04 信息安全管理制度.docx
文 件 名 称 文件编号 信息安全管理制度 Trigiant/L/M/O03-2015 信息安全管理制度 江苏俊知技术有限公司 目录 文件批准页4 文件发放范围4 1、目的5 2、适用范围5 3、定义和术语6 4、职责6 5、具体内容6 6.相关文件9 7、相关记录9 前言 本标准按工业与信息化部《信息化和工业化融合管理体系要求》起草。 本标准由人力资源部提出并归口。 本标准起草人:丁胜超 本标准编制部门:办公室。 下次标准审查/升级最迟时间:2018年12月。 标准于2015年12月首次发布。 将历次修订记录保留如下(保留最近三次修订内容): 修改前号版本 修改后的版本号 主要修订内容 修订部门 修订人 文件批准页 文件名称 信息安全管理制度 需会签 部门 签名 需会签 部门 签名 √ 办公室 沈小鹏 √ 生产部 潘建宇 √ 人力资源部 王榴贤 √ 技术部 姚文讯 √ 保卫部 郝广允 √ 质量部 王晓益 √ 研发中心 郭志宏 √ 设备部 顾小锋 √ 财务部 陆利云 √ 采购部 朱宝玲 √ 营销管理部 顾东明 编制 办公室 丁胜超 批准 丁伟林 文件发放范围 部门 份数 部门 份数 部门 份数 总经理 1 管理者代表 1 副总经理 各1份 办公室 1 人力资源部 1 研发中心 1 保卫部 1 财务部 1 采购部 1 营销管理部 1 生产部 1 技术部 1 质量部 1 设备部 1 1、目的 对公司信息系统所连接的设备设施、软件系统、数据信息、操作行为等方面进行充分、有效的管理和利用,以保证信息系统能够高效支撑公司的经营管理。 2、适用范围 本制度适用于公司各信息系统所连接的各种设备设施、运行的各种软件系统、采集的各种数据与信息、相关用户的各种操作行为等,包括但不限于: · 个人电脑、终端(含智能手机)、服务器、路由器、交换机等(见《信息化设备设施管理制度》); · Windows、Office等各类操作系统与办公软件; · ERP、OA等各类业务与管理软件; · 各类文件电子档; · 客户资料、报销单据、出入库记录等各类业务与财务资料; · 用户上网、收发邮件、审批工作流、数据备份等各类系统操作。 3、定义和术语 无。 4、职责 角色 职责 办公室 为信息安全管理的主责部门,主要职责包括但不限于; · 向公司全员宣贯安全意识; · 识别、分析信息安全隐患,采取应对措施; · 处理信息安全相关事件; · 设定信息安全应急预案。 · 持续提升公司信息安全水平 使用部门 为信息安全管理的执行部门,主要职责包括但不限于; · 在使用过程中严格遵循信息安全规范; · 发现信息安全隐患或故障时及时报告办公室。 5、具体内容 5.1培养信息安全意识 1) 办公室组织面向全员信息安全意识的培训,并结合典型案例提请用户杜绝各种不良习惯,避免信息安全事故的发生。 2) 办公室须告诫客户在发现信息安全隐患时,及时通知办公室,而非擅自处理,以免造成更大损失。 3) 办公室在各类信息系统中使用强密码策略,并设定密码更新策略(至少每6个月内修改一次)。 5.2安全原则 信息安全通常遵循CIA三原则:机密性(Confidentiality)、完整性(Integrality)、可用性(Availability)。 1) 信息的保密性:指信息不可被非法访问。一般通过信息加密和权限管理实现。 2) 信息的完整性:指信息在存储或传输的过程中不可被非法篡改。一般通过数据校验实现。 3) 信息的可用性:指信息对于授权用户必须及时可用。一般通过数据备份实现。 公司基于上述原则制订信息安全策略并采取相应措施。 5.3信息保密性保障 1) 所有业务系统通过用户权限设定进行访问控制; 2) 所有系统账户的授权申请(包括变更)必须经由用户所属部门领导书面批准,再由办公室在系统中进行设定; 3) 用户申请权限时应遵循职责分离(SOD:Separation of Duties)原则,避免一人包办全部业务流程; 4) 禁止系统帐号的滥用(包括借用与混用);一旦因帐号滥用发生后果,追究帐号持有人的主要责任; 5) 禁止管理员冒用用户帐号;一经发现,按窃用处理; 6) 在可能情况下,启用信息系统的访问日志功能,以保证用户帐号登录事件的可追溯; 7) 员工离职时,人力资源委托办公室检查当事人的信息化设备与系统帐号持有情况;待妥善交接处理并由办公室签署意见后,再由人力资源办理后续手续。 8) 必要时,对机密或敏感数据进行加密处理。 9) 对加密数据必须保留原始备份,以免解密实效时造成数据锁死。 5.4信息完整性保障 1) 办公室负责为公司信息网络所连接的各种信息化设备(包括服务器、客户机等)加装防病毒程序,以保证信息系统及数据不被破坏或窃取; 2) 办公室负责设置网络防火墙及网关设备,对进出内外网的信息进行监视,避免恶意程序的入侵,同时防止内部信息的泄漏; 3) 办公室负责对公司机房的管理,禁止非授权人员进出,避免对系统设定进行破坏,或植入恶意程序;必要时,安装监控与报警装置; 4) 对客户机进行管制,禁止本地管理员账户,防止因用户私装程序而对系统环境造成破坏; 5) 办公室在构建信息系统涉及数据交换时,必须设置数据校验机制,避免无效或错误数据进入系统,防止数据在传输、转换的过程中被篡改; 6) 使用部门作业员在采集业务数据时,必须保证原始数据的准确性;同时各业务主管也可通过业务报表发现异常,及时进行纠正或冲抵录入错误。 5.5数据可用性保障 1) 为保证在发生信息系统灾难后,能够尽快恢复系统作业,保持业务的连续性,办公室须制订数据备份计划,并按计划进行系统配置及数据备份,同时检查备份任务的完成情况; 2) 备份数据应与数据源保持必要的物理距离。 3) 办公室至少每6个月安排系统及数据恢复测试,以保证其可用性。 5.6信息安全风险识别与事件处理 1) 办公室对可能导致信息安全风险因素进行全面识别和评估; 2) 一旦发生信息安全事件,包括:用户帐号权限滥用、保密信息泄露、外部入侵、网络瘫痪、数据损毁等,相关部门会同办公室采取紧急措施,防止事件影响进一步扩大; 3) 办公室立案; 4) 办公室组织寻找事件发生的根源,给出有针对性的解决方案,报管理层审批; 5) 办公室根据审批结果,会同相关使用部门采取相应措施,并观察、检测实施效果; 6) 办公室负责提交《信息安全事件处理报告》,结案。 6.相关文件 无 7、相关记录 《信息安全培训记录》 《信息系统用户权限申请单》 《员工离职申请单》 《机房出入登记表》 《数据备份计划表》 《信息安全风险识别表》 《信息安全事件处理报告》 《信息安全主题会议纪要》 发布日期: 2015-12-17 实施日期: 2015-12-18 版本号:A/0 第8页共7页