第一篇:信息安全管理制度
网络信息安全管理制度
一、信息安全管理责任制
1.总则
1.1通过加强本公司办公设备、网站、公众号、OA办公系统等管理,保证网络信息安全正常运行,保证公司机密文件的信息安全,保障服务器和数据库的安全运行,加强本公司员工的网络信息安全意识,把相关工作做好。
2.设备管理
2.1本公司电脑设备仅用于本公司办公使用,不得用于工作无关的内容。
2.2为保护办公电脑资料的安全,办公电脑必须设置密码,并且不能设置过于简单的密码,并应依据一定规则定期更新。
2.3电脑配置采购由上级部门统一进行,电脑软硬件更换需上级管理人同意,未经许可任何个人不得随意拆卸更换电脑设备,私自拆卸、更换电脑设备,否则按公司相关规定赔偿并处理。
3.数据安全管理
3.1本公司工作所需的资料、数据,不得带出办公区。因外派等业务需带出的除外,但需始终注意做好相关资料的保密工作。外派等工作结束后,必须将相关资料数据及时带回,并清除保留在外面设备上的资料。
3.2个人资料及工作资料应定期做好备份工作(重要资料应随时双重备份在其他电脑和其他介质上),以防病毒侵袭、硬件损坏等造成数据丢失。
4.网络信息安全管理
4.1新员工入职,在得到自己的账户名和密码后,应立即更改自己的密码。4.2不得利用计算机技术侵占用户合法利益,不得制作、复制、和传播妨害公司稳定的有关信息;不得利用公司计算机网络从事危害国家安全及其他法律明文禁止的活动;不访问不明网站的内容,以避免恶意网络攻击和病毒的侵扰。
4.3员工个人QQ、微信等其他网络通讯工具,在个人信息资料中不得包含公司相关(如公司电话、IP地址等)信息,在工作时间不使用QQ、微信进行与工作无关的事情。
5.病毒防护管理
5.1配备的办公电脑必须安装防毒软件。
5.2任何人不得在公司的网络上制造、传播任何计算机病毒,不得故意引入病毒。网络使用者发现病毒应立即向上级部门报告以便获得及时处理。
6.下载管理
6.1不准在任何时间利用公司网络下载黑客工具、解密软件,系统扫描工具,木马程序等威胁系统和网络安全的软件。
6.2本公司办公电脑不允许下载和在线观看与工作无关的软件或其他内容,如MP3、小说、电影、电视和图片等。
6.3由于擅自进行下载/上传造成网络堵塞甚至瘫痪或致病毒传播者,一经核实,公司依据相关规定处理。
二、信息安全评估
1.信息安全风险评估(information security risk assessment)是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
2.信息安全风险评估分为自评估、检查评估两种形式。自评估是指网络与信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估。检查评估是指信息系统上级管理部门组织的或国家有关职能部门依法开展的风险评估。信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充。自评估和检查评估可依托自身技术力量进行,也可委托第三方机构提供技术支持。
3.信息安全风险评估包括资产重要性等级、威胁识别、威胁分类、威胁赋值、脆弱性赋值、已有安全措施确认、风险分析、风险评估记录等。
三、用户信息安全管理
1.相关内部人员不得对外泄露需要保密的信息;内部人员不得发布、传播国家法律禁止的内容;
3.信息发布之前应该经过相关人员审核;
4.对相关管理人员设定网站管理权限,不得越权管理网站信息;
5.一旦发生网站信息安全事故,应立即报告相关方并及时进行协调处理; 6.对有毒有害的信息进行过滤、用户信息进行保密。
7.登记注册表应由专人负责保管,未经授权不得复制、透露给第三方; 8.只允许用户的单一登录;即单一用户名只对应单一口令
9.对登陆用户信息阅读与发布按需要设置权限用户可自主改变登录密码,以保护用户信息的隐私权;
10.对用户在网站上的行为进行有效监控,保证内部信息安全; 11.规定用户不得传播、发布国家法律禁止的内容。
12.针对用户发布信息建立审核机制,设定信息开关,所有信息一律师事务所审核后再开放显示。
13.除用户授权外,系统管理员不得对用户信息进行复制、删改; 14.定期将用户信息备份并保存,以防用户误操作,丢失原有信息;
15.加强对用户的网络制度、法律法规的宣传;并组织集中学习与培训,加强用户相关的法律意识,提高用户的自我束约能力。
16.固定用户不得传播、发布国家法律禁止的内容。
17.如用户要求对服务器网络配置进行改动、增减信息目录结构,用户需要向系统分析员提出书面申请。
四、违法违规互联网信息服务和违法信息的巡查与处置
1.总则
1.1为了加强对网站的安全保护,根据《中华人民共和国计算机信息系统安 全保护条例》、《计算机信息网络国际联网安全保护管理办法》及其他有关法律、行政法规的规定,制定本机制。
1.2有害信息的本着“谁主管,谁负责”、遵循依法、客观公正、合理恰当 的原则。
1.3有害信息事件是指单位和个人利用网站制作、复制、查阅和传播下列的事件:
1.3.1煽动抗拒、破坏宪法和法律、行政法规实施的;
1.3.2煽动颠覆国家政权、推翻社会主义制度的;
1.3.3煽动分裂国家、破坏国家统一的;
1.3.4煽动民族仇恨、民族歧视,破坏民族团结的;
1.3.5捏造或者歪曲事实,散布谣言,扰乱社会次序的;
1.3.6宣扬封建迷信、淫秽、色情、赌博、暴力、凶残、恐怖、教唆犯罪的;
1.3.7公然侮辱他人或者捏造事实诽谤他人的;
1.3.8损害网站形象和网站利益的;
1.3.9其他违反宪法和法律、行政法规的。
1.4有害信息发生部位:在BBS、留言板等交互式栏目,在网站首页、商品 信息页中张贴、传播有害信息。利用电子邮件发送危害安全、宣扬“法轮功”等邪教和扰乱社会秩序的各种谣言等有害信息。1.5用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律 规定,不得利用网站侵犯用户的通信自由和通信秘密。
2.违法违规网站信息处置程序
2.1 一旦发现网络有害信息的,应立即启动预案,采取“及时处理、下载保 存和24小时上报制度”。
2.2网络有害信息处置前期工作程序:
2.2.1发现有害信息的公司员工要立即报告公司信息部,由信息部协调处理网上突发事件,摸清情况,采取措施,最大限度地遏制有害信息在网站上传播和扩散,并在第一时间内向公司主管领导及有关部门报告。
2.2.2 信息部负责有害信息的界定及监控,一旦发现不良信息要马上删除(如遇紧
急情况,可直接关闭服务器,暂停网络运行)。
2.2.3信息部及时对有害信息予以删除,取证留样,对有害信息的来源进行调查; 在最短时间内向网络有害信息处置相关机构报告情况。
2.2.4信息部要对网络安全设备的记录留存,监督检查有害信息报告、清除等情况。
2.2.5信息安全员负责调查有害信息散布的原因、经过,收集相关证据,以有利于 事件处理时事实清楚,责任明确。
3.网络有害信息处置后期工作程序:
3.1.信息部要利用网络与信息安全技术平台,对网上有害信息和公共有害短信及 时进行封堵:对违规从事网上业务或传播有害信息的用户,依法采取责任令整顿,予以封禁用户等行政处罚措施。
3.2.在事实清楚、责任明确的情况下,公司网络安全管理领导小组要对事件做出 处理决定。
3.3有关事件的处置经过、结论等相关事宜,一律由信息部统一对外宣传。
3.4做好经费保障工作和技术开发工作。公司划拨一定的网络安全管理经费投入,要在技术管理和软件开发利用上下工夫,提高网络信息安全管理技能。网站服务器必须安装必要的信息安全软件。
4.处置后期工作
4.1有害信息的责任认定与后期工作按照有关法律和规定确定。
4.2对于在上述事件中对处理不服的,由信息部做好思想教育疏导工作。4.3各职能部门继续做好网站有害信息的收集监控工作。
五、重大信息安全事件应急处置和报告制度 1.总则
1.1为预防和及时处置网络突发事件,保证网络信息安全,维护社会稳定,特制订网络信息安全事件应急处置预案。
在公司领导的统一管理下,贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等相关法律法规,坚持积极防御、综合防范的方针,本着以防为主、注重应急工作原则,预防和控制风险,在发生信息安全事故或事件时最大程度地减少损失,维护社会和公司稳定,尽快使网络和系统恢复正常,做好网络运行和信息安全保障工作。
2.信息网络安全事件定义
2.1网站受到黑客攻击,主页被恶意篡改、交互式栏目里发表煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度;煽动抗拒、破坏宪法和国家法律、行政法规的实施;捏造或者歪曲事实,故意散布谣言,扰乱社会秩序;公然侮辱他人或者捏造事实诽谤他人;宣扬封建迷信、淫秽色情、暴力、凶杀、恐怖;发送危害国家安全、宣扬“法轮功”等邪教及宗教极端势力的信息;破坏社会稳定的信息及损害国家、公司声誉和稳定的谣言等。
2.2网内网络应用服务器被非法入侵,应用服务器上的数据被非法拷贝、修改、删除,发生泄密事件。
2.3在网站上发布的内容违反国家的法律法规、侵犯知识产权等,已经造成严重后果。
3.信息安全事件应急处置办法
3.1加大培训和宣传力度,加强和完善互联网安全管理,设置专门管理部门,采取统一管理体制,落实负责人。各部门要建立健全内部安全保障制度,按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,加强信息的审查和备案工作,确保网络与信息安全。加强我公司互联网络信息安全管理,连接国际互联网的计算机用户绝对不能存储涉及国家秘密、公司内部机密的文件。
3.2加强信息审查工作,若发现主页被恶意更改,应立即停止主页服务并恢复正确内容,同时检查分析被更改的原因,在被更改的原因找到并排除之前,不得重新开放主页服务。各级各类服务器提供信息服务,必须事先登记、审批,建立使用规范,落实责任人,并具备相应的安全防范措施(如:日志留存、安全认证、实时监控、防黑客、防病毒等),加强网络设备日志分析,及时收集信息,排查不安定因素。加强BBS、留言板等交互式栏目的专人管理,交互式栏目内容发布实行审核制度。对于非法网站要做到:发现一个,禁止一个,并及时向主管领导汇报,杜绝其蔓延。建立有效的网络防病毒工作机制,及时做好防病毒软件的网上升级,保证病毒库的及时更新。
3.3网络部对互联网实施24小时值班责任制,必要时实行远程控制。网络管理人员应定期对互联网的硬件设备进行状态检查。对用户上网进行监控,若发现有异常行为应立即关闭该用户的网络连接,及时记录在案,并对其警告和批评教育,严重违法行为立即上报有关部门。
3.4加强突发事件的快速反应。网络管理员具体负责相应的网络安全和信息安全工作,不允许有任何触犯国家网络管理条例的网络信息,对突发的信息网络安全事件应做到以下几点。
3.4.1及时发现、及时报告,在发现后在第一时间向上一级领导或部门报告。
3.4.2保护现场,立即与网络隔离,防止影响扩大。3.4.3及时取证,分析、查找原因。
3.4.4消除有害信息,防止进一步传播,将事件的影响降到最低。
3.4.5在处置有害信息的过程中,任何单位和个人不得保留、贮存、散布、传播所发现的有害信息。
3.4.6追究相关责任。根据实际情况提出口头警告、书面警告、停止使用网络,情节严重和后果影响较大者,提交公司及国家司法机关处理,追究部门负责人和直接责任人的行政或法律责任。
3.5及时整顿,加强防范。各部门要积极配合上级网络安全管理部门的例行检查,并接受其技术指导。针对网络存在的安全隐患和出现的问题,及时提出整治方案并具体落实到位,完善网络安全机制,防范网络安全事件再度发生。逐步建立网络信息安全管理长效工作机制,实现公司信息安全管理,创造良好的网络环境。
3.6在重要、敏感时期,加大网络安全教育宣传力度,加强员工的法律意识和安全意识教育,提高其安全意识和防范能力;开展安全文明上网的教育引导工作,净化互联网网上环境,及时收集信息,排查不安定因素;坚持24小时值班制度,开通值班电话,保证与上级主管部门、电信部门和当地公安机关的热线联系,积极做好预防工作,发现问题及时处理,防患于未然。
3.7做好机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。若发生事故,应立即组织人员自救,并报警。
4.网络安全事件报告与处置:
事件发生并得到确认后,有关人员应立即将情况报告有关领导,由领导指挥处理网络安全事件。应及时向当地公安机关报案。阻断网络连接,进行现场保护,协助调查取证和系统恢复等工作,有关违法事件移交公安机关处理。
六、信息安全教育培训
1.定期组织网络安全管理人员认真学习《计算机信息网络国际互联网安全保护管理办法》、《网络安全管理制度》及《信息审核管理制度》,提高工作人员的维护网络安全的警惕性和自觉性。
2.定期对本公司网络用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。
3.对本单位网络用户进行安全教育和培训,杜绝发布违犯《计算机信息网络国际互联网安全保护管理办法》的信息内容。
4.不定期地进行信息安全方面的培训,加强对有害信息,特别是影射性有害信息的识别能力,提高防犯能力。
5.定期对职工进行网络安全教育,强化网络安全意识, 增强守法观念。
七、客户举报和投诉处理等制度
1.总则
1.1为提高公司客户服务质量和服务水平,规范客户投诉处理程序,形成有效的投诉管理机制,根据公司相关制度和规定,制定本制度。
1.2对客户投诉的处理应以有关规章制度为依据,以实事求是、公平合理、处理及时为原则,最大限度地满足客户的正当要求,认真解决客户提出的问题,改进工作,优化服务,及时发现客户纠纷风险和不稳定因素,维护公司信誉和合法权益。
2.客户投诉
2.1公司各部门的经理为公司一般投诉事项的处理负责人。涉及违规行为和导致诉讼的投诉事件,由公司总经理负责处理。公司总经理为投诉事件的最终处理负责。
2.2公司如遇到客户拨打电话或上门投诉的情况,应当稳定客户情绪,耐心听取意见,做好投诉记录并立即报告客服中心。
2.3客户投诉的具体事项应当按照公司有关部门和领导的要求,配合投诉事项的调查、反馈等工作。
2.4在处理投诉过程中,如发现公司各部门相关责任人存在违规行为的,应当立即报告上级领导核实。
2.5每周将投诉记录情况提交运营部。3.处理原则 3.1客户投诉时,投诉受理人应做到耐心听取、认真审阅,做到及时、专业、礼貌,体现良好的职业道德和服务意识,坚持“冷处理”原则。
3.2客户投诉时,投诉受理人须注意方式方法,耐心说服教育,切忌态度粗暴生硬,切忌随意表态、许愿,对于客户的不合理要求,也要耐心解释和说服防止矛盾激化;对扬言采取过激行为的对象要落实专人负责看管,对可能被报复的人员和被破坏的目标,采取有效的防范措施;
3.3投诉受理须与客户在合法、合理、自愿的基础上积极协商,妥善解决,不得简单了事,力争把矛盾和问题在公司内部解决和消化。
4.基本处理程序
4.1投诉按方式可分为电话投诉、上门投诉等。4.2各类客户投诉的受理及处理的基本程序如下:
4.2.1受理:客服人员及投诉受理人员需了解客户投诉事情的过程,记录投诉事件内容,对客户进行必要和适当的解释及安抚。如客户对受理人的解释、回复表示满意,并表示不再就同一事件继续投诉,则将客户投诉处理情况记录完整,处理完毕;
4.2.2转发:客服人员对受理的投诉事件需要公司其他部门协助核查或转办的,投诉受理人在受理客户投诉后1小时内,转发给相关投诉事件责任部门;
4.2.3处理:相关责任部门应在收到客户投诉处理通知后的24小时内与客户进行联系,妥善处理客户投诉,特殊情况下应在3个工作日内处理完毕。对不能立即回复的投诉,应主动告知客户目前的处理进度;
4.2.4记录:投诉事件记录相关的电子文档整理保存完整; 5.不同内容投诉的处理
5.1对于影响公司形象和声誉的重大投诉,投诉受理人员应先上报分管领导及公司总经理后进行投诉处理。
5.2对客户的信函投诉,要分清投诉信件和举、检信件。如举、检信件则应及时向分管领导汇报,并及时通报公司总经理。
5.3投诉按内容可区分为服务质量投诉(服务态度)、业务投诉(员工工作失误、系统及机具故障、公司内部协调)、非公司责任投诉等。
5.4对因服务质量和服务态度而引起的投诉,经调查如确属员工服务态度或操作技能问题,当事人和主管领导应主动向客户道歉,取得客户谅解。
5.5对因部门之间沟通、协调不足引起的投诉,应首先协调将客户业务办理完毕,然后由投诉时间受理人提交建议,建议相关上级领导进行部门协调,提出解决方法,理顺内部关系。
5.6对非公司责任的投诉,如因客户对有关规定不理解或因操作不当引起的投诉,判断客户的要求是否超出或违反公司规定及政策的,应向客户做耐心解释和说明,化解矛盾和排除不合理要求。
第二篇:信息安全管理制度
信息安全管理制度
为了防止信息和技术的泄密,导致严重灾难的发生,请各位严格遵守以下安全规定:
一、工厂秘密具体范围包括:
1.1 工厂董事会资料,会议记录、纪要,保密期限内的重要决定事项 1.2 工厂的工作总结,财务预算决算报告,缴纳税款、营销报表和各种综合统计报表
1.3 工厂有关销售业务资料,货源情报和对供应商调研资料 1.4 工厂开发设计资料,技术资料和生产情况 1.5 客户提供的一切文件、样板等
1.6 工厂各部门人员编制.调整,未公布的计划,员工福利待遇资料.员工手册
1.7 工厂的安全防范状况及存在问题
1.8 工厂员工违法违纪的检举.投诉.调查材料,发生案件,事故的调查登记资料
1.9 工厂、法人代表的印章、营业执照、财务印章、合同协议。
二、工厂的保密制度
2.1 文件、传真邮件的收发登记、签收、催办、清退、借阅、归档由指定人员处理
2.2 凡涉及公司内部秘密的文件资料的报废处理,必须首先碎纸,不准未经2.3 碎纸丢弃处理
工厂员工本人工作所持有的各种文件、资料、电子文档(磁碟,光盘等),当本人离开办公室外出时,须存放入文件柜或抽屉,不准随意乱放,更未经批准,不能复制抄录或携带外出
未经工厂领导批准,不得向外界提供公司的任何保密资料 未经工厂领导批准,不得向外界提供客户的任何资料 妥善保管好各种财务账册、公司证照、印章 2.4 2.5 2.6
三、电脑保密措施
3.1 不要将机密文件及可能是受保护文件随意存放,文件的存放在分类分目录存放于指定位置。3.2 未经领导及他人许可,不要打开或尝试打开他人文件,以避免泄密或文件的损坏。
3.3 对不明来历的邮件或文件不要查看或尝试打开,以避免计算机中病毒,并尽快请电脑室人员来检查。
3.4 邮件的附件中,如果有出现一些附加名是:EXE,COM等可执行的附件或其它可疑附件时,请先用杀毒软件详细查杀后再使用,或请OA中心人员处理。3.5 不要随便尝试不明的或不熟悉的计算机操作步骤。遇到计算机发生异常而自己无法解决时,就立即通知OA中心外,请专业人员解决。3.6 不要随便安装或使用不明来源的软件或程序。不要随便删除电脑上的文件或程序及修改计算机参数等。
3.7 收到无意义的邮件后,应及时清除,不要蓄意或恶意地回寄这些邮件。3.8 不向他人披露微机密码,防止他人接触计算机系统造成意外。
3.9 公司电脑不允许随便使用移动存储器(U盘、MP3、MP4、光盘、移动硬盘等),确需使用的,应先向OA中心提出书面申请,由电脑管理人员登记使用。
3.10 定期更换密码,如发现密码已泄漏,应尽快更换。或请电脑专业人员处理。
3.11 定期用杀毒程序扫描计算机系统。对于新的软件、档案或电子邮件,应选用杀毒软件扫描,检查是否带有病毒、有害的程序编码,进行适当的处理后才可开启使用。
3.12 先以加密技术保护敏感的数据文件,然后才通过工厂网络及互联网进行传送。在适当的情况下,利用数定证书为信息及数据加密或加上数字签名关闭电子邮件所备有自动处理电子邮件附件功能,关闭电子邮件应用系统或其它应用软件中可自动处理的功能,以防电脑病毒入侵。
3.13 对于不熟的人员,请不要让其随意使用你的计算机,如非要使用,应有人在其身旁监督。
3.14 不要随意将工厂或个人的文件发送给他人,或打开给他人查看或使用。3.15 在计算机使用或管理上如有任何疑问,请询问电脑室人员。
四、工厂的保密措施
4.1 工厂中层以上领导,要自觉带头遵守保密制度。
4.2 工厂各部门要运用各种形式经常对所属员工进行保密教育,增强保密观念。
4.3 全体员工自觉遵守保密基本准则,做到:不该说的机密,绝对不说,不该看的机密,绝对不看(含超越自己职责、业务范围的文件、资料、电子文档)。
4.4.对员工依照工厂本规定,保守工厂秘密,发现他人泄密,立即采取补救措施,避免或减轻损害后果的;对泄密或者非法获取工厂秘密的行为及时检举投诉的,按照有关规定给予奖励。
4.5.对员工因不遵守工厂规定,造成泄密事件,依照有关法规及工厂的奖惩规定, 给予纪律制裁.解雇,直至追究刑事责任。
第三篇:信息安全管理制度
信息安全管理组织机构和人员职责管理
办法
[日期:2010-12-18]作者:浏览:1812
第一章 总则
第一条 为加强海南电网公司信息安全管理工作,保障网络与信息系统的正常运行,依据有关法律、法规及信息安全标准,特制定本办法。
第二条 本办法适用于海南电网公司(以下简称公司)本部、分公司,以及直属各单位的信息安全组织机构和人员职责的管理。其他联网单位参照执行。
第二章 信息安全领导小组
第三条 公司成立信息安全领导小组。领导小组是信息安全的最高决策机构,下设办公室挂靠在公司信息中心,负责信息安全领导小组的日常事务。
第四条 信息安全领导小组下设两个工作组:
信息安全工作组
应急处理工作组
第五条 信息安全领导小组的职责主要包括:
根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;
确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。
第三章 信息安全工作组
第六条 信息安全工作组组长由公司信息中心的负责人担任。
第七条 信息安全工作组的主要职责包括:
贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作; 根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;
负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;
组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;
负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;
及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。
第四章 应急处理工作组
第八条 应急处理工作组组长由公司信息中心的主要负责人担任。
第九条 应急处理工作组的主要职责包括:
审定公司网络与信息系统的安全应急策略及应急预案;
决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统;
每年组织对信息安全应急策略和应急预案进行测试和演练。
第五章 各分公司及直属单位信息安全工作常设机构及人员
第十条 各分公司及直属单位应指定分管信息的单位领导负责本单位信息安全管理,并配备信息安全技术人员,有条件的应设置信息安全工作小组或办公室,对海南电网公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。
第六章 信息安全人员基本要求
第十一条 信息安全管理人员和专(兼)职信息安全技术人员应当政治可靠、业务素质高、遵纪守法、恪尽职守。
第十二条 信息安全管理人员及专职和兼职信息安全技术人员应有计算机专业工作三年以上经历,具备专科以上学历。
第十三条 违反国家法律、法规和行业规章受到处罚的人员,不得从事信息安全管理与技术工作。
第七章 信息安全人员管理
第十四条 信息安全人员的配备和变更情况,应向上一级单位报告、备案。第十五条 信息安全人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及海南电网业务核心技术的信息安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。
第八章 信息安全人员职责范围
第十六条 信息安全人员应履行以下职责:
负责信息安全管理的日常工作;
开展信息安全检查工作,对要害岗位人员安全工作进行指导和监督;
负责维护和审查有关安全审计记录,及时发现存在问题,提出安全风险防范对策;
开展信息安全知识的培训和宣传工作;
监控信息安全总体状况,提出信息安全分析报告;
及时向信息安全工作领导小组和有关部门、单位报告信息安全事件。
第十七条 信息安全人员在行使职责时,确因工作需要,经批准,可了解涉及电力生产、经营与管理有关的信息系统的机密信息。
第十八条 信息安全人员发现本单位重大信息安全隐患,有权向上级机构信息安全主管部门报告。
第十九条 信息安全人员发现信息系统要害岗位人员使用不当,应及时建议有关单位、部门进行调整。
第二十条 信息安全人员必须严格遵守国家有关法律、法规和公司有关规章制度,严守公司商业秘密。
第九章 要害岗位人员管理
第二十一条 信息系统要害岗位人员,是指与重要信息系统直接相关的系统管理人员、网络管理人员、重要应用开发人员、系统维护人员、重要业务操作人员等岗位人员。
第二十二条 重要信息系统,是指涉及公司生产、建设与经营、管理等核心业务且有保密要求的信息系统。
第二十三条 要害岗位人员上岗前必须经单位人事部门进行政治素质审查,技术部门进行业务技能考核,工作经历和工作经验考查等,合格者方可上岗。
第二十四条 要害岗位人员有责任保护信息系统的秘密,并以签署保密协议的方式作出安全承诺。
第二十五条 要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员;系统开发人员原则上不应兼任系统管理员。
第二十六条 对要害岗位人员应实行定期考查制度,要害岗位人员应定期接受安全培训,加强自身安全意识和风险防范意识。
第二十七条 要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及公司业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。
第二十八条 要害岗位人员离岗后,必须即刻更换操作密码或注销用户。
第十章 要害岗位安全责任
第二十九条 系统管理员安全责任
负责系统的运行管理,实施系统安全运行细则;
严格用户权限管理,维护系统安全正常运行;
认真记录系统安全事项,及时向信息安全人员报告安全事件;
对进行系统操作的其他人员予以安全监督。
第三十条 网络管理员安全责任
负责网络的运行管理,实施网络安全策略和安全运行细则;
安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行; 监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件;
对操作网络管理功能的其他人员进行安全监督。
第三十一条 系统开发员安全责任
系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现; 系统投产运行前,应完整移交系统源代码和相关涉密资料;
不得对系统设置“后门”;
对系统核心技术保密。
第三十二条 系统维护员安全责任
负责系统维护,及时解除系统故障,确保系统正常运行;
不得擅自改变系统功能;
不得安装与系统无关的其他计算机程序;
维护过程中,发现安全漏洞应及时报告信息安全人员。
第三十三条 业务操作员安全责任
严格执行系统操作规程和运行安全管理制度;
不得向他人提供自己的操作密码;
及时向系统管理员报告系统各种异常事件。
第三十四条 各要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
第十一章 第三方人员管理
第三十五条 第三方人员包括软件开发商,硬件供应商,系统集成商,设备维护商和服务提供商,以及实习学生和临时工作人员。
第三十六条 应对第三方人员的物理访问和逻辑访问实施访问控制,根据其在系统中完成工作的时间、性质、范围、内容等方面的需要给予最低授权。
第三十七条 第三方人员的现场工作或远程维护工作内容应在合同中明确规定,如工作涉及机密或秘密信息内容,应要求其签署保密协议。
第三十八条 一般情况下第三方人员的现场工作,如数据库、系统、漏洞扫描、入侵检测、白客渗透以及其他软件的安装等,不许接入自带的设备。
第三十九条 第三方人员的现场工作应在本单位信息部门有关人员的陪同和监督下完成。第三方人员自带设备接入信息系统应得到特别授权,其操作应受到审计。
第四十条 第三方人员工作结束后,应及时清除有关账户、过程记录等信息。第十二章 培训与教育
第四十一条 信息安全人员应定期参加下列信息安全知识和技能的培训:
信息安全法律法规及行业规章制度的培训;
信息安全基本知识的培训;
信息安全专门技能的培训。
第四十二条 信息安全人员应定期接受政治思想教育、职业道德教育和安全保密教育。
第四十三条 应对所有使用计算机的人员定期进行基本的信息安全知识和技能的培训,并应注意培养信息安全意识。
第十三章 附则
第四十四条 本办法由海南电网公司信息中心负责解释。
第四十五条 本办法自发布之日起施行。
第四篇:安全信息管理制度
安全信息管理制度
为发挥承包商在安全管理中的作用,倾听承包商对安全管理的建议和要求,形成群策群力的安全监督网络,进一步加强现场安全管理,及时整改生产过程中的各类隐患,超前预防重大事故。根据安全生产的实际,特制定本制度。
一、项目部是信息收集、整理、传递和报送的中心,是信息管理部门和信息报送单位。
二、项目经理分管信息工作,各承包商、供应商兼信息员,加强信息的上报工作。
三、健全安全信息反馈体系,拓宽安全信息反馈渠道和增加安全信息源,及时、准确地掌握生产一线作业现场的安全状况,为安全工作决策提供可靠的依据。
四、建立安全信息的直通快车,使各承包商有渠道快捷地向项目部反映对安全工作的合理化建议和要求,迅速有效地解决生产过程中出现的安全生产问题。
五、形成安全管理的互补、激励和约束机制,促进安全管理制度的不断完善和有效实施。
六、安全信息员的条件及范围
(1)“安全第一”思想牢固,对安全生产有较高认识,能够积极参与各项安全活动。
(2)具备一定的安全、技术业务素质,现场经验丰富。
(3)有一定语言或书面表达能力,不怕得罪人,敢说真话不徇私情,不畏各种压力,勇于为生产工作奉献。
七、安全信息员的义务与职责
(1)认真学习安全技术业务知识,了解和掌握国家安全生产法律、法规及企业安全生产规章制度。
(2)积极参与本项目的各项安全活动,宣传上级单位和项目的安全生产指示、指令和安全生产各项规定,应邀列席相关安全工作会议。参加“信息反馈”、“安全座谈”或现场安全监察活动。
(3)收集和反映一线员工对安全管理的建议和要求。
(4)对各自的工作岗位和涉及到得所有施工现场、各级干部安全责任制的落实,实施安全监督,随时项目部汇报发现的情况。
(5)及时发现和真实地放映生产作业现场安全上存在的不安全隐患、质量、管理问题和有一定价值的建议,随时发现随时反映,每月不少于两条。
八、安全信息员的权利
(1)有权制止任何人违章作业;有权拒绝任何人的违章指挥。
(2)对于单位或领导忽视职工安全健康的错误决定和错误行为,有权提出批评或越级控告。
(3)发现生产作业存在“三违”或威胁安全生产的隐患和问题,有权直接向本单位主要领导报告或直接向安监人员汇报,有权提出处理意见。
(4)兼职安全信息员在行使职权中,各单位和各级负责人要给与大力的支持和帮助,给与一定的活动时间;任何单位和个人不允许干涉和阻止,更不允许对其进行任何形式的打击报复。否则,将严肃追究单位和相关领导的责任,维护安全信息员的正当权益。
第五篇:信息安全管理制度
信息安全管理制度
为了切实有效的保证总公司信息系统安全,提高信息系统为总公司生产经营的服务能力,特制定信息系统相关安全管理制度,设定信息管理部门及系统管理人员对总公司整体信息系统进行管理,以保证总公司信息系统的正常运行。
1、相关介绍
1.1 计算机网络系统由基础线路,网络硬件设备、软件,终端设备的网络系统及各应用系统配置组成。
1.2 基础线路是指:联系整个信息系统的所有基础线路,包括公司内部的局域网线路及相关管路。
1.3 网络硬件设备是指:服务器、防火墙、交换机、光纤接入器及各终端设备;软件包括:PC操作系统、数据库及应用软件、有关专业的网络应用软件等。
1.4 终端设备的网络系统配置包括终端设备在网络上的名称,IP地址分配,用户登录名称、用户密码、用户权限及Internet的配置等。
1.5 应用系统是指:办公平台、门户网站以及财务管理软件和各类生产经营管理软件。
2、信息管理人员职责
2.1 负责系统软件的调研、采购、安装、升级、保管工作。
2.2 负责公司网络系统基础线路的实施、安全及维护。
2.3 负责软件有效版本的管理。
2.4 信息管理部门为计算机系统、网络、数据库安全管理的归口管理部门。
2.5 信息管理人员负责计算机网络、办公自动化、生产经营各类应用软件的安全运行;服务器安全运行和数据备份;internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理;协助职能科室进行数据备份和数据归档。
2.6 信息管理人员执行企业保密制度,严守企业商业机密。
2.7 系统管理员的密码必须由信息管理部门相关人员掌握。
3、用户的职责和义务
3.1 用户有权以自己合法的身份登录网络及使用指定应用系统。
3.2 用户不得盗用其他人的身份登陆网络或进入应用系统,确因工作需要需取得他人受权或征得他人同意。
3.3 用户应保管好自己的密码,并三个月更换一次密码,以保证数据安全。
3.4 用户执行计算机安全管理制度,遵守企业保密制度。
4、基础线路建设管理
4.1 在进行网络系统基础线路新建或增加时,系统管理部门应会同相关部门及专业公司尽可能的从整体性、先进性、可拓展性等方面规划建设,有公司网络系统的可持续发展打下良好的基础。
4.2 基础建设完成后,将基础建设所涉及的图纸、标识等竣工资料保管整齐,以备后续的增添及维护。
4.3 在日常维护中,如有增加或改变走线方向等,需在原有资料上作好相应更改。
4.4 在重要线路或容易遭受破坏部位,应设立警示牌或其它警示标志,以保护基础线路。
5、软件有效版本管理
5.1 信息管理员应建立系统、平台、专业、管理软件的有效版本清单,并定期发布。
6、数据备份管理
6.1 服务器数据备份
6.1.1 每周应至少做一次账务管理软件数据的备份,并在备份服务器中进行逻辑备份的验证工作,经过验证的逻辑备份存放在不同的物理设备中,至少同时保留两个完整的数据备份。
6.1.2 每月至少对数据服务器、应用服务器和文件服务器做一次数据备份。
6.1.3 数据库进行自动实时备份。
6.1.4 自动或手工备份的数据应在数据库故障时能够准确恢复。
6.2 管理信息的备份
6.2.1 各部门应定时对管理数据进行备份。
6.2.2 每年的1或2月份,计算机人员应协助职能科室对上一的管理数据进行备份、标识并归档。
7、计算机病毒防治
7.1 在服务器和客户端微机上安装病毒自动检测程序和防病毒软件,信息管理人员应及时下载防病毒疫苗,用户应及时下载疫苗并检测、杀毒。
7.2 在向微机及服务器拷贝或安装软件前,首先要进行病毒检测。如用户经管理代表批准安装外来软件,应经过计算机人员对安装软件进行防病毒检测。
7.3 对于外来的图纸和文件,在使用前要进行病毒监测。
7.4 送外维修和欲联网的计算机必须经过病毒检测后,方可联入网络。
7.5 为了防止病毒侵蚀,员工和信息管理人员不得从internet网下载游戏及与工作无关的软件,不得在服务器或关键客户端微机上安装、运行游戏软件。
8、文件服务器的管理
8.1 文件服务器中为用户预留了一定的存储空间,存放重要文件、设计图纸和阶段成果,以避免在本地硬盘遭到损坏时丢失文件。
9、系统管理员安全责任
9.1 系统管理员应对所管理系统的用户权限的安全负责。
9.2 系统管理员不得擅自泄露其他用户的用户名及密码,不得为员工检索其他人员信息和企业保密信息。
9.3 因工作需要,经主管领导批准,系统管理员可以为用户检索、打印企业信息,但应妥善保管打印件,并对作废内容及时销毁。
9.4 系统管理员不得随意修改合法用户的身份,确因工作需要应得到主管领导的批准。
9.5 系统管理员应遵守保密制度,不泄漏企业信息。
9.6 对于新上岗信息管理人员,系统管理员应对其进行岗位培训,培训岗位标准、计算机管理制度、操作规程,落实安全职责。
10、重大操作事项审批制度
10.1 涉及到服务器系统、网络、数据库安全的操作应填写《重大操作事项审批表》,任何人不得擅自更改运行系统的相关配置。
10.2 部门负责人应组织相关人员及专家讨论操作的必要性和可行性,制定安全措施和操作步骤。
10.3 经批准的重大操作需做充分的实验和准备,并验证其可行和安全后,由两人以上共同操作。
10.4 对管理软件的重大操作和维护应执行重大操作审批制度,不允许对运行的软件进行直接调试和试运行。
10.5 在重大操作实施之前,应做好系统的备份。在实施过程中,应详细记录操作过程,以保证实施过程发生意外时能将系统恢复到实施前的运行状况。
点击咨询 