0304信息安全管理体系程序文-个人计算机管理程序
0304计算机信息系统管理制度041008
黄海粮油工业(山东)有限公司计算机信息系统管理制度黄海粮油工业(山东)有限公司《计算机信息系统管理制度》已由总经理办公会议于年月日通过,现予公布,自年月日起施行。
黄海粮油工业(山东)有限公司总经理张振涛年月日目录第一章总则 (2)第二章计算机信息系统的规划和建设 (2)第三章计算机信息系统的使用和管理 (3)第四章附则 (4)第一章总则第一条为了规范公司计算机信息系统的统一管理,引进现代化计算机管理工具,推动企业现代化管理,使公司管理规范化、程序化、迅速、快捷,提高公司决策和管理水平,制定本制度。
第二条本制度适用于公司各部门全体员工。
第三条本制度所指计算机信息系统包括公司自主开发或外购的各类企业管理应用软件工具。
第四条公司建立计算机信息系统,应坚持本“总体规划、分步实施”的原则。
计算机信息系统建设应综合考虑成本、费用、效率、效果、先进性、适用性和扩展性,选择最优技术经济方案。
第五条人力资源与公共事务部是公司计算机信息系统管理的职能部门。
信息管理主管和信息管理员负责计算机信息系统管理的日常工作,职责如下:1、负责对公司信息管理系统的整体规划、选型、开发、组织实施和项目验收工作。
2、负责公司计算机信息系统的维护、升级等日常管理工作,保证公司的信息管理系统正常运行,确保业务的正常开展。
3、负责对公司计算机信息系统的运行情况进行监管和控制。
4、负责对操作人员进行教育和培训,使其掌握公司计算机信息系统的使用。
5、负责向上级提供信息化建设方面的意见和建议。
第二章计算机信息系统的规划和建设第六条公司计算机信息系统的规划,由信息管理人员统一组织各相关部门提出需求方案,在公司高层领导下确立计算机信息系统的总体方案、实施步骤、时间进度、费用预算、人员安排等事项。
第七条根据计算机信息系统的总体方案,结合公司实际情况和软件特点,由信息管理人员统一组织各相关部门,对软件供应商进行调研分析后,采用招标的方式外购软件或决定开发;并保证子系统间的接口衔接,集成为一体化软件。
信息安全管理程序
信息安全管理程序信息安全管理程序为了防止信息和技术泄露,避免严重灾难的发生,特制定此安全规定。
适用范围包括但不限于电子邮件、音频邮件、电子文件、个人计算机、计算机网络、互联网和其他电子服务等相关设备、设施或资源。
权责分配如下:XXX:负责信息相关政策的规划、制订、推行和监督。
IT部:负责计算机、计算机网络相关设备设施的维护保养以及信息数据的备份相关事务处理。
全体员工:按照管理要求进行执行。
具体内容如下:公司保密资料:公司年度工作总结、财务预算决算报告、缴纳税款、薪资核算、营销报表和各种综合统计报表。
公司有关供货商资料、货源情报和供货商调研资料。
公司生产、设计数据、技术数据和生产情况。
公司所有各部门的公用盘共享数据,按不同权责划分。
公司的信息安全制度:凡涉及公司内部秘密的文件数据的报废处理,必须碎纸后丢弃处理。
公司员工工作所持有的各种文件、数据、电子文件,当本人离开办公室外出时,须存放入文件柜或抽屉,不准随意乱放,更未经批准,不能复制抄录或携带外出。
未经公司领导批准,不得向外界提供公司的任何保密数据和任何客户数据。
经理室要运用各种形式经常对所属员工进行信息安全教育,增强保密意识:在新员工入职培训中进行信息安全意识的培训,并经人事检测合格后,方可建立其网络账号及使用资格。
每年对所有计算机用户至少进行一次计算机安全检查,包括扫病,去除与工作无关的软件等。
不要将机密档及可能是受保护档随意存放,文件存放在分类目录下指定位置。
全体员工自觉遵守保密基本准则,做到:不该说的机密,绝对不说,不该看的机密,绝对不看(含超越自己职责、业务范围的文件、数据、电子文文件)。
员工应严格遵守本规定,保守公司秘密,发现他人泄密,立即上报,避免或减轻损害后果。
所有公司文档应该存放于授权的文件夹或分类数据库内,数据由IT每日统一备份。
备份可分为每天日备份、每周完整备份、每月和每季的备份。
数据均存放于第三方,确保数据一旦遗失都可以从备份数据找回相应的数据备份。
信息安全管理程序
信息安全管理程序
1 目的
为了引导企业充分利用计算机及信息系统规范交易行为, 提高信息系统的可靠性、 稳定性、
安全性及数据的完整性和准确性,降低人为因素导致内部控制失效的可能性,形成良好的
信息传递渠道,根据国家有关法律法规和《企业内部控制规范》 2 范围
适用公司所有职能部门。 3 职责 3.1 信息中心:负责公司网络及计算机信息安全的管理与维护。
,制定本规范。
3.2 各部门:负责配合信息中心对计算机信息安全进行管理。
4 定义: 计算机信息系统:是指利用计算机技术对业务和信息进行集成处理的程序、数据和文档
等的总称, 计算机包括个人电脑、服务器及防火墙等硬件设备 。
5 工作程序
流程
要求
使用表单 相关部门
信息系统及信息安全岗位包括:
网络及计算机管理:负责公司的网络安装及维
护、计算机硬件维护及软件维护, 应当注意对邮
件及其他重要信息数据的保护。
系统分析:系统分析需求,并得到业务部门负责人确
认。
开发及维护:软件工程师负责开发得到确认的业
务系统或对外包开发的信息系统进行维护, 同时
负责相关报表的开发。
岗位分工 与授权审 批
数据库管理:维护组织数据资源的安全性及完整 性,对数据库做好日备份及转移。 信息系统库管理: 在单独的信息系统库中存储暂 时不用的程序和文件, 并保留所有版本的数据和
系统开发和变更过程中不相容岗位 (或职责) 一
信息系统 开发、变 更与维护
控制
xx 公司:
般应包括:开发(或变更)审批、开发、系统上 线、监控。 系统访问过程中不相容岗位 (或职责) 一般应包 括:申请、审批、操作、监控。 企业计算机信息系统战略规划、重要信息系统政策 等重大事项应当经由董事会审批通过后, 方可实施 。 信息系统战略规划应当与企业业务目标保持一致。 信息系统使用部门应该参与信息系统战略规划、重 要信息系统政策等的制定 。 信息中心对计算机及信息系统实施归口管理,负责 信息系统开发、变更、运行、维护等工作。 财务部负责信息系统中各项业务账务处理的准确性 和及时性;财务电算化制度的制定;计划价格的确 定和修改;财务操作规定等。 生产、销售、仓储及其他部门(下称用户部门)应 当根据本部门在信息系统中的职能定位,参与信息 系统建设和管理,按照信息中心制定的管理标准、 规范、规章来操作、管理和运用信息系统。 计算机信息系统开发包括自行设计、外购调试和外 包合作开发。企业在开发信息系统时,充分考虑业 务和信息的集成性,优化流程,并将相应的处理规 则(交易权限)嵌入到系统程序中,以预防、检查、 纠正错误和舞弊行为, 确保企业业务活动的真实性、 合法性和效益性。 信息系统开发必须经过正式授权,企业应当进行详 细备案。 具体程序包括 : 用户部门提出需求; 归口管 理部门审核;企业负责人授权批准;系统分析人员 设计方案;程序员编写代码或外包等。 对于外包合作开发的项目,企业应当加强对外包第 三方的监控。 外购调试或外包合作开发等需要进行招投标的信息 系统开发项目,企业应当成立招投标小组,并保证 招投标小组的独立性。 在新系统上线前需要制定详细的信息系统上线计 划。对涉及新旧系统切换之情形,企业应当在上线 计划中明确系统回退计划,保证新系统一旦失效, 能够顺利回退到原来的系统状态。 新旧系统切换时,如涉及数据迁移,企业应当制定 详细的数据迁移计划。 用户部门应当积极参与数据迁移过程,对数据迁移
计算机网络安全管理程序
计算机网络安全管理程序XX电子科技有限公司信息安全和IT服务管理体系文件网络安全管理程序DK-0044-2019受控状态受控分发号版本A/0持有人网络安全管理程序1 目的为了确保公司信息系统网络安全,对公司网络安全活动实施控制,特制定本程序。
2 范围适用于对公司信息系统网络安全的管理。
3 职责3.1 综合部负责网络安全措施的制定、实施、维护。
3.2 相关部门负责配合网络安全管理的实施。
4 程序4.1 总则本公司信息系统网络安全控制措施包括:a) 实施有效的网络安全策略;b) 路由器等安全配置管理;c) 网络设备的定期维护;d) 对用户访问网络实施授权管理;e) 对网络设备和系统的变更进行严格控制;f) 对网络的运行情况进行监控;g) 对网络服务的管理。
4.2 网络安全策略4.2.1 网络安全的通用策略如下:a) 公司网络管理员负责信息网络和系统安全,审核系统日志。
系统日志的记录内容和保存期限应符合《信息系统监控管理程序》。
b) 网络管理员负责公司网络设备的配置和内部的IP地址管理。
c) 网络管理员应编制《网络拓扑图》,描述网络结构并表示网络的各组成部分之间在逻辑上和物理上的相互连接。
d) 网络管理员应根据需要增加、修改或删除网络过滤规则,符合数据传送的保密性、可用性,使用最小化规则。
e) 任何个人不得擅自修改网络资源配置、网络权限和网络安全等级。
4.2.2 路由器设备安全配置策略如下:a) 除内部向外部提供的服务外,其他任何从外部向内部发起的连接请求必须经过公司总经理批准;b) 除内部向外部提供的服务相关部分外,内部向外部的访问需经总经理批准;c) 对设备的管理控制不对外提供;d) 路由器的策略设定,应以保证正常通信为前提,在不影响通信质量的前提下,对指定的需要禁止的通信类型进行相应的禁止设定;e) 路由器的设定应保证各个连接设备的兼容性,并考虑冗余和容错。
f) 路由器访问清单设定:①依照连接对象及网络协议相关事宜制定访问清单加以过滤。
信息安全管理体系建立的步骤
信息安全管理体系建立的步骤
建立信息安全管理体系的步骤通常包括以下几个方面:
1. 确定组织的信息资产:确定组织的关键信息资产,包括数据、文档、设备等,并对其进行分类和评估重要性。
2. 制定信息安全政策:制定适合组织的信息安全政策,明确组织对信息安全的要求和目标,确定信息安全的原则和指导方针。
3. 进行风险评估:通过对组织的信息资产、威胁和安全漏洞进行评估,确定可能出现的风险和潜在威胁。
4. 制定风险管理计划:制定详细的风险管理计划,包括风险评估结果、风险处理策略和安全措施。
5. 建立信息安全组织架构:确立信息安全部门或团队,明确各个岗位的责任和职责,建立信息安全委员会或小组。
6. 实施安全意识培训:组织开展信息安全意识培训,提高员工对信息安全的认识和理解,促使他们遵循信息安全政策和流程。
7. 实施安全控制措施:根据风险管理计划,实施相应的安全控制措施,包括技术和管理控制措施,确保信息资产的安全和完整性。
8. 进行内部审计和监测:定期进行内部审计和监测,评估信息安全控制的有效性和合规性,及时发现和解决问题。
9. 进行持续改进:不断进行信息安全管理体系的评估和改进,根据实践经验和新的威胁动态,及时进行修订和优化。
以上步骤是建立信息安全管理体系的一般流程,可以根据组织的具体情况进行调整和定制。
网络信息安全管理程序
网络信息安全管理程序网络信息安全管理程序1.背景和目的1.1 背景在当今数字化时代,网络信息安全的重要性日益凸显。
大量的机密信息被储存在网络上,如个人身份信息、商业机密等。
因此,确保网络信息的安全性对于个人和组织来说至关重要。
1.2 目的本网络信息安全管理程序的目的是确保在组织内部的网络使用过程中,对网络信息进行全面的保护。
它提供了一个指导性的框架来确保网络系统的机密性、完整性和可用性,并帮助组织识别和应对可能的网络安全风险和威胁。
2.适用范围和责任2.1 适用范围本网络信息安全管理程序适用于所有组织成员,无论在组织内部还是外部。
它适用于所有网络系统和设备,包括服务器、计算机、网络设备、移动设备等。
2.2 责任所有组织成员都有责任遵守并执行本网络信息安全管理程序。
组织管理层应确保对网络信息安全管理的有效实施,并提供必要的培训和资源来提高员工的网络安全意识。
3.网络信息安全管理政策3.1 定义网络信息安全管理政策是指为保护网络信息而制定和实施的一系列准则和规定。
3.2 目标- 保护网络信息的机密性,防止未经授权的访问。
- 保护网络信息的完整性,防止未经授权的修改。
- 保证网络信息的可用性,确保网络系统的正常运行。
- 捕捉和记录网络安全事件,以便追踪和调查。
3.3 规范- 所有网络设备和系统必须安装最新的安全补丁和更新。
- 所有用户账户必须设置强密码,并定期更改密码。
- 访问敏感信息的权限必须进行严格的控制和管理。
- 所有网络流量必须通过防火墙和入侵检测系统进行监测和过滤。
- 网络信息备份和恢复策略必须定期测试和评估。
- 所有网络安全事件必须及时记录,并采取适当的措施进行调查和应对。
- 所有网络安全相关的培训和意识活动必须定期进行。
- 所有网络安全管理措施必须进行定期的内部和外部审计。
4.网络信息安全风险评估4.1 目的网络信息安全风险评估的目的是识别和评估可能对网络信息系统造成威胁的风险,并制定相应的风险管理策略。
网络信息安全管理程序简洁范本
网络信息安全管理程序网络信息安全管理程序1. 引言网络信息安全是当今信息社会中至关重要的一项工作。
随着互联网的发展和普及,网络信息安全的威胁也越来越严重。
为了有效的保护网络信息的安全,各个组织和企业需要制定和实施一套完善的网络信息安全管理程序。
2. 目标网络信息安全管理程序的目标是确保网络信息的机密性、完整性和可用性。
通过管理程序的实施,组织和企业能够建立一套完善的安全措施,有效应对各种网络攻击和威胁。
网络信息安全管理程序还能够提高组织和企业的信息管理能力,保护用户的利益,维护网络秩序。
3. 管理原则网络信息安全管理程序应该遵循以下原则:安全优先:网络信息安全应该被放在首位,任何其他因素都不能凌驾于安全之上。
风险管理:通过对网络信息安全风险的评估和管理,做到权衡风险与效益,采取适当的安全措施。
管理制度:建立一套规范和严格的管理制度,明确网络信息安全的责任和义务,确保管理的连续性和一致性。
组织协调:通过组织内外部的协调与合作,建立一个完整的网络信息安全管理体系。
4. 主要内容网络信息安全管理程序包括以下主要内容:4.1 安全策略安全策略是网络信息安全管理程序的核心部分。
组织和企业需要制定一套适合自身特点的安全策略,明确网络信息的保护目标和安全要求。
安全策略应该包括对网络信息的分类和保护级别的确定,安全措施的选择和实施,以及安全事件的处理和应对。
4.2 安全管理体系安全管理体系是网络信息安全管理程序的基础。
通过建立一套完整的安全管理体系,组织和企业能够有效地管理网络信息安全事务,包括安全组织架构的建立、安全管理流程的设计、安全培训和宣传教育的开展等。
4.3 安全控制措施安全控制措施是网络信息安全管理程序的手段和方法。
组织和企业需要选择和实施一系列的安全控制措施,包括网络设备安全、网络流量监测、访问控制、数据备份与恢复等,以保证网络信息的安全性。
5. 实施步骤网络信息安全管理程序的实施包括以下步骤:1. 评估与规划:对组织和企业的网络信息安全现状进行评估,制定安全管理规划和策略。
0309-信息安全管理体系程序文信息交换管理程序
******有限公司信息安全管理体系文件信息交换管理程序ISMS-0309-2017受控状态受控版本A/0编制:审核:批准:2017-1-10发布 2017-1-10实施修订履历版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期A/0初次发布信息交换管理程序1 目的为了对公司信息交换活动实施有效控制,防止交换的信息被截取、备份、修改、误传及破坏,以使通过所有类型的通信设施进行的信息交换得到有效保护,特制定本程序。
2 范围适用于公司各部门及员工在信息交换过程中的活动。
3 职责3.1 综合部负责电话、打印机等IT周边设备信息交换、物理介质运送等控制活动。
3.2 项目部负责计算机电子信息交换控制活动。
3.3 其他各部门负责对本部门的信息交换活动。
4 程序4.1 信息交换策略4.1.1 不能在公共场所或者敞开的没有防护的会议室、综合管理部内谈论机密信息。
4.1.2 对信息交流应作适当的防范,严禁在无保密措施的通信设备及计算机网络中传递企业秘密;进行涉密内容的活动,严禁使用无线话筒;应避免电话被偷听或截取。
4.1.3 不得将包含敏感信息的讯息放在自动应答系统中。
4.1.4 不得将敏感或关键信息放在打印设施上,如打印机和传真,防止未经授权人员的访问。
4.1.5 制作应用系统之间的接口、协议时,不能影响双方应用系统的正常运行。
在实施之前应充分考虑应用系统的资源是否足够,保证数据交换的权限最小化。
4.2 信息交换控制措施4.2.1 在使用电子通信设施进行信息交换时,所考虑的控制包括:a. 防止交换的信息被截取、备份、修改、误传以及破坏;b. 保护以附件形式传输的电子信息;c. 所有业务信件和消息的保持和处置,要符合相关的法律法规。
4.2.2 使用传真的人员应注意避免下列问题:a. 未经授权对传真机内部存储的信息进行访问,获取信息;b. 故意的或无意的传真机程序设定,向特定的号码发送信息;c. 向错误的号码发送文件和信息,或者拨号错误,或者使用存储在机器中的号码是错误的。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
******有限公司
信息安全管理体系文件
个人计算机管理程序
ISMS-0304-2017
受控状态受控
版本A/0
编制:审核:批准:
2017-1-10发布 2017-1-10实施
修订履历
版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期A/0初次发布
个人计算机管理程序
1 目的
为对公司个人计算机设备的管理进行有效的控制,特制定本程序。
2 范围
适用于对个人计算机终端设备的配置、管理和维护。
3 职责
3.1 技术支持部
负责各种计算机设备的管理、维护的管理。
3.2 各相关部门
配合技术支持部维护人员对个人计算机设备日常的维护。
4 程序
4.1 计算机设备资产管理
4.1.1技术支持部负责计算机设备的归口管理,计算机设备的硬件配置应考虑公司的业务需求、计算机技术发展和经济成本。
4.1.2 应根据部门/岗位/员工的业务需求配备计算机设备,配备和更换计算机设备应由员工所在部门提出书面申请,技术支持部核实,经管领导批准方可办理。
4.1.3 技术支持部应对购置的计算机终端设备进行验收,并为计算机设备进行编号,加贴资产标识,有关计算机设备所带技术说明书、软件由技术支持部保存。
4.1.4 计算机设备使用人应妥善保管计算机及附属设备,公用计算机设备由使用部门领导指定专人负责使用管理。
4.1.5 技术支持部应识别公司的个人计算机设备,并进行编号,建立《个人计算机配备
一览表》,加贴资产标识。
为个人计算机包括台式机计算机和笔记本电脑,确定责任部门和责任人,并进行风险评估和风险管理。
4.1.6 计算机使用人员离开本岗位时,应将计算机交还给相关部门。
如果属于部门间的调动,由相关部门决定原计算机是否跟随使用人员调配至新岗位,并做好变更手续。
4.1.7 当计算机的性能状态不能满足业务需求时应予以报废处理。
含有涉密信息的计算机调配使用或报废前,计算机使用部门应与技术支持部共同按《数据安全管理程序》将计算机内的涉密信息清除。
4.1.8 计算机设备应同时按《信息处理设施管理程序》进行管理。
4.2 计算机设备维护
4.2.1 计算机使用人员负责计算机设备的日常维护和保养,负责计算机设备的清洁卫生和防火防盗,长时间离开计算机应关闭计算机电源。
4.2.2 涉密计算机设备的安装、调试、检修,以及设备故障和异常,应由技术支持部负责维护与维修;使用人员和未经批准人员不得随意拆卸和检修。
4.2.3 涉密计算机设备送外部检修前,应彻底清除设备中的涉密信息或拆除所有涉密存储介质,并填写《敏感信息清除记录》,派专人陪同、监督。
4.2.4 涉密计算机设备停用或报废前由使用部门对包含储存媒体的设备的所有项目进行检查,并填写《敏感信息清除记录》交由技术支持部确认并存档,确保在处置之前所有敏感数据和许可软件都被清除或者覆盖掉。
4.2.5 技术支持部应视情况准备备用计算机或备件,如无备品备件的,维护人员应告知用户维修处理的大概时间,必要时告知相关部门领导和公司行政人事部领导,提出处理意见。
4.3 计算机终端安全使用控制
4.3.1 计算机设备的软件由技术支持部统一安装,技术支持部应建立《计算机软件配置一览表》,明确计算机软件和配置的要求。
4.3.2 计算机设备使用人员不得私自改变计算机的安全配置,不得私自安装与工作无关的软件,不得私自以任何方式接入互联网,不得从事危害网络秩序、网络安全的活动。
4.3.3 计算机使用人员应养成保持系统桌面干净整洁、文件分类有序、定时清理垃圾文件和程序的良好习惯。
4.3.4 计算机设备桌面安全策略:
a) 含有涉密信息或重要信息的文件、记录、磁盘、光盘或以其它形式存贮的媒体在人员离开时,应安全存放,如:锁在文件柜、保险柜等;
b) 所有计算机终端必须设立登录口令,在人员离开时应处于不登录状态,并锁屏、注销或关机;
c)所有计算机桌面不得存放文档类文件,进行清屏管理。
d) 计算机终端应设置屏幕保护,屏保时间应不大于5分钟。
e) 打印或复印公司秘密、机密信息时,打印或复印设备现场应有可靠人员,打印或复印完毕即从设备拿走。
4.3.5计算机应用人员应使用合法的用户名称、密码或口令,密码或口令不得泄露与此业务或未授权的他人。
4.3.6 技术支持部应至少每半年一次对计算机软件和桌面计算机信息安全进行抽查,检查应填写《计算机检查记录单》,检查中发现的问题由技术支持部领导提出处理意见。
4.4 笔记本电脑的附加管理
4.4.1 笔记本电脑应由被授权的使用人保管;对于需多人共用的笔记本电脑,应由部门负责人指定专人保管。
笔记本所带附件应由使用者本人或部门负责人指定专人保管。
4.4.2 笔记本电脑使用者应检查笔记本操作系统补丁的安装情况、防病毒软件的病毒库的升级情况。
在移动办公过程中感染病毒者,应及时上报技术支持部人员协助查杀,不得带入危害公司网络安全的计算机病毒。
4.4.3 远程办公软件使用者应妥善保管好自己的用户名、口令。
4.4.4 笔记本电脑一般不用于保存和处理涉密信息。
5 引用文件
5.1《数据安全管理程序》
5.2《信息处理设施管理程序》
5.3《相关方信息安全管理程序》
6 记录
JL0304-01《计算机检查记录单》
JL0304-02《个人计算机配备一览表》
JL0304-03《计算机软件配置一览表》
JL0304-04《笔记本电脑授权使用申请表》。