据库系统数据的备份的管理

5.9.1应制定数据库系统的备份策略，定期对数据库系统进行备份；

5.9.2数据库备份策略的制定要以尽可能高效地进行备份与恢复为目标，并且与操作系统的备份最好地结合，宜采用物理备份与逻辑备份相结合；

5.9.3必需对备份权限的设置加以严格控制；

5.9.4必须妥善存放和保管备份介质（包括磁带、从数据库导出的文件等），防止非法访问。对备份的介质应做好标识，存放环境符合要求。

5.10数据库系统的安全检查

5.10.1数据库管理员应经常检查数据库系统的安全配置，并确保符合安全配置要求；

5.10.2数据库管理员和数据库审计员应定期查看数据库系统的运行日志和审计日志，以及时发现出现的安全问题；

5.10.3数据库管理员应定期使用最新的安全检查或安全分析工具对系统进行检查，并及时消除存在的漏洞；特别是在新软件安装或软件更新之后。

6附则

6.1本制度由信息部负责解释。

6.2本办法自颁布之日起执行。

7相关记录

7.1操作系统帐户授权审批表

7.2外单位人员操作系统帐户授权审批表7.3 数据库系统帐户授权审批表

7.4 外单位人员数据库系统帐户授权审批表7.5 数据库系统维护和应急处理记录

操作系统帐户授权审批表

外单位人员操作系统帐户授权审批表

数据库系统帐户授权审批表

数据库系统维护和应急处理记录

外单位人员数据库系统帐户授权审批表

软件系统安全管理建议书

系统股份有限公司电子商务项目系统安全管理建议书编制单位：系统有限公司作者：版本：V1.0 发布日期：审核人：批准人：修订历史记录

目录第1章建立安全运行管理平台的重要性 (4) 第2章服务器安全管理建议 (4) 网络拓扑图 (4) 硬件配置要求 (4) 服务器系统本身稳定运行 (5)

程序稳定运行 (6) 密码安全管理 (6) 第3章相关文档管理 (6)

第1章建立安全运行管理平台的重要性电子商务网站真正含义上是一种动态的网站，交互性很强，而且其运作具有延续性的特点，这和普通的基础设备投入是完全不同的，它取得利润和效益来自于功能和科学的管理，而不是硬件设备本身。实际上，企业网站是否产生应有的效益，很大程度上依赖于网站内容的丰富程度、网页的制作和网页的更新程度及相关信息的回复速度。所以企业在网站运作后，还要做很多主要的维护管理工作。对整个网站和机房制定严格的管理规定，把一切人为安全因素的影响降到最低。对网站的内容和数据定期的进行维护。所以，电子商务网站建设成后，电子商务网站的管理与维护是尤为重要的。第2章服务器安全管理建议网络拓扑图硬件配置要求

服务器系统本身稳定运行服务器稳定是对任何益而高网站的最基本要求，对于电子商务网站，服务器稳定更为重要。为了避免服务器运行出现故障，需要从以下几个方面注意： 1.信息堵塞。来源：宽带限制；同时服务器请求响应最大限制。 2.机房环境。机房环境的配置，如通风条件、防火条件、空调等，这些外在条件也可能影响到服务器正常运行。 3.黑客攻击。黑客现在是越来越流行的，黑客的技术越来越高，病毒的破坏能力也越来越强，服务器应该装有高性能的防火墙和必备的杀毒软件。 4.硬件故障。比如硬盘故障，网卡故障等。所以建议要有硬件备份。 5.安全管理失误。不如火灾，人为因素导致的软硬件故障。 6.不可抗力因素。比如战争、地震、洪水等。

信息安全风险管理程序69382

1目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平，特制定本程序。 2范围本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。 3职责 3.1研发中心负责牵头成立信息安全管理委员会。 3.2信息安全管理委员会负责编制《信息安全风险评估计划》，确认评估结果，形成《风险评估报告》及《风险处理计划》。 3.3各部门负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉及的资产的具体安全控制工作。 4相关文件《信息安全管理手册》《GB-T20984-2007信息安全风险评估规范》《信息技术安全技术信息技术安全管理指南第3部分：IT安全管理技术》 5程序 5.1风险评估前准备 ①研发中心牵头成立信息安全管理委员会，委员会成员应包含信息安全重要责任部门的成员。 ②信息安全管理委员会制定《信息安全风险评估计划》，下发各部门。 ③风险评估方法-定性综合风险评估方法本项目采用的是定性的风险评估方法。定性风险评估并不强求对构成风险的各个要素（特别是资产）进行精确的量化评价，它有赖于评估者的经验判断、业界惯例以及组织自身定义的标准，来对风险要素进行相对的等级分化，最终得出的风险大小，只需要通过等级差别来分出风险处理的优先顺序即可。综合评估是先识别资产并对资产进行赋值评估，得出重要资产，然后对重要资产进行详细的风险评估。

5.2资产赋值 ①各部门信息安全管理委员会成员对本部门资产进行识别，并进行资产赋值。资产价值计算方法：资产价值= 保密性赋值＋完整性赋值＋可用性赋值 ②资产赋值的过程是对资产在信息分类、机密性、完整性、可用性进行分析评估，并在此基础上得出综合结果的过程。 ③确定信息类别信息分类按“资产识别参考（资产类别）”进行，信息分类不适用时，可不填写。 ④机密性(C)赋值根据资产在机密性上的不同要求，将其分为五个不同的等级，分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。 ⑤完整性(I)赋值根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。 ⑥可用性(A)赋值根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上的达成的不同程度。

信息安全管理方案计划经过流程

信息安全管理流程说明书（S-I）

信息安全管理流程说明书 1 信息安全管理 1.1目的本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动，保证信息安全管理目标的实现，满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 1) 在所有的服务活动中有效地管理信息安全； 2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题，识别并跟踪组织内任何信息安全授权访问； 3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求； 4) 执行操作级别协议和基础合同范围内的信息安全需求。 1.2范围本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定，以及客户自身的相关安全管理规定。公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。 2术语和定义 2.1相关ISO20000的术语和定义 1) 资产（Asset）：任何对组织有价值的事物。 2) 可用性（Availability）：需要时，授权实体可以访问和使用的特性。 3) 保密性（Confidentiality）：信息不可用或不被泄漏给未授权的个人、实体和流程的特性。 4) 完整性（Integrity）：保护资产的正确和完整的特性。

5) 信息安全（Information security）：保护信息的保密性、完整性、可用性及其他属性，如：真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系（Information security management system ISMS）：整体管理体系的一部分，基于业务风险方法以建立、实施、运行、监视、评审、保持和改进信息安全。 7) 注：管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资源。 8) 风险分析（Risk analysis）：系统地使用信息以识别来源和估计风险。 9) 风险评价（Risk evaluation）：将估计的风险与既定的风险准则进行比较以确定重要风险的流程。 10) 风险评估（Risk assessment）：风险分析和风险评价的全流程。 11) 风险处置（Risk treatment）：选择和实施措施以改变风险的流程。 12) 风险管理（Risk management）：指导和控制一个组织的风险的协调的活动。 13) 残余风险（Residual risk）：实施风险处置后仍旧残留的风险。 2.2其他术语和定义 1) 文件（document）：信息和存储信息的媒体；注1：本标准中，应区分记录与文件，记录是活动的证据，文件是目标的证据；注2：文件的例子，如策略声明、计划、程序、服务级别协议和合同； 2) 记录（record）：描述完成结果的文件或执行活动的证据；注1：在本标准中，应区分记录与文件，记录是活动的证据，文件是目标的证据；注2：记录的例子，如审核报告、变更请求、事故响应、人员培训记录； 3) KPI：Key Performance Indicators 即关键绩绩效指标；也作Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、计算、分析，衡量流程绩效的一种目标式量化管理指标，流程绩效管理的基础。

系统安全管理制度

系统安全管理制度中国科学院沈阳应用生态研究所

前言本制度旨在加强中国科学院沈阳应用生态研究所（以下简称沈阳生态所）信息系统安全管理工作。本制度由信息中心提出。本制度由信息中心归口。本制度起草部门：信息中心本制度主要起草人：岳倩本制度起草日期：2016/01/19

系统安全管理制度 1范围本制度规定了沈阳生态所信息系统安全管理权限分配、授权和审批、备份和检查等的要求。本制度适用于沈阳生态所开展信息系统安全管理工作。 2术语和定义信息系统：指包括操作系统、应用系统和数据库管理系统。 3职责 3.1系统管理员 1)负责应用系统的安装、维护和系统及数据备份； 2)根据应用系统的安全策略，负责应用系统的用户权限设置以及系统安全配置； 3)根据应用系统运行的实际情况，制定应急处理预案，提交信息管理部门审定。 3.2安全管理员 1)负责对应用系统的安装、维护和系统及数据备份的监督检查和登记工作； 2)定期检查应用系统的用户权限设置以及系统安全配置，与应用系统安全策略的符合性； 3)定期审查应用系统的审计记录，发现安全问题及时报告信息管理部门。4安全策略旨在加强信息系统的运行管理，提高系统的安全性、可靠性，依照完善的管理制度，科学的管理方法来完成信息系统安全管理权限分配、授权和审批、备份和检查等的要求。 5信息系统管理 5.1操作系统 1)操作系统管理员账户的授权、审批

●操作系统管理员和操作系统安全员账户的授权由所在部门填写《操作系统账户授权审批表》，经部门领导批准后设置； ●操作系统管理员和操作系统安全员人员变更后，必须及时更改账户设置。 2)其他账户的授权、审批 ●其他账户的授权由使用人填写《操作系统账户授权审批表》，经信息管理部门领导批准后，由操作系统管理员进行设置； ●操作系统管理员和操作系统安全员根据业务需求和系统安全分析制订系统的访问控制策略，控制分配信息系统、文件及服务的访问权限； ●外单位人员需要使用审计管理系统时, 须经信息管理部门领导同意, 填写《外单位人员操作系统账户授权审批表》，报信息管理部门领导批准后, 由操作系统管理员按规定的权限、时限设置专门的用户账户； ●严禁任何人将自己的用户账户提供给外单位人员使用。 3)口令的复杂性、安全性要求和检查 ●系统账户的口令长度设置至少为8位，口令必须从小写字符（a-zA-Z）、大写字符（A-Z）、数字（0-9）、符号(~!@#$%^&*()_<>)中至少选择两种进行组合设置； ●系统账户的口令须定期更改，每次更新的口令不得与旧的口令相同，操作系统应设置相应的口令规则； ●系统用户的账号、口令、权限等禁止告知其他人员； ●须根据系统的安全要求对操作系统密码策略进行设置和调整，以确保口令符合要求。 4)系统维护和应急处理记录 ●应对系统安装、设置更改、账号变更、备份等系统维护工作进行记录，以备查阅； ●应对系统异常和系统故障的时间、现象、应急处理方法及结果作详细的记录。

信息安全风险管理程序

城云科技（杭州）有限公司信息安全风险管理程序

第一章目的第一条目的：指导信息安全组织针对信息系统及其管理开展的信息风险评估工作。本指南定义了风险评估的基本概念、原理及实施流程；对资产、威胁和脆弱性识别要求进行了详细描述。第二章范围第二条范围：适用于风险评估组开展各项信息安全风险评估工作。第三章名词解释第三条资产对组织具有价值的信息或资源，是安全策略保护的对象。第四条资产价值资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。资产价值通过机密性、完整性和可用性三个方面评估计算获得。（一）机密性（Confidentiality）：确保只有经过授权的人才能访问信息；（二）完整性（Integrality）：保护信息和信息的处理方法准确而完整；（三）可用性（Availability）：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。第五条威胁可能导致对系统或组织危害的不希望事故潜在起因。第六条脆弱性可能被威胁所利用的资产或若干资产的弱点。第七条信息安全风险人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。第八条信息安全评估依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储

的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。第九条残余风险采取了安全措施后，信息系统仍然可能存在的风险。第四章风险评估方法第十条风险管理模型图1 风险管理模型图1为风险管理的基本模型，椭圆部分的内容是与这些要素相关的属性。风险管理围绕着资产、威胁、脆弱性和安全措施这些基本要素展开。信息安全风险评估在对风险管理要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。图1中的风险管理要素及属性之间存在着以下关系：（一）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（二）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价

信息安全事件管理程序.docx

信息安全事件管理程序 1 目的为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制，减少信息安全事件和故障所造成的损失，采取有效的纠正与预防措施，特制定本程序。 2 范围本程序适用于XXX业务信息安全事件的管理。 3 职责 3.1 信息安全管理流程负责人 ? 确定信息安全目标和方针； ? 确定信息安全管理组织架构、角色和职责划分； ? 负责信息安全小组之间的协调，内部和外部的沟通； ? 负责信息安全评审的相关事宜； 3.2 信息安全日常管理员 ? 负责制定组织中的安全策略； ? 组织安全管理技术责任人进行风险评估； ? 组织安全管理技术责任人制定信息安全改进建议和控制措施； ? 编写风险改进计划； 3.3 信息安全管理技术责任人 ? 负责信息安全日常监控； ? 信息安全风险评估；

? 确定信息安全控制措施； ? 响应并处理安全事件。 4 工作程序 4.1 信息安全事件定义与分类信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响（后果）的。造成下列影响（后果）之一的，均为一般信息安全事件。 a) XXX秘密泄露； b) 导致业务中断两小时以上； c) 造成信息资产损失的火灾； d) 损失在一万元人民币（含）以上的故障/事件。造成下列影响（后果）之一的，属于重大信息安全事件。 a) 组织机密泄露； b) 导致业务中断十小时以上； c) 造成机房设备毁灭的火灾； d) 损失在十万元人民币（含）以上的故障/事件。 4.2 信息安全事件管理流程 ? 由信息安全管理负责人组织相关的运维技术人员根据XXX对信息安全的要求，确认代码管理相关信息系统的安全需求； ? 对代码管理相关信息系统进行信息安全风险评估，预测风险类型、

信息管理与信息安全管理程序.docx

. . 1目的明确公司信息化及信息资源管理要求，对内外部信息及信息系统进行有效管理，以确保各部门( 单位 ) 和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2适用范围适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3术语和定义 3.1信息有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、内部控制、三基等和生产经营管理中所有信息。 3.2企业信息化建立先进的管理理念，应用先进的计算机网络技术，整合、提升企业现有的生产、经营、设计、制造、管理方式，及时为企业各级人员的决策提供准确而有效的数据信息，以便对需求做出迅速的反应，其本质是加强企业的“核心竞争力” 。 3.3信息披露指公司以报告、报道、网络等形式，向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6LIMS 实验室信息管理系统 3.7IT 信息技术 4职责 4.1信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查，对重大问题进行决策，定期听取有关信息化管理的工作汇报，协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理，每月召开ERP例会，分析总结系统运行情况，协调处理有关问题，及时向总部支持中心上报月报、年报。 4.3信息中心是公司信息化工作的归口管理部门，主要职责： a) 负责制定并组织实施本程序及配套规章制度，对各部门( 单位 ) 信息化工作进行业务指导和督促； b)负责信息化建设管理，组织进行信息技术项目前期管理，编制信息建设专业发展规划并组织实施； c) 负责统一规划、组织、整合和管理公司信息资源系统，为各部门( 单位 ) 信息采集、整理、汇总和发布等环节提供技术支持；对Internet用户、电子邮箱进行设置管理；统一管理分公司互联网出口； d) 负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算

网络和应用系统安全管理规定

**公司网络与应用系统安全管理规定第一章总则第一条为贯彻《中华人民共和国网络安全法》（以下简称《网络安全法》）最大限度地消除互联网应用风险和隐患,提高**公司网络和应用系统安全防护水平,保障网络和应用系统的安全和稳定运行,特结合**公司实际制定本规定。第二条把网络与应用系统安全纳入公司发展规划和预算管理。确立网络与应用系统安全在公司发展中的重要地位，将网络与应用系统安全预算资金集中投入，统一管理，专款专用。第三条加强网络与应用系统安全队伍建设，将人才培养与推进信息化安全结合起来，提高全员信息化应用安全水平。第四条制订公司全员信息化安全管理和应用培训计划，开展信息化安全应用相关培训，不断提高公司对网络和应用系统安全的认识和应用水平。第五条本规定基本内容包括：网络管理、设备管理、系统安全管理、机房管理、数据安全管理、信息安全管理、应急处理。第二章网络管理

第六条建立网络管理台账，掌握本单位的网络结构及终端的接入情况，做到条理清楚、管理到位。（一）所有网络设备（包括防火墙、路由器、交换机等）应归**部统一管理，其安装、维护等操作应由**部工作人员进行，其他任何人不得破坏或擅自进行维修和修改。同时，登录网络设备密码应遵循复杂性原则，且位数应不低于8位。（二）建立租用链路管理台账，包含但不局限于以下内容：链路供应商、本端接口、对端、技术参数等日常维护信息。（三）建立网络拓朴图，标注线路连接、设备功能、IP 地址、子网掩码、出口网关等常用管理信息。（四）局域网原则上应实行静态IP管理，IP地址由**部统一分配，并制定“IP地址分配表”，记录IP地址使用人、MAC地址、电脑操作系统等信息。（五）IP地址为计算机网络的重要资源，公司员工应在**部的规划下使用这些资源，不应擅自更改。（六）公司内计算机网络部分的扩展应经过**部批准，未经许可任何部门不应私自将交换机、集线器等网络设备接入网络。（七）**部负责不定时查看网络运行情况，如网络出现异常时及时采取措施进行处理。（八）公司网络安全应严格执行国家《网络安全法》，

信息安全风险识别与评价管理程序

信息安全风险识别与评价管理程序文件编码（GHTU-UITID-GGBKT-POIU-WUUI-8968）

通过风险评估，采取有效措施，降低威胁事件发生的可能性，或者减少威胁事件造成的影响，从而将风险消减到可接受的水平。二、范围：适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。三、责任：管理者代表信息中心执行信息安全风险的识别与评价；审核并批准重大信息安全风险，并负责编制《信息资产风险评估准则》，执行信息安全风险调查与评价，提出重大信息安全风险报告。各部门协助信息中心的调查，参与讨论重大信息安全风险的管理办法。四、内容：资产识别保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此，应对组织中的资产进行识别。在一个组织中，资产有多种表现形式；同样的两个资产也因属于不同的信息系统而重要性不同，而且对于提供多种业务的组织，其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的风险评估。在实际工作中，具体的资产分类方法可以根据具体的评估对象和要求，由评估者灵活把握。根据资产的表现形式，可将资产分为数据、软件、硬件、服务、人员等类型。表1 列出了一种资产分类方法。

信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项。信息分类定义： a)“国家秘密事项”：《中华人民共和国保守国家秘密法》中指定的秘密事； b)“企业秘密事项”：不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害，或者由于业务上的需要仅限有关人员知道的商业秘密事项； c)“敏感信息事项”：为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项； d)“一般事项”：秘密事项以外，仅用来传递信息、昭示承诺或对外宣传所涉及的事项； e)“公开事项”：其他可以完全公开的事项。信息分类不适用时，可不填写。

重大事件期间网络与信息安全管理规定

**集团有限公司重大事件期间网络与信息安全管理规定（试行）第一章总则第一条为切实做好**集团有限公司网络与信息安全防护工作，建立有效的安全防护体系，进一步提高预防和控制网络与信息安全突发事件的能力和水平，减轻或消除突发事件的危害和影响，确保重大事件期间网络与信息安全，制定本管理规定。第二条本规定所指的重大事件是指需要保供电的国家、省政府层面的重大活动，如重大会议、重大体育赛事等。第三条集团公司重大事件期间网络与信息安全管理要坚持以加强领导，落实信息安全责任地；高度重视，强化安全防范措施；周密部署，加强各相关方协作为原则，以确保重大事件期间不出现因网络与信息安全问题造成不良的社会影响，确保重大事件期间不出现因网络与信息安全问题造成的安全生产事故为目标。第四条集团公司重大事件期间网络与信息安全管理工作范围包括：集团广域网、各局域网、电力二次系统、重要信息系统以及信息安全。各单位的网络与信息安全专项工作组应在集团公司网络与信息安全应急工作小组的指导下，负责本单位网络与信息安全防范和整改工作。

第五条重大事件期间在时间上分为三个阶段，分别是准备阶段、实施阶段和总结阶段。时间划分为重大事件起始日期前两个月为准备阶段；从重大事件起始日期至结束日期为实施阶段；从重大事件结束日期后半个月为总结阶段。各阶段网络与信息安全的管理工作内容有所侧重。第六条本规定适用于集团公司总部和系统各单位。第七条集团公司重大事件期间网络与信息安全管理工作由集团公司信息中心归口管理。第二章准备阶段管理第八条组织开展网络与信息安全查检工作，网络与信息安全采取自查和现场抽查相结合的方式，先开展各单位内部的网络与信息安全自查，在各单位自查的基础上，由集团公司组织相关人员对部分单位进行现场专项检查。第九条网络与信息安全检查内容至少应包括管理制度建设、网络边界完整性检查和访问控制、电力二次系统安全分区、电力二次系统网络接口及防护、电力二次系统通用防护措施、安全审计、已采取的防范网络攻击技术措施、重要网站网页自动恢复措施、网络设备防护、系统运行日志留存及数据备份措施等。具体的检查内容见附件1《网络与信息安全检查表》。第十条对于检查发现的安全陷患，各单位应制定整改

信息安全管理程序

信息安全管理程序 1.目的为了防止信息和技术的泄密,避免严重灾难的发生，特制定此安全规定。。2.适用范围包括但不限于电子邮件、音频邮件、电子文件、个人计算机、计算机网络、互联网和其它电子服务等相关设备、设施或资源。 2.1权责 2.1.1人力资源部：负责信息相关政策的规划、制订、推行和监督。 2.2.2 IT部：负责计算机、计算机网络相关设备设施的维护保养以及信息数据的备份相关事务处理。 2.2.3全体员工：按照管理要求进行执行。 3.内容 3.1公司保密资料： 3.1.1公司年度工作总结，财务预算决算报告，缴纳税款、薪资核算、营销报表和各种综合统计报表。 3.1.2公司有关供货商资料，货源情报和供货商调研资料。 3.1.3公司生产、设计数据，技术数据和生产情况。 3.1.4公司所有各部门的公用盘共享数据，按不同权责划分。 3.2公司的信息安全制度 3.2.1 凡涉及公司内部秘密的文件数据的报废处理，必须碎纸后丢弃处理。 3.2.2 公司员工工作所持有的各种文件、数据、电子文件，当本人离开办公室外出时，须存放入文件柜或抽屉，不准随意乱放，更未经批准，不能复制抄录或携带外出。 3.2.3 未经公司领导批准，不得向外界提供公司的任何保密数据和任何客户数据。 3.2.4经理室要运用各种形式经常对所属员工进行信息安全教育，增强保密意识：3.2. 4.1在新员工入职培训中进行信息安全意识的培训，并经人事检测合格后,方可建立其网络账号及使用资格。 3.2. 4.2每年对所有计算机用户至少进行一次计算机安全检查，包括扫病,去除与工作无关的软件等。 3.2.5不要将机密档及可能是受保护档随意存放，文件存放在分类目录下指定位

XXXX商业银行应用系统开发安全管理办法

XXXX商业银行应用系统开发安全管理办法 1 范围本标准规定了信息系统开发阶段、测试阶段、试运行阶段和上线阶段的管理内容与要求。本标准适用于XXXX商业银行（以下简称：本行）自主开发及委外开发信息系统的管理。 2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。凡是不注明日期的引用文件，其最新版本适用于本标准。国务院令（第339号）计算机软件保护条例国务院令（第147号）中华人民共和国计算机信息系统安全保护条例 Q/JYG/GL-SB -16-2013.a 《投资项目管理办法》 3 术语和定义信息系统：是指由计算机及其相关的配套设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。信息系统一般由三部分组成：硬件系统（计算机硬件系统和网络硬件系统）、系统软件（计算机系统软件和网络系统软件）、应用软件（包括由其处理、存储的信息）。 4 职责 4.1 科技信息部门 4.1.1 负责本行信息系统开发各阶段文档的审批工作； 4.1.2 负责组织本行新开发信息系统的测试工作； 4.1.3 负责本行信息系统上线与终止的验收工作。

4.2 各实施部门或单位 4.2.1 负责本行信息系统开发过程中的需求提出、测试及验收等工作。 5 管理内容与要求 5.1 总体要求 5.1.1 信息系统开发须遵循《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》。 5.1.2 信息系统开发过程中项目单位（承接信息系统开发的单位）须提交相应的安全需求、安全设计、安全测试等资料并经过科技信息部审批，否则不予立项或验收。 5.1.3 信息系统开发范围的变更（增加或缩减）、新技术的使用、新产品或新版本的采用、新的开发工具和环境须经过科技信息部审批。5.2 信息系统开发生命周期管理要求 5.2.1 系统需求收集和分析阶段 a)技术可行性分析根据业务上提出的需求，信息系统归口管理部门应从技术开发的角度分析是否现有的技术手段和技术能力是否可以达到业务上要求的系统功能，主要包括：人员技术能力分析（指本行内的系统开发队伍是否有足够的软件开发的技术能力来完成系统开发的任务，或第三方外包的开发公司是否具有开发应用系统的技术能力）、计算机软件和硬件分析（指本行现有的软件和硬件的性能是否足够满足开发相应的系统的要求）、管理能力分析（指现有的技术开发管理制度和管理流程是否成熟且标准化，是否足够系统开发的要求）。 b)需求可行性分析：信息系统归口管理部门应对该申请部门所提需求进行可行性分析，以判断需求是否明确，是否符合实际，是否能在一定的时间范围实现。 c)经济可行性分析：信息系统归口管理部门应根据业务需求和技术手段的分析，确认投资的数额在可控制和可承受的范围内。 d)安全可行性分析：信息系统归口管理部门应明确该系统的安全建设范围和内容，设定安全性指标要求，合理判定该信息系统是否符合公司的网络及信息安全要求。 5.2.2 设计阶段安全管理

应用系统安全策略

应用系统安全策略 1 高效的认证机制登录验证机制：登录时需要输入系统分配的用户名和密码，连续输入错误次数达到系统设定的次数，系统将锁定该用户账户，只有通过系统管理员才能进行解锁重置。同时，系统支持用户安全卡（USBKEY）管理机制，利用软件电子钥匙的方法，只有持有该电子钥匙的用户才能正常启动客户端软件或Web 插件，再配合加密的用户名密码对，通过双重措施保障用户访问的安全。管理人员访问网络视频监控系统时都将进行身份认证，认证信息采用128位的DES加密处理，以判断用户是否有权使用此系统。认证系统对用户进行安全认证，身份验证的资料来源于集中规划的数据库，数据库管理着视频监控系统所有用户的身份资料。系统应具有独特的用户名与MAC地址绑定功能，能够限定某一用户使用唯一指定的终端观看其权限范围内的视频信息，避免该用户名、密码被盗后，通过其它终端访问系统造成视频信息泄露，同时也可有效地监督用户的工作行为，防止非正常场所观看秘密视频信息。 2 严格的权限管理授权机制：系统应提供完善的授权机制，可以灵活地分配给用户可以查看的监控点、可执行的功能模块、可执行的具体功能等。用户只能查看权限范围内的监控点和执行被授予的功能。管理人员登录到监控系统后，可以对监控点的设备进行管理和配置、实时查看监控点的视频图像、录像日程安排，管理、查看和检索保存在存储系统中的视频文件。系统具有完善的权限管理系统，数据库中记录了各个管理人员对各监控点的使用权限，权限管理系统根据这些数据对用户使用权限进行管理，并对用户使用界面进行定制，使用户只能管理和使用具有相应权限的监控点的设备和视频文件，而不能随意查看，甚至管理其它监控点的设备和视频文件，以保障系统的安全性。同一用户名在同一时间内，系统可严格限定只能有一人登陆使用系统，防止某一用户名和密码泄露后，其它人访问监控系统，造成视频信息泄露。 3 完善的日志管理系统详细记录用户登录、登出、控制视频、浏览视频等重要操作日志，便于查询和统计;同时，在系统产生故障时，可以通过系统日志信息，作为分析、处理问题的一个重要依据。 4 软件监测技术

信息安全管理制度汇总

信息安全管理制度为加强公司各信息系统管理，保证信息系统安全，根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》，及上级信息管理部门的相关规定和要求，结合公司实际，制定本制度。本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案网络安全管理制度第一条公司网络的安全管理，应当保障网络系统设备和配套设施的安全，保障信息的安全，保障运行环境的安全。第二条任何单位和个人不得从事下列危害公司网络安全的活动： 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施，以任何理由破坏、挪用、改动。 3、未经允许，对信息网络功能进行删除、修改或增加。 4、未经允许，对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。

6、利用公司网络，访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。第三条各单位信息管理部门负责本单位网络的安全和信息安全工作，对本单位单位所属计算机网络的运行进行巡检，发现问题及时上报信息中心。第四条连入公司网络的用户必须在其本机上安装防病毒软件，一经发现个人计算机由感染病毒等原因影响到整体网络安全，信息中心将立即停止该用户使用公司网络，待其计算机系统安全之后方予开通。第五条严禁利用公司网络私自对外提供互联网络接入服务，一经发现立即停止该用户的使用权。第六条对网络病毒或其他原因影响整体网络安全的子网，信息中心对其提供指导，必要时可以中断其与骨干网的连接，待子网恢复正常后再恢复连接。

安全管理系统的研究与应用

安全管理系统的研究与应用【摘要】随着电力信息化的快速发展，信息设备的不断增长，迫切需要有信息系统的监管系统对其进行支撑，本文将引入安全管理系统，对系统的功能目标、总体架构和技术原理进行分析讨论，并对系统在电力企业中的实际应用情况进行了介绍。目前，安全管理系统应经投身于电力企业的实际应用当中，并取得了良好的应用效果，为信息系统安全运行提供的可靠的支撑。【关键词】信息；安全；管理 0 引言随着国网公司“SG186”工程提前完成，公司明确要求加强信息安全管理，信息安全建设从此提高到了一个新的高度。随着公司信息化建设，信息网络设备数量越来越多，为保证信息设备运行安全，公司上线一系列信息安全产品，如防火墙、入侵检测、防病毒等等，但如何整合企业所有重要信息设备的信息，通过智能化的分析手段，让企业感知正在发生的安全事件，更好的提升公司安全管理水平，成为现阶段信息安全建设的主要目标。 1 需求描述随着信息化建设的不断发展，信息安全越来越被企业重视。在实际大中型网络应用环境中，由于通常采用分期或者分系统建设，在不同的时期和不同应用系统经常会采用不同厂商的安全产品和方案，并引入了相当多异构的安全技术，而来源与防火墙、入侵检测、漏洞扫描、防病毒等等安全设备的事件随着互联网攻击行为和蠕虫的泛滥，在一个中等规模的网络上就可以形成海量安全事件。这些事件中又存在非常多的误报和重复现象，在进行事件分析时，由于只考虑事件本身的严重程度，没有和实际的业务、资产情况结合，使得一些潜在的威胁往往被忽略。对于新上线的应用系统的应用层安全性、数据库安全、网络层面的安全防护手段以及日志审计等方面目前还没有切实有效的手段来测试、跟踪和防护；没有切实有效的手段对网络设备、安全防护设备、主机服务器以及新应用系统平台的安全性有一个直观的、准确的、实时的掌握；没有对网络设备、安全防护设备、主机服务器以及新应用系统平台所产生的日志进行统一的、关联的、标准化的分析，这给安全管理所强调的及时性以及工作量带来了一定的隐患和问题。随着国网“SG186”信息化建设的深入、业务系统的不断增加，提供信息服务的软硬件的种类与数量也随之增加，信息软硬件的运行情况和企业各部门业务的捆绑也越来越紧密，促使企业对信息系统安全的运行维护要求也越来越高，现有的安全管理、安全监控手段已经不能满足日益扩展的复杂的安全保障的需要，迫切需要信息安全管理系统对其进行支撑。

信息安全管理制度附件：信息安全风险评估管理程序

本程序，作为《WX-WI-IT-001 信息安全管理流程A0版》的附件，随制度发行，并同步生效。信息安全风险评估管理程序 1.0目的在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估，形成评估报告，描述风险等级，识别和评价供处理风险的可选措施，选择控制目标和控制措施处理风险。 2.0适用范围在ISMS 覆盖范围内主要信息资产 3.0定义（无） 4.0职责 4.1各部门负责部门内部资产的识别，确定资产价值。 4.2IT部负责风险评估和制订控制措施。 4.3财务中心副部负责信息系统运行的批准。 5.0流程图同信息安全管理程序的流程 6.0内容 6.1资产的识别 6.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别，确定资产价值。 6.1.2资产分类根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类。 6.1.3资产（A）赋值资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析，选择对资产机密性、完整性和可用性最为重要（分值最高）的一个属性的赋值等级作为资产的最终赋值结果。资产等级划分为五级，分别代表资产重要性

的高低。等级数值越大，资产价值越高。 1）机密性赋值根据资产在机密性上的不同要求，将其分为五个不同的等级，分别对应资产 2）完整性赋值根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产 3）可用性赋值根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上的达成的不同程度。

3分以上为重要资产，重要信息资产由IT 部确立清单 6.2威胁识别 6.2.1威胁分类对重要资产应由ISMS 小组识别其面临的威胁。针对威胁来源，根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等。 6.2.2威胁(T)赋值评估者应根据经验和（或）有关的统计数据来判断威胁出现的频率。威胁频率等级划分为五级，分别代表威胁出现的频率的高低。等级数值越大，威胁出现

公司信息安全管理制度

信息安全管理制度信息安全是指通过各种策略保证公司计算机设备、信息网络平台（内部网络系统及ERP、CRM、WMS、网站、企业邮箱等）、电子数据等的安全、稳定、正常，旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理，预防信息安全事故的发生，特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备（特殊情况的，经批准许可的方能使用自已的计算机），不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境，禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件，当计算机出现硬件故障时应及时向信息技术部报告，不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责，如暂时离开座位时须锁定系统，移动介质自行安全保管。未经许可，不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。

1.4因工作需要借用公司公共笔记本的，实行“谁借用、谁管理”的原则，切实做到为工作所用，使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储重要的文件和工作资料不允许保存在C盘（含桌面），同时定期做好相应备份，以防丢失；不进行与工作无关的下载、游戏等行为，定期查杀病毒与清理垃圾文件；拷贝至公共计算机上使用的相关资料，使用完毕须注意删除；各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理；若因个人原因造成数据资料泄密、丢失的，将由其本人承担相关后果。 2.2文件加密涉及公司机密或重要的信息文件，所有人员需进行必要加密并妥善保管；若因保管不善，导致公司信息资料的外泄及其他损失，将由其本人承担一切责任。 2.3文件移动

(完整版)应用系统权限及数据管理安全管理办法

用友系统权限及数据管理办法一、总则为了保障在用友系统使用及管理过程中因不安全的操作而导致的数据泄漏、被盗取等安全事件的发生，特制定本办法。二、本管理办法仅适用于公司全员。三、职责与分工 1、职能部门：（1）公司权限负责人：总经理 1）负责签批部门间的权限的授予； 2）负责对用友系统用户帐号及密码安全进行不定期抽查；（2）系统管理员：财务负责人 1）用友系统管理由财务部负责，除总经理及财务部指定的系统管理员外任何部门不得担任系统管理员一职。 2）负责帐号、各岗位权限分配、系统维护、各模块使用情况的安全运行监管。 3）负责根据《用友用户新增\变更\注销请示单》在系统中设置用户权限； 4）负责维护本单位用户和权限清单； 5）遵守职业道德，接受总经理权限负责人的抽查。（3）各岗位系统操作员：负责所使用模块的权限管理和该模块的数据安全； A.采购部负责有关产品基础信息定义、系统采购模块使用。 B.销售部负责系统销售模块使用。 C.物流部负责仓库管理权限和销售单打印、查询权限； 2、用户帐号: 登录用友系统需要有用户帐号，用户帐号是由财务部系统管理员根据员工工作岗位员工的工作性质规定下进行系统岗位功能、权限分配和设置的。（1）密码设置及更改： 1）第一次登录用友系统时，用户必须改变事先由管理员分配的初始密码； 2）系统管理员及操作员密码每三个月必须变更一次，密码不少于6位。 3、帐号与密码保管：系统使用人必须保证用户ID和用户密码的保密和安全，不得对外泄漏，用户帐号不可转借他人使用；

3、责任承担及注意事项：（1）帐号的对应的使用者应对该帐号在系统中所做的操作及结果负全部责任。（2）系统管理员应该每天检查系统日志，对发现的非法登录、访问等行为。（3）管理帐号及管理权限的增加、删除必须经总经理书面批准，任何人不得任意增加、修改、删除。（4）任何人除所负责权限岗位以外的信息数据不得随意导出：如客户资料、产品进价、销售数据等，如有需要需提交书面申请交总经理审批后统一由财务部导出打印，并建立打印档案。（5）非财务部指定的系统管理人员未经许任何人不得擅自操作和对运行系统及各种设置进行更改。四、用户申请\变更\注销流（1）由用户本人提出申请（填写《请示单》）经部门主管审核交财务部并报总经理审核批示使用权限；（2）财务部系统管理员根据经总经理审批《请示单》在系统中进行权限设置后通知申请人；（3）申请人应在收到通知的当天修改初始口令。（4）当用户由于工作变动、调动或离职等原因需要对用户的访问权限进行修改或注销时，应填写书面《请示单》经总经理审批后系统管理员应及时进行用户的变更、暂停或注销权限。三、数据备份及安全管理 1、服务器数据库要设置每日自动备份，每周五财务部应进行一次介质数据的备份并异地存放，确保系统一旦发生故障时能够快速恢复，备份数据不得更改。 2、系统管理人员应恪守保密制度，不得擅自泄露中心各种信息资料与数据。 3、服务器是用友系统的关键设备，不得随意调试、挪作它用。 4、系统操作时，外来人员不得随意操作、靠近观看。对外来人员不合理要求应婉拒，外来人员不得未经同意不得查看、操作系统。二、计算机病毒防范制度 1、系统管理人员应有较强的病毒防范意识，定期进行病毒检测。 2、不得在服务器上安装新软件，若确为需要安装，安装前应进行病毒例行检测。 3、经远程通信传送的程序或数据，必须经过检测确认无病毒后方可使用。 4、定期进行电脑杀毒，对电脑中毒后在各种杀毒办法无效后，须重新对电脑格

信息安全管理

一、信息安全管理 1、什么是信息安全管理，为什么需要信息安全管理？国际标准化组织对信息安全的定义是：“在技术上和管理上维数据处理系统建立的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。当今的信息系统日益复杂，其中必然存在系统设计、实现、内部控制等方面的弱点。如果不采取适当的措施应对系统运行环境中的安全威胁，信息资产就可能会遭受巨大的损失甚至威胁到国家安全。 2、系统列举常用的信息安全技术？密码技术、访问控制和鉴权；物理安全技术；网络安全技术；容灾与数据备份。 3、信息安全管理的主要内容有哪些？信息安全管理从信息系统的安全需求出发，结合组织的信息系统建设情况，引入适当的技术控制措施和管理体系，形成了综合的信息安全管理架构。 4、什么是信息安全保障体系，它包含哪些内容？ 5、信息安全法规对信息安全管理工作意义如何？它能为信息安全提供制度保障。信息安全法律法规的保障作用至少包含以下三方面： 1.为人们从事在信息安全方面从事各种活动提供规范性指导； 2.能够预防信息安全事件的发生； 3.保障信息安全活动参与各方的合法权益，为人们追求合法权益提供了依据和手段。二、信息安全风险评估 1、什么是信息安全风险评估？它由哪些基本步骤组成？信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。风险评估可分为四个阶段，第一阶段为风险评估准备；第二阶段为风险识别，第三阶段为风险评价，第四阶段为风险处理。 2、信息资产可以分为哪几类？请分别举出一两个例子说明。可以分为数据、软件、硬件、文档、人员、服务。例如：软件有系统软件、应用软件、源程序、数据库等。服务有办公服务、网络服务、信息服务等。 3、威胁源有哪些？其常见表现形式分别是什么？