科技公司信息安全管理制度
科技公司信息安全管理制度
第一章总则第一条为加强我公司信息安全管理工作,保障公司信息系统安全稳定运行,防止信息泄露和非法侵入,特制定本制度。
第二条本制度适用于公司内部所有信息系统、网络设备、数据资源及涉及信息安全的相关人员。
第三条公司信息安全工作应遵循以下原则:1. 预防为主,防治结合;2. 安全责任到人,明确职责;3. 技术与管理并重,持续改进;4. 依法依规,保障合法权益。
第二章组织与管理第四条公司成立信息安全领导小组,负责公司信息安全工作的统筹规划、组织协调和监督管理。
第五条信息安全领导小组下设信息安全办公室,负责具体实施信息安全管理工作。
第六条各部门应指定信息安全责任人,负责本部门信息安全工作的具体实施。
第三章信息安全内容第七条信息系统安全1. 确保公司信息系统符合国家相关法律法规要求,符合国家标准和行业规范。
2. 定期对信息系统进行安全检查和风险评估,及时消除安全隐患。
3. 严格执行信息系统访问控制,防止未授权访问和操作。
4. 对信息系统进行安全加固,包括操作系统、数据库、应用软件等。
第八条网络安全1. 保障公司网络设备正常运行,定期进行安全检查和维护。
2. 严格执行网络访问控制策略,防止非法入侵和攻击。
3. 对网络流量进行监控,及时发现异常情况并采取措施。
4. 定期进行网络安全培训,提高员工网络安全意识。
第九条数据安全1. 严格执行数据分类分级管理,确保敏感数据安全。
2. 对重要数据实施加密存储和传输,防止数据泄露。
3. 定期对数据备份,确保数据可恢复。
4. 对数据使用进行权限控制,防止未授权访问和使用。
第十条人员安全1. 对涉及信息安全的人员进行安全培训,提高安全意识。
2. 建立信息安全责任制度,明确各岗位信息安全职责。
3. 对离职员工进行信息安全审查,确保信息安全。
第四章信息安全事件处理第十一条发生信息安全事件时,应立即启动应急预案,采取措施防止事件扩大。
第十二条信息安全事件处理流程如下:1. 事件报告:发现信息安全事件后,立即向信息安全办公室报告。
科技信息安全管理制度
一、总则为加强公司科技信息安全管理工作,保障公司信息系统安全稳定运行,防止信息泄露、系统故障等安全事件的发生,特制定本制度。
二、适用范围本制度适用于公司所有信息系统、网络设备、计算机设备、移动存储设备等,以及与公司信息系统相关的所有人员。
三、组织机构与职责1. 信息安全管理部门:负责公司信息安全工作的统筹规划、组织实施和监督检查。
2. IT部门:负责公司信息系统的日常维护、安全防护和应急响应。
3. 各部门:负责本部门信息系统的安全管理和使用。
四、信息安全管理制度1. 计算机设备管理制度(1)计算机设备的使用部门要保持清洁、安全、良好的工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
(2)非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由公司相关技术人员现场全程监督。
计算机设备送外维修,须经有关部门负责人批准。
(3)严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。
任何人不允许带电插拔计算机外部设备接口,计算机出现故障时应及时向IT部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。
2. 操作员安全管理制度(1)操作员应遵守公司信息安全管理制度,确保信息系统安全稳定运行。
(2)操作员应妥善保管个人账号密码,不得泄露给他人。
(3)操作员应定期更换密码,密码复杂度应符合公司规定。
(4)操作员应严格按照权限范围使用信息系统,不得越权操作。
3. 信息安全事件处理制度(1)发现信息安全事件时,应立即向信息安全管理部门报告。
(2)信息安全管理部门应立即组织调查,分析事件原因,采取相应措施。
(3)信息安全事件处理完毕后,应及时总结经验教训,完善信息安全管理制度。
五、信息安全培训与宣传1. 公司应定期对员工进行信息安全培训,提高员工信息安全意识。
2. 各部门应加强对本部门员工的信息安全宣传教育。
3. 公司应充分利用各种宣传渠道,提高全体员工的信息安全意识。
公司信息安全管理制度及流程
第一章总则第一条为加强公司信息安全管理工作,确保公司信息系统安全、稳定、可靠运行,根据国家相关法律法规和行业标准,结合公司实际情况,特制定本制度。
第二条本制度适用于公司内部所有信息系统、网络设备、存储设备以及相关工作人员。
第三条公司信息安全管理工作遵循“预防为主、防治结合、安全可靠、持续改进”的原则。
第二章职责第四条公司信息安全工作领导小组负责公司信息安全工作的全面领导,协调各部门共同推进信息安全工作。
第五条信息安全管理部门负责制定、实施、监督信息安全管理制度及流程,组织信息安全培训,开展信息安全检查和风险评估。
第六条各部门负责人负责本部门信息安全工作的组织实施,确保信息安全管理制度及流程在本部门的贯彻执行。
第七条员工应严格遵守信息安全管理制度及流程,自觉保护公司信息安全。
第三章信息安全管理制度第八条计算机及网络设备管理1. 信息安全管理部门负责对公司内部计算机及网络设备进行统一管理,包括采购、配置、维护和报废。
2. 员工使用公司计算机及网络设备,应遵守国家法律法规和公司相关规定。
3. 信息安全管理部门定期对计算机及网络设备进行安全检查,确保设备安全可靠。
第九条数据安全管理1. 公司内部数据分为保密数据、内部数据和公开数据,根据数据重要性进行分类管理。
2. 信息安全管理部门负责制定数据安全策略,确保数据安全。
3. 员工在使用数据时,应遵守数据安全策略,不得泄露、篡改或非法使用公司数据。
第十条系统安全管理1. 信息安全管理部门负责对公司信息系统进行安全配置,确保系统安全可靠。
2. 员工使用公司信息系统,应遵守系统安全策略,不得进行非法操作。
3. 信息安全管理部门定期对信息系统进行安全检查,确保系统安全可靠。
第十一条信息安全培训与宣传1. 信息安全管理部门定期组织信息安全培训,提高员工信息安全意识。
2. 各部门应积极宣传信息安全知识,营造良好的信息安全氛围。
第四章信息安全流程第十二条信息安全事件报告与处理1. 员工发现信息安全事件,应及时向信息安全管理部门报告。
高科技企业安全管理制度
一、总则第一条为确保公司信息安全,维护公司合法权益,保障公司持续稳定发展,特制定本制度。
第二条本制度适用于公司全体员工,包括但不限于员工、临时工、实习生等。
第三条本制度依据国家相关法律法规、行业标准及公司实际情况制定,旨在建立健全信息安全管理体系,加强信息安全防护。
二、组织架构第四条成立信息安全领导小组,负责公司信息安全工作的统筹规划、组织实施和监督管理。
第五条信息安全领导小组下设信息安全办公室,负责具体实施信息安全管理工作。
第六条各部门负责人对本部门信息安全工作负总责,确保本部门信息安全工作的落实。
三、信息安全管理制度第七条网络安全(一)公司内部网络实行分级管理,严格控制内外部网络连接,防止未授权访问。
(二)公司内部网络设备应定期更新安全补丁,加强病毒防护,确保网络设备安全稳定运行。
(三)公司内部网络访问控制策略应严格执行,确保员工访问权限与职责相匹配。
第八条数据安全(一)公司重要数据实行分类分级管理,明确数据保护等级,采取相应的安全措施。
(二)公司内部数据传输应采用加密手段,防止数据泄露。
(三)公司内部数据存储设备应定期备份,确保数据安全。
第九条系统安全(一)公司信息系统应定期进行安全评估,及时发现并修复安全隐患。
(二)公司信息系统应设置访问权限控制,确保系统安全稳定运行。
(三)公司信息系统应定期进行安全审计,及时发现并处理安全事件。
第十条应用安全(一)公司应用系统开发应遵循安全开发原则,确保应用系统安全可靠。
(二)公司应用系统应定期进行安全测试,及时发现并修复安全漏洞。
(三)公司应用系统更新升级应经过严格审核,确保系统安全稳定运行。
四、信息安全培训与宣传第十一条公司应定期组织信息安全培训,提高员工信息安全意识。
第十二条公司应开展信息安全宣传活动,普及信息安全知识,营造良好的信息安全氛围。
五、奖惩与责任第十三条对在信息安全工作中表现突出的个人和部门给予表彰和奖励。
第十四条对违反信息安全规定的个人和部门,按照公司相关规定进行处理。
信息技术公司安全管理制度
第一章总则第一条为加强信息技术公司(以下简称公司)的信息安全管理工作,保障公司信息系统安全、稳定、可靠运行,根据《中华人民共和国网络安全法》等相关法律法规,结合公司实际情况,制定本制度。
第二条本制度适用于公司所有信息系统、网络设备、数据及员工。
第三条公司信息安全管理工作遵循以下原则:1. 预防为主、防治结合;2. 依法合规、责任明确;3. 安全发展、持续改进;4. 全面覆盖、重点保障。
第二章组织与管理第四条公司成立信息安全领导小组,负责公司信息安全工作的统筹规划、组织协调和监督管理。
第五条信息安全领导小组下设信息安全管理部门,负责公司信息安全工作的具体实施。
第六条信息安全管理部门职责:1. 制定、修订和完善公司信息安全管理制度;2. 负责公司信息系统的安全评估、风险评估和漏洞扫描;3. 监督、检查、指导各部门信息安全工作的开展;4. 组织开展信息安全培训、宣传和教育活动;5. 处理信息安全事件,保障公司信息安全。
第七条各部门应指定信息安全责任人,负责本部门信息安全工作的组织实施。
第三章安全技术措施第八条公司应采用以下安全技术措施,保障信息系统安全:1. 防火墙、入侵检测系统、入侵防御系统等网络安全设备;2. 加密技术、访问控制技术、身份认证技术等安全防护技术;3. 安全审计、安全监控等技术手段;4. 数据备份与恢复、灾难恢复等技术保障。
第九条公司应定期对信息系统进行安全评估、风险评估和漏洞扫描,及时发现并修复安全隐患。
第十条公司应采用物理隔离、逻辑隔离等技术手段,保障重要信息系统和数据的安全。
第四章安全管理措施第十一条公司应建立健全信息安全管理制度,明确各部门、各岗位信息安全职责。
第十二条公司应加强员工信息安全意识教育,提高员工信息安全技能。
第十三条公司应建立信息安全事件报告、调查、处理和通报制度,确保信息安全事件得到及时、有效处理。
第十四条公司应加强信息安全保密管理,确保公司信息系统、数据、技术秘密不被泄露。
公司信息安全管理制度
公司信息安全管理制度一、总则:信息安全是公司最重要的资产之一,为了保护公司的信息资产和客户信息的安全,确保公司业务的正常运行,维护公司的声誉和客户的权益,制定本信息安全管理制度。
二、信息安全策略:1.公司将信息安全视为核心战略,全面落实信息安全管理责任。
2.信息安全管理应与公司的整体战略和风险管理相结合,形成一套完整且可行的信息安全管理体系。
3.全体员工都有保护信息安全的责任和义务,公司将提供必要的培训和支持。
三、信息资产管理:1.公司将信息资产分级,并根据保密等级采取相应的保护措施。
2.建立信息资产的明确归属和责任体系,制定相应的保护措施并进行监督和评估。
3.严格控制信息的存储、传输和处理,确保信息的完整性、可用性和保密性。
4.对外部承包商和供应商的信息访问进行审查和管理,确保其符合公司的信息安全要求。
四、安全控制措施:1.建立网络安全规范和安全审计机制,确保网络的安全可控。
2.建立访问权限控制机制,确保内部员工只能访问其工作职责所需的信息。
3.加强对员工的信息安全培训,提高员工的安全意识和防范能力。
4.建立信息安全事件应急响应机制,对安全事件进行及时的响应和处置。
五、物理安全管理:1.建立门禁系统和监控系统,控制公司内部临时人员的进入和监控机房等重要区域。
2.定期进行信息设备的安保检查,确保设备的完好和功能正常。
3.确保重要数据的备份和存储,防止数据丢失和损坏。
4.建立安全漫游策略,限制公司员工的设备访问范围。
六、安全组织管理:1.成立信息安全管理委员会,负责制定信息安全策略、目标、计划和优先级。
2.应聘专职安全官员,负责信息安全管理的日常工作,并定期向公司管理层汇报。
3.建立信息安全通知制度,及时向员工通报最新的信息安全风险和防范措施。
4.开展定期的信息安全风险评估,及时发现和解决潜在的信息安全问题。
七、违规责任:1.对于违反信息安全管理制度的行为,将追究相关人员的责任,包括进行纪律处分和经济处罚。
科技公司资料安全管理制度
一、总则为保障公司资料的安全,维护公司利益,提高公司整体信息安全水平,特制定本制度。
本制度适用于公司所有涉及资料安全的相关工作,包括但不限于电子文档、纸质文档、录音、录像等。
二、安全责任1. 公司领导层对本公司的资料安全工作负总责,确保资料安全管理制度的有效实施。
2. 各部门负责人对本部门资料安全工作负直接责任,负责本部门资料安全管理的具体实施。
3. 每位员工对本岗位所涉及的资料安全负直接责任,严格遵守资料安全管理制度。
三、资料分类及保密等级1. 资料分为以下类别:一般资料、重要资料、核心资料。
2. 根据资料的重要性、敏感性、影响范围等因素,将资料分为以下保密等级:公开、内部、秘密、机密、绝密。
四、资料安全管理制度1. 资料收集与归档(1)收集资料时,应确保资料来源合法、真实、完整。
(2)资料归档时,应按照类别、保密等级进行分类,并填写资料登记表。
2. 资料存储与保管(1)电子文档存储:采用加密存储,确保数据安全。
(2)纸质文档保管:存放于安全、干燥、防火、防盗的场所。
(3)录音、录像等资料:按照保密等级进行分类,采取相应的保密措施。
3. 资料借阅与使用(1)借阅资料时,需填写借阅单,经审批后方可借阅。
(2)借阅资料时,应妥善保管,不得擅自复制、传播。
(3)资料使用完毕后,应及时归还,不得擅自销毁。
4. 资料销毁与报废(1)资料销毁前,需经相关部门审批。
(2)销毁资料时,应采用符合国家规定的销毁方式。
(3)报废资料,需按照规定程序进行报废处理。
五、安全教育与培训1. 公司定期组织资料安全培训,提高员工资料安全意识。
2. 新员工入职时,应进行资料安全培训,确保其了解并遵守本制度。
六、监督检查与奖惩1. 公司定期对资料安全工作进行监督检查,确保制度有效实施。
2. 对违反资料安全制度的行为,视情节轻重给予警告、记过、降职、辞退等处分。
3. 对在资料安全工作中表现突出的员工,给予表彰和奖励。
七、附则1. 本制度由公司保密办公室负责解释。
科技公司信息安全管理制度
信息安全管理制度第一章总则第一条为了建立、健全的信息安全管理制度,按照相关的标准,确定信息安全针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照信息安全管理制度的相关规定执行,改进信息安全管理制度的有效性,特制定信息安全策略文档。
第二条本文档适用于公司信息安全管理活动。
第二章信息安全围第三条信息安全策略涉及的围包括:1.单位全体员工。
2.单位所有业务系统。
3.单位现有信息资产,包括与上述业务系统相关的数据、硬件、软件、服务及文档等。
4.单位办公场所和上述信息资产所处的物理位置。
第三章信息安全总体目标第一条通过建立健全单位各项信息安全管理制度、加强单位员工的信息安全培训和教育工作,制定适合单位的风险控制措施,有效控制信息系统面临的安全风险,保障信息系统的正常稳定运行。
第四章信息安全针第一条单位主管领导定期组织相关人员召开信息安全会议,对有关的信息安全重大问题做出决策。
第二条清晰识别所有资产,实施等级标记,对资产进行分级、分类管理,并编制和维护所有重要资产的清单。
第三条综合使用访问控制、监测、审计和身份鉴别等法来保证数据、网络、信息资源的安全,并加强对外单位人员访问信息系统的控制.降低系统被非法入侵的风险。
第四条启动服务器操作系统、网络设备、安全设备、应用软件的日志功能,定期进行审计并作相应的记录。
第五条明确全体员工的信息安全责任,所有员工必须接受信息安全教育培训,提高信息安全意识。
针对不同岗位,制定不同等级培训计划,并定期对各个岗位人员进行安全技能及安全认知考核。
第六条建立安全事件报告、事故应答和分类机制,确定报告可疑的和发生的信息安全事故的流程,并使所有的员工和相关都能理解和执行事故处理流程,同时妥善保存安全事件的相关记录与证据。
第七条对用户权限和口令进行格管理,防止对信息系统的非法访问。
第八条制定完善的数据备份策略,对重要数据进行备份。
数据备份定期进行还原测试,备份介质与原信息所在场所应保持安全距离。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全管理制度第一章总则第一条为了建立、健全的信息安全管理制度,按照相关的国家标准,确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照信息安全管理制度的相关规定执行,改进信息安全管理制度的有效性,特制定信息安全策略文档。
第二条本文档适用于公司信息安全管理活动。
第二章信息安全范围第三条信息安全策略涉及的范围包括:1.单位全体员工。
2.单位所有业务系统。
3.单位现有信息资产,包括与上述业务系统相关的数据、硬件、软件、服务及文档等。
4.单位办公场所和上述信息资产所处的物理位置。
第三章信息安全总体目标第一条通过建立健全单位各项信息安全管理制度、加强单位员工的信息安全培训和教育工作,制定适合单位的风险控制措施,有效控制信息系统面临的安全风险,保障信息系统的正常稳定运行。
第四章信息安全方针第一条单位主管领导定期组织相关人员召开信息安全会议,对有关的信息安全重大问题做出决策。
第二条清晰识别所有资产,实施等级标记,对资产进行分级、分类管理,并编制和维护所有重要资产的清单。
第三条综合使用访问控制、监测、审计和身份鉴别等方法来保证数据、网络、信息资源的安全,并加强对外单位人员访问信息系统的控制.降低系统被非法入侵的风险。
第四条启动服务器操作系统、网络设备、安全设备、应用软件的日志功能,定期进行审计并作相应的记录。
第五条明确全体员工的信息安全责任,所有员工必须接受信息安全教育培训,提高信息安全意识。
针对不同岗位,制定不同等级培训计划,并定期对各个岗位人员进行安全技能及安全认知考核。
第六条建立安全事件报告、事故应答和分类机制,确定报告可疑的和发生的信息安全事故的流程,并使所有的员工和相关方都能理解和执行事故处理流程,同时妥善保存安全事件的相关记录与证据。
第七条对用户权限和口令进行严格管理,防止对信息系统的非法访问。
第八条制定完善的数据备份策略,对重要数据进行备份。
数据备份定期进行还原测试,备份介质与原信息所在场所应保持安全距离。
第九条与外单位的外包(服务)合同应明确规定合同参与方的安全要求、安全责任和安全规定等相关安全内容,并采取相应措施严格保证对协议安全内容的执行。
第十条在开发新业务系统时,应充分考虑相关的安全需求,并严格控制对项目相关文件和源代码等敏感数据的访问。
第十一条定期对信息系统进行风险评估,并根据风险评估的结果采取相应措施进行风险控制。
第十二条上述方针由单位主管领导批准发布,并定期评审其适用性和充分性,必要时予以修订。
第五章信息安全职责第一条信息安全等缀保护工作领导小组负责批准信息安全策略文件并且保证本文件被单位的各部门执行,同时负责对公司信息系统信息安全方面的指导方向、安全建设等重大问题做出决策,协调各个部门之间的安全协同工作,支持和推动信息安全工作在整个单位范围内的实施。
第二条信息安全等级保护工作小组负责具体执行安全管理策略文件的建立、实施、运作、监控、评审、维护和改进工作。
第三条公司所有员工有责任了解自身在信息系统信息安全方面的责任并认真执行。
第六章信息安全管理原则第一条信息安全管理工作实行“积极防范、突出重点、职责到位、保障业务”和“谁主管、谁负责”的管理原则。
第七章信息安全管理组织架构第一条设立公司信息技术部,主要职责是:按照规范化、标准化、统一化的指导思想,负责信息系统的统一规划、统一部署、统一建设和统一管理;负责制订和贯彻落实单位信息技术管理制度,并检查制度执行情况;负责对信息技术人员的管理、绩效考核、技术培训;做好信息系统运行维护和技术支持工作,保证信息系统的高效性、安全性、稳定性和高可用性;在业务开展和业务管理过程中,提供及时有效的技术配合和技术支持;完成上级单位交办的其他任务。
第八章信息安全管理制度框架第一条信息技术管理制度由信息技术部制订、修订和解释,并经公司内部审核批准后执行,主要包括以下各项制度:第二条《信息安全策略》:规定信息技术管理制度的指导思想、基本框架、管理架构;第三条信息技术部根据监管机构相关法律法规的变更和单位管理流程的调整,不定期对信息技术管理制度进行修订或补充完善。
第四条信息技术部根据单位信息技术管理制度和上级相关规走制定的技术标准、技术规范、操作流程、管理流程、实施细则、应急计划等,作为单位信息技术管理制度的有效补充。
第五条相关应用系统安装与配置文档、系统管理与操作应用手册、系统应急计划、系统权限管理等相关技术文档,作为单位信息技术管理制度的有效补充。
第九章信息安全策略一、安全管理机构策略第一条成立信息安全等级保护工作领导小组,全面负责信息安全工作。
第二条信息技术部作为信息安全管理工作的职能部门,并设立安全管理专员,并设立应用系统管理员、数据库管理员、网络管理员等岗位,并定义各岗位的职责。
第三条关键事务岗位应配备AB角。
第四条针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度,并定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息,并记录审批过程并保存审批文档。
第五条加强组织内部的合作与沟通,定期召开协调会议,共同协作处理信息安全问题,并加强外联单位(电信、公安局、业界专家、专业安全单位、安全组织等)合作与沟通,并制定外联单位联系列表。
第六条制定安全审核和安全检查制度,规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。
二、安全管理制度策略第一条由公司内部统一制定信息安全工作的总体方针和安全策略,说明安全工作的总体目标、范围、原则和安全框架,形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。
第二条信息安全等级保护工作领导小组负责定期组织相芙部门和相关人员对安全管理制度体系的合理性和适用性进行审定,对存在不足或需要改进的安全管理制度进行修订。
三、人员安全策略第一条人力资源部负责员工录用,严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核,并签署保密协议。
第二条员工应根据岗位职责要求严格履行其安全角色和职责,主要包括:保护资产免受未授权的访问、泄漏、修改、销毁或干扰,执行特定的安全过程或活动,报告安全事件或其他风险。
安全角色和职责必须清晰的传达给所有员工,确保他们能清楚各自的安全责任。
第三条定期对各个岗位的人员进行安全技能及安全认知的考核,对关键岗位的人员要进行全面、严格的安全审查和技能考核。
第四条外单位人员在访问中心信息处理设施前必须签署保密协议,保密协议内容包括外单位人员访问信息资产的权利、承担的安全责任、违反职责要承担的后果等。
负责接待人员或部门要保证外单位人员了解保密协议的条款和内容,并同意协议规定的权利和责任。
第五条单位主要领导承担管理职责,保证所有员工和外单位人员能按照安全方针、策略和程序进行日常工作。
管理职责包括使所有员工和外单位人员清晰了解各自的安全角色和安全职责、提高他们的安全意识和安全技能等。
第六条定期对所有员工进行安全培训,培训内容包括安全方针、策略、程序、信息处理设施正确使用方法、安全意识等。
根据人员的安全角色和职责制定不同的墙训计划,保证所有员工和外单位人员能认识到信息安全问题和信息安全事件,并能按照各自的安全角色履行安全职责。
第七条制定正式的纪律处理过程,来严肃处理安全违规的员工,并威慑其他员工,防止他们违反安全策略、程序和其他安全违规。
纪律处理要正确、公平,要根据违规的性质、重要性和对业务的影响等因素区别对待。
第八条当员工离职或调离其他岗位、外单位人员合同期满时,立即终止原来的安全角色和安全职责,并通知中心所有员工,使所有员工能及时清楚人员的变化。
第九条当员工离职或调离其他岗位、外单位人员合同期满时,及时归还其使用的所有资产,如设备、软件、文件、访问卡、电子资料等,防止对资产的非授权使用,及时删除其对信息和信息处理设施的访问权限。
四、系统建设策略第一条信息系统建设前,应明确信息系统的边界和安全保护等级,并明确说明信息系统为某个安全保护等级的方法和理由,同时组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定,并确保信息系统的定级结果经过相关部门的批准。
第二条信息技术部负责对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划;总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施。
信息系统建设方案必须进行安全论证,遵照相关标准,建立完善的身份验证、访问控制、安全保护和安全审计机制。
核心业务系统必须采取基于协议交换的多层结构,确保客户端操作与数据服务端的物理无关性,并具备防止强力试探密码、防止异常中断后非法进入系统等安全防护功能。
第三条信息技术部负责安全产品的采购,确保安全产品采购和使用符合国家的有关规定,而密码产品采购和使用符合国家密码主管部门的要求,在采购前应预光对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。
第四条业务系统的开发、测试和运行设施要分离并进行控制,控制措施包括敏感数据不能拷贝到测试系统环境中、禁止开发和测试人员访问运行系统及其信息等,以减少对运行设施及其信息的未授权访问和带来的潜在风险。
第五条定期根据外包服务协议中的安全要求,监视、评审由外单位提供的服务、报告和记录,监督协议规定的信息安全条款和条件的严格执行。
监视、评审内容包括监视服务执行效率,评审服务报告,审查外包服务的安全事件、操作问题、故障、失误追踪和破坏的记录。
第六条授权信息技术部负责工程实施过程的管理,工程实施前应制定详细的工程实施方案控制实施过程,并要求工程实施单位能正式地执行安全工程过程,并制定工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。
第七条新业务系统或升级版本在正式上线前,要进行合适的测试,并根据验收要求和标准进行正式的验收,以证实全部验收准则完全被满足。
第八条系统建设完成后应制定详细的系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;应提供系统建设过程中的文档和指导用户进行系统运行维护的文档,同时对负责系统运行维护的技术人员进行相应的技能培训。
第九条信息技术部负责管理系统定级的相关材料,并控制这些材料的使用;将系统等级及相关材料报系统主管部门和相应公安机关备案。
第十条信息技术部负责等级测评的管理,并在系统运行过程中,对三级信息系统应每年进行一次等级测评,应选择具有国家相关技术资质和安全资质的测评单位,发现不符合相应等级保护标准要求的及时整改;同时在系统发生变更时及时对系统进行等级测评,发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的及时整改。