第一篇:集团信息安全管理
关于加强集团信息安全管理的重要通知
长期以来,外部网络信息环境复杂,木马病毒及各类恶意软件泛滥,严重威胁信息平台的安全和健康运行,用户误入沟通陷阱、机密材料被篡改窃取、网上财务损失等事件层出不穷。随着集团及各子公司信息化和办公自动化进程的推进,各类沟通渠道中所含信息的安全管理成为集团安全管理工作的重要内容。为确保集团各类信息的安全运行,保障集团各项利益不受损害,依据集团保密制度的相关规定,现将有关事项通知如下:
一、会议信息安全管理
1、会议须按集团会议级别分类,将会议记录资料交由会议主办部门(单位)指定专人进行归档存储;
2、重要涉密会议,应事先制定保密计划或预案,并做到有领导分管、有专门机构和人员负责保密工作。
3、涉密会议应当选择有利于保密的场所进行,事前应对会议场所进行安全保密技术检查。
4、涉密会议必须明确规定参加人员的范围,并对有关工作人员进行保密教育,规定保密纪律,严禁无关人员进入会议场所。
5、涉及企业绝密的会议禁止使用无线话筒,参加会议人员不得将移动电话带入涉密会议的会场,因特殊原因带入会场的移动电话应关闭手机并取出电池,统一放置于座位左手上方。会议期间严禁使用手机接打电话或录音录像。重大涉密会议应使用保密会议移动通信干扰器。/ 6
6、涉密会议期间的秘密文件、资料,要有专人负责管理;要在载体上标明密级、保密期限和份数序号;分发要履行登记、签收手续,并按照涉密文件资料管理。未经批准不得提供给新闻记者。
7、领导在会议上的讲话未经本人同意,不得整理散发。参加会议的人员和工作人员不得以任何形式对外泄露会议内容。
8、秘密会议的传达,应当按会议主办部门(单位)确定的内容和范围进行;确需扩大知悉范围的,应当经主办部门(单位)批准。
二、办公自动化及通信设备安全管理
1、涉密办公自动化设备,应安置在安全保密的场所,并按照保密要害部门、部位的要求,配备保密安全设施。
2、不得使用移动电话谈及企业秘密信息,确需交谈的,应使用有线电话。
3、不得将移动电话带入谈论涉及秘密事项的场所,因特殊原因带入的移动电话应取出电池或采取屏蔽功能。
4、单位打印机、复印机、扫描仪,应统一由法务文印部专人管理,严禁擅自打印、复印、扫描涉密文件、资料、图表等。
5、涉密部门的领导和重要涉密岗位的工作人员不得使用他人赠送的移动电话。
6、未经允许严禁私自使用手机或其它电子设备进行重要文件、要害部门设施设备的拍摄、图片视频上传及发送等。
7、不得随意另存、复制、打印、发送、截屏、拍摄集团内部文件及公文流转系统中文件(包括但不限于审批件、呈报件等)。/ 6
8、使用涉密计算机的人员,必须妥善保管好自己账号、密码,严禁外泄。
9、不得以集团企业邮箱以外的电子邮箱传递企业秘密文件、信息,电子邮件讨论、部署、汇报涉密内容应加密;不得在网上发布秘密文件、信息。
10、严禁使用计算机端或手机端的QQ、飞信、微信、易信等网络沟通联络软件进行传送、发布、散布企业秘密文件。
11、不得将集团内部文件和资料提供给与工作无关的任何单位和个人,严禁将集团内部审批件提供给集团以外的任何单位和个人。
12、不得利用办公网络系统从事损害集团信息安全、泄露信息机密的活动。
13、不得查阅、下载、复制、传播、使用与工作内容无关的电子信息,不得利用网络聊天。上班期间,不得浏览与工作无关的网站。
14、严禁未经批准擅自接入集团信息网络,网络及计算机使用人要增强安全防范意识,不得擅自修改IP地址、网络端口、用户账号、密码,并将信息化系统中的信息、数据传播给他人。
15、办公计算机使用人不得私接网线,不得私自安装与工作无关的软件,不得私自删除网络客户端软件、杀毒软件和操作系统文件。
16、办公网络严禁私自使用无线WIFI路由设备,严禁私接无线网卡,一经发现,没收该设备并将直接追究该使用人责任。
17、非网络管理人员,严禁私自登录网络设备、服务器并进行非法设置,一经发现,将直接追究该私设人员责任并除名。/ 6
18、所有外来信息数据,包括邮箱、QQ客户端、网站下载等来源的数据,在导入计算机使用时必须首先进行杀毒处理,未经处理导致病毒感染、网络系统使用不正常或出现网络瘫痪的,一经发现,将直接追究该使用人责任。
19、严禁恶意使用非法网络软件进行网络端口的扫描、地址获取、密码探测等干扰网络正常运行的行为,一经发现,将直接追究该使用人责任并除名。
20、严禁外来人员在办公场所内利用手机或其它电子设备拍摄照片视频资料,集团任何部门及人员均有权应予以制止,并令其删除拍摄内容。
21、集团电信号码所开通的微信号码,自本通知下达后持卡人应立即停止使用。
22、集团内部严禁私自架设微信群、QQ群等讨论群并在群内传播、散发集团重要信息。一经发现,将直接追究该使用人责任并除名。
23、集团闭路监控视频、电话录音、车辆GPS信息、网络操作记录等重要信息,应由专门部门(单位)负责,信息的调阅、查询均要按规定进行登记,并做好信息的备份和保密工作。
三、秘密载体的安全管理
1、承载秘密的纸介质、光介质、电磁介质等秘密载体,如纸张、光盘、硬盘、U盘、磁带、录音笔等,应当做出秘密标志,应当根据有关保密规定确定密级和保密期限。/ 6
2、秘密载体必须由集团机要(保密)部门统一管理,密件收发、交换、借阅应履行登记签字手续。相关载体借出时,应确保载体内信息不泄露。
3、集团文件只允许发放于部门(单位),一般不得发给个人。
4、传递密件应使用安全可靠的交通工具,不得通过普通邮政进行。绝密件的传递,应单独密封,专人护送,不得使用普通传真机、电话、短信、微信等任何通讯手段和工具。
5、密件传阅应专夹专人直传,不得横传,并做到当天阅读当天退还,不得在无保密条件的场所存放。
6、销毁秘密载体,必须认真登记,经集团分管领导和总经理审批后,统一送公文销毁机构销毁。个人不得擅自销毁密件。
7、因工作需要随身携带秘密载体外出的,必须经集团分管领导及总经理批准,并采取可靠的安全措施。
8、集团领导参加会议带回的密件应及时交集团信息资料部登记管理,个人不得留存。
自此通知下发之日起各部门(单位)负责人应严格按照上述要求执行,具体做好以下工作:
1、综合部做好会议保密级别的划分及重要会议的设备使用管理、移动通信设备检查及干扰器设置工作;
2、信息资料部做好有关网络及文件信息安全的监督检查和管理工作。
3、人资部做好有关企业职工的保密安全教育和引导工作。/ 6
4、法务文印部做好有关企业秘密的遗失、泄露等事件的应对及应急处理方案。
5、财务部做好财务报表、往来凭证等重要经济数据的保密和管理工作。
6、集团其他各部门做好各自部门业务范畴内的重要信息的保密工作。
7、各子公司做好各自公司内部业务范畴内的重要信息的保密工作。
8、集团各部门及子公司负责人应严格按照各自签订的《2014年目标责任书》和《保密协议书》之要求,做好涉及商业秘密及工作秘密的内容审查工作。
信息部
2014年10月30日 / 6
第二篇:集团信息安全管理制度
刚泰集团信息安全管理制度
品牌信息部 2015.3.5
一、总则
通过加强集团计算机系统、办公网络、服务器系统的管理。保证网络系统安全运行,保证集团机密文件的安全,保障服务器、数据库的安全运行。加强计算机办公人员的安全意识和团队合作精神,把各部门相关工作做好。
二、范围
适用于集团所有员工。
三、职责
1、品牌信息部为网络安全运行的管理部门,负责公司计算机网络系统、计算机系统、数据库系统的日常维护和管理。
2、系统管理员执行公司保密制度,严守公司商业机密。
3、员工执行计算机信息安全管理制度,遵守公司保密制度。
四、管理办法
I、计算机使用管理制度
1、计算机由集团品牌信息部统一配置并定位,未得允许任何部门和个人不得私自拆装、挪用、调换、外借和移动计算机。
2、计算机的开、关机应按按正常程序操作,严禁直接的人为非法关机;主机和键盘周边不要放置水杯等盛满液体的容器,以免损毁计算机。
3、所有计算机必须设置登陆密码,一般不要使用默认的administrator作为登陆用户名,密码必须自身保管,严禁告诉他人,密码需要定期更换以确保安全。
4、计算机软件的安装与删除应在系统管理员的许可下进行,任何部门和个人不得安装来历不明的软件,不得擅自修改、移动或删除计算机硬盘内的数据程序、防病毒软件、计算机文件和系统设置。
5、员工应采取措施做好电脑的防尘、防盗、防潮、防触电等工作。下雨打雷天气注意关闭电源总闸或切断电源开关。
6、员工在长时间离开计算机时,要求关闭计算机或退出Windows用户桌面。
7、为文件资料安全起见,勿将重要文件保存在系统活动分区内如:C盘、我的文档、桌面等;请将本人的重要文件存放在硬盘其它非活动分区(如:D、E、F);并定期清理本人相关文件目录,及时把一些过期的、无用的文件删除,以免占用硬盘空间。
8、计算机发生故障应尽快通知系统管理员及时解决,不允许私自打开计算机主机箱操作,以免触电造成危险或损毁计算机硬件设备。
9、计算机出现重大故障,需要采购配件或较长时间维修时,系统管理员应准备备用机器给员工使用,重要资料及时备份;如果硬盘未损坏,送修前应卸载硬盘妥善保管以确保数据安全。
10、禁止工作时间内在计算机上做与工作无关的事,如玩游戏、听音乐等。
11、员工不得利用公司邮件系统、微信、QQ等社交工具散播不利于公司言论或刻意泄漏公司机密。
12、员工离职时,系统管理员应及时核对计算机硬件配置信息,并对离职人员计算机中的公司资料信息备份刻盘。
II、计算机软件管理制度
1、办公类计算机软件由集团统一配置和采购,数量较大的软件项目采购应采取招标或议标方式,并经集团决策层批准。
2、软件购置完毕后,品牌信息部做好验收工作后,应及时做好软件相关信息的登记录入工作。
3、购置的软件技术资料应归档保管。
4、加强对计算机软件使用权限的管理。因业务需要开通使用权限,需经过相关的领导批准和审核,有系统管理员设置相应权限。
5、软件一经安装使用,未经系统管理员的同意,任何人不得将其卸载或者删除。III、计算机病毒防范管理制度
1、所有计算机都应安装防病毒软件,并定期每周升级和杀毒,定期每月更新系统补丁,紧急补丁及时更新。
2、员工在工作中发现计算机有被病毒感染的迹象或因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故时,应及时向系统管理员报告,并保护现场。
3、使用外来U盘等拷贝资料时,应先进行病毒检测。
4、远程传输的资料和程序,需经过杀毒检测确认无病毒后方可使用。
5、禁止在办公电脑安装游戏软件,上色情网站等容易感染病毒的非法操作。
6、对互联网上来历不明的电子邮件,下载附件后必须杀毒,不要直接打开附件,防止受到计算机病毒攻击感染。
7、对互联网上直接下载的资料,在使用之前都必须进行查毒杀毒,确保无破坏性病毒后才可以进行操作。
8、及时检测、清理计算机系统中的病毒,无法清除的,应当迅速采取隔离控制措施,保护好重要数据,并及时向系统管理员报告。
IV、服务器数据安全管理制度
1、服务器UPS不间断电源每季度都需要进行一次充放电检查,确保负荷安全可靠,电池等设备工作稳定正常。
2、系统管理员负责定期备份更新服务器系统数据,并定期杀毒和防毒,及时下载最新的防病毒库进行查杀病毒并做好杀毒记录。
3、服务器应用系统等正常使用后,应及时的备份系统并刻录光盘保存。
4、应用服务器,如OAERP等数据库,应每天下班后17:30备份一次数据库,在备份服务器中进行逻辑备份的验证工作,经过验证的逻辑备份存放在不同的物理设备中,每周五的数据进行加密刻盘,超过1年的刻盘数据应及时销毁处理。
5、重要的服务器系统备份以及数据库备份,应充分考虑到火宅地震等严重自然灾害,做好相关备份的同时,应每月异地备份数据一份。
6、维护服务器日志以及网络访问日志,监控外来访问和对外访问情况,如有安全问题,应及时处理。
7、应用服务器密码安全管理:包括ERP服务器、OA服务器、域服务器、邮箱服务器、视频会议系统等。品牌信息部为确保服务器置于外网相对安全,针对每个服务器创建一个复杂的、不同的密码,并每年更换一次新密码,并做好相关的密码更新记录工作。
8、系统后台数据只能由服务器系统管理员进行维护,若需外援时,必须在管理员的陪同下进行操作,其他终端用户不得设置权限进入数据管理后台。
9、当遇到服务器需要变更时,管理员应该做好详细的变更记录。如:程序变更、紧急变更、配置/ 参数变更、基础架构变更、数据库修改等。
10、个人计算机的备份统一由各部门自行负责,可使用移动硬盘、信息光盘等储存介质进行安全备份。
V、网络安全管理制度
1、从事计算机网络信息活动时,必须遵守《计算机信息网络国际联网安全保护管理办法》的规定,应遵守国家法律、法规,加强信息安全教育。
2、员工因公需要者除外,于公司内任何时间均不得浏览非法网站,包括色情网站、聊天室、BBS站、购物网站、游戏网站等等。
3、员工上班时间内除紧急情况之外,不得使用P2P等下载软件下载与工作无关的视频资料,以免造成网络瘫痪。
4、禁止安装一切与无关公司业务的软件,如股票软件等,严禁上班期间涉及私人事务,如炒股、网购等等。
5、请员工对自己账号严格保密,系统管理员不负责因账号泄漏而造成的与之相关的一切责任。
6、对于系统和网络出现的异常现象,系统管理员应及时组织相关人员进行分析,制定处理方案,采取积极措施。针对当时没有解决的问题或重要的问题应将问题描述、分析原因、处理方案、处理结果、及时制定出解决方案。
7、公司的无线WIFI等设备,应做好相关的权限设置和密码设定,防止越权访问以及信息泄露。
VI、手机信息安全管理制度
1、员工需配合系统管理员,在手机操作系统中装入工作相关的APP软件,例如OA、微信公共账号、邮件等手机客户端软件。
2、为确保手机数据的安全,手机开机必须设定开机密码,并定期进行修改以确保安全。
3、手机客户端软件中的账户和密码,禁止勾选记住密码以及自动登录,防止手机遭到不法分子窃取后,非法诈骗和盗取重要资料信息。
4、手机被盗或者遗失后,应第一时间通知公司所有员工,并让系统管理员更新账号密码,以确保数据安全。
5、微信企业号等与工作相关联的社交工具,不发与工作无关的信息,不散播不利于公司言论或刻意泄漏公司机密。
五、违规操作赔偿标准
1、违规操作者:没有造成经济损失的,给当事人和责任人口头批评。
2、违规操作者:造成经济损失的,需赔偿相关的经济损失,造成严重后果的,由人力资源中心根据公司其他相关制度进行处理。
六、附则
1、本制度由自公布之日起实施。
2、本制度有不妥之处在运行中修改并公布。
第三篇:信息安全管理
概述
1、信息安全定义:在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭至破坏、更改和泄露
2、分类:实体安全、运行安全、信息安全、管理安全
3、信息安全保障:人员、技术、管理
4、管理活动的五个基本要素:
谁来管:管理主体,回答由谁管的问题;
管什么:管理客体,回答管什么的问题;
怎么管:组织的目的要求,回答如何管的问题;
靠什么管:组织环境或条件,回答在什么情况下管的问题。
管得怎么样:管理能力和效果,回答管理成效问题。
5、信息安全管理是通过维护信息的机密性、完整性和可用性等,来管理和保护信息资产的一项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过程。
6、信息安全管理是信息安全保障体系建设的重要组成部分
7、信息安全管理的内容:安全方针和策略;组织安全;资产分类与控制;人员安全;物理与环境安全;通信、运行与操作安全;访问控制;
第四篇:军工集团信息安全管理的实践与探索
军工集团信息安全管理的实践与探索
李 笑 林王为
中国航天科工集团公司信息管理中心
摘要:本文在参考国内外信息安全管理标准和规章制度的基础上,结合本集团信息安全管理体系建设实践经验,从总体规划、组织体系、规章制度、日常监督管理等方面探讨军工集团的信息安全管理体系建设。关键词:军工集团信息安全管理
1.引言
信息安全保障体系的建设主要有两个方面:信息安全技术保障体系和信息安全管理体系。军工集团对信息系统的安全性有很高的要求,必须充分分析各类安全风险并采取技术措施解决,但同时由于信息安全管理中人是决定因素,因此仅靠先进的信息安全技术和产品并不能完全保障信息系统的安全,只有建立有效的信息安全管理体系,才能有效地降低安全风险,建立起长效机制。目前在集团公司内部,信息系统是由信息化管理部门负责规划、建设和维护的,本着“谁主管,谁负责”的原则,信息化管理部门承担了主要的信息安全工作,本文是在参考国内外信息安全管理标准和规章制度的基础上,结合日常工作实践经验,探讨军工集团的信息安全管理体系建设。
2.信息安全管理规划
信息安全工作首先应从总体规划开始,与信息化建设做到同步规划、同步设计、同步实施。我集团根据《国家信息化领导小组关于加强信息安全保障工作的意见》等有关部委的文件,从2000年起制定了一系列的规章制度,要求集团各成员单位在编制信息系统建设方案时就结合本单位实际情况,同步规划、设计涉密信息系统建设方案。在方案设计时就结合本单位实际情况进行安全风险分析,并确定技术措施,明确必须采用取得国家主管部门认可资质的信息安全产品。建设方案经集团公司批准后,各单位在系统建设中必须同步建设涉密信息系统的安全设计方案。在各单位信息系-1-
统正式运行前,都由上级单位信息化管理部门和保密部门共同到现场,从管理和技术两方面检查单位的信息安全管理制度是否完善和落实,技防、物防的各项措施是否到位,检查通过并由集团公司保密委员会批准后,系统才能正式运行。集团公司的信息化管理部门和保密部门每年均对各单位的信息系统进行远程或现场安全检查,并通报检查结果,要求发现问题的单位限期整改。信息系统的规划、建设、维护全过程都纳入集团信息安全管理体系,严格监督和管理。
3.组织体系
确定合适的安全组织机构能合理地协调各方面因素,实现安全组织的规范化、科学化,通过各级组织机构对集团成员单位的信息安全建设进行监督管理和检查指导,能统一规划全集团信息安全体系,保证安全策略有机整合,避免安全漏洞和重复投资。在部门之间,信息化管理部门在信息安全技术上主要负责,在安全管理上与本单位的保密部门、机要部门等相关部门协调合作,共同做好信息安全管理工作。
我集团设立了由集团副总经理担任组长的信息安全领导小组,和由信息化管理部门、保密部门和办公厅(机要管理部门)组成的信息安全办公室,具体负责集团公司的信息安全管理工作。各主要军品任务承担单位也相应成立了信息安全领导小组和办公室。在各级信息化技术部门均设置系统管理员、安全管理员、安全审计员,从管理结构设计上保证人员权限互相监督、互相制约。
4.规章制度
设立合适的信息安全主管机构,确定职责分工,反映了企业在信息安全管理方面的决心。此后必须制定相应的规章制度、管理办法等,这反映了企业的信息安全策略,同时严格的安全管理制度可以保证各类人员正确执行信息安全策略,落实安全保密要求,减少人为因素影响。
由于我集团的高安全性、高保密性要求,信息化管理部门、保密部门、机要部门都根据国家部门的相关规章制度制订了多个关于信息安全的内部管理办法,包括人员岗位职责、涉密信息系统管理办法、移动存储介质管理办法等。为了加强对信息化建设过程中外部人员的监管,确保在各系统建设过程中,国家秘密不被非法窃取或无意泄露,集团公司还制订下发了《加强对外部技术支持人员保密管理的通知》,通知中规定了对外部人员的工作全过程监督,禁止外部工作人员单独在内网系统中进行各种操作,禁止外部工作人员接触涉密信息,监督人员填写工作记录,并由监督人员和
外部工作人员签字确认等要求。
目前国际上比较通用的信息安全管理参考资料是由英国标准协会(BSI)制定的信息安全管理体系标准BS-7799。它包括两部分,第一部分《信息安全管理实施规则》主要提供了综合的、由信息安全惯例组成的实施规则,其目的是作为确定企业信息系统在大多数情况下,所需控制范围的参考基准。第二部分《信息安全管理体系规范》详细说明了建立、实施和维护信息安全管理体系的要求,提出了应该如何建立信息安全管理体系的步骤,注重过程管理模式,建议公司将信息安全管理体系与其他管理体系进行整合,并持续改进其有效性。BS-7799标准总的来说并不完全适用于中国的军工集团,其考虑到标准的普遍适用性,所以在细节上并不明确,同时在保密方面要求较少,但其对信息安全管理体系的建立有一定的指导作用。我们计划参考BS-7799标准,根据国家各部门文件的精神、要求,结合本集团实际情况制订企业的信息安全战略,编写信息安全实施手册等文档。通过制定信息安全规章制度,编写各种层次的信息安全体系文件,构建信息安全管理体系框架。这是建立信息管理体系的重要基础性工作。主要包括如下几类文件:
(1)管理总则
总则是集团公司为满足安全需要而选择的控制目标和控制方式的说明性文件,在文件中主要明确公司的信息安全要求(包括风险评估、法律法规、业务三方面),选择控制目标与控制方式。管理总则是制定公司信息安全技术策略、管理策略,建立组织机构的依据。
(2)信息安全管理要求
管理要求主要是阐明集团公司的信息安全管理方针,描述信息安全管理体系的文件。在手册中包括信息安全方针的阐述、信息安全管理体系的范围、信息安全策略的描述、控制目标与控制方式的描述、关于手册修改与控制的规定等。企业员工可以通过信息安全管理手册明确公司在信息安全方面的要求。
(3)程序文件
信息安全管理程序主要有安全控制程序、管理与运作程序等,如数据备份、风险评估等工作任务,程序文件应描述信息安全管理各种工作任务的责任及相关活动,说明工作任务的目的、内容、负责人、时间、地点、要求等,是信息安全政策的支持性文件。程序文件中说明了企业不同工作岗位员工在信息安全方面的职责和工作。
(4)作业指导书
作业指导书是程序文件的支持性文件,描述如何完成某项工作任务的具体做法,包括规范、指南、操作流程等,是任务如何完成的具体指导。
(5)工作记录
工作记录是信息安全管理体系运行的证据,信息安全记录内容与格式应该符合各程序的实际并反映结果,应有追溯性,并可以进行审计分析。
(6)应急响应预案
应对企业面临的安全风险充分分析,制订信息安全应急响应预案,对可能发生的病毒流行、黑
客攻击等各种潜在威胁制订响应策略。
5.日常信息安全管理
由于信息安全的脆弱性,除了在系统设计上增加安全功能,完善系统的安全保密措施外,还应高度重视和加强提倡安全管理,因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面,而这又是信息安全所必须考虑的基本问题,我集团的日常信息安全管理主要基于以下三个原则。
(1)多人负责原则
集团公司信息管理中心设置网络系统管理员、数据库管理员、安全管理员和安全审计员,实行各岗位双岗制,负责集团总部计算机信息系统的安全管理工作。每一项与信息安全有关的活动,都必须有两人或多人在场。这些人都是经过保密部门审查,忠诚可靠,能胜任此项工作,每项日常工作都设立工作日志。以下是几项与安全有关的活动:
应用系统管理,包括数据备份、权限设置等; 信息系统硬件和软件的维护; 信息系统软件的设计、实现和修改; 重要程序和数据的删除和销毁等。
(2)任期有限原则
一般情况下,技术人员不长期担任与安全有关的职务,遵循任期有限原则。通过工作人员不定期地轮岗任职,实行休假制度,对工作人员进行轮流培训等,便于监督和管理。同时根据人员调动和解聘的情况,对工作调动和离职人员要及时调整相应的授权。
(3)职责分离原则
要求工作人员不要打听或参与职责以外的任何与系统权限、安全管理有关的事情,除非主管领导批准。出于对安全的考虑,下面每组内的两项工作均分开进行:
系统开发与系统管理; 系统管理与安全管理; 安全管理与审计; 介质使用与介质销毁等。
建立规章制度目的是减少企业组织对人为的依赖,并运用分工、合作的方法处理工作中出现的各种问题,提高工作效率。要实现管理制度的目的,使制度真正发挥作用,日常的管理、监督检查
是非常重要的。在日常信息安全管理工作中,以表格等形式建立各种工作记录,使信息安全工作有据可查、工作规范化。工作记录主要包括以下六类:
(1)信息安全工作日志,内容主要包括各安全设备的运行情况,维护升级等;
(2)审计工作日志,内容主要包括对各类日志的审计分析,对安全员工作的审计;
(3)安全风险评估记录;
(4)信息安全运行分析报告;
(5)安全事件处理记录;
(6)设备授权、更改记录单,如防火墙策略更改记录。
6.结语
在信息安全管理体系的建设过程中,规划是信息系统安全管理体系建立的基础保证,信息安全管理组织机构的建立是组织保障,规章制度是进行信息安全管理的指导原则,日常管理是保证制度执行的有效手段。人员是信息安全管理的核心,信息安全人员的管理和培训无疑是非常重要的,归根到底组织机构的建立、规章制度的建立和执行都是要靠人来完成的,提高全集团工作人员的信息安全意识是建立信息安全保障体系的重要工作。军工集团的信息安全管理是一个复杂的管理体系,必须不断根据文件要求和技术发展及时动态调整,并融入企业其他管理体系相融合,才能真正有效地建立企业信息安全保障体系。
参考文献
[1]《BS-7799 第一部分 信息安全管理实施规则:1999》(ISO/IEC 17799-2000)
[2]《BS-7799 第二部分 信息安全管理体系规范:1999》
[3]《ISO/IEC 21827-2001 系统安全工程能力成熟模型2.0b》
[4]《GB/T18336信息技术安全性评估准则》(ISO/IEC15408)
[5]《信息安全管理 全球最佳实务与实施指南》 孙强、陈伟、王东红等著,清华大学出版社,2004年10月
The Practice and Exploration of Information Security Management in Military Industrial Conglomerates
Abstract:
After consulting the information security management criteria and regulations both at home and abroad and summarizing the practice of information security management in the Conglomerate, the thesis intends to probe into the establishment of an information security management system in military industrial Conglomerates in terms of general planning, organization system, regulations and routine supervision.Key Words: military industrial Conglomerateinformation security management
第一作者简介:
姓名:李笑林年龄:55岁职务:副主任
工作单位:中国航天科工集团公司信息管理中心
联系电话:68370474电子邮件:li_xiaolin@casic.com.cn
作者简介:现在中国航天科工集团公司信息管理中心负责全集团信息化管理方面工作。
第五篇:信息安全防病毒管理
防病毒管理程序
1目的保护组织的信息系统和计算机,预防病毒与各种恶意软件的入侵,保障业务系统和日常工作的正常进行。
2范围
公司所有的信息和信息设备。
3术语和定义
恶意代码:是一种程序,它通过把代码在不被察觉的情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。
移动代码:是指以某种方式传递到客端计算机上并执行的程序代码。4职责和权限
XXX部负责公司的防病毒工作,负责防病毒软件的安装、病毒库的更新管理及提供其它相关技术性支持。
其他各部门具体负责本部门的防病毒及相关预防措施的实施。
5相关活动
5.1 软件安装
由XXX部负责,确定公司的防病毒软件,并组织安装。并设置防病毒软件在计算机系统启动时自动执行。
其他各部门和员工不得私自安排防病毒软件。
5.2 扫描和升级
每台计算机和服务器,每天应全面扫描一次病毒;
要启用杀毒软件的自动升级病毒库功能,并设定自动升级的时间,安装了网络版杀毒软件客户端的接受防病毒服务器的统一管理,及时从防病毒服务器下载最新病毒库进行更新;
插入计算机的软盘、光盘和其它介质要做病毒检查,对电子邮件和从互联网下载的文件做病毒检查;
对新购置的计算机软件在使用前也要进行病毒检测;
禁止从任何不可靠的渠道下载任何软件,对安全下载的软件在安装前先做病毒扫描。
5.3 杀毒日志
对杀毒日志要自动记录,并保存相关记录,以备审核。
5.4病毒事件响应
当发现不可清除的病毒和异常情况时,要及时报告XXXX部,报告的内容包括:
系统运行速度比平时明显变慢; 有打印、显示异常现象; 文件夹下有不明的文件自动生成; 磁盘空间自动产生坏簇或磁盘空间无故减少; 系统文件无故丢失; 系统异常死机的次数增加;
XXX部要及时对用户报告的病毒事件进行响应,并记录病毒检测和处理的情况,填写《信息安全事件报告记录》。为以后问题的处理提供帮助。
5.5 预防通知
XXX部应收集、整理、分析的新病毒信息;必要时发出通知,描述新病毒的名称、特征和危害;
及时升级病毒库,通知所有工作人员应及时升级病毒库。
6相关文件和记录
信息安全事件管理程序
点击咨询 