某燃机热电信息管理制度汇编.docx

《某燃机热电信息管理制度汇编.docx》由会员分享，可在线阅读，更多相关《某燃机热电信息管理制度汇编.docx（35页珍藏版）》请在第一文库网上搜索。

1、某燃机热电信息管理制度汇编信息安全管理制度琥珀（安吉）燃机热电有限公司2016.01.15信息安全制度1总则第1条为规范信息安全管理工作，加强过程管理与基础设施管理的风险分析及防范，建立安全责任制，健全安全内操纵度，保证信息系统的机密性、完整性、可用性，特制定本规定。2适用范围第2条本规定适用于琥珀（安吉）燃机热电有限公司各部门及生产现场。3管理对象第3条管理对象指构成计算机信息系统的系统、设备与数据等信息资产与人员的安全。要紧范围包含：人员安全、物理环境安全、资产识别与分类、风险管理、物理与逻辑访问操纵、系统操作与运行安全、网络通讯安全、信息加密与解密、应急与灾难恢复、软件研发与应用安全、机

2、密资源管理、第三方与外包安全、法律与标准的符合性、项目与工程安全操纵、安全检查与审计等。4术语定义DMZ：用于隔离内网与外网的区域，此区域不属于可信任的内网，也不是完全开放给因特网。容量：分为系统容量与环境容量两方面。系统容量包含CPU、内存、硬盘存储等。环境容量包含电力供应、湿度、温度、空气质量等。安全制度：与信息安全有关的制度文档，包含安全管理办法、标准、指引与程序等。安全边界：用以明确划分安全区域，如围墙、办公大楼、网段等。恶意软件：包含计算机病毒、网络蠕虫、木马、流氓软件、逻辑炸弹等。备份周期：根据备份管理办法制定的备份循环的周期，一个备份周期的内容相当于一个完整的全备份。系统工具：能

3、够更换系统及应用配络的程序被定义为系统工具，如系统管理、保护工具、调试程序等。消息验证：一种检查传输的电子消息是否有非法变更或者破坏的技术，它能够在硬件或者软件上实施。数字签名：一种保护电子文档真实性与完整性的方法。比如，在电子商务中能够使用它验证谁签署电子文档，并检查已签署文档的内容是否被更换。信息处理设备：泛指处理信息的所有设备与信息系统，包含网络、服务器、个人电脑与笔记本电脑等。不可抵赖性服务：用于解决交易纠纷中争议交易是否发生的机制。电子化办公系统：包含电子邮件、OA系统与用于业务信息传送及共享的企业内部网。5安全制度方面5. 1安全制度要求5.1.1 本制度的诠释第4条所有带有“务必

4、”的条款都是强制性的。除非事先得到安全管理委员会的认可，否则都要坚决执行。其它的条款则是强烈建议的，只要实际可行就应该被使用。第5条所有员工都受本制度的约束，各部门领导有责任确保其部门已实施足够的安全操纵措施，以保护信息安全。第6条各部门的领导有责任确保其部门的员工熟悉本安全管理制度、有关的标准与程序与日常的信息安全管理。第7条安全管理代表（或者其指派的人员）将审核各部门安全操纵措施实施的准确性与完整性，此过程是公司例行内部审计的一部分。5.1.2 制度公布第8条所有制度在创建与更新后，务必通过相应管理层的审批。制度经批准之后务必通知所有有关人员。5.1.3 3制度复审第9条当环境改变、技术更

5、新或者者业务本身发生变化时，务必对安全制度重新进行评审，并作出相应的修正，以确保能有效地保护公司的信息资产。第10条安全管理委员会务必定期对本管理办法进行正式的复审，并根据复审所作的修正，指导有关员工采取相应的行动。6组织安全方面6. 1组织内部安全6.1 .1信息安全体系管理第11条公司成立安全管理委员会，安全管理委员会是公司信息安全管理的最高决策机构，安全管理委员会的成员应包含公司要紧管理人、生产技术管理部负责人、公司安全审计负责人、公司计算机管理员、操作员等。第12条信息安全管理代表由信息安全管理委员会指定，通常应包含安全稽核岗、信息管理部信息安全有关岗位。第13条安全管理委员会通过清晰

6、的方向、可见的承诺、全面的分工，积极地支持信息安全工作，要紧包含下列几方面：1）确定信息安全的目标符合公司的要求与有关制度；2）阐明、复查与批准信息安全管理制度；3）复查信息安全管理制度执行的有效性；4）为信息安全的执行提供明确的指导与有效的支持；5）提供信息安全体系运作所需要的资源6）为信息安全在公司执行定义明确的角色与职责；7）批准信息安全推广与培训的计划与程序；8）确保信息安全操纵措施在公司内被有效的执行。第14条安全管理委员会需要对内部或者外部信息安全专家的建议进行评估，并检查与调整建议在公司内执行的结果。第15条务必举行信息安全管理会议，会议成员包含安全管理委员会、安全管理代表与其他

7、有关的公司高层管理人员。第16条信息安全管理会议务必每年定期举行，讨论与审批信息安全有关事宜，具体包含下列内容：D复审本管理制度的有效性；2）复审技术变更带来的影响；3）复审安全风险；4）审批信息安全措施及程序；5）审批信息安全建议；6）确保任何新项目规划已考虑信息安全的需求；7）复审安全检查结果与安全事故报告；8）复审安全操纵实施的效果与影响；9）宣导与推行公司高层对信息安全管理的指示。6.2 .2信息安全职责分配第17条信息管理部门作为信息安全管理部门，负责信息安全管理策略制定及实施，其要紧职责：（-）负责全公司信息安全管理与指导；（二）牵头制订全公司信息安全体系规范、标准与检查指引，参与

8、我司信息系统工程建设的安全规划；（三）组织全公司安全检查；（四）配合全公司安全审计工作的开展；（五）牵头组织全公司安全管理培训；（六）负责全公司安全方案的审核与安全产品的选型、购络。（七）根据本规定、安全规范、技术标准、操作手册实施各类安全策略。（八）负责各类安全策略的日常保护与管理。第18条各分公司信息管理部门作为信息安全管理部门，其要紧职责：（一）根据本规定、信息安全体系规范、标准与检查指引，组织建立安全管理流程、手册；（-）组织实施内部安全检查；（三）组织安全培训；（四）负责机密信息与机密资源的安全管理；（五）负责安全技术产品的使用、保护、升级；（六）配合安全审计工作的开展；（七）定期上

9、报本单位信息系统安全情况，反馈安全技术与管理的意见与建议。（八）根据本规定、安全规范、技术标准、操作手册实施各类安全策略。（九）负责各类安全策略的日常保护与管理。6.3 .3信息处理设备的授权第19条新设备的采购与设备部署的审批流程应该充分考虑信息安全的要求。第20条新设备在部署与使用之前，务必明确其用途与使用范围，并获得安全管理委员会的批准。务必对新设备的硬件与软件系统进行全面检查，以确保它们的安全性与兼容性。第21条除非获得安全管理委员会的授权，否则不同意使用私人的信息处理设备来处理公司业务信息或者使用公司资源。6.4 .4独立的信息安全审核第22条务必对公司信息安全操纵措施的实施情况进行

10、独立地审核，确保公司的信息安全操纵措施符合管理制度的要求。审核工作应由公司的审计部门或者专门提供此类服务的第三方组织负责执行。负责安全审核的人员务必具备相应的技能与经验。第23条独立的信息安全审核务必每年至少进行一次。6.5 第三方访问的安全性6.6 2.1明确第三方访问的风险第24条务必对第三方对公司信息或者信息系统的访问进行风险评估，并进行严格操纵，有关操纵须考虑物理上与逻辑上访问的安全风险。只有在风险被消除或者降低到可同意的水平常才同意其访问。第25条第三方包含但不限于：D硬件与软件厂商的支持人员与其他外包商2）监管机构、外部顾问、外部审计机构与合作伙伴3）临时员工、实习生4）清洁工与保

11、安5）公司的客户第26条第三方对公司信息或者信息系统的访问类型包含但不限于：1）物理的访问，比如：访问公司机房、监控中心等；2）逻辑的访问，比如：访问公司的数据库、信息系统等；3）与第三方之间的网络连接，比如：固定的连接、临时的远程连接；第27条第三方所有的访问申请都务必通过信息安全管理代表的审批，只提供其工作所须的最小权限与满足其工作所需的最少资源，同时需要定期对第三方的访问权限进行复查。第三方对重要信息系统或者地点的访问与操作务必有有关人员陪同。第28条公司负责与第三方沟通的人员务必在第三方接触公司信息或者信息系统前，主动告知第三方的职责、义务与需要遵守的规定，第三方务必在清晰并同意后才能

12、接触相应信息或者信息系统。所有对第三方的安全要求务必包含在与其签订的合约中。6.2.2当与客户接触时强调信息安全第29条务必在同意客户访问信息或者信息系统前识别并告知其需要遵守的安全需求。采取相应的保护措施保护客户访问的信息或者信息系统。6.2.3与第三方签订合约的安全要求第30条与第三方合约中应包含必要的安全要求，如：访问、处理、管理公司信息或者信息系统的安全要求。7信息资产与人员安全7.1 资产责任7.1.1 资产的清单第31条应清晰识别所有的资产，所有与信息有关的重要资产都应该在资产清单中标出，并及时保护更新。这些资产包含但不限于：1）信息：数据库与数据文件、系统文档、用户手册、培训材料

13、、操作手册、业务连续性计划、系统恢复计划、备份信息与合同等。2）软件：应用软件、系统软件、开发工具与有用工具等。3）实体：计算机设备（处理器、显示器、笔记本电脑、调制解调器等）、通讯设备（路由器、程控电话交换机、传真机等）、存储设备、磁介质（磁带与磁盘等）、其它技术设备（电源、空调器等）、机房等。4）服务：通讯服务（专线）。第32条资产清单务必每年至少审核一次。在购买新资产之前务必进行安全评估。资产交付后，资产清单务必更新。资产的风险评估务必每年至少一次，要紧评估当前已部署安全操纵措施的有效性。第33条实体资产需要贴上适当的标签。7.1.2 资产的管理权第34条所有资产都应该被全面说明，务必指

14、明具体的管理者。管理者能够是个人，也能够是某个部门。管理者是部门的资产则由部门主管负责监护。第35条资产管理者的职责是：1）确定资产的保密等级分类与访问管理办法；2）定期复查资产的分类与访问管理办法。7.1.3 3资产的合理使用第36条务必识别信息与信息系统的使用准则，形成文件并实施。使用准则应包含：1）使用范围2）角色与权限3）使用者应负的责任4）与其他系统交互的要求第37条所有访问信息或者信息系统的员工、第三方务必清晰要访问资源的使用准则，并承担他们的责任。公司的所有信息处理设备（包含个人电脑）只能被使用于工作有关的活动，不得用来炒股、玩游戏等。滥用信息处理设备的员工将受到纪律处分。7.2

15、信息分类7.2.1信息分类原则第38条所有信息都应该根据其敏感性、重要性与业务所要求的访问限制进行分类与标识。第39条信息管理者负责信息的分类，并对其进行定期检查，以确保分类的正确。当信息被公布到公司外部，或者者通过一段时间后信息的敏感度发生改变时，信息需要重新分类。第40条信息的保密程度从高到低分为绝密、机密、秘密与非保密四种等级。以电子形式储存的信息或者管理信息资产的系统，需根据信息的敏感度进行标识。含有不一致分类信息的系统，务必按照其中的最高保密等级进行分类。7.2.2信息标记与处理第41条务必建立相应的保密信息处理规范。关于不一致的保密等级，应明确说明如下信息活动的处理要求：1）复制2）储存与保管（以物理或者电子方式）3）传送（以邮寄、传真或者电子邮件的方式）4）销毁第42条电子文档与系统输出的信息（打印报表与磁带等）应带有适当的信息分类标记。关于打印报表，其保密等级应显示在每页的顶端或者底部。第43条将保密信息发送到公司以外时，负责传送信息的工作人员应在分发信息之前，先告知对方文档的保密等级及其相应的处理要求。7.3人员安全7. 3.1信息安全意识、教育与培训第44条所有公司员工与第三方人员务必同意包含安全性要求、信息处理设备的正确使用等内容的培训，并应该及