第一篇:三级保密资质归口管理制度
保密归口管理制度
为切实推动建立健全公司保密管理体系建设,落实“业务工作谁主管,保密工作谁负责”的原则,根据《军工保密资格认定工作指导手册》(2017年版)规定,结合本公司实际,特制定本制度。
一、技术部负责公司定密工作
技术部根据任务或者项目原始秘级和有关保密范围,制定本公司《国家秘密事项范围细目》,经单位法定定密责任人审批后生效。技术部根据《国家秘密事项范围细目》提出拟定密级、保密期限和知悉范围的建议,经审批后生效。
二、人力资源负责公司涉密人员的管理
人力资源负责涉密人员审查、考核、绩效评定、奖惩、出入境管理、离岗离职脱密管理、保密补贴发放等工作。
三、人力资源负责公司保密教育培训
人力资源负责拟定年度保密培训计划,负责保密法规知识的宣传、教育、培训工作。
四、综合办公室负责公司涉密载体的管理。
综合办公室负责公司涉密载体收发、传递、借阅、使用、销毁和保管工作。
五、生产部负责公司密品管理
生产部应当明确密品的密级、建立台账。对密品的运输、销毁过程负责。
六、保密公室负责公司保密要害部门部位的管理
保密办公室对保密要害部位部门采取出入口控制、入侵报警、视频监控等技防措施。
七、技术部负责公司信息设备和存储设备的管理和运行维护工作
技术部对公司信息设备、存储设备实施全生命周期管理,并按照要求对设备进行标识。对其运行过程进行维护。
八、市场部负责公司新闻宣传的管理
市场部对宣传报道、展览、知识产权、论文等内容进行审批,对于含有涉密信息的资料要经过甲方单位审批。
九、综合办公室负责公司涉密会议的管理工作
综合办公室在举办涉密会议时,需要在具备安全保密条件的场所举行,做好涉密会议检查工作,对参会人员、涉密载体的发放、清退、保管、销毁等指定专人负责。
十、技术部负责公司的外场试验
在进行外场试验时,要制定保密方案,并指定保密责任人。
十一、综合办公室负责协助配套管理
综合办公室应选择具有相应保密资格的单位进行合作,要与协作单位人员签订合同保密条款或签订保密责任书。
十二、综合办公室负责涉外管理
综合办公室进行对外交流、合作、谈判等工作时应该制定保密方案;接待境外人员来访时,要明确身份、明确活动区域。
十三、公司的保密检查工作由保密办公室、人力资源、各相关部门负责,其中具体检查工作安排参考保密监督检查制度。
第二篇:三级资质
三级资质
(一)综合条件
1、企业是在中华人民共和国境内注册的企业法人,变革发展历程清晰、产权关系明确,取得计算机信息系统集成企业四级资质的时间不少于一年,或从事系统集成业务的时间不少于两年;
2、企业不拥有信息系统工程监理单位资质;
3、企业主业是系统集成,近三年的系统集成收入总额占营业收入总额的比例不低于50%;
4、企业注册资本和实收资本均不少于200万元。
(二)财务状况
1、企业近三年的系统集成收入总额不少于5000万元(或不少于4000万元且近三年完成的系统集成项目总额中软件和信息技术服务费总额所占比例不低于70%),财务数据真实可信,须经在中华人民共和国境内登记的会计师事务所审计;
2、企业财务状况良好,最近没有出现亏损。
(三)信誉
1、企业有良好的资信,近三年无触犯国家法律法规的行为;
2、企业有良好的知识产权保护意识,近三年完成的系统集成项目中无销售或提供非正版软件的行为;
3、企业有良好的履约能力,近三年没有因企业原因造成验收未通过的项目或应由企业承担责任的用户重大投诉;
4、企业近三年无不正当竞争行为;
5、企业遵守计算机信息系统集成企业资质管理相关规定,在资质申报和资质证书使用过程中诚实守信,近三年无不良行为。
(四)业绩
1、近三年完成的系统集成项目总额不少于5000万元(或不少于4000万元且近三年完成的系统集成项目总额中软件和信息技术服务费总额所占比例不低于70%)。这些项目已通过验收;
2、近三年至少完成1个合同额不少于300万元的系统集成项目,或所完成合同额不少于100万元的系统集成项目总额不少于300万元,或所完成合同额不少于50万元的纯软件和信息技术服务项目总额不少于150万元;
3、近三年完成的系统集成项目总额中软件和信息技术服务费总额所占比例不低于30%,或软件和信息技术服务费总额不少于1500万元,或软件开发费总额不少于800万元。
(五)管理能力
1、已建立质量管理体系,通过国家认可的第三方认证机构认证,并能有效运行;
2、已建立完备的客户服务体系,能及时、有效地为客户提供服务;
3、企业的主要负责人从事信息技术领域企业管理的经历不少于3年,主要技术负责人应具有计算机信息系统集成项目管理人员资质或电子信息类专业硕士及以上学位或电子信息类中级及以上技术职称、且从事系统集成技术工作的经历不少于3年,财务负责人应具有财务系列初级及以上职称。
(六)技术实力
1、在主要业务领域具有较强的技术实力;
2、经过登记的自主开发的软件产品不少于3个,且部分软件产品在近三年已完成的项目中得到了应用;
3、有专门从事软件或系统集成技术开发的研发人员,已建立基本的软件开发与测试体系,研发及办公场地面积不少于300平米。
(七)人才实力
1、从事软件开发与系统集成相关工作的人员不少于50人,其中大学本科及以上学历人员所占比例不低于60%;
2、具有计算机信息系统集成项目管理人员资质的人数不少于6名,其中高级项目经理人数不少于1名;
3、已建立合理的人力资源培训与考核制度,并能有效实施。
第三篇:三级保密资质信息系统安全策略文件V2.0
内部资料 注意保存
信息设备与存储设备安全策略
目录
第一条 概述..................................................................................................................2 第二条 适用范围..........................................................................................................2 第三条 目标..................................................................................................................2 第四条 安全原则..........................................................................................................2 第五条 安全方针..........................................................................................................4 第六条 安全组织机构..................................................................................................4 第七条 安全管理人员策略..........................................................................................5 第八条 安全保密产品和工具......................................................................................7 第九条 物理和环境安全策略......................................................................................8 第十条 运行管理策略..................................................................................................9 第十一条 通讯和传输安全管理策略..........................................................................9 第十二条 信息设备安全策略....................................................................................10 第十三条 存储设备安全............................................................................................11 第十四条 操作安全策略............................................................................................11 第十五条 访问控制策略............................................................................................12 第十六条 导入导出策略............................................................................................13 第十七条 备份与恢复策略........................................................................................13 第十八条 设备维修策略............................................................................................14 第十九条设备报废策略..............................................................................................14 第二十条 风险管理及安全审计策略........................................................................14 第二十一条 信息系统应急计划和响应策略............................................................15 第二十二条 遵循性....................................................................................................15 第一条 概述
根据《中华人民共和国保守国家秘密法》、《武器装备科研生产单位保密资格审查认证管理办法》、《武器装备科研生产单位三级保密资格标准》等文件精神,结合本公司实际,特制定本安全策略文件。
信息系统安全策略文件是公司计算机和信息系统全体管理和使用人员必须遵循的信息安全行为准则,由公司信息安全管理部门制订及解释,由公司保密委员会审批发布,并由信息安全管理部门组织公司全体人员学习与贯彻。
公司涉密计算机及信息系统涉及到存储、传输、处理国家秘密、公司商业秘密和业务关键信息,关系到公司的形象和公司业务的持续运行,必须保证其安全。因此,必须从技术、管理、运行等方面制定确保涉密计算机和信息系统持续可靠运行的安全策略,做好安全保障。第二条 适用范围
2.1本策略所称的计算机和信息系统指公司所有通过计算机及信息系统存贮、处理或传输的信息及存贮、处理或传输这些信息的硬件、软件及固件。
2.2本策略适用于我单位信息系统资产和信息技术人员的安全管理,适用于指导我单位信息系统安全策略的制定、安全方案的规划和安全建设的实施,适用于我单位安全管理体系中安全管理措施的选择。第三条 目标
本方针的目的是为本公司信息系统安全管理提供一个总体性架构文件,该文件将指导本公司信息系统的安全管理体系建设。安全管理体系以实现统一的安全策略管理、提高整体的网络与信息安全水平、确保安全控制措施落实到位、保障网络通信畅通和业务系统的正常运营为建设目的。并通过一系列预防措施将信息安全可能受到的危害降到最低。信息安全管理应在确保信息和计算机受到保护的同时,确保计算机和信息系统能够在允许的范围内正常运行使用。
同时,本策略的目的也是让所有员工能够了解信息安全问题以及明确各自的信息安全职责,严格遵守本安全策略,并遵守国家相关的计算机或信息安全法律要求。
第四条 安全原则
(一)基于安全需求原则 技术部根据公司信息系统担负的业务功能、积累的信息资产的重要性、可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上平衡安全投入与效果;
(二)主要领导负责原则
主要领导应确立统一的信息安全保障宗旨和政策,负责指导提高全员安全意识的教育方法、培养优秀的安全技术队伍、调动并优化资源的配置、协调安全管理工作与各部门工作的关系,并确保其有效落实;
(三)全员参与原则
信息系统涉及的所有相关人员应积极参与信息系统的安全管理,并与相关方面协调,共同保障信息系统的安全;
(四)系统方法原则
按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术相结合的方法,保证安全保障工作的高效有序进行;
(五)持续改进原则
安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性;
(六)依法管理原则
信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响;
(七)分权和授权原则
对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中,带来隐患,以减少未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的最小权限,不应享有任何多余权限;(八)选用成熟技术原则
成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误;
(九)分等级保护原则
按等级划分标准确定信息系统的安全保护等级,实行分等级保护;对多个子系统构成的大型信息系统,确定系统的基本安全保护等级,并根据实际安全需求,分别确定各子系统的安全保护等级,实行多级安全保护;
(十)管理与技术并重原则
坚持积极防御和综合防范相结合,全面提高信息系统安全防护能力,立足国情,采用管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标;
(十一)自主保护和国家监管结合原则
对信息系统安全实行自主保护和国家保护相结合。组织机构要对自己的信息系统安全保护负责,相关部门有责任对信息系统的安全进行指导、监督和检查,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护能力和水平,保障国家信息安全。
第八条 在规划和建设信息系统时,信息系统安全防护措施应按照“三同步”原则,与信息系统建设同步规划、同步建设、同步投入运行。第五条 安全方针
信息系统安全建设坚持“安全第一、预防为主,管理和技术并重,综合防范”的总体方针,依照总体安全防护策略,执行信息系统安全等级保护制度,信息网络实行涉密电脑与其他电脑物理隔离,公司内、外网之间物理隔离的方法。第六条 安全组织机构
保密委员会保密办公室涉密部门4
定密小组6.1公司设立保密委员会,保密委员会主任由总经理担任,保密工作实行总经理负责制,保密委员会由公司相关领导和部门主管组成,下设保密办公室作为保密委员会的常设工作机构,并配备保密员,配备系统管理员、安全保密管理员、安全审计员;设置定密工作小组,明确定密责任人,按“业务谁主管、保密工作谁负责”原则,各部门主管负责本部门的保密管理工作。
6.2技术部是信息系统安全管理的领导机关,负责领导信息安全管理体系的建立和信息安全管理的实施,主要包括:
提供清晰的指导方向,可见的管理支持,明确的信息安全职责授权; 审查、批准信息安全策略和岗位职责; 审查业务关键安全事件;
批准增强信息安全保障能力的关键措施和机制;
保证必要的资源分配,以实现数据有效性以及信息安全管理体系的持续发展。
6.3技术部具体负责建立和维持信息安全管理体系,协调相关活动,主要承担如下职责:
调整并制定所有必要的信息安全管理规程、制度以及实施指南等; 提议并配合执行信息安全相关的实施方法和程序,如风险评估、信息管理分层等;
主动采取部门内的信息安全措施,如安全意识培训及教育等; 配合执行新系统或服务的特殊信息安全措施; 审查对信息安全策略的遵循性; 配合并参与安全评估事项;
根据信息安全管理体系的要求,定期向上级主管领导和保密委员会报告。
第七条 安全管理人员策略
为避免信息遭受人为过失、窃取、欺骗、滥用的风险,应当识别信息系统系统内部每项工作的信息安全职责并补充相关的程序文件。公司全体人员都应该了解计算机及系统的网络与信息安全需求,公司必须为全体人员提供足够的培训以达到该安全目的,并为他们提供报告安全事件和威胁的渠道。7.1工作定义及资源的安全
工作人员从事或离开岗位时必须进行信息安全考虑,相关的安全事项必须包括在工作描述或合同中。包括:
对涉及访问秘密或关键信息,或者访问处理这些信息的系统的工作人员应进行严格审查和挑选;
对信息系统具有特殊访问权限的工作人员应该签署承诺,保证不会滥用权限;
当工作人员离开公司时应该移交信息系统的访问权限,或工作人员在公司内部更换工作岗位时应该重新检查并调整其访问权限。7.2员工培训
公司全体人员应了解计算机及信息系统的安全需求,并对如何安全地使用信息及相关系统和工具、信息安全策略和相关管理规定接受培训,熟悉信息安全的实施并加强安全意识。
7.3事件报告
必须建立有效的信息反馈渠道,以便于公司人员一旦发现安全威胁、事件和故障,能及时向有关领导报告。
7.4信息处理设备可接受的使用策略
公司禁止工作人员滥用计算机及信息系统的计算机资源,仅为工作人员提供工作所需的信息处理设备。公司所有人员对系统网络和计算资源的使用(包括访问互联网)都必须遵守计算机及信息系统的安全策略和标准及所有适用的法律。
公司的计算机及信息系统应能防止使用人员连接到访问含有色情、种族歧视及其他不良内容的网站及某些非业务网站。
包括但不限于以下例子是不可接受的使用行为:
使用信息系统资源故意从事影响他人工作和生活的行为。
工作人员通过信息系统的网络服务及设备传输、存储任何非法的、有威胁的、滥用的材料。
任何工作人员使用信息系统的计算机工具、设备和互联网访问服务来从事用于个人获益的商业活动(如炒股)。
工作人员使用信息系统服务来参与任何政治或宗教活动。 在没有信息安全管理部门的事先允许或审批的情况下,工作人员在使用的计算机中更改或安装任何类型的计算机软件和硬件。
在没有信息安全管理部门的事先允许或审批的情况下,工作人员拷贝、安装、处理或使用任何未经许可的软件。7.5处理从互联网下载的软件和文件
必须使用病毒检测软件对所有通过互联网(或任何其他公网)从信息系统之外的途径获得的软件和文件进行检查,同时,在获得这些软件和文件之前,信息安全管理部门必须研究和确认使用这些工具的必要性。
7.6工作人员保密协议
公司所有人员必须在开始工作前,亲自签订信息系统保密协议。7.7知识产权权利
尊重互联网上他人的知识产权。
公司工作人员在被雇佣期间使用公司系统资源开发或设计的产品,无论是以何种方式涉及业务、产品、技术、处理器、服务或研发的资产,都是公司的专有资产。
第八条 安全保密产品和工具
8.1安全保密产品
为了构建计算机良好的安全保密环境,每台涉密机都必须安装有安全保密产品。通过硬件、软件俩个方面多角度的保护涉密机的信息安全。
安全保密产品主要包括“三合一”安全系统、主机审计系统、防辐射干扰器等相关保密产品。
提供安全保密产品的单位必须具备相应的保密资质和相关产品的检测证书;
任何需求安装安全保密产品的部门,保密办都须直接参与,并由保密办办理相关手续后,即可使用;
安全保密产品一旦安装,未经批准任何人不可私自修改、卸载; 按照要求正确使用安全保密产品,如有问题可以随时询问计算机安全管理员;
凡是安全保密产品涉及到的USB-Key、遥控器、单项导入盒等,相关负 责人使用完毕后应尽快放入密码柜中妥善保管;
8.2安全保密检查工具
公司配备保密检查工具。通过保密检查工具能够及时的发现问题。第九条 物理和环境安全策略
计算机信息和其他用于存储、处理或传输信息的物理设施,例如硬件、磁介质、电缆等,对于物理破坏来说是易受攻击的,同时也不可能完全消除这些风险。因此,应该将这些信息及物理设施放置于适当的环境中并在物理上给予保护使之免受安全威胁和环境危害。
9.1安全区域
根据信息安全的分层管理,应将支持涉密信息或关键业务活动的信息技术设备放置在安全区域中。安全区域应当考虑物理安全边界控制及有适当的进出控制措施保护,安全区域防护等级应当与安全区域内的信息安全等级一致,安全区域的访问权限应该被严格控制。
办公区、生产区重要部位及通道设置红外视频监控系统,出入通道设置管理员值守。
9.2设备安全
对支持涉密信息或关键业务过程(包括备份设备和存储过程)的设备应该适当地在物理上进行保护以避免安全威胁和环境危险。包括:
应该对计算机介质进行控制,涉密机的USB-Key必须进行物理保护; 涉密笔记本待用时,必须存放在密码柜中;
对设备应该进行保护,定期检查电源插排,防止电力异常而造成损坏等保护措施;
对计算机和设备环境应该进行监控,检查环境的影响因素,温度和湿度是否超过正常界限(正常工作室温:10℃—35℃;相对湿度:35%—80%); 设备应该按照生产商的说明进行有序的维护与保养; 9.3物理访问控制
信息安全管理部门应建立访问控制程序,控制并限制所有对计算计及信息系统计算、存储和通讯系统设施的物理访问。应有合适的出入控制来保护安全场所,确保只允许授权的人员进入。必须仅限公司工作人员和技术维护人员访问公司办 公场所、布线室、机房和计算基础设施。
9.4建筑和环境的安全管理
为确保计算机处理设施能正确的、连续的运行,应至少考虑及防范以下威胁:偷窃、火灾、温度、湿度、水、电力供应中断、爆炸物、吸烟、灰尘、振动、化学影响等。
必须在安全区域建立环境状况监控机制,以监控厂商建议范围外的可能影响信息处理设施的环境状况。应在运营范围内安装自动灭火系统。定期测试、检查并维护环境监控警告机制,并至少每年操作一次灭火设备。
9.5保密室、计算机房访问记录管理
保密室、计算机房应设立物理访问记录,信息安全管理部门应定期检查物理访问记录本,以确保正确使用了这项控制。物理访问记录应至少保留12个月,以便协助事件调查。应经信息安全管理部门批准后才可以处置记录,并应用碎纸机处理。
第十条 运行管理策略
为避免信息遭受人为过失、窃取、欺骗、滥用的风险,应当识别计算机及信息系统内部每项工作的信息安全职责,并补充相关的程序文件。公司全体相关人员都应该了解计算机及系统的网络与信息安全需求。 信息设备和存储介质应当具有标识、涉密的应当标明密级,非密的应当标明用途;
涉密计算机应当与内部非涉密网络和互联网计算机实行物理隔离; 只有指定的涉密人员才能访问秘密、关键信息并处理这些信息; 禁止使用非涉密的计算机和存储介质存储和处理涉密信息; 未经保密办审批,禁止对计算机系统格式化或重装系统;
涉密人员在使用白名单软件时可以自行修改安装,但名单以外的软件必须事先通过保密办的审批;
当涉密人员离开公司时应该移交信息系统的访问权限,或涉密人员在公司内部更换工作岗位时应该重新检查并调整其访问权限
第十一条 通讯和传输安全管理策略
计算机和信息系统所拥有的和使用的大多数信息都在计算机上进行处理和 存储。为了保护这些信息,需要使用安全且受控的方式管理和操作这些计算机,使它们拥有充分的资源。
11.1公司计算机网络结构
公司计算机及信息系统管理分为涉密计算机管理、内部网络(局域网)及计算机信息管理、互联网计算机信息管理三个管理层次。
涉密计算机只能处理涉及国家秘密的信息,实行物理隔离管理,只能由公司涉密人员使用,由公司保密员管理。涉密计算机信息数据必须被保护以防止被泄漏、破坏或修改。
内部网络(局域网)及计算机配置加密管理措施,与互联网隔离,配置保密管理措施,只能通过局域网传输、储存技术文档、软件等涉及公司商业机密信息。上述信息必须定期备份进行保护,以免破坏和非授权修改。
互联网计算机主要处理来自于外部资源的普通信息,配置上网行为管理措施,同样在信息安全防护上进行安全考虑。
上述计算机及信息系统根据分层次管理的要求应当依据其分类进行物理标记。
由于公司计算机和信息系统采用三层管理模式,不排除联接到外部网络,计算机和信息系统的运行必须使用可控且安全的方式来管理,网络软件、数据和服务的完整性和可用性必须受到保护。第十二条 信息设备安全策略
为保护存储计算机的数据信息的安全性、完整性、可用性,保护系统中的信息免受恶意的或偶然的篡改、伪造和窃取,有效控制内部泄密的途径,防范来自外部的破坏,制订以下安全措施。
设置屏幕保护,要求设置保护时间为10分种,恢复时有密码保护; 终端计算机禁止安装多启动操作系统,只能安装一个操作系统; 及时安装操作系统、数据库、应用程序的升级补丁;
禁用终端危险服务(包括远程注册表管理、共享服务、终端服务等); 拆除便携式移动计算机中具有无线联网功能的硬件模块; 涉密计算机应配备电磁泄露发射防护装置;
非涉密机向涉密机导入信息时,必须通过涉密中间机转换,然后通过三 合一设备导入涉密计算机;
涉密机之间导入导出信息时,须采用一次性写入光盘,也可申请使用单项导入设备;
第十三条 存储设备安全
应该对存储介质进行控制,如果必要的话需要进行物理保护: 可移动的计算机介质应该受控;
应该制定并遵守处理包含机密或关键数据的介质的规程; 与计算相关的介质应该在不再需要时被妥善处理。第十四条 操作安全策略
14.1操作规程和职责
应该制定管理和操作所有计算机和网络所必须的职责和规程,来指导正确的和安全的操作。这些规程包括:
数据文件处理规程,包括验证网络传输的数据;
对所有计划好的系统开发、维护和测试工作的变更管理规程; 为意外事件准备的错误处理和意外事件处理规程;
问题管理规程,包括记录所有网络问题和解决办法(包括怎样处理和谁处理); 事故管理规程;
为所有新的或变更的硬件或软件,制定包括性能、可用性、可靠性、可控性、可恢复性和错误处理能力等方面的测试/评估规程;
日常管理活动,例如启动和关闭规程,数据备份,设备维护,计算机和网络管理,安全方法或需求;
当出现意外操作或技术难题时的技术支持。14.2操作变更控制
对信息处理设施和系统控制不力是导致系统或安全故障的常见原因,所以应该控制对信息处理设施和系统的变动。应落实正式的管理责任和措施,确保对设备、软件或程序的所有变更得到满意的控制。
14.3操作人员日志
操作人员应保留日志记录。根据需要,日志记录应包括: 系统及应用启动和结束时间; 系统及应用错误和采取的纠正措施; 所处理的数据文件和计算机输出; 操作日志建立和维护的人员名单。14.4错误日志记录
对错误及时报告并采取措施予以纠正。应记录报告的关于信息处理错误或通信系统故障。应有一个明确的处理错误报告的规则,包括:1)审查错误日志,确保错误已经得到满意的解决;2)审查纠正措施,确保没有违反控制措施,并且采取的行动都得到充分的授权。
14.5病毒防范策略
病毒防范包括预防和检查病毒(包括实时扫描/过滤和定期检查),主要内容包括:
控制病毒入侵途径,外来资料必须进过安全杀毒后才能使用; 安装可靠的防病毒软件,公司杀毒软件使用360杀毒系统;
对系统进行实时检测和过滤,执行检测和过滤的过程以自查为主,发现问题及时向计算机管理员报告;
定期杀毒并及时查杀计算机安全管理员应及时对发现的病毒进行处理并记录,查杀不了的及时向有关部门报告; 防病毒软件的安装和使用由计算机安全管理员执行;
严格控制盗版软件及其它第三方软件的使用,必要时,在运行前先对其进行病毒检查。
第十五条 访问控制策略
为了保护计算机系统中信息不被非授权的访问、操作或破坏,必须对信息系统和数据实行控制访问。
计算机系统控制访问包括建立和使用正式的规程来分配权限,并培训工作人员安全地使用系统。对系统进行监控检查是否遵守所制定的规程。
计算机访问控制
应该根据相关国家法律的要求和指导方针控制对信息系统和数据的访问: 计算机活动应可以被追踪到人; 访问所有多用户计算机系统应有正式的用户登记和注销规程; 应使用有效的访问系统来鉴别用户; 应通过安全登录进程访问多用户计算机系统; 特殊权限的分配应被安全地控制;
用户选择和使用密码时应慎重参考良好的安全惯例; 用户应确保无人看管的设备受到了适当的安全保护; 应根据系统的重要性制定监控系统的使用规程。 必须维护监控系统安全事件的审计跟踪记录; 为准确记录安全事件,计算机时钟应被同步。第十六条 导入导出策略
输入输出应实行“集中管理、有效控制、过程审计”的管理原则; 涉密中间机、涉密打印机、涉密一体机、涉密计算机,只可单一方向导入或导出;
扫描输入时须由部门领导审批,完成后保密办收回纸介质;
电子文档录入时须经部门领导同意,才可将电子信息输入到固定文件夹内;
电子输出时只可采取一次性光盘导出,或者申请单导设备。写入光盘时须粘贴条码,标识光盘密级;
涉密信息打印时须经领导同意,打印完成后做涉密载体登记 第十七条 备份与恢复策略
定义计算机及信息系统备份与恢复应该采用的基本措施: 建立有效的备份与恢复机制;
定期检测自动备份系统是否正常工作;
明确备份的操作人员职责、工作流程和工作审批制度; 建立完善的备份工作操作技术文档;
明确恢复的操作人员职责、工作流程和工作审批制度; 建立完善的恢复工作操作技术文档; 针对建立的备份与恢复机制进行演习; 对备份的类型和恢复的方式进行明确的定义; 妥善保管备份介质。第十八条 设备维修策略
涉密计算机及相关设备维修,应当在本单位内部现场进行,并指定专人全程监督,严禁维修人员读取和复制涉密信息;确需送外维修的,应当拆除涉密信息存储部件。选择本系统涉密单位或者保密行政管理部门批准或授权的维修机构,并由信息化管理部门与维修单位签订维修合同和保密协议。特殊设备维修,由单位制定相应制度与措施,履行审批手续,满足旁站陪同等保密要求。无法拆除硬件和固件的,一般不得送修。第十九条设备报废策略
涉密计算机及相关设备不再用于处理涉密信息或报废时,应当将涉密信息存储部件拆除或及时销毁。
计算机、打印机等信息设备的主板、内存、显卡等不能进行信息清除,只能做报废销毁处理。销毁前,应当将待销毁设备与清单一一核对,经保密办公室部门指定的销毁机构进行销毁。单位自行销毁的,应当保存销毁清单和相关记录,对涉密信息设备和涉密存储设备的名称、等级、序列号、经办人、采取的销毁方法和控制措施,以及销毁后残留物的最终去向等情况详细记录并存档。
涉密硒鼓属于涉密外部设施设备,应履行审批手续,逐一登记有关要素信息,送国家保密行政管理部门指定的销毁机构进行销毁。销毁证明和清单应当妥善保存。同时,拆下的报废硒鼓应当建立台账,粘贴标识,集中管理,统按照保密要求进行报废和销毁处理。
第二十条 风险管理及安全审计策略
信息安全审计及风险管理对于帮助公司识别和理解信息被攻击、更改和不可用所带来的(直接和间接的)潜在业务影响来说至关重要。所有信息内容和信息技术过程应通过信息安全审计活动及风险评估活动来识别与它们相关的安全风险并执行适当的安全对策。
计算机及信息系统的信息安全审计活动和风险评估应当定期执行。特别是系统建设前或系统进行重大变更前,必须进行风险评估工作。
涉密信息设备每季度审计一次; 内部计算机每半年审计一次; 互联网计算机每季度审计一次。
安全审计内容主要内容包括:;策略改动、登录/注销、系统事件、详细追踪、账户登录和账户管理、文件拷贝、文件打印、U盘操作、网络连接、上网、文件操作、安全事件、应用程序事件等,并形成文档化的信息安全审计报告。
信息安全风险评估应当至少1年一次,可由公司自己组织进行或委托有信息系统风险评估资质的第三方机构进行。信息安全风险评估必须形成文档化的风险评估报告。
第二十一条 信息系统应急计划和响应策略
21.1信息应急计划和响应的必要性
应该制定和实施应急计划和响应管理程序,将预防和恢复控制措施相结合,将灾难和安全故障(可能是由于自然灾害、事故、设备故障和蓄意破坏等引起)造成的影响降低到可以接受的水平。
应该分析灾难、安全故障和服务损失的后果。制定和实施应急计划,确保能够在要求的时间内恢复业务的流程。应该维护和执行此类计划,使之成为其它所有管理程序的一部分。
21.2应急计划和响应管理程序
应该在整个计算机信息系统内部制定应急计划和响应的管理流程。包括以下主要内容:
考虑突发事件的可能性和影响。
了解中断信息系统服务可能对业务造成的影响(必须找到适当的解决方案,正确处理较小事故以及可能威胁组织生存的大事故),并确定信息处理设施的业务目标。
适当考虑风险处理措施,可以将其作为业务连续性程序的一部分。 定期对应急计划和响应程序进行检查和进行必要的演练,确保其始终有效。
适当地对技术人员进行培训,让他们了解包括危机管理在内的应急程序。
第二十二条 遵循性
计算机及信息系统必须遵守国家法律和法规的要求。公司所有工作人员都有责任学习、理解并遵守安全策略,以确保公司敏感信息的安全。对违反安全策略的行为,根据事件性质和违规的严重程度,采取相应的处罚措施。信息安全管理部门应根据违规的严重程度向相关领导提出建议惩罚措施。除本安全策略中涉及的要求之外,所有部门和工作人员同样需要遵守相关国家法律和法规的要求。
计算机和信息系统安全策略文件由信息安全管理部门负责制定和解释,由公司保密委员会审批发布。
公司已存在的但内容与本安全策略文件不符的管理规定,应以本安全策略的要求为准,并参考本安全策略及时进行修订。
第四篇:三级资质核准范文
天津市前期物业管理备案程序
为贯彻落实国务院《物业管理条例》和《天津市物业管理条例》及《天津市商品房管理条例》的规定,保护行政管理相对人合法权益,提高行政效率,特制定本程序。
一、申请
开发建设单位在办理商品房销售许可证之前,应当会同物业服务企业向天津市国土资源和房屋管理局物业管理处提出备案申请,填写《天津市前期物业管理备案申请书》(一式两份),并同时提交下列材料:
(一)物业服务企业营业执照和资质证书;
(二)《建设工程规划许可证》和规划行政主管部门出具的符合《天津市物业管理服务用房管理办法》规定的规划详图或规划总平面图;
(三)分期办理前期物业管理备案的项目,要在办理最后一期前,提供房地产行政主管部门出具的物业管理用房测绘报告;
(四)经地名主管部门核准的《标准地名证书》;
(五)签订的《前期物业服务合同》;
(六)物业管理服务方案;
(七)《临时管理规约》;
(八)住宅项目建筑规模在3万平方米以上或者非住宅项目建筑规模在1万平方米以上的,提供天津市物业管理招投标中心出具的《中标通知书》或《议标结果通知书》;住宅项目建筑规模在3万平方米以下或者非住宅项目建筑规模在1万平方米以下的,提供区、县物业管理行政主管部门出具的《协议选聘物业服务企业备案通知》;
(九)政府保障性住房提供物价局核定的物业管理服务费收费等级和中准价格标准。
以上第(一)、(二)、(三)、(四)、(九)项要件需核对原件后留存复印件,经核对内容无误后,在留存的复印件空白处加盖专用章。
二、受理
申请人提交申请要件齐全的,市国土资源和房屋管理局物业管理处当场受理备案申请,接件后给申请人出具加盖本机关受理专用印章的“申请受理通知书”。
三、审查
市国土资源和房屋管理局物业管理处受理后,需对下列事项进行审查:
(一)所提供的要件和资料是否齐全;
(二)接受委托的物业服务企业是否具备管理资格;
(三)物业管理区域划分是否符合有关规定;
(四)《前期物业服务合同》、《临时管理规约》约定的内容是否符合物业管理的有关法律、法规和规章的规定;
(五)物业管理服务方案,包括:房屋、环境卫生、公共秩序、绿化、装修及内部管理等物业管理服务制度是否健全,服务内容及标准是否明确;
(六)物业服务用房的配置是否符合规定
经审查符合条件的出具《前期物业管理备案证明》。不符合条件的,说明理由,书面告知申请人补正事项。
四、办理时限
自受理申请之日起3个工作日内,对符合条件的出具《前期物业管理备案证明》。
一、申请三级物业服务企业资质等级核准需具备的条件
(一)新设立的物业服务企业应当自领取营业执照之日起30日内,向工商注册地房地产行政主管部门申请资质核准。
1、注册资本人民币50万元以上;
2、物业管理专业人员以及工程、管理、经济等相关专业类的专职管理和技术人员不少于10人。其中,具有中级以上职称的人员不少于5人,工程、财务等业务负责人具有相应专业中级以上职称;
3、物业管理专业人员按照国家有关规定取得职业资格证书;
4、建立并严格执行服务质量、服务收费等企业管理制度和标准,建立企业信用档案系统。
二、需要提交的材料目录
(一)新设立物业服务企业资质核准需要提交材料:
1、营业执照;
2、企业章程;
3、验资证明;
4、企业法定代表人的身份证明;
5、物业管理专业人员的职业资格证书和劳动合同,管理和技术人员的职称证书和劳动合同。
以上第(1)、(3)、(4)、(5)项要件需核对原件后留存复印件,经核对内容无误后,在留存的复印件上加盖专用章。
第五篇:施工三级资质
公路施工总承包企业需要省级建委(建设局)和省级交通厅双重审批,审批的难度非常大。
公路施工总承包三级企业资质标准:
1、企业经理具有6年以上从事工程管理工作经历或具有中级以上职称;技术负责人具有6年以上从事公路工程施工技术管理工作经历并具有本专业中级以上职称;财务负责人具有中级以上会计职称。
2、企业有职称的工程技术和经济管理人员不少于60人,其中工程技术人员不少于40人;工程技术人员中,具有中级以上职称的人员不少于20人,其中具有公路工程系列中级以上职称的人员不少于15人。
3、企业具有的本专业三级资质以上建造师不少于10人。
4、企业注册资本金1000万元以上,企业净资产1500万元以上。
5、企业具有与承包工程范围相适应的施工机械和质量检测设备,并至少具有:
(1)60吨/小时以上沥青混凝土拌和设备1台,40立方米/小时以上水泥混凝土拌和设备1台;
(2)摊铺宽度4.5米以上沥青混凝土摊铺设备2台;
(3)120千瓦以上平地机2台;
(4)0.8立方米以上挖掘机2台;
(5)100千瓦以上推土机2台;
(6)各型压路机5台(其中沥青混凝土压实设备2台,大型土方振动压实设备1台);
(7)30吨以上吊车1台。
工程可承接业务范围
三级企业:可承担单项合同额不超过企业注册资本金5倍的二级标准及以下公路、单座桥长<500米、单跨跨度<40米的桥梁工程的施工。
注:公路工程包括公路(含厂矿和林业专用公路)及其桥梁、隧道和沿线设施工程。
点击咨询 