04 信息安全管理制度.docx

文件名称文件编号信息安全管理制度 Trigiant/L/M/O03-2015 信息安全管理制度江苏俊知技术有限公司目录文件批准页4 文件发放范围4 1、目的5 2、适用范围5 3、定义和术语6 4、职责6 5、具体内容6 6．相关文件9 7、相关记录9 前言本标准按工业与信息化部《信息化和工业化融合管理体系要求》起草。本标准由人力资源部提出并归口。本标准起草人：丁胜超本标准编制部门：办公室。下次标准审查/升级最迟时间：2018年12月。标准于2015年12月首次发布。将历次修订记录保留如下（保留最近三次修订内容）：修改前号版本修改后的版本号主要修订内容修订部门修订人文件批准页文件名称信息安全管理制度需会签部门签名需会签部门签名 √ 办公室沈小鹏 √ 生产部潘建宇 √ 人力资源部王榴贤 √ 技术部姚文讯 √ 保卫部郝广允 √ 质量部王晓益 √ 研发中心郭志宏 √ 设备部顾小锋 √ 财务部陆利云 √ 采购部朱宝玲 √ 营销管理部顾东明编制办公室丁胜超批准丁伟林文件发放范围部门份数部门份数部门份数总经理 1 管理者代表 1 副总经理各1份办公室 1 人力资源部 1 研发中心 1 保卫部 1 财务部 1 采购部 1 营销管理部 1 生产部 1 技术部 1 质量部 1 设备部 1 1、目的对公司信息系统所连接的设备设施、软件系统、数据信息、操作行为等方面进行充分、有效的管理和利用，以保证信息系统能够高效支撑公司的经营管理。 2、适用范围本制度适用于公司各信息系统所连接的各种设备设施、运行的各种软件系统、采集的各种数据与信息、相关用户的各种操作行为等，包括但不限于： · 个人电脑、终端（含智能手机）、服务器、路由器、交换机等（见《信息化设备设施管理制度》）； · Windows、Office等各类操作系统与办公软件； · ERP、OA等各类业务与管理软件； · 各类文件电子档； · 客户资料、报销单据、出入库记录等各类业务与财务资料； · 用户上网、收发邮件、审批工作流、数据备份等各类系统操作。 3、定义和术语无。 4、职责角色职责办公室为信息安全管理的主责部门，主要职责包括但不限于； · 向公司全员宣贯安全意识； · 识别、分析信息安全隐患，采取应对措施； · 处理信息安全相关事件； · 设定信息安全应急预案。 · 持续提升公司信息安全水平使用部门为信息安全管理的执行部门，主要职责包括但不限于； · 在使用过程中严格遵循信息安全规范； · 发现信息安全隐患或故障时及时报告办公室。 5、具体内容 5.1培养信息安全意识 1) 办公室组织面向全员信息安全意识的培训，并结合典型案例提请用户杜绝各种不良习惯，避免信息安全事故的发生。 2) 办公室须告诫客户在发现信息安全隐患时，及时通知办公室，而非擅自处理，以免造成更大损失。 3) 办公室在各类信息系统中使用强密码策略，并设定密码更新策略（至少每6个月内修改一次）。 5.2安全原则信息安全通常遵循CIA三原则：机密性（Confidentiality）、完整性（Integrality）、可用性（Availability）。 1) 信息的保密性：指信息不可被非法访问。一般通过信息加密和权限管理实现。 2) 信息的完整性：指信息在存储或传输的过程中不可被非法篡改。一般通过数据校验实现。 3) 信息的可用性：指信息对于授权用户必须及时可用。一般通过数据备份实现。公司基于上述原则制订信息安全策略并采取相应措施。 5.3信息保密性保障 1) 所有业务系统通过用户权限设定进行访问控制； 2) 所有系统账户的授权申请（包括变更）必须经由用户所属部门领导书面批准，再由办公室在系统中进行设定； 3) 用户申请权限时应遵循职责分离（SOD：Separation of Duties）原则，避免一人包办全部业务流程； 4) 禁止系统帐号的滥用（包括借用与混用）；一旦因帐号滥用发生后果，追究帐号持有人的主要责任； 5) 禁止管理员冒用用户帐号；一经发现，按窃用处理； 6) 在可能情况下，启用信息系统的访问日志功能，以保证用户帐号登录事件的可追溯； 7) 员工离职时，人力资源委托办公室检查当事人的信息化设备与系统帐号持有情况；待妥善交接处理并由办公室签署意见后，再由人力资源办理后续手续。 8) 必要时，对机密或敏感数据进行加密处理。 9) 对加密数据必须保留原始备份，以免解密实效时造成数据锁死。 5.4信息完整性保障 1) 办公室负责为公司信息网络所连接的各种信息化设备（包括服务器、客户机等）加装防病毒程序，以保证信息系统及数据不被破坏或窃取； 2) 办公室负责设置网络防火墙及网关设备，对进出内外网的信息进行监视，避免恶意程序的入侵，同时防止内部信息的泄漏； 3) 办公室负责对公司机房的管理，禁止非授权人员进出，避免对系统设定进行破坏，或植入恶意程序；必要时，安装监控与报警装置； 4) 对客户机进行管制，禁止本地管理员账户，防止因用户私装程序而对系统环境造成破坏； 5) 办公室在构建信息系统涉及数据交换时，必须设置数据校验机制，避免无效或错误数据进入系统，防止数据在传输、转换的过程中被篡改； 6) 使用部门作业员在采集业务数据时，必须保证原始数据的准确性；同时各业务主管也可通过业务报表发现异常，及时进行纠正或冲抵录入错误。 5.5数据可用性保障 1) 为保证在发生信息系统灾难后，能够尽快恢复系统作业，保持业务的连续性，办公室须制订数据备份计划，并按计划进行系统配置及数据备份，同时检查备份任务的完成情况； 2) 备份数据应与数据源保持必要的物理距离。 3) 办公室至少每6个月安排系统及数据恢复测试，以保证其可用性。 5.6信息安全风险识别与事件处理 1) 办公室对可能导致信息安全风险因素进行全面识别和评估； 2) 一旦发生信息安全事件，包括：用户帐号权限滥用、保密信息泄露、外部入侵、网络瘫痪、数据损毁等，相关部门会同办公室采取紧急措施，防止事件影响进一步扩大； 3) 办公室立案； 4) 办公室组织寻找事件发生的根源，给出有针对性的解决方案，报管理层审批； 5) 办公室根据审批结果，会同相关使用部门采取相应措施，并观察、检测实施效果； 6) 办公室负责提交《信息安全事件处理报告》，结案。 6．相关文件无 7、相关记录《信息安全培训记录》《信息系统用户权限申请单》《员工离职申请单》《机房出入登记表》《数据备份计划表》《信息安全风险识别表》《信息安全事件处理报告》《信息安全主题会议纪要》发布日期： 2015-12-17 实施日期： 2015-12-18 版本号：A/0 第8页共7页