信息安全实施细则
信息安全服务资质认证实施细则
信息安全服务资质认证实施细则一、概述信息安全是现代社会不可或缺的重要资源,信息安全服务机构在提供信息安全服务的过程中,需要具备一定的能力和专业知识。
为保证信息安全服务机构的合法性和专业性,需要建立信息安全服务资质认证制度。
本文就信息安全服务资质认证实施细则进行详细阐述,并对一些常见问题进行解答。
二、认证机构的设立和资质评估1. 认证机构应由有关部门或权威机构设立,具备一定的声誉和专业能力。
2. 认证机构应制定详细的资质评估标准,确保评估过程公正、公开、透明。
3. 资质评估主要包括资质核准、现场审核、资质认证等环节。
三、资质认证申请和审核1. 信息安全服务机构应向认证机构提交资质认证申请,申请材料应详细描述机构的组织架构、人员素质、服务能力等信息。
2. 认证机构对提交的申请材料进行初步审核,确定是否满足基本条件,不满足条件的申请将被拒绝。
3. 通过初步审核的申请将进入现场审核阶段,认证机构将根据资质评估标准对申请机构进行现场考察和调研。
4. 现场审核主要包括组织架构的合理性、人员素质的符合要求、服务流程的规范性等方面的评估。
5. 符合条件的申请机构将被认证机构颁发资质认证证书,成为合格的信息安全服务机构,证书的有效期为三年。
四、认证机构的监督和管理1. 认证机构应定期对已认证机构进行监督和考核,确保认证机构在有效期内维持其资质。
2. 认证机构应建立投诉处理机制,对用户投诉进行及时处理,并对投诉情况进行统计和分析。
3. 一旦发现被认证机构存在严重违规行为,认证机构有权暂停或取消其资质认证。
4. 认证机构应定期公布已认证机构的名单,并及时更新。
五、常见问题解答1. 认证机构是否有权利收取认证费用?认证机构有权利收取一定的认证费用来确保其运营的可持续性和专业性,但认证费用应合理、透明,并符合相关法律法规的要求。
2. 如何证明认证机构的合法性和专业性?认证机构应具备相关资质和执业证书,同时在业界有一定的声誉和业绩。
信息系统安全措施细则(三篇)
信息系统安全措施细则信息系统安全措施是确保信息系统的数据和资源安全的重要措施。
本文将介绍一些常见的信息系统安全措施细则。
一、物理安全措施1. 限制物理访问:只有经过授权的人员才能进入存放信息系统的机房或服务器房,并使用身份验证措施如密码、智能卡等。
2. 安全设备安装:安装视频监控、入侵检测系统、门禁系统等物理设备,监控和记录任何未经授权的访问。
3. 管理员监控:对机房进行定期巡检,以确保设备完好无损且无异常情况发生。
二、网络安全措施1. 防火墙设置:设置和配置防火墙以监测和阻止恶意网络流量,保护网络不受未经授权的访问和攻击。
2. 网络隔离:将内部网络与外部网络分隔开来,确保内部网络安全,并限制外部网络对内部网络的访问。
3. 加密通信:使用加密协议和技术,如SSL/TLS,在网络传输中保护敏感数据的机密性和完整性。
4. 网络漏洞扫描:定期对网络进行漏洞扫描,并及时修复或补丁已发现的漏洞。
三、账户安全措施1. 强密码策略:要求用户使用复杂的密码,包括字母、数字和特殊字符,并定期更换密码。
2. 多因素身份验证:使用多因素身份验证,如手机短信验证码、指纹或虹膜扫描等,以提高账户的安全性。
3. 登录失败限制:限制登录失败次数,当登录失败次数达到一定限制时,自动锁定账户。
四、数据安全措施1. 定期备份:定期将系统和数据进行备份,并存储在安全的地方,以防止数据丢失或损坏。
2. 加密存储:对敏感数据进行加密,并存储在加密的存储设备中,防止未经授权的访问。
3. 访问控制:对敏感数据进行访问控制,只有经过授权的人员才能访问和修改这些数据。
五、应用软件安全措施1. 定期更新和维护应用软件:定期更新和维护应用软件,包括操作系统和应用程序,以修复已知的漏洞和安全问题。
2. 安全审计:记录和审计应用软件的用户操作,以及对敏感数据的访问和修改,以便及时发现和应对潜在的安全风险。
3. 安全开发和测试:在应用软件的开发和测试过程中,考虑安全因素,遵循安全最佳实践和安全编码标准。
网络安全实施细则
网络安全实施细则网络安全实施细则一、密码安全1. 用户密码应具备一定复杂度,包括大小写字母、数字和特殊字符,长度不低于8位。
2. 密码应定期更换,建议每三个月更换一次。
3. 禁止使用与个人信息相关的密码,如生日、手机号码等。
4. 禁止将密码告知他人,包括同事和朋友。
5. 禁止使用同一密码登录多个网站或应用。
二、网络通信安全1. 禁止在公共场所或不安全的网络环境下登录个人账号,如网吧、公共Wi-Fi等。
2. 避免访问未知或不安全的网站,以防止恶意软件的感染。
3. 不随意下载、安装未知来源的软件,以免泄露个人隐私。
4. 在公司使用电子邮件时,确认收发邮件的身份,避免点击恶意链接。
5. 在网络聊天和社交媒体平台上保持谨慎,不泄露个人敏感信息。
三、数据保护1. 定期备份重要数据,以免因意外事件或故障造成数据丢失。
2. 不将重要数据存储在个人计算机或移动设备中,以防止丢失或遭到窃取。
3. 建立权限管理制度,只授权工作所需的最低权限,以减少数据泄露的风险。
四、设备安全1. 定期更新操作系统和应用程序,以享受最新的安全补丁。
2. 安装可靠的杀毒软件,及时进行病毒扫描和清除。
3. 控制移动设备的使用权限,限制非授权设备的连接。
4. 设置自动锁屏功能,防止他人接触和使用设备。
五、应急响应1. 建立网络安全事件报告和响应制度,明确处理流程。
2. 定期进行安全演练,提升员工应对网络安全事件的能力。
3. 及时跟踪网络安全事件的动态,及时应对和防止类似事件的再次发生。
六、员工教育与意识培养1. 定期进行网络安全培训,提升员工对网络安全的认知。
2. 强调保密意识,不随意将敏感信息泄露给不相关的人员。
3. 加强对网络攻击和钓鱼邮件等安全威胁的警惕性,学会甄别恶意信息。
4. 鼓励员工主动报告异常情况,提高发现和应对潜在安全风险的能力。
以上是网络安全实施细则的一些常见措施,不同组织或公司的网络安全实施还会有所不同,但核心原则都是保护个人和组织的重要数据和信息安全。
征信信息安全实施细则
征信信息安全实施细则 Company number:【WTUT-WT88Y-W8BBGB-BWYTT-19998】信息安全实施细则第一章总则为加强征信业务运行管理,规范征信业务组织、操作行为,有效防范道德风险、操作风险、声誉风险,根据《征信业管理条例》、《个人信用信息基础数据库管理暂行办法》、《个人信用信息基础数据库金融机构用户管理办法(暂行)》、《中国人民银行关于进一步加强征信信息安全管理的通知》等有关规定,结合实际,制定本细则。
第二条本细则所称征信信息安全,是指从事与个人、企业和其他组织信用活动相关的业务,包括:向国家金融信用信息基础数据库报送个人和企业征信数据、从征信系统获取客户信用信息、使用客户信用信息、处理信息主体异议等业务办理或使用中,严格按照管理制度用信以及保证客户征信信息安全。
第三条本细则所称征信系统,是指按人民银行相关规定建立的,用于采集、保存、加工、整理个人、企业和其他组织的,为个人和企业提供信用报告查询服务的数据库系统。
第四条本细则所称借款人,是指向及辖内机构申请办理信贷业务的企(事)业法人、其他组织、个体工商户和自然人。
第五条本细则所称的担保人,是指为办理信贷业务的借款人提供担保的企(事)业法人、其他组织、个体工商户和自然人。
第六条本细则所称信贷业务,是指贷款(含委托贷款)、银行承兑汇票、信用证、保函、票据贴现、贸易融资、保理、公开授信等业务以及与其相关的担保业务。
第七条本细则所称客户信用信息,是指能够反映个人、企(事)业法人或其他组织信用状况的信息,包括身份识别信息、信用交易信息以及反映个人、企(事)业法人或其他组织信用状况的其他信息。
第二章部门职责第八条征信业务管理工作,实行统一领导、分工负责的原则。
第九条成立征信信息安全工作领导小组,统一领导全行个人和企业征信业务的有关工作。
领导小组由主管信贷领导担任组长,成员由信贷部组成。
领导小组办公室设置在信贷部。
第十条征信信息安全工作领导小组负责协调征信系统运行管理、查询使用和数据报送等工作;建立健全相关管理制度,指导、培训检查各社征信业务;对接收到的人民银行或上级机构反馈的错误数据及时交有关机构进行修改;开展不同层次、不同岗位的人员的征信培训工作;做好信用报告异议处理的协调与处理工作;做好征信系统用户管理工作,按照人民银行要求及时上报征信管理员、查询员,异议元,做好用户备案工作;管理好用信工作,杜绝泄露、出售等客户的征信报告。
信息安全服务资质认证实施细则
信息安全服务资质认证实施细则一、背景和目的随着信息技术的广泛应用和互联网的快速发展,信息安全问题日益引起人们的关注。
为了保护用户的信息和数据安全,推动信息安全服务行业的发展,制定信息安全服务资质认证实施细则。
二、适用范围本实施细则适用于从事信息安全服务的机构或个人。
三、认证标准1.法律法规依从性:认证机构必须遵守国家和地方的法律法规,如信息安全法、网络安全法等。
2.组织结构:认证机构必须具备明确的组织架构和管理体系,确保信息安全服务的稳定和可靠性。
3.人员资质:认证机构必须具备合格的专业技术人员,并定期进行培训和考核。
4.服务能力:认证机构必须具备提供全面、专业、高效的信息安全服务能力。
5.风险管理:认证机构必须建立完善的风险管理体系,能够识别、评估和控制信息安全风险。
6.服务质量:认证机构必须确保提供的信息安全服务符合相关的技术标准和用户需求。
7.机构信誉:认证机构必须具备良好的行业声誉和客户信任。
8.保密能力:认证机构必须具备保密客户信息和数据的能力,确保客户信息的安全和保密。
四、认证程序1.申请:认证机构向认证机构提交申请,包括机构情况、人员资质、服务能力等相关材料。
2.资格审查:认证机构对申请材料进行资格审查,确认申请机构是否符合认证标准。
4.综合评估:认证机构综合评估申请机构的资质,并作出认证意见。
5.认证决定:认证机构根据综合评估结果和认证标准,做出是否认证的决定,并向申请机构发出认证证书。
6.监督检查:认证机构对已认证机构的服务质量、管理能力等进行监督检查,确保其持续符合认证标准。
五、认证效果1.认证证书:认证机构向通过认证的机构颁发认证证书,标志其具备相关的信息安全服务资质。
2.推广宣传:认证机构可以通过官方网站、媒体等途径宣传认证机构的资质和服务能力,提高其行业知名度和市场竞争力。
3.合作机会:通过认证的机构可以与其他合作伙伴进行合作,共同提供更优质的信息安全服务。
4.用户信任:认证证书可以增强用户对机构的信任,提高用户选择该机构的意愿。
信息安全等级保护备案实施细则
信息安全等级保护备案实施细则引言信息技术的快速发展和广泛应用已经成为人们日常生活和社会经济活动的重要组成部分,也给信息安全带来了更大的挑战。
为了保护国家安全和人民群众的利益,我国政府制定了一系列信息安全相关法律法规,其中包括《中华人民共和国网络安全法》。
根据网络安全法,从2019年6月1日起,国家实施信息安全等级保护制度,要求网络运营者依法进行安全评估,并在移动互联网应用程序中主动告知用户信息安全等级,同时要对国家和网民的安全和利益承担相应的责任。
信息安全等级的划分为了方便不同单位和个人进行信息安全等级保护备案,我国将信息安全等级划分为5个等级,分别为1级、2级、3级、4级、5级。
不同等级对应不同的信息内容和系统要求,划分主要根据信息的价值、系统的重要性以及信息泄露或丢失的风险等方面考虑。
不同的等级要求不同的安全措施,其中高等级的安全要求更加严格。
信息安全等级保护备案的实施步骤第一步:确定信息安全等级首先,需要对所涉及到的信息进行分类,并针对信息的重要性、价值以及可能带来的损失程度进行评估,以此确定其信息安全等级。
第二步:开展安全评估接下来,需要对所涉及到的系统或应用程序进行安全评估,主要检测是否符合相应的安全要求,包括安全措施、操作规范、风险评估和应急预案等方面。
根据评估结果,确定需要采取哪些安全措施,进行相应的安全加固和修复。
第三步:制定安全保障方案根据安全评估结果和实际情况,制定相应的安全保障方案,确保满足信息安全等级对应的安全要求。
保障方案中应包括统一认证、防火墙、入侵检测、加密传输、权限管理、备份恢复等方面的技术和管理措施。
第四步:备案完成以上安全评估和安全措施后,需要进行备案申报。
备案的主体包括网络运营者和系统应用程序开发者,操作流程如下:1.下载《网络安全等级保护备案管理系统用户操作手册》,并在备案管理系统中注册账户;2.导入相应系统或应用程序的信息安全备案模板,填写具体申报信息;3.审核备案通过后,系统将自动生成准入码,记录在申报书等相应材料上,并将申报结果推送给备案申请人。
信息安全等级保护备案实施细则
信息安全等级保护备案实施细则第一条为加强和指导信息安全等级保护备案工作,规范备案受理、审核和管理等工作,根据《信息安全等级保护管理办法》制定本实施细则。
第二条本细则适用于非涉及国家秘密的第二级以上信息系统的备案。
第三条地市级以上公安机关公共信息网络安全监察部门受理本辖区内备案单位的备案。
隶属于省级的备案单位,其跨地(市)联网运行的信息系统,由省级公安机关公共信息网络安全监察部门受理备案。
第四条隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由公安部公共信息网络安全监察局受理备案,其他信息系统由北京市公安局公共信息网络安全监察部门受理备案。
隶属于中央的非在京单位的信息系统,由当地省级公安机关公共信息网络安全监察部门(或其指定的地市级公安机关公共信息网络安全监察部门)受理备案。
跨省或者全国统一联网运行并由主管部门统一定级的信息系统在各地运行、应用的分支系统(包括由上级主管部门定级,在当地有应用的信息系统)由所在地地市级以上公安机关公共信息网络安全监察部门受理备案。
第五条受理备案的公安机关公共信息网络安全监察部门应该设立专门的备案窗口,配备必要的设备和警力,专门负责受理备案工作,受理备案地点、时间、联系人和联系方式等应向社会公布。
第六条信息系统运营、使用单位或者其主管部门(以下简称“备案单位” )应当在信息系统安全保护等级确定后30日内,到公安机关公共信息网络安全监察部门办理备案手续。
办理备案手续时,应当首先到公安机关指定的网址下载并填写备案表,准备好备案文件,然后到指定的地点备案。
第七条备案时应当提交《信息系统安全等级保护备案表》(以下简称《备案表》(一式两份)及其电子文档。
第二级以上信息系统备案时需提交《备案表》中的表一、二、三;第三级以上信息系统还应当在系统整改、测评完成后30日内提交《备案表》表四及其有关材料。
第八条公安机关公共信息网络安全监察部门收到备案单位提交的备案材料后,对属于本级公安机关受理范围且备案材料齐全的,应当向备案单位出具《信息系统安全等级保护备案材料接收回执》备案材料不齐全的,应当当场或者在五日内一次性告知其补正内容;对不属于本级公安机关受理范围的,应当书面告知备案单位到有管辖权的公安机关办理。
信息系统安全措施细则模版(4篇)
信息系统安全措施细则模版1. 引言信息系统安全是任何组织或机构保护其信息系统免受未授权访问,使用,泄露,破坏或干扰的关键方面。
本文档旨在提供一个信息系统安全措施的细则模版,以帮助组织或机构确保其信息系统的安全性。
2. 安全策略和计划(1)制定信息系统安全策略和计划,确保其与组织或机构的整体业务目标相一致。
(2)制定明确的信息系统安全政策,规定组织或机构内员工和外部使用者在使用信息系统时应遵守的规则和标准。
(3)制定信息系统安全团队或委员会,负责监督和协调信息系统的安全措施。
3. 认证和授权(1)确保所有员工和外部使用者都获得适当的身份认证,并只能访问其所需的系统和信息。
(2)实施访问控制机制,限制不同用户对信息系统的访问权限,并确保对敏感数据和功能的访问权限进行适当的控制。
4. 密码安全(1)要求员工和外部使用者使用强密码,并定期更新密码。
(2)实施密码策略,包括最小长度要求,复杂性要求和账户锁定机制。
(3)促使员工和外部使用者采用多因素身份验证,以增加信息系统的安全性。
5. 网络安全(1)建立和维护网络防火墙,限制不明来源的流量访问组织或机构的信息系统。
(2)实施入侵检测和预防系统,以及防病毒和恶意软件防护系统。
(3)定期进行网络漏洞扫描和安全审计,及时发现和修复漏洞。
6. 数据安全(1)对敏感数据进行加密,并确保只有经授权的人员才能访问解密的数据。
(2)建立有效的数据备份和恢复机制,以防止数据丢失或损坏。
(3)将数据分类和标记,根据其敏感程度采取适当的安全措施。
7. 物理安全(1)限制对信息系统和服务器房间的物理访问,并采取适当的安全措施,如门禁系统和安保人员。
(2)确保所有设备和介质都得到妥善保管,并定期进行检查和维护。
(3)建立可独立运行的备用能源供应,以防止突发断电导致信息系统中断。
8. 培训与意识(1)组织定期的信息系统安全培训和鉴识活动,以提高员工和外部使用者对安全问题的认识和应对能力。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
QMS-75-1 格式1-NC信息安全实施细则(案)目录第1 章总则 (2)第2 章电脑等信息设备的对策 ...................................2-5第3 章信息存储介质的对策 (5)第4 章系统维护 ...............................................................6-7第5 章网络连接 .............................................................7-8第6 章防病毒对策 (8)第7 章电子邮件的使用 (9)第8 章互联网的使用 (9)第9 章软件许可证的管理 (10)第10 章信息安全事件・事故的对应 (11)第1 章总则1.1 目的本对策基准以“信息安全规定”为依据,针对XXXXXXX有限公司(以下简称“XXXX”)中信息安全相关的应遵守事项制定了具体处理细节,以确保XXXX信息的安全和信息资产的安全。
1.2 定义本策略基准中所使用的术语遵照“信息安全管理规定”中的定义。
1.3 适用范围本策略的适用范围遵照“信息安全规定”中指定的适用范围。
第2章电脑等信息设备的对策2.1 电脑等信息设备的管理IT必须制作一份其管辖下的电脑等信息设备的管理登记表,并进行妥善管理。
2.2 电脑等信息设备的购买及处理※新员工入社申请接收到人事新员工入社通知邮件后,首先IT会对现有备用机进行确认,在备用机超过5台的情况下,结合实际情况,将超出的备用机优先配发给新员工,如果少于5台,则在金蝶系统中发起《C投资类采购申请单》到调达相关担当采购。
※旧电脑使用更换使用者申请信息化设备时,应先在OA发起“信息化设备购置申请单”,审批流程为申请者→本部门领导→IT科领导→IT担当流程审核完成后,IT会对使用者现使用电脑进行(购买年限,硬件状态,工作需要)等确认,确认无误后,IT 相关担当将在金蝶系统中发起《C投资类采购申请单》到调达相关担当,调达相关担当进行采购,采购完成后,IT将对新的信息化设备进行配置授权处理后,PC的软件安装标准请参考《PC软件安装指南》(见附件1),完成后交于申请者使用。
员工必须根据《XXXX电脑使用规范》使用电脑设备(见附件2)。
另外,还须提高警惕以防失窃・丢失,并遵守以下内容。
(1)用于公司业务的电脑等信息设备,必须是由公司发放・出借的。
(2)个人所有的电脑等信息设备,不能用于处理业务,也不能连接公司内部网络。
(3)电脑等信息安全设备必须实施密码设置、加密等安全对策。
(4)电脑等信息设备必须按照“第4章系统维护”中的规定,使用最新的安全更新程序。
(5)电脑等信息设备的防病毒对策必须按照“第6章防病毒对策”中的规定进行实施。
(6)电脑等信息设备可以视存储信息的重要程度进行定期备份。
2.3 电脑等信息设备的他人使用限制为防止他人非法使用或偷窥电脑等信息设备,员工必须遵守并贯彻执行以下内容。
(1)电脑等信息设备的账户及密码原则上只能自己使用不能随意交予他人。
(2)离开电脑等信息设备时,必须注销或锁屏,令他人不能擅自操作。
2.4 电脑等信息设备中安装的软件(1)电脑等信息设备中使用的标准软件,可以根据XXXX信息安全主管部门制定的“PC软件标准指南”进行选定。
(2)不能安装XXXX信息安全主管部门禁止使用的软件。
(3)免费软件和共享软件等未经IT许可不能安装。
2.5 电脑等信息设备的网络连接(1)当要将电脑等信息设备连接到公司内部网络上时,必须按照“第5章网络连接”中的规定进行连接。
(2)安装了已被XXXX信息安全管理部门禁止的OS版本的电脑等信息设备,不能连接到公司内部网络。
2.6 电脑等信息设备的维修发生电脑故障时,必须联络IT对故障先进行判断,判断原因后,使用人需要在OA系统中填写《IT作业委托书》取得本部门领导和IT科长同意后进行维修作业;如果维修需要将电脑等信息设备带出公司维修时,为了确保该信息设备内信息的安全,必须与委托修理的厂商签订保密协议。
2.7 电脑等信息设备的废弃(1)当要废弃电脑等信息设备时,必须使用完全清理硬盘软件,使存储的数据不可恢复。
(2)当委托外部厂商帮助废弃电脑等信息设备时,必须签订保密协议以及委托处理品的再利用禁止协议。
2.8 电脑等信息设备的退租当要退租电脑等信息设备时,必须使用完全清理硬盘软件,使存储的数据不可恢复。
但是,由于租赁公司的原因而无法清除数据时,必须与租赁公司签订保密协议以及委托处理品的再利用禁止协议。
2.9 电脑等信息设备带出时相关事项员工将电脑等信息设备带出公司外时,必须遵守以下内容。
(1)使用者将信息化设备带出公司外使用前,必须在OA系统中填写《电脑持出使用申请表》,需要填写信息化设备编号、使用者姓名、员工号、带出理由、带出日期等内容的申请表并获得部门长许可,同时签署《笔记本持出使用承诺书》(见附件3)。
(2)部门长在批准带出许可时,对申请内容要认真斟酌、确认,认为因工作上的需要确实要带出公司时,进行以下①、②项流程:①确认启动密码设定、必要的系统保护措施是否完善。
②通知信息化设备管理者、登记后领取带出许可证。
(3)信息化设备管理者接到部门长通知后尽快登记后配发带出许可证。
(4)部门长从信息化设备担当处领取带出许可证后交给使用者并贴在信息化设备表面显眼的部位。
检查带出许可证确实粘贴后,方能同意将信息化设备带出。
(5)在带出许可有效期间内,因调职、调部门、转户口等情况导致所属部门发生变化时,使用者将信息化设备带入新部门的情况下,该信息化设备的带出许可证失效。
需要继续使用时,要在新的部门重新申请。
(6)在带出许可有效期限内更换信息化设备(定期更新或故障)时,带出许可证不得直接使用于更换后的信息化设备,需要时要重新申请。
(7)获得带出许可证后,使用者在使用过程中不遵守使用规则的情况经查明属实的,信息系统管理者有权取消其带出许可证。
(8)将未获许可或许可证失效的信息化设备擅自带出公司的情况经查明属实的,信息系统管理者为确保信息系统安全,可查封该信息化设备。
(9)万一电脑等信息设备被盗或丢失,使用者应当在1小时内向本部门科长以上及IT报告,立即向所属部门部长报告并且及时报警。
对被盗(需要提供公安部门出具的证明)等被动因素造成损失的使用者视具体情况根据员工手册予以处罚,事后必须对事件进行书面报告,报告提交给IT并由自部门长签字。
报告格式参考《XXXX情况说明书》(见附件4)。
(10)电脑在外使用期间,由于业务需求需要安装外部软件时,必须联系IT进行处理。
(11)将带出公司的电脑等信息设备重新带回公司时,在连接公司内部网络之前必须确认是否受到病毒感染。
如果查出病毒,必须按照“第6章防病毒对策”中制定的流程,将该信息设备中的病毒完全清除。
2.10 离职人员信息化设备管理(1)信息化设备使用人离职时,应在办理“离职交接确认单”时将信息化设备归还。
(2)IT科相关担当将对信息化设备的技术性能进行确认后,收回统一调配使用。
(3)离职人员或跨部门调动人员若想转移信息化设备使用权时,需办理固定资产转移。
第3章信息存储介质的对策3.1 信息存储介质的管理IT必须制作一份其管辖下的信息存储介质管理登记表,各部门应当指派一名信息存储介质管理员,协助IT管理信息存储介质,对于信息存储介质需要定期每半年盘点一次,对于损坏的信息存储介质进行物理性损坏报废,确保与IT管理台帐准确。
3.2 信息存储介质的购买及处理员工有需求使用信息存储介质时,需要在OA系统中填写《信息化设备购置单》,审批流程为申请者→本部门领导→IT科领导→IT担当。
审核完成后,IT 相关担当将在金蝶系统中发起《C投资类采购申请单》到调达相关担当,调达担当进行购买;采购完成后,IT将对新的移动存储介质进行访问授权处理后,交于申请者使用;另外员工必须根据IT的指示来处理信息存储介质。
此外,还必须遵守以下内容:(1)公司中使用的信息存储介质,必须是由公司发放・出借的。
(2)个人所有的信息存储介质,不能带入公司,也不能用于公司业务。
(3)保存了机密信息的信息存储介质必须上锁保管。
(4)带出公司外的信息设备,必须采取密码保护功能、加密功能等能够防止失窃・丢失时信息外泄的对策。
3.3 信息存储介质的运输运输保存了机密信息等的信息存储介质时,必须事先取得所属部门部长的许可,再通过挂号邮包・包裹等能留下痕迹的方式寄送。
3.4 信息存储介质的再利用为方便下次使用,保存了机密信息等的信息存储介质使用完后必须通过信息存储介质的格式化工具等信息存储介质所对应的工具,使保存的数据不能再恢复。
3.5 信息存储介质的废弃(1)当要废弃信息存储介质时,必须使用格式化工具等或者通过粉碎等物理破坏方式,使保存的数据不能再恢复。
(2)当委托外部厂商帮助废弃信息存储介质时,必须签订保密协议以及委托处理品的再利用禁止协议。
3.6 离职人员移动存储介质管理(1) 移动存储介质使用人离职时,应在办理“离职交接确认单”时将移动存储介质归还给IT,IT 相关担当将对移动存储介质的技术性能进行确认后,收回统一调配使用。
(2)离职人员或跨部门调动人员若想转移移动存储介质使用权时,需要办理固定资产转移。
第4章系统维护4.1 安全更新程序的应用由于应用安全更新程序,会引起服务停止等対系统带来较大影响时,必须讨论出善后处理方法。
4.2 病毒定义文件的更新IT必须按照“第6章防病毒对策”中的规定,保持更新病毒对策软件的病毒定义文件的最新状态,并要求其管辖下的员工贯彻执行。
4.3 备份的取得信息系统管理负责人在实施其管辖下信息系统的备份时,必须遵守以下内容。
(1)重要信息系统必须要定期备份。
(2)由于安全更新程序的应用等而导致信息系统发生任何变更时,在变更之前必须先对系统进行备份。
(3)备份恢复程序必须要事先进行恢复测试,以确保其有效性。
4.4 备份的保存信息系统管理负责人在保存其管辖下信息系统的备份时,必须遵守以下内容。
(1)重要信息系统的备份必须进行多层次的保存,并视重要程度进行妥善保管。
(2)用于备份的信息存储介质必须进行上锁保管等谨慎管理。
另外,还要从防灾害对策的观点出发视需要实施异地保管。
(3)长期保管备份时,必须定期进行读取确认。
(4)当要废弃用于备份的信息存储介质时,必须按照“第3章信息存储介质的对策”中的规定进行处理。
4.5 日志的取得及其处理信息系统管理负责人在取得及处理日志时,必须遵守以下内容。
(1)重要信息系统必须取得与以下事项相关的日志。
①运行情况(运行时间、服务停止时间、应答时间等)②OS 和数据库的访问情况(访问者(ID)、时间、操作内容(参阅/写入/执行/复制)等)③运用情况1)作业执行情况(作业开始・结束时间、作业状态(正常/异常)等)2)作业・计划表的操作情况(访问者(ID)、时间、操作内容(登录/变更/删除))※其对象是系统中执行的所有作业(包括手动作业)。