04 信息安全管理制度.docx

文 件 名 称 文件编号 信息安全管理制度 Trigiant/L/M/O03-2015 信息安全管理制度 江苏俊知技术有限公司 目录 文件批准页4 文件发放范围4 1、目的5 2、适用范围5 3、定义和术语6 4、职责6 5、具体内容6 6．相关文件9 7、相关记录9 前言 本标准按工业与信息化部《信息化和工业化融合管理体系要求》起草。 本标准由人力资源部提出并归口。 本标准起草人：丁胜超 本标准编制部门：办公室。 下次标准审查/升级最迟时间：2018年12月。 标准于2015年12月首次发布。 将历次修订记录保留如下（保留最近三次修订内容）： 修改前号版本 修改后的版本号 主要修订内容 修订部门 修订人 文件批准页 文件名称 信息安全管理制度 需会签 部门 签名 需会签 部门 签名 √ 办公室 沈小鹏 √ 生产部 潘建宇 √ 人力资源部 王榴贤 √ 技术部 姚文讯 √ 保卫部 郝广允 √ 质量部 王晓益 √ 研发中心 郭志宏 √ 设备部 顾小锋 √ 财务部 陆利云 √ 采购部 朱宝玲 √ 营销管理部 顾东明 编制 办公室 丁胜超 批准 丁伟林 文件发放范围 部门 份数 部门 份数 部门 份数 总经理 1 管理者代表 1 副总经理 各1份 办公室 1 人力资源部 1 研发中心 1 保卫部 1 财务部 1 采购部 1 营销管理部 1 生产部 1 技术部 1 质量部 1 设备部 1 1、目的 对公司信息系统所连接的设备设施、软件系统、数据信息、操作行为等方面进行充分、有效的管理和利用，以保证信息系统能够高效支撑公司的经营管理。 2、适用范围 本制度适用于公司各信息系统所连接的各种设备设施、运行的各种软件系统、采集的各种数据与信息、相关用户的各种操作行为等，包括但不限于： · 个人电脑、终端（含智能手机）、服务器、路由器、交换机等（见《信息化设备设施管理制度》）； · Windows、Office等各类操作系统与办公软件； · ERP、OA等各类业务与管理软件； · 各类文件电子档； · 客户资料、报销单据、出入库记录等各类业务与财务资料； · 用户上网、收发邮件、审批工作流、数据备份等各类系统操作。 3、定义和术语 无。 4、职责 角色 职责 办公室 为信息安全管理的主责部门，主要职责包括但不限于； · 向公司全员宣贯安全意识； · 识别、分析信息安全隐患，采取应对措施； · 处理信息安全相关事件； · 设定信息安全应急预案。 · 持续提升公司信息安全水平 使用部门 为信息安全管理的执行部门，主要职责包括但不限于； · 在使用过程中严格遵循信息安全规范； · 发现信息安全隐患或故障时及时报告办公室。 5、具体内容 5.1培养信息安全意识 1) 办公室组织面向全员信息安全意识的培训，并结合典型案例提请用户杜绝各种不良习惯，避免信息安全事故的发生。 2) 办公室须告诫客户在发现信息安全隐患时，及时通知办公室，而非擅自处理，以免造成更大损失。 3) 办公室在各类信息系统中使用强密码策略，并设定密码更新策略（至少每6个月内修改一次）。 5.2安全原则 信息安全通常遵循CIA三原则：机密性（Confidentiality）、完整性（Integrality）、可用性（Availability）。 1) 信息的保密性：指信息不可被非法访问。一般通过信息加密和权限管理实现。 2) 信息的完整性：指信息在存储或传输的过程中不可被非法篡改。一般通过数据校验实现。 3) 信息的可用性：指信息对于授权用户必须及时可用。一般通过数据备份实现。 公司基于上述原则制订信息安全策略并采取相应措施。 5.3信息保密性保障 1) 所有业务系统通过用户权限设定进行访问控制； 2) 所有系统账户的授权申请（包括变更）必须经由用户所属部门领导书面批准，再由办公室在系统中进行设定； 3) 用户申请权限时应遵循职责分离（SOD：Separation of Duties）原则，避免一人包办全部业务流程； 4) 禁止系统帐号的滥用（包括借用与混用）；一旦因帐号滥用发生后果，追究帐号持有人的主要责任； 5) 禁止管理员冒用用户帐号；一经发现，按窃用处理； 6) 在可能情况下，启用信息系统的访问日志功能，以保证用户帐号登录事件的可追溯； 7) 员工离职时，人力资源委托办公室检查当事人的信息化设备与系统帐号持有情况；待妥善交接处理并由办公室签署意见后，再由人力资源办理后续手续。 8) 必要时，对机密或敏感数据进行加密处理。 9) 对加密数据必须保留原始备份，以免解密实效时造成数据锁死。 5.4信息完整性保障 1) 办公室负责为公司信息网络所连接的各种信息化设备（包括服务器、客户机等）加装防病毒程序，以保证信息系统及数据不被破坏或窃取； 2) 办公室负责设置网络防火墙及网关设备，对进出内外网的信息进行监视，避免恶意程序的入侵，同时防止内部信息的泄漏； 3) 办公室负责对公司机房的管理，禁止非授权人员进出，避免对系统设定进行破坏，或植入恶意程序；必要时，安装监控与报警装置； 4) 对客户机进行管制，禁止本地管理员账户，防止因用户私装程序而对系统环境造成破坏； 5) 办公室在构建信息系统涉及数据交换时，必须设置数据校验机制，避免无效或错误数据进入系统，防止数据在传输、转换的过程中被篡改； 6) 使用部门作业员在采集业务数据时，必须保证原始数据的准确性；同时各业务主管也可通过业务报表发现异常，及时进行纠正或冲抵录入错误。 5.5数据可用性保障 1) 为保证在发生信息系统灾难后，能够尽快恢复系统作业，保持业务的连续性，办公室须制订数据备份计划，并按计划进行系统配置及数据备份，同时检查备份任务的完成情况； 2) 备份数据应与数据源保持必要的物理距离。 3) 办公室至少每6个月安排系统及数据恢复测试，以保证其可用性。 5.6信息安全风险识别与事件处理 1) 办公室对可能导致信息安全风险因素进行全面识别和评估； 2) 一旦发生信息安全事件，包括：用户帐号权限滥用、保密信息泄露、外部入侵、网络瘫痪、数据损毁等，相关部门会同办公室采取紧急措施，防止事件影响进一步扩大； 3) 办公室立案； 4) 办公室组织寻找事件发生的根源，给出有针对性的解决方案，报管理层审批； 5) 办公室根据审批结果，会同相关使用部门采取相应措施，并观察、检测实施效果； 6) 办公室负责提交《信息安全事件处理报告》，结案。 6．相关文件 无 7、相关记录 《信息安全培训记录》 《信息系统用户权限申请单》 《员工离职申请单》 《机房出入登记表》 《数据备份计划表》 《信息安全风险识别表》 《信息安全事件处理报告》 《信息安全主题会议纪要》 发布日期： 2015-12-17 实施日期： 2015-12-18 版本号：A/0 第8页共7页