百科生活 投稿
关于【信息安全管理制度内容】,信息安全管理制度,今天小编给您分享一下,如果对您有所帮助别忘了关注本站哦。
- 内容导航:
- 1、公司信息安全管理制度
- 2、信息安全管理制度内容:信息安全管理制度
1、公司信息安全管理制度
公司信息安全管理制度
第一章 总则
第一节 为保证信息系统安全可靠稳定运行,降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁,结合公司实际,特制定本制度。
第二节 本制度适用于XX公司以及所属各部门的信息系统安全管理。
第二章 职责
第三节 相关部门职责
一、信息中心
(一)负责组织和协调XX公司的信息系统安全管理工作;
(二)负责建立XX公司信息系统网络成员单位间的网络访问规则;对公司本部信息系统网络终端的网络准入进行管理;
(三)负责对XX公司互联网接口进行管理,配置防火墙等信息安全设备;会同审计部对公司本部互联网上网行为进行管理并审计;
(四)根据《XX公司信息安全事件专项应急预案》,对XX公司统一建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,界定两级单位信息安全管理责任;
(五)负责XX公司网络边界、网络拓扑、网络设备等全局性的信息安全管理。
二、各部门
(一)负责组织和协调本部门信息安全管理工作。
(二)配合和协助业务主管部门完善相关制度建设,落实日常管理工作。
第三章 信息安全策略的基本要求
第四节 信息系统安全管理应遵循以下原则:
一、规范定级原则;
二、依法行政原则;
三、以人为本原则;
四、注重效费比原则;
五、全面防范、突出重点原则;
六、系统、动态原则;
七、特殊安全管理原则。
第五节 信息中心应根据业务需求和相关法律法规,组织制定公司信息安全策略,经主管领导审批发布后,对员工及相关方进行传达和培训。
第六节 制定信息安全策略时应充分考虑信息系统安全策略的“七定”要求,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。
第七节 信息安全策略主要包括以下内容:
一、信息网络与信息系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略;
二、对已投入运行且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞;
三、对安全体系的各种日志(如入侵检测日志等)审计结果进行研究,以便及时发现系统的安全漏洞;
四、定期分析信息系统的安全风险及漏洞、分析当前系统非常规登录的特点,及时调整安全策略;
五、制定人力资源、物理环境、访问控制、操作、备份、系统获取及维护、业务连续性等方面的安全策略,并实施。
第八节 公司审计部每年应组织对信息安全策略的适应性、充分性和有效性进行评审,必要时组织修订;当公司的组织架构、生产经营模式等发生重大变化时也应进行评审和修订。
第九节 根据“谁主管、谁负责”的原则,公司建立信息安全分级责任制,各层级落实信息系统安全责任。
第四章 人力资源安全管理
第十节 信息系统相关岗位设置应满足以下要求:
一、安全管理岗与其它任何岗位不得兼岗、混岗、代岗。
二、系统管理岗、网络管理岗与应用管理岗不得兼岗、混岗。
三、安全管理岗、系统管理岗、网络管理岗、应用管理岗、设备管理岗、技术档案管理岗原则上有人员备份。
四、以上岗位人员调离必须办理交接手续,所掌握的口令应立刻更换或注销该用户。
第十一节 人力资源部在相关岗位任职要求中应包含信息安全管理的相关文件和要求;将信息安全相关培训纳入年度员工培训计划,并组织实施。
第五章 信息系统物理和环境安全管理
第十二节 信息系统物理安全指为了保证信息系统安全可靠运行,不致受到人为或自然因素的危害,而对计算机设备、设施(包括机房建筑、供电、空调)、环境、系统等采取适当的安全措施。
第十三节 信息管理部门应采取切实可行的物理防护手段或技术措施对物理周边、物理入口、办公及生产区域等进行安全控制,防止无关人员未授权物理访问、损坏和干扰。
第十四节 针对于公司办公电脑系统,信息管理部门或审计部每周中午或下班后会不定时的抽查各部门的人员不在岗,办公电脑密码锁屏状态的检查。如发现员工离开工位,办公电脑未密码锁屏状态,审计部将会对当事员工的行为进行一次警告、二次纳入员工信用管理。
第十五节 信息管理部门应加强对信息系统机房及配线间的安全管理,要求如下:
一、根据《XX机房管理制度》工作人员需经授权,方能且只能进入中心机房的授权工作区;确因工作需要,需进入非授权工作区时,需由该授权工作区人员陪同;做好机房出入登记。
二、工作人员必须严格按照规定操作,未经批准不得超越自己职权范围以外的操作;操作结束时,必须退出已进入的操作画面;最后离开工作区域的人员应将门禁关闭。
三、非授权人员严禁操作中心机房UPS、专用空调、监控安防、门禁、消防及UPS供配电设备设施。
四、未经授权,任何人员不得擅自拷贝数据和文件等资料。
五、严禁将易燃、易爆、强磁性物品带入中心机房;严禁在机房内吸烟。
六、发生意外情况应立即采取应急措施,并及时向信息中心和直接领导报告。
第六章 信息系统资产管理
第十六节 信息管理部门应对信息和信息系统设备设施等相关资产建立台帐清单,并定期对其进行盘点清查,资产录入到“XX-ITLL管理系统”进行资产管理CMDB配置。
第十七节 设备使用人应对信息和信息系统设备设施、各类存储介质等相关资产进行标识。标识应张贴在信息设备的明显位置,做到信息完整、字迹清晰,并做好防脱落防护工作。
第十八节 信息管理部门应对主机进行控制管理,要求如下:一、关键业务生产系统中的主机原则上应采用双机热备份方式或其他备份处理方式,确保软件运行环境可靠;
二、一般业务生产系统中的主机、生产用PC前置机,关键设备可以采用软硬件配置完全相同的设备来实现冷备份;
三、各类设备在采购时技术规格中应明确服务响应时间、备品备件、现场服务等方面的要求,核心服务器、存储相应时间一般不高于4小时。
第十九节 各相关部门应加强信息设备安装、调试、维护、维修、报废等环节的管理工作,防止因信息设备丢失、损坏、失窃以及资产报废处置不当引起的信息泄露。
第七章 信息系统访问控制及操作安全管理
第二十节 公司将系统运行安全按粒度从粗到细分为四个层次:系统级安全、资源访问安全、功能性安全、数据域安全。
一、系统级安全策略包括:敏感系统的隔离、访问地址段的限制、登录时间段的限制、会话时间的限制、连接数的限制、特定时间段内登录次数的限制以及远程访问控制等。系统级安全是应用系统的第一道防护大门。
二、资源访问安全策略包括:对程序资源的访问进行安全控制,在客户端上,为用户提供和其权限相关的用户界面,仅出现和其权限相符的菜单和操作按钮;在服务端则对URL程序资源和业务服务类方法的调用进行访问控制。
三、功能性安全策略包括:功能性安全会对程序流程产生影响,如用户在操作业务记录时,是否需要审核,上传附件不能超过指定大小等。
四、数据域安全策略包括:一是行级数据域安全,即用户可以访问哪些业务记录,一般以用户所在单位为节件进行过滤;二是字段级数据域安全,即用户可以访问业务记录的哪些字段。
第二十一节 根据《运维管理员安全管理制度》用户管理应建立用户身份识别与验证机制,防止非法用户进入应用系统。具体要求如下:
一、公司按照相关的访问控制策略,对用户注册、访问开通、访问权限分配、权限的调整及撤销、安全登录、口令管理等方面进行访问控制的管理活动。
二、用户是指用以登录、访问和控制计算机系统资源的帐户。用户管理是指对用户进行分层、授权的管理。用户由用户名加以区分,由用户口令加以保护。按照计算机系统所承载的应用系统运行管理的需要,将用户分为超级用户、授权用户、普通用户、匿名用户四类,分别控制其权限。
(一)超级用户。拥有对运行系统的主机、前置机、服务器、数据库、运行进程、系统配置、网络配置等进行察看、修改、添加、重启等权限并可对下级用户进行授权的用户。由系统管理岗位或网络管理岗位主管进行分配,由系统管理员或网络管理员负责用户口令的日常管理。
(二)授权用户。拥有由超级用户根据应用系统开发或运行维护的特殊需要,经过岗位主管的审批,将一些系统命令运行权限所授予的普通用户,由授权用户负责用户口令的日常管理。
(三)普通用户。应用系统开发或运行维护人员为应用系统一般监控、维护的需要,由超级用户分配的一般用户,这类用户仅拥有缺省用户访问权限的用户,由用户负责口令的日常管理。
(四)匿名用户。匿名用户用于向公司网络内所有用户提供相应服务,这类用户一般仅拥有浏览权限,无用户名及口令,一般情况下只允许提供如:标准、期刊等无安全要求的系统服务时使用匿名用户。
三、对用户以及权限的设定进行严格管理,用户权限的分配遵循“最小特权”原则。
四、口令是用户用以保护所访问计算机资源权利,不被他人冒用的基本控制手段。口令策略的应用与其被保护对象有关,口令强度与口令所保护的资源、数据的价值或敏感度成正比。
(一)所有在公司局域网上运行的设备、计算机系统及存有公司涉密数据的计算机设备都必须设置口令保护。
(二)所有有权掌握口令的人员必须保证口令在产生、分配、存储、销毁过程中的安全性和机密性。
(三)口令应至少要含有8个字符;应同时含有字母和非字母字符口令。
(四)口令设置不能和用户名或登录名相同,不能使用生日、人名、英文单词等易被猜测、易被破解的口令,如有可能,采用机器随机生成口令。
(五)口令使用期限由各个系统安全要求而定。
(六)口令的使用期限和过期失效应尽可能由系统强制执行。
(七)设备在启用时,默认口令必须更改。
第二十二节 根据《XX机房管理制度》系统运行安全检查是安全管理的常用工作方法,也是预防事故、发现隐患、指导整改的必要工作手段。信息系统安全管理人员应做好系统运行安全检查与记录。检查范围:
一、应用系统的访问控制检查。包括物理和逻辑访问控制,是否按照规定的策略和程序进行访问权限的增加、变更和取消,用户权限的分配是否遵循“最小特权”原则。
二、应用系统的日志检查。包括数据库日志、系统访问日志、系统处理日志、错误日志及异常日志。
三、应用系统可用性检查:包括系统中断时间、系统正常服务时间和系统恢复时间等。
四、应用系统能力检查。包括系统资源消耗情况、系统交易速度和系统吞吐量等。
五、应用系统的安全操作检查。用户对应用系统的使用是否按照信息安全的相关策略和程序进行访问和使用。
六、应用系统维护检查。维护性问题是否在规定的时间内。
解决,是否正确地解决问题,解决问题的过程是否有效等。
七、应用系统的配置检查。检查应用系统的配置是否合理。和适当,各配置组件是否发挥其应有的功能。
八、恶意代码的检查。是否存在恶意代码,如病毒、木马、隐蔽通道导致应用系统数据的丢失、损坏、非法修改、信息泄露等。
九、检查出现异常时应进行记录,非受控变化应及时报告,以确定是否属于信息安全事件,属于信息安全事件的应及时处理。
第二十三节 信息管理部门应定期对重要系统、配置及应用进行备份。备份管理要求如下:
一、各系统应于投产前明确数据备份方法,对数据备份和还原进行必要的测试,并根据实际运行需要及时调整,每次调整应进行测试;
二、对系统配置、网络配置和应用软件应进行备份。在发生变动时,应及时备份;
三、业务数据备份按照各生产系统备份计划的具体要求进行,尽可能实现异地备份;
四、集中管理的系统、设备数据的备份工作由所在单位的信息部门负责;
五、备份介质交接应严格履行交接手续,做好交接登记;
六、介质存放地必须符合防盗、防火、防水、防鼠、防虫、防磁以及相应的洁净度、温湿度等要求。
第八章 网络与通信安全管理
第二十四节 信息化管理部门采取必要的技术手段和管理措施,加强对网络和通信安全的管理,保障公司内外信息传递安全。网络安全管理包含网络访问控制、安全机制、网络服务、网络隔离等,基本要求是:
一、定期对重要网络设备运行情况进行安全检查,发现隐患及时上报或整改,并做好记录巡检。
二、定期备份重要网络和通信设备配置文件,确保发生故障时能及时恢复网络运行,保证网络的可用性。
第二十五节 加强内部网络安全管理,具体要求如下:
一、网络机房分区应独立、封闭。
二、网络设备脱离生产环境前应清空所有网络配置。
三、骨干网络设备应有备份,接入网络设备原则上应按5%比例备份。
四、网络结构和网络配置应最大限度地保证网络的健壮性、安全性。
五、企业网应根据需要划分不同的VLAN,并通过访问控制列表控制各VLAN的访问权限。
六、内部网络计算机未经批准不得安装网络探测软件,严格禁止安装任何黑客软件。
七、生产网络和测试网络必须实行分离,严禁在生产环境中做各种类型的业务测试。
第二十六节 加强外联网络安全管理,具体要求如下:
一、外联网络安全遵循最小权限原则,访问控制策略是“允许必须,禁止其他”。
二、外联网络在穿过不可控区域时数据传输原则上应采用加密技术。
三、制定外联网络方案时应注意保守本公司网络拓扑结构、IP地址、端口、安全策略等秘密,并注意了解对方网络结构及其变化情况。
第二十七节 加强互联网安全管理,具体要求如下:
一、互联网与内部网络必须有相关的逻辑隔离,涉及国家秘密的信息不得通过互联网传输。
二、不得访问有关黑客网站,不得下载、安装黑客软件。
三、公司员工访问互连网,必须遵守《中华人民共和国计算机信息网络国际联网管理暂行规定》等规定,不得利用国际互连网从事损害国家、公司及他人利益的活动。
第九章 信息系统供应商安全管理
第二十八节 公司对信息系统供应商实施安全管理。信息系统供应商包括设备类供应商、技术类供应商、咨询服务类供应商、或者是以上几类的任意组合。
第二十九节 信息系统实施过程中,信息化管理部门应与供应商签订安全保密协议,明确信息安全要求。
第三十节 信息化管理部门应对供应商服务全过程进行监视和控制。
第十章 信息安全事件管理
第三十一节 根据《XX公司信息安全事件专项应急预案》,信息安全事件指导致信息资产丢失和损坏,影响信息系统正常工作甚至业务中断的事件。主要有:
一、信息系统软硬件故障;
二、网络通信系统故障;
三、机房供配电系统故障;
四、系统感染计算机病毒;
五、信息系统遭水灾、火灾、雷击;
六、信息网络遭遇入侵或攻击;
七、信息系统内的敏感数据失窃、泄露;
八、信息设备损坏、滥用或失窃;
九、信息被非法访问、使用及篡改;
十、违背信息安全策略规定的其他事项。
第三十二节 信息安全事件管理包括组织机构、职责和规程的建立,信息安全事态及信息安全弱点的报告和评估,信息安全事件的应急处理等。
一、建立信息安全事件管理机构和应急预案
(一)公司信息安全事件管理机构包含:XX公司审计部,负责领导信息安全事件管理工作;各级信息化管理部门,负责处置信息安全事件;信息安全事件响应小组(负责人),负责信息安全事件响应和应急处理。
(二)信息化管理部门针对各类信息安全事件应分别制定相应的应急预案,开展必要的知识、技能、意识等培训。适时组织相关人员开展应急演练。
二、开展信息安全事态及信息安全弱点报告和评估。信息系统安全管理和维护人员应加强对网络信息系统日常检查维护,了解外部信息安全变化,充分掌握信息安全事态,及时发现和消除危及系统安全的各类安全隐患。当发现险情时,应立即报告信息安全事件处置责任部门。完成信息安全事件处理后,应及时进行评估和改进,避免再次发生,并做好记录。
三、信息安全事件应急处理,要求如下:
(一)当信息系统出现险情时,维护人员和各级应急救援人员应正确履行应急预案所赋的职责和执行信息安全事件处置责任部门下达的指令。
(二)在发生网络与信息安全事件后,信息化管理部门应尽最大可能迅速收集事件相关信息,鉴别事件性质,确定事件来源,弄清事件范围和评估事件带来的影响和损害。一旦确认为网络与信息安全事件后,立即将事件上报信息安全领导小组并着手处置。
(三)安全事件进行最初的应急处置以后应及时采取行动,抑制其影响的进一步扩大,限制潜在的损失与破坏,同时要确保应急处置措施对涉及的相关业务影响最小。
(四)安全事件被抑制之后,通过对有关事件或行为的分析结果,找出其根源,明确相应的补救措施并彻底清除。
(五)在确保安全事件解决后,要及时清理系统、恢复数据、程序、服务恢复工作应避免出现误操作导致数据丢失。
(六)信息安全事件发生时,应及时向公司审计部汇报,并及时报告处置工作进展情况。事件处置中要作好完整的过程记录,保存各相关系统日志直至处置工作结束。
(七)系统恢复运行后,信息管理部门应对事件造成的损失、事件处理流程和应急预案进行评估。对响应流程、预案提出修改意见、总结事件处理的经验和教训,撰写“信息安全事件处理报告”。同时确定是否需要上报该事件及其处理过程,需要上报的应及时准备相关材料,属于重大事件或存在违法犯罪行为的第一时间向公安机关网络监察部门报案。
第十一章 附则
第三十三节 本文件所引用的文件见附录1。
第三十四节 本文件由信息中心负责解释。
第三十五节 本文件自下发之日起执行。
附录1
序号
文件名称
发布单位
1
《XX公司信息安全事件专项应急预案》
信息中心
2
《XX机房管理制度》
信息中心
3
《运维管理员安全管理制度》
信息中心
2、信息安全管理制度内容:信息安全管理制度
信息安全管理制度
1目标
胜达集团信息安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。
2评估依据、范围和方法
2.1 评估依据
根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[20xx]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[20xx]48号)以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。
2.2 评估范围
本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等,
管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。
2.3 评估方法
采用自评估方法。
3重要资产识别
对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,形成重要资产清单。
资产清单见附表1。
4安全事件
对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列表。安全事件列表见附表2。
5安全检查项目评估
5.1 规章制度与组织管理评估
5.1.1组织机构
5.1.1.1评估标准
信息安全组织机构包括领导机构、工作机构。
5.1.1.2现状描述
本局已成立了信息安全领导机构,但尚未成立信息安全工作机构。
5.1.1.3 评估结论
完善信息安全组织机构,成立信息安全工作机构。
5.1.2岗位职责
5.1.2.1估标准
岗位要求应包括:专职网络管理人员、专职应用系统管理人员和专职系统管理人员;专责的工作职责与工作范围应有制度明确进行界定;岗位实行主、副岗备用制度。
5.1.2.2现状描述
我局没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员,都是兼责;专责的工作职责与工作范围没有明确制度进行界定,岗位没有实行主、副岗备用制度。
5.1.2.3 评估结论
本局已有兼职网络管理员、应用系统管理员和系统管理员,在条件许可下,配置专职管理人员;专责的工作职责与工作范围没有明确制度进行界定,根据实际情况制定管理制度;岗位没有实行主、副岗备用制度,在条件许可下,落实主、副岗备用制度。
5.1.3病毒管理
5.1.3.1 评估标准
病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、病毒预警和报告机制、病毒扫描策略(1周内至少进行一次扫描)。
5.1.3.2 现状描述
本局使用Symantec防病毒软件进行病毒防护,定期从省公司病毒库服务器下载、升级安全策略;病毒预警是通过第三方和网上提供信息来源,每月统计、汇总病毒感染情况并提交局生技部和省公司生技部;每周进行二次自动病毒扫描;没有制定计算机病毒防治管理制度。
5.1.3.3 评估结论
完善病毒预警和报告机制,制定计算机病毒防治管理制度。
5.1.4运行管理
5.1.4.1 评估标准
运行管理应制定信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度并实行工作票制度;制定机房出入管理制度并上墙,对进出机房情况记录。
5.1.4.2 现状描述
没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,没有实行工作票制度;机房出入管理制度上墙,但没有机房进出情况记录。
5.1.4.3评估结论
结合本局具体情况,制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维
流程、值班制度,实行工作票制度;机房出入管理制度上墙,记录机房进出情况。
5.1.5账号与口令管理
5.1.5.1 评估标准
制订了账号与口令管理制度;普通用户账户密码、口令长度要求符合大于6字符,管理员账户密码、口令长度大于8字符;半年内账户密码、口令应变更并保存变更相关记录、通知、文件,半年内系统用户身份发生变化后应及时对其账户进行变更或注销。
5.1.5.2 现状描述
没有制订账号与口令管理制度,普通用户账户密码、口令长度要求大部分都不符合大于6字符;管理员账户密码、口令长度大于8字符,半年内账户密码、口令有过变更,但没有变更相关记录、通知、文件;半年内系统用户身份发生变化后能及时对其账户进行变更或注销。
5.1.5.3 评估结论
制订账号与口令管理制度,完善普通用户账户与管理员账户密码、口令长度要求;对账户密码、口令变更作相关记录;及时对系统用户身份发生变化后对其账户进行变更或注销。
5.2 网络与系统安全评估
5.2.1网络架构
5.2.1.1 评估标准
局域网核心交换设备、城域网核心路由设备应采取设备冗余或准备备用设备,不允许外联链路绕过防火墙,具有当前准确的网络拓扑结构图。
5.2.1.2 现状描述
局域网核心交换设备准备了备用设备,城域网核心路由设备采取了设备冗余;没有不经过防火墙的外联链路,有当前网络拓扑结构图。
5.2.1.3 评估结论
局域网核心交换设备、城域网核心路由设备按要求采取设备冗余或准备备用设备,外联链路没有绕过防火墙,完善网络拓扑结构图。
5.2.2网络分区
5.2.2.1 评估标准
生产控制系统和管理信息系统之间进行分区,VLAN间的访问控制设置合理。
5.2.2.2 现状描述
生产控制系统和管理信息系统之间没有进行分区,VLAN间的访问控制设置合理。
5.2.2.3评估结论
对生产控制系统和管理信息系统之间进行分区,VLAN间的访问控制设置合理。
5.2.3 网络设备
5.2.3.1 评估标准
网络设备配置有备份,网络关键点设备采用双电源,关闭网络设备HTTP、FTP、TFTP等服务,SNMP社区串、本地用户口令强健(>8字符,数字、字母混杂)。
5.2.3.2 现状描述
网络设备配置没有进行备份,网络关键点设备是双电源,网络设备关闭了HTTP、FTP、TFTP等服务,SNMP社区串、本地用户口令没达到要求。
5.2.3.3 评估结论
对网络设备配置进行备份,完善SNMP社区串、本地用户口令强健(>8字符,数字、字母混杂)。
5.2.4 IP管理
5.2.4.1 评估标准
有IP地址管理系统,IP地址管理有规划方案和分配策略,IP地址分配有记录。
5.2.4.2 现状描述
没有IP地址管理系统,正在进行对IP地址的规划和分配,IP地址分配有记录。
5.2.4.3 评估结论
建立IP地址管理系统,加快进行对IP地址的规划和分配,IP地址分配有记录。
5.2.5补丁管理
5.2.5.1 评估标准
有补丁管理的手段或补丁管理制度,Windows系统主机补丁安装齐全,有补丁安装的测试记录。
5.2.5.2现状描述
通过手工补丁管理手段,没有制订相应管理制度;Windows系统主机补丁安装基本齐全,没有补丁安装的测试记录。
5.2.5.3 评估结论
完善补丁管理的手段,制订相应管理制度;补缺Windows系统主机补丁安装,补丁安装前进行测试记录。
5.2.6系统安全配置
5.2.6.1 评估标准
信息安全管理制度
为确保计算机网络(内部信息平台)系统安全、高效运行和各类设备运行处于良好状态,正确使用和维护各种设备、管理有章、职责明确,特制定本制度。
一、一般规定
1、严禁在网络服务器上安装一切与工作无关的软件。严禁将外来不明的磁盘、光盘、软件在网络服务器上使用。严禁在网络上运行或传播一切法律法规禁止、有损公司机关形象以及涉及公司秘密、危害公司安全的软件或图文信息。
2、无关人员不准进入机房,不准违规操作和使用机房设备,不准私自将机房设备带离机房。需借用机房设备的,机房工作人员必须上报,经分管领导同意,并办理有关登记手续后方可借出。
3、做好机房设备的日常维护工作,严禁在机房内吸烟,不准在机房堆放杂物和垃圾,保持机房室内整洁。下班时,必须关闭不用的设备及电源,锁好机房门窗,方可离开。
二、值班巡视规定
1、值班由委门卫一并负责,遵照委值班规定。
2、巡视由网络管理员负责,巡视人员要遵守以下职责:
(1)要在第一时间发现隐患,并及时报告,使相关管理人员能及时赶到现场尽最大可能缩短故障恢复时间。
(2)履行机房的各项规定,不得作与工作、业务无关的任何私事,不得擅自离开岗位。督促进入机房人员严格遵守。
(3)负责机房的环境设备与网络(内部信息平台)系统的安全运行;
负责完成规定的日常操作和故障监测记录,简单故障的排除,负责环境设备的日常巡视。
3、巡视内容包括:
(1)网络(内部信息平台)运行设备的巡视:各服务器的CPU和内存的工作状况;
防火墙的工作状况;网站的工作状况;交换机的工作状况;客户端的网络(内部信息平台)运行速度;认真做好记录。
(2)机房环境的巡视:机房门的关闭情况,机房的卫生状况,机房的灯光状况,机房的温度、湿度及空气状况,认真做好记录。
(3)机房设备的巡视:对机房空调系统的运行情况进行经常性巡视,密切注意工作负荷、电池容量、室内温湿度等数值,以保证网络(内部信息平台)安全、正常的运行;
主配深圳前海润林供应链实业有限公司
电柜的供电电压、电流;空调的工作状况;认真做好巡视记录。
三、日常管理规定
1、到机房工作的人员不得在机房内吃食品,饮水,吸烟或其他与工作无关的事宜。
2、到机房工作的人员严禁携带与工作无关的物品,特别是易燃、易爆、强磁、腐蚀性物体等危险物品进入机房。
3、到机房工作的人员应严格遵守岗位责任制,不能乱动与自己工作无关的设备,严禁在机房大声喧哗、玩电子游戏、聊天等。
4、机房内不能存放任何食品,严禁在机房内存放杂物,严禁在机房内使用其他用电器。
四、运行维护规定
1、配电柜一年进行至少两次维护检查。内容包括:清扫灰尘检查各接点、触电的温升,松紧。
2、机房专用空调每年进行两次巡检,维护内容:清扫及更换各过滤网、清洗或更换加湿罐、清扫室外机、测量工作压力、测量工作电压、电流、检查下水管道是否畅通及漏水报警是否正常、进行软化水更换。
3、机房防雷设施每年检查一次,维护内容:检测个防雷器的可靠性、检查接地状况。
4、机房每年进行两次专业保洁,维护内容:对机房的地板进行调整和清洁、对底板下、天棚板上进行清洁。
五、安全保密规定
1、做好防雷、防火、防水、防盗、防虫害。
防雷:按公司的规定对机房的设备进行接地。每年要按公司的规定对防雷设施及设备接地进行检测。
防火:需按公司的规定在计算机机房进行设置消防设施。设施每年要按公司规定进行检测。
防水:要经常检查机房的防漏水情况,空调、门窗及屋顶。
防盗:严格机房进出管理,门禁要24小时工作,严格执行进出机房的登记制度、严格执行进出机房不得携带其他物品的规定。
防虫害:经常检查机房的顶棚上和地板下的封闭情况,不得在机房内在放食品,不得在机房内堆放杂物。
2、网络(内部信息平台)运行安全管理
(1)对INTERNET网的进口要加装防火墙。防火墙的设置要经常根据需要进行调整以防入侵。
(2)对所有服务器要安装病毒软件,要经常对防病毒软件进行升级。经常对计算机病毒进行检测。
3、系统设备安全管理
(1)进入机房不得带拷贝工具和便携机;
(2)机房内所有服务器应设有开机密码、系统登陆密码;
(3)机房内所有服务器都应设有带密码的屏幕保护;
(4)网管人员操作后应将服务器处于锁定状态;
(5)非网管人员不得私自操作任何服务器;
(6)认真遵守公司的各项保密制度;
(7)严格遵守党和公司的保密制度。有关打印结果、存储介质及原始数据必须有本人保管。带有密级的媒体应用时锁入保险柜中,收、发要登记。定期集中销毁废弃的涉密纸、物;
(8)需要于正常工作时之外使用机房加班的人员,应得到主管领导的批准,并向运行值班人员办理登记手续。机房的值班人员必须同时在场陪同;
(9)严禁与机房工作无关的人员进入机房;
(10)非机房工作人员在机房工作是必须有机房值班人员陪同;
(11)机房内各类服务器应由专人分类管理
(12)建立设备、资料责任制。
信息安全管理制度
1目的
为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制,减少信息安全事件和故障所造成的损失,采取有效的纠正与预防措施,特制定本程序。
2范围
本程序适用于***业务信息安全事件的管理。
3职责
3.1信息安全管理流程负责人
确定信息安全目标和方针;
确定信息安全管理组织架构、角色和职责划分;
负责信息安全小组之间的协调,内部和外部的沟通;
负责信息安全评审的相关事宜;
3.2信息安全日常管理员
负责制定组织中的安全策略;
组织安全管理技术责任人进行风险评估;
组织安全管理技术责任人制定信息安全改进建议和控制措施;
编写风险改进计划;
3.3信息安全管理技术责任人
负责信息安全日常监控;
信息安全风险评估;
确定信息安全控制措施;
响应并处理安全事件。
4工作程序
4.1信息安全事件定义与分类
信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响(后果)的。
造成下列影响(后果)之一的,均为一般信息安全事件。
a) ***秘密泄露;
b)导致业务中断两小时以上;
c)造成信息资产损失的火灾;
d)损失在一万元人民币(含)以上的故障/事件。
造成下列影响(后果)之一的,属于重大信息安全事件。
a)组织机密泄露;
b)导致业务中断十小时以上;
c)造成机房设备毁灭的火灾;
d)损失在十万元人民币(含)以上的故障/事件。
4.2信息安全事件管理流程
由信息安全管理负责人组织相关的运维技术人员根据***对信息安全的要求,确认代码管理相关信息系统的安全需求;
对代码管理相关信息系统进行信息安全风险评估,预测风险类型、风险发生的可能性、风险级别、潜在的业务影响,形成信息安全风险评估报告;
由信息安全日常管理员组织相关技术人员根据对根据风险评估的结果以及服务级别协议的安全需求,提出现阶段的安全改进建议,并提交至信息安全管理负责人进行评估;若同意执行安全改进建议,则在变更管理的控制下实施安全建议;
信息安全日常管理员根据安全改进之后的信息系统安全现状提出具体的安全控制措施,形成风险处置计划;
根据风险处置计划,实施信息安全控制措施,尽可能的降低信息和业务风险;
监视信息系统的活动并识别反常的活动和安全事件,并记录下来,做初步的响应和处理;评估安全漏洞和不符合安全要求的任何情况,并采取必要的纠正措施;
对发现的或已发生的信息安全事件,按照信息安全事件响应程序进行处理;
每年一次或在发生重大信息安全事件时进行信息安全评审,分析信息安全事件的显现趋势、信息安全管理的改进等信息,并形成风险改进计划,持续改进信息系统安全。
4.3信息安全事件事后处理措施
对于一般信息安全事件,在故障排除或采取必要措施后,相关信息安全管理职能部门会同事件责任部门,对事件的原因、类型、损失、责任进行鉴定,形成《信息安全事件报告》,报信息安全管理者代表批准;对于重大信息安全事件的处理意见还应上报信息安全管理委员会讨论通过。
对于违反组织信息安全方针、程序安全规章所造成的信息安全事件责任者依据以下措施予以惩戒。
处罚方式:
一般安全事故,根据所造成的经济损失,由***办公室通过邮件发出正式严重警告。
一年内累计出现三次或三次以上的一般安全事故,报***领导批准后进行相应惩罚,并在***进行通报批评。
造成重大安全事故的,***有权将责任人调离原工作岗并给予相应惩罚。
一年内累计出现二次或二次以上的重大安全事故,***有权解除劳动合同并依法追究法律责任。
如果属于故意行为导致信息安全事故,***有权解除劳动合同并依法追究法律责任。
对于信息安全事故责任人的处理结果由处理部门在***范围内予以通报。
负有信息安全事故处罚的各职能部门在确定实施处罚后,***室与被处罚部门沟通,确认责任者及处罚方式并上报***领导。
信息安全管理职能部门要求事件责任部门制定纠正措施并实施,实施结果记录在《信息安全事件报告》。
由信息安全管理职能部门对实施情况进行跟踪验证,验证结果记入《信息安全事件报告》。
4.4报告信息安全薄弱点与预防措施
***与信息安全管理有关的所有员工发现信息安全薄弱点或潜在威胁均应履行报告义务。
对以下行为应给予奖励:
及时发现非责任区信息安全隐患,该隐患足以导致信息安全事故的;
及时发现非责任区信息安全重大隐患,该隐患足以导致信息安全重大事故的;
及时发现并制止系统操作问题以避免设备重大损失或人员死亡的;
及时制止或报告泄露商业机密的事件以避免***重大经济损失或及时中止正在进行中的商业泄密行为的;
在信息安全事故中采取积极有效措施,降低损失的程度。
奖励方式如下:
根据防止一般安全事故发生、一年内防止一般安全事故发生三次或三次以上、防止造成重大安全事故、及时中止正在进行中的商业泄密行为、提出信息安全合理化建议等级别,报请***批准后,给予相应表扬或奖励,并作为年底工作考核依据。
发现信息安全事故、薄弱点与故障的员工填写《一般信息安全事件/薄弱点报告》,相关的代码管理中心及信息安全实验室进行调查后,确定是否采取预防措施,确认责任部门并实施。
5相关文件
6相关记录
本文关键词:信息安全管理体系,医院信息安全管理制度,18项核心制度信息安全管理制度,信息安全管理体系标准,护理信息安全管理制度。这就是关于《信息安全管理制度内容,信息安全管理制度(公司信息安全管理制度)》的所有内容,希望对您能有所帮助!
- 最近发表