第一篇:1信息安全管理的重要意义
上海百兆祥科技咨询有限公司您的成功是我们的愿望 1信息安全管理的重要意义
在当今全球一体化的商业环境中,信息的重要性被广泛接受,信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、收益和机会,使得信息安全管理成为企业管理越来越关键的一部分。管理高层需要确保信息技术适应企业战略,企业战略也恰当利用信息技术的优势。
但现实世界的任何系统都是一串复杂的环节,安全措施必须渗透到系统的所有地方,其中一些甚至连系统的设计者、实现者和使用者都不知道。因此,不安全因素总是存在。没有一个系统是完美的,没有一项技术是灵丹妙药。
目前业界普遍认为,信息安全是政府和企业必须携手面对的问题。政府和企业管理层有责任确保为所有使用者提供一个安全的信息系统环境,而且,政府部门和企业在认识到安全的信息系统好处的同时,应该自我保护以避免使用信息系统时的固有风险。
中国工程院院长徐匡迪曾指出:“没有安全的工程就是豆腐渣工程”。今年我国接连不断地出现程度不同的信息安全事件,这些事件不仅仅是简单的信息系统瘫痪的问题,其直接后果是导致巨大的经济损失,还造成了不良的社会影响。如果说经济损失还能弥补,那么由于信息网络的脆弱性而引起的公众对网络社会的诚信危机则不是短时期内可能恢复的。
我国政府主管部门以及各行各业已经认识到了信息安全的重要性。政府部门开始出台一系列相关策略,直接牵引、推进信息安全的应用和发展。由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业,也开始出台对信息安全技术产品的应用标准和规范。国务院信息化工作小组最近颁布的《关于我国电子政务建设指导意见》也强调指出了电子政务建设中信息系统安全的重要性;中国人民银行正在加紧制定网上银行系统安全性评估指引,并明确提出对信息安全的投资要达到IT总投资的10%以上,而在其他一些关键行业,信息安全的投资甚至已经超过了总IT预算的30-50%。
我们回头来看,政府和各行各业对信息安全的重要性有了认识,相关的标准规范正在形成,投资力度在加大,安全技术、产品、市场在发展,多数企业机构正在制定符合不同业务信息系统和网络安全等级需要的综合性安全策略和计划。那么,我们为什么依然没有安全感呢?!到底需要什么样的方法或机制来管理或治理信息安全呢?经过近一年对国内外信息安全和最佳实务的研究,我们认为关键是要建立一套能够涵盖组织信息安全的制度安排机制,它包括治理机制和治理结构,这种制度安排通过建立和维护一个框架来保证信息安全战略和组织的业务目标精确校准,并且和相关的法律和规范一致。从后面的分析阐述中,我们可以看到有效的信息安全治理是非常必要的。
ISO/IEC27001作为信息安全管理领域的一个权威标准,是全球业界一致公认的辅助信息安全治理的手段,该标准的最大意义就在于它给管理层一整套可“量体裁衣”的信息安全管理要项、一套与技术负责人或在高层会议上进行沟通的共同语言以及保护信息资产的制度框架,这正是管理层能够接受并理解的,而此前与之对应的情形是:一旦出现信息安全事件,IT部门负责人就想到要采用最先进的信息安全技术,如购买先进的防火墙等等,客观上让人感觉到IT部门总是在花钱,这是管理层难以理解和不接受的。ISO/IEC27001管理体系将IT策略和企业发展方向统一起来,确保IT资源用得其所,使与IT相关的风险受到适当的控制。该标准通过保证信息的机密性,完整性和可用性来管理和保护组织的所有信息资产,通过方针、惯例、程序、组织结构和软件功能来确定控制方式并实施控制,组织按照这套标准管理信息安全风险,可持续提高管理的有效性和不断提高自身的信息安全管理水平,降低信息安全对持续发展造成的风险,最终保障组织的特定安全目标得以实现,进而利用信息技术为组织创造新的战略竞争机遇。
2信息安全标准简介与适用范围
ISO/IEC27001主要提供了有效地实施IT安全管理的建议,介绍了安全管理的方法和程序。用户可以参照这个完整的标准制订出自己的安全管理计划和实施步骤,为公司发展、实施和估量有效的安全管理实
上海百兆祥科技咨询有限公司您的成功是我们的愿望 践提供参考依据。该标准是由英国标准协会(BSI)制定,是目前英国最畅销的标准。在此,我们顺便介绍一下英国标准协会,英国标准协会是全球领先的国际标准、产品测试、体系认证机构。我们所熟知的ISO9000(质量管理体系)、ISO14001(环境管理体系)、OHSAS18001(职业健康与安全管理体系)、QS9000/ISO/TS16949(汽车供应行业的质量管理体系)以及TL9000(电信供应行业的质量管理体系)均是由英国标准协会发起制定的,因此,如果企业已经实施了ISO9000,就很容易整合实施其它的管理标准,当然也包括ISO/IEC27001。
ISO/IEC27001于1995年首次出版(BS7799),标准规定了一套适用于工商业组织使用的信息系统的信息安全管理体系(ISMS)控制条件,包括网络和沟通中使用的信息处理技术,并提供了一套综合的信息安全实施规则,作为工商业组织的信息系统在大多数情况下所遵循的唯一参考基准,标准的内容定期进行评定。BS7799是1995版本的一个修订和扩展版本,它充分考虑了信息处理技术,尤其是网络和通信领域应用的最新发展,同时还强调了涉及商务的信息安全责任,扩展了新的控制。例如,新版本包括关于电子商务,移动计算机,远程工作和外部采办等领域的控制。
2000年12月,BS7799通过国际化标准组织认可,正式成为国际标准ISO17799,这是通过ISO表决最快的一个标准,足见世界各国对该标准的关注和接受程度。目前,已有二十多个国家引用BS7799作为国标,BS7799(ISO/IEC17799)也是卖出拷贝最多的管理标准,其在欧洲的证书发放量已经超过ISO9001,越来越多的信息安全公司都以BS7799作指导为客户提供信息安全咨询服务。由此可见,BS7799是国际上当之无愧的信息安全管理标准。2005年,BS7799正式改版为 ISO/IEC27001:2005。
在该标准中,信息安全已不只是人们传统意义上的安全,即添加防火墙或路由器等简单的设备就可保证安全,而是成为一种系统和全局的观念。信息安全是指使信息避免一系列威胁,保障商务的连续性,最大限度地减少业务的损失,从而最大限度地获取投资和商务的回报。信息安全的涵义主要体现在以下三个方面:
安全性:确保信息仅可让授权获取的人士访问;
完整性:保护信息和处理方法的准确和完善;
可用性:确保授权人需要时可以获取信息和相应的资产。
ISO/IEC27001信息安全管理体系标准强调风险管理的思想。传统的信息安全管理基本上还处在一种静态的、局部的、少数人负责的、突击式、事后纠正式的管理方式,导致的结果是不能从根本上避免、降低各类风险,也不能降低信息安全故障导致的综合损失。而ISO/IEC27001标准基于风险管理的思想,指导组织建立信息安全管理体系ISMS。ISMS是一个系统化、程序化和文件化的管理体系,基于系统、全面、科学的安全风险评估,体现预防控制为主的思想,强调遵守国家有关信息安全的法律法规及其他合同方要求,强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式保护组织所拥有的关键信息资产,使信息风险的发生概率和结果降低到可接受收水平,确保信息的保密性、完整性和可用性,保持组织业务运作的持续性。
第二篇:信息安全管理
概述
1、信息安全定义:在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭至破坏、更改和泄露
2、分类:实体安全、运行安全、信息安全、管理安全
3、信息安全保障:人员、技术、管理
4、管理活动的五个基本要素:
谁来管:管理主体,回答由谁管的问题;
管什么:管理客体,回答管什么的问题;
怎么管:组织的目的要求,回答如何管的问题;
靠什么管:组织环境或条件,回答在什么情况下管的问题。
管得怎么样:管理能力和效果,回答管理成效问题。
5、信息安全管理是通过维护信息的机密性、完整性和可用性等,来管理和保护信息资产的一项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过程。
6、信息安全管理是信息安全保障体系建设的重要组成部分
7、信息安全管理的内容:安全方针和策略;组织安全;资产分类与控制;人员安全;物理与环境安全;通信、运行与操作安全;访问控制;
第三篇:安全生产重要意义
安全生产的重大意义
安全生产是我们国家的一项重要政策,也是社会、企业管理的重要内容之一。做好安全生产工作,对于保障员工在生产过程中的安全与健康,搞好企业生产经营,促进企业发展具有非常重要的意义。
第一节安全生产的基本概念
安全,就是指企业员工在生产过程中或生产过程中的设备没有危险、不受威胁、不出事故。比如生产过程中的人身和设备安全、道路交通中的人身和车辆安全等等。
安全生产,是指在生产过程中的人身安全和设备安全。也就是说,为了使劳动过程在符合安全要求的物质条件和工作秩序下进行,防止伤亡事故、设备事故及各种灾害的发生,保障员工的安全与健康,保障企业生产的正常进行。安全生产是安全与生产的统一,安全促进生产,生产必须安全。
安全生产管理,是指企业为实现生产安全所进行的计划、组织、协调、控制、监督和激励等管理活动。简言之就是为实现安全生产而进行的工作。
党和国家对安全生产十分重视,因为它体现着国家的社会主义性质、市场经济的发展方向和我们党的根本宗旨,是企业和国家经济建设顺 利发展的前提,是社会稳定、人民生活幸福的保障,是当前我国人权事业的重要使命,是我们参与国际经济贸易竞争的必备条件。
第二节安全生产的目的《安全生产法》的第一条,开宗明义的确立了通过加强安全生产监督管理,防止和减少生产安全事故,实现如下基本的三大目标,即:保障人民生命安全,保护国家财产安全,促进社会经济发展。由此确立了安全(生产)所具有的保护生命安全的意义、保障财产安全的价值和促进经济发展的生产力功能。总的来说,就是保护劳动者在生产中的安全和健康,促进经济建设的发展。具体包括以下几个方面:
1、积极开展控制工伤的活动,减少或消灭工伤事故,保障劳动者安全地进行生产建设。
2、积极开展控制职业中毒和职业病的活动,防止职业中毒和职业病的发生,保障劳动者的身体健康。
3、搞好劳逸结合,保障劳动者有适当的休息时间,经常保持充沛的精力,更好地进行经济建设。
4、针对妇女和未成年工的特点,对他们进行特殊保护,使其在经济建设中发挥更大的作用。
第三节安全生产的意义
安全生产关系人民群众的生命财产安全,关系改革发展和社会稳定大局。搞好安全生产工作,切实保障人民群众的生命财产安全,体现了最广大人民群众的根本利益,反映了先进生产力的发展要求和先进文化的前进方向。做好安全生产工作是全面建设小康社会、统筹经济社会全面发展的重要内容,是实施可持续发展战略的组成部分。
安全生产关系到企业生存与发展,如果安全生产搞不好,发生伤亡事故和职业病,劳动者的安全健康受到危害,生产就会遭受巨大损失。可见,要发展社会主义市场经济,必须做好安全生产、劳动保护工作。
安全生产的意义主要体现在以下几点
一、政治意义
我们的国家是以工人阶级为领导的,以工农联盟为基础的人民民主专政的社会主义国家。我们的党是代表广大人民群众根本利益的政党。国家性质、党的宗旨要求我们必须搞好安全生产,尽最大努力保护从事各种职业活动的劳动者的生命安全和身体健康,以维护国家领导阶级--工人阶级的切身利益,维护广大进城务工农民及第一产业工人(农业工人)的生命与生存权利,维护和巩固我国政权基础--工农联盟。同时,对从事各种职业活动的劳动者和广大人民群众实施安全健康保护,就是实践我们党的“三个代表”思想的具体体现。
当前,我国经济体制改革的方向是向社会主义市场经济过渡。我国市场经济的鲜明特点是它的社会主义特性。这个特性要求,确立工人阶 级的主人翁地位,维护职工的合法权益,发挥工人阶级的积极性和创造性。无论在过渡过程中,还是在过渡完成后,都不能以牺牲劳动者和广 大人民群众的生命安全和身体健康为代价,以资本的野蛮积累为手段来实现市场经济。切实做到有效地维护劳动者劳动保护的权利,才称得上 社会主义市场经济,否则将与资本主义市场经济没有本质区别。
从维护人权的角度出发,搞好安全生产和劳动保护是我国人权事业的重要任务之~。我国已故人大常委会副委员长李沛瑶同志早在20世纪 90年代就已尖锐地指出,劳动保护是涉及人权的政治问题。现在,我国人权事业正在与国际接轨,我国政府多次强调,作为发展中国家,我国 的人权主要是人的生存权和发展权。
人的一生主要是在劳动中度过的,搞好安全生产,保障劳动者的生命财产安全,就是维护劳动过程中劳动者最大的人权。随着我国人民生 活水平的不断提高,人们争取劳动安全、健康的愿望必然会更加强烈。这就要求我们必须更加重视安全生产与劳动保护工作。
二、经济意义
1.搞好安全生产是企业生产和国民经济健康发展的前提
没有安全健康的生产条件,企业生产正常进行是不可能的,国民经济健康稳定发展也是不可想像的。随着我国经济快速发展,经济规模不 断扩大,历史遗留的安全隐患问题没有得到完全解决,而新的问题又不断出现,惨痛的事故教训和严重的经济损失说明,严峻的安全生产形势 已经严重地影响了我国经济的健康稳定发展。党中央、国务院以及各级政府对此高度重视,采取了许多坚决有力的措施,使安全生产局面基本 得到了控制。
2.安全生产是我国可持续发展战略的重要环节
近年来,我国重、特大事故不断发生,造成了惨重的人员伤亡和财产损失,有的还造成了矿产资源的破坏和环境的污染,浪费了大量人力 资源和物质资源,对我国经济的可持续发展战略的贯彻实施造成了负面影响。大量事实和事故损失数据说明,国民经济要坚持可持续发展战略,必须高度重视安全生产。
3.为了适应经济全球化的发展趋势,积极参与国际经济贸易竞争,必须加强安全生产。最近十几年,发达国家一直力图把包括劳工标准在内的有关内容纳入世界经济贸易体系中,把安全生产问题与国际贸易挂钩,形成事实上 的非关税贸易壁垒。我国在加入世界贸易组织后面临许多新的问题,其中也包括履行1999年国际标准化组织颁布的《职业安全健康评估系列》(OHSAS,1999)和2001年国际劳工组织颁布的《职业安全健康管理体系导则》(ILO-OSH2001)等标准的问题。安全生产达不到标准的要求,就有 可能影响我国企业在国际市场上的竞争力。在这一背景下,我们必须改变以往的安全生产管理模式,建立起与国际接轨的职业安全健康管理模 式和管理体系,贯彻实施国家经贸委2001年12月颁布的《职业安全健康管理体系指导意见》和《职业安全健康管理体系审核规范》,尽快使企 业安全生产管理实现科学化、现代化、规范化,以不断提高企业安全生产水平,增强企业在国际经济贸易中的竞争实力。
三、社会意义
搞好安全生产,有利于调节企业内部的劳动关系,促进企业外部的社会稳定。避免和减少因劳动条件恶劣而引发的劳动纠纷,以及因伤亡 事故和职业病引发的劳动关系激化,进而发展为影响社会稳定的突发事件。特别是计划生育政策的贯彻实施,独生子女劳动大军进入劳动力市 场,使人们对伤亡事故和职业病的敏感性越来越高,心理承受能力越来越差,搞不好安全生产,就有可能影响社会稳定,这已是不争的事实。
安全生产的效益
保护人的生命安全与健康的直接的社会效益及间接的企业经济效益;避免环境危害的直接社会效益;减少事故损失造成的企业直接经济效益;保护企业正常生产的间接经济效益;促进生产作用的直接经济效益。
安全生产的社会价值
搞好安全生产工作,切实保障人民群众的生命财产安全,体现了最广大人民的根本利益,反映了先进生产力的发展要求和先进文化的前进方向。做好安全生产工作是全面建设小康社会、统筹经济社会全面发展的重要内容,是实施可持续发展战略的组成部分,是政府履行社会管理和市场监管职能的基本任务,是企业生存发展的基本要求。因此,安全生产是“三个代表”思想的具体体现;是党和
政府“执政为民”的要求;是宪法和国家性质的要求;是社会进步与文明的标志;是以人为本的重要内涵;是国家安全和社会公共安全的基石;是生产力发展的基础和条件;是人民安居乐业的保证和人民生活质量的体现。
安全生产对于企业的价值
安全生产是国家和政府赋予企业的责任;是社会和员工的要求;是生产经营准入的条件;是市场竞争的要素;是持续发展的基础;是利润的组成部分。
安全生产是个人、家庭、企业和国家的基本需要
搞好安全生产工作对于巩固社会的安定,为国家的经济建设提供重要的稳定政治环境具有现实的意义;对于保护劳动生产力,均衡发展各部门、各行业的经济劳动力资源具有重要的作用;对于社会财富、减少经济损失具有实在的经济意义;对于生产员工关系到个人的生命安全与健康,家庭的幸福和生活的质量。安全是人的基本需要之一。人人都希望自己健康、长寿。随着生产力的不断发展和生活水平的日益提高,人们对健康的投资也越来越大。既然如此重视健康,那么如何保障自己在劳动中的安全,就应该成为每个员工的自觉行动。
1、安全为了自己。重视安全生产首先对自己有利,善待生命,才能为社会和个人创造更大的财富。
2、安全为了家庭。重视安全生产会给我们带来一个幸福美满的家庭,其乐融融,天伦之乐哪个人不想享受呢?
3、安全为了企业。重视安全生产会减少企业的巨大损失,促进企业的稳步发展。
4、安全为了国家。重视安全生产为国家创造巨大财富,使我们的国家日益走向富强。
第四节安全生产的改善
一、安全生产必须从“思想源头”上抓起
近些年建筑行业可谓是突飞猛进、日新月异,战果是辉煌的,成绩是可喜的。但由于建筑行业属于高危险行业,因此全国各地安全生产形势面临着严峻的考验。安全隐患的存在,安全事故的发生,原因是多方面的,但职工思想上,安全生产的那根弦,没有绷紧,是导致各种事故发生的重要起因。“思想是行动的先导”。只有从“思想源头”抓起,杜绝各种侥幸心理及麻痹思想,才能保证安全生产工作进一步顺利的开展。
二、安全生产不能只追求“口号化”
有一种“奇怪”的现象,某些企业不仅将关于安全生产的口号,喊得震天响,而且建立了一系列完善的安全生产规章制度,但是生产事故仍旧时有发生。究其原因只有一点,那就是缺乏强有力的“行动化”。一句好的安全生产口号;一项好的安全生产制度;一个好的安全生产会议决定,最终只有通过行动去落实,才能达到预定的效果,所以说安全生产不能只停留在“口号化”的层面上。
三、安全生产只许“小题大做”不许“大题小做”
某些职工对待安全生产的问题,往往采取“大事化小,小事化了”的态度。这种态度是要不得的,是十分危险的。任何有碍于安全生产的问题,无论大小,都必须举一反三,扩大教育与反思范围,将生产隐患彻底消灭在萌芽阶段。
四、抓安全生产,决不能怕当“黑脸包公”
大家经常用“黑脸包公”来形容一个人办事严明律已、毫不留情面。抓安全生产工作同样需要这种“黑脸包公”的精神。对待违反安全生产规定的人员,无论其职务高低、关系亲疏都要“拉得下脸”。对其进行严肃的教育与处理。抓安全生产,严是爱,松是害。为了广大职工的人身安全,各级安全生产负责人要乐于充当“不太受欢迎”的“黑脸包公”。
五、安全生产宣传教育渠道,应该“全面开花”
以往安全生产宣传教育,都是以会议的形式开展的,这种宣传教育方式的弱点就是“时效性”与“立体性”不强。经常是“左耳进,右耳出”,会议一结束“原物奉还”。要想形成“人人应知、人人皆知、人人熟知”的安全生产意识,仅靠召开几次会议是不可能完成的。应该采取“全面开花”的宣传教育渠道,充分利用板报、画册、广播、电视、网络、讲座、小品等宣传形式,把安全宣传教育引向深处。安全生产涉及方方面面,做好安全工作的意义十分重大。员工的生命,依靠安全来保障。企业的效益与发展,同样是依靠安全来保障。让我们大家一起“坚守”安全生产这块“大阵地”,携手共创电力美好未来!
第四篇:信息安全管理规定
信息安全管理规定
目 录
1.1.1信息安全管理规定...................................................2
一、总则........................................................2
二、适用范围....................................................2
三、职责........................................................2
四、管理规定....................................................2
五、信息安全风险评估............................................6
六、附则........................................................7 1.1.2.计算机病毒防范管理规定........................................8 1.1.3信息系统管理制度.................................................11
一、业务主管职责...............................................11
二、系统管理员具体职责:.......................................12
三、系统管理员操作管理制度.....................................12
四、系统管理员备份管理制度.....................................13
五、软件管理制度...............................................13
六、数据管理制度...............................................14
七、系统维护管理制度...........................................15
八、档案及数据管理制度.........................................16 1.1.4中心机房管理规定.................................................18
一、机房人员日常行为准则.......................................18
二、机房安全制度...............................................18
三、机房用电安全制度...........................................19
四、机房消防安全制度...........................................19
五、机房硬件设备安全使用制度...................................20
六、软件安全使用制度...........................................21
七、机房资料、文档和数据安全制度...............................22
八、机房财产登记和保护制度.....................................22
九、机房巡检制度...............................................22
信息安全管理规定
1.1.1信息安全管理规定
一、总则
为加强公司管理处计算机信息体系资产安全的保护,保障公司信息化体系连续可靠正常地运行,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际网管理暂行规定》和相关行政法规,结合公司管理处实际状况,特制订本规定。
二、适用范围
本规定适用于公司管理处所有员工,所有公司电子信息设备、版权软件、电子信息系统、电子信息文件、客户和厂商及兄弟单位提供给公司的所有电子信息资料的安全管理。
三、职责
3.1技术保障部负责本规定的制订和修订。3.2各级部门主管负责本规定在本部门的落实。
3.3技术保障部负责对本规定的执行情况开展定期或不定期的检查和指导。
四、管理规定 4.1电子产品资产管理
4.1.1公司所有办公电脑(含笔记本电脑)与相关电子产品属公司资产,任何部门及个人无权侵占、挪为私用。4.1.2公司所有办公电脑及相关电子产品由技术保障部统一做资产编号、建立台帐、调度分配,并发放给对应的使用人员,资产挂靠人有该资产使用权,同时需承担保管义务,任何遗失、人为破坏行为,需按照资产折旧值赔偿。4.1.3公司所有办公电脑及相关电子产品是公司配备给部门或个人的工作工具,任何人无权利用其做个人经营或工作无关事宜,一经发现提报人力资源部据公司相关规定处分。4.1.4未经许可,不得擅自使用他人电脑,所有用户需设置5分钟密码屏保,以确保离开后电脑不被他人使用。4.1.5人员离职、调岗时,请参照人事人员离职/换岗流程通知技术保障部协助所属部门交接人员备份信息资料,接收、重新分配电脑。4.2账号及密码安全管理
4.2.1公司各自岗位管理员及用户无条件对本人所负责的相关信息系统及软硬件密码负直接管理责任,未经上级主管审批,不得将自己的账号及密码告诉其他人,造成损失者,对账户及密码拥有人员酌情处分。
4.2.2机房设备及服务器、各信息系统管理员账号统一由技术保障部对应责任岗位负责,并定期修改密码;密码需统一登记在册,并及时更新,由技术保障部经理负责,出现重大泄露事件,对部门经理及相关责任人处分。4.2.3公司官网、微信、微博等与公司宣传有关的账号、密码,统一由市场营销部门对应岗位负责。
4.2.4因工作需要,在政府或第三方机构等网站注册的账号、密码,分别由各责任部门自行负责。
4.2.5具有信息系统权限的人员离职、调岗时,必须由技术保障部会签离职、调岗相关单据,以及时处理相关权限。4.3计算机系统安全管理
4.3.1公司所有办公电脑系统权限、安装软件、端口使用权限全部由技术保障部根据本规定统一设置、管控,特殊岗位因工作需要开通权限,需经申请批准后由技术保障部执行,任何未经批准擅自更改者视情节严重性进行处分。4.3.2未经技术保障部备案许可,严禁擅自安装自带软件,私自安装软件造成的版权纠纷,将由个人承担全部相关法律责任。
4.3.3公司所有办公电脑严禁安装游戏、工作无关软件,技术保障部不定期检查,对并违规行为做通报。4.4网络及应用系统安全管理
4.4.1任何部门和个人,不得利用计算机信息系统和网络系统从事危害国家利益、集体利益和公民合法权益的活动,不得利用国际互联网制作、复制、查阅和传播违法信息,任何利用公司网络所作的违法行为属个人行为,将全部由个人承担相关法律责任,公司将配合相关部门严厉查处。4.4.1.1煽动抗拒、违法乱纪、颠覆国家政权、分裂国家、破坏民族团结的;
4.4.1.2捏造或者歪曲事实,散布谣言,扰乱社会秩序的; 4.4.1.3宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
4.4.1.4公然侮辱他人或者捏造事实诽谤他人的。4.4.2任何部门和个人不得从事下列危害公司或公共计算机信息系统和网络系统安全的活动,违者全部由个人承担相关法律责任,并视情节严重性请相关部门追究法律责任。4.4.2.1故意制作、传播计算机病毒等破坏性程序的; 4.4.2.2故意攻击公共网络、公共服务器、公司网络、公司服务器的;
4.4.2.3其他故意危害公共网络、公司网络安全的行为。4.4.3 电脑IP地址是公司网络管理的最重要基础,公司所有办公电脑(含笔记本电脑)由技术保障部统一分配IP地址,任何部门或个人无权擅自修改IP地址。
4.4.4不得利用公司网络打游戏、看电影、下载工作无关资料。
4.4.5不得在公司内部安装、使用网络代理软件,以扰乱网络管理机制。
4.4.6技术保障部需定期检查、通报公司网络使用状况,并对违规者申请处分。4.5信息资料安全管理
4.5.1公司所有信息资料属公司资产,各部门与个人有义务承担本部门或个人信息资料的保密责任,并对所辖机密资料的安全承担连带责任。
4.5.2各部门主管需逐级制订本部门机密资料的内容、受限范围、发放审批机制,并定期检查、更新。
4.5.3未经批准,不得把本部门机密资料放置在公共网络、内部不受限共享夹、或以其他任何方式发送给受限范围以外的人员;任何有意、无意的泄密行为都是公司严厉禁止的,直至追究法律责任。
4.5.4对于部分有备份安全需求的部门,可申请由技术保障部统一安排部署备份服务器及备份机制。4.6中心机房安全管理
详见《公司管理处中心机房管理规定》。4.7计算机病毒防范
详见《公司管理处计算机病毒防范管理规定》 4.8监控资料安全管理
4.8.1监控资料调阅管理部门为技术保障部,安防监控录像调阅请参照综合管理部相关规定。
五、信息安全风险评估 5.1随着信息技术的不断发展、重大信息系统环境的不断改进和改变,每年至少要进行一次信息安全风险评估,对相关的制度进行重新审核,并更新不适当的内容。
六、附则
6.1本规定由技术保障部负责解释。
1.1.2.计算机病毒防范管理规定
为加强计算机的安全监察工作,预防和控制计算机病毒,保障计算机系统的正常运行,根据国家有关规定,结合实际情况,制定本制度。
一、凡在公司内所辖计算机进行操作、运行、管理、维护、使用计算机系统以及购置、维修计算机及其软件的部门,必须遵守本制度。
二、本办法所称计算机病毒,是指编制或者在计算机程序中插入的破坏计算机系统功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
三、任何工作人员不得制作和传播计算机病毒。
四、任何工作人员不得有下列传播计算机病毒的行为: 故意输入计算机病毒,危害计算机信息系统安全。向计算机应用部门提供含有计算机病毒的文件、软件、媒体。购置和使用含有计算机病毒的媒体。
五、预防和控制计算机病毒的安全管理工作,由技术保障部负责实施管理。其主要职责是
制定计算机病毒防治管理制度和技术规程,并检查执行情况; 采取计算机病毒安全技术防治措施;
对计算机信息系统使用人员进行计算机病毒防治教育和培训; 及时检测、清除计算机系统中的计算机病毒,并做好检测、清除的记录;
购置和使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品;
对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时做好记录,评估事故损失,保护现场并向公安机关报告。
六、计算机安全管理部门应加强对计算机操作人员的审查,并定期进行安全教育和培训。
七、计算机信息系统应用部门应建立计算机运行记录制度,未经审定的任何程序、指令或数据,不得输入计算机系统运行。
八、计算机安全管理部门应对引起的计算机及其软件进行计算机病毒检测,发现染有计算机病毒的,应采取措施加以消除,在未消除病毒之前不准投入使用。
九、通过网络进行电子邮件或文件传输,应及时对传输媒体进行病毒检测,接收到邮件时也要及时进行病毒检测,以防止计算机病毒的传播。
十、积极接受公安机关对计算机病毒防治管理工作的监督、检查和指导。
十一 现对日常使用计算机做出如下建议 及时安装系统补丁。建议使用系统自带的更新程序进行系统更新,不要使用诸如360安全卫士或qq电脑管家进行更新 安装杀毒软件。可以安装360等免费杀毒软件。
定期扫描系统是否感染有病毒,3天左右一次,可以在下班前或中午吃饭的时候进行全盘病毒查杀。定期更新防病毒软件。
不要乱点击链接和下载软件,目前许多下载网站都带有推广链接,很容易造成误操作.如需要下载软件,请到正规官方网站上下载.不要访问无名和不熟悉的网站,防止受到恶意代码攻击或是恶意篡改注册表和IE主页.不要陌生人和不熟悉的网友聊天,特别是那些QQ病毒携带者,因为他们不时自动发送消息,这也是其中毒的明显特征.关闭无用的应用程序,因为那些程序对系统往往会构成威胁,同时还会占用内存,降低系统运行速度.安装软件时,切记不要安装其捆绑软件,尤其是部分流氓软件,一旦安装,想要卸载十分麻烦,甚至于需要重装系统才能清除.不要随意执行附件中的可执行文件,一般以.com,.exe.bat作为后缀名 这些附件极有可能带有计算机病毒或是黑客程序,轻易运行,很可能带来不可预测的结果。对于这些可执行程序附件都必须检查,确定无异后才可使用。不要随意打开附件中的文档文件 对方发送过来的电子函件及相关附件的文档,首先要用另存为命令(Save As)保存到本地硬盘,待用病毒查杀软件检查无毒后才可以打开使用。如果用鼠标直接点击两下DOC、XLS等附件文档,会自动启用Word或 Excel,如有附件中有病毒则会立刻传染;如有是否启用宏的提示,那绝对不要轻易打开,否则极有可能感染上邮件病毒。
不要直接运行附件 对于文件扩展名很怪的附件,或者是带有脚本文件如*.VBS、*.SHS等的附件,千万不要直接打开,一般可以删除包含这些附件的电子函件,以保证计算机系统不受计算机病毒的侵害,或经过扫描之后打开。
邮件设置如果是使用Outlook作为收发电子邮件软件的话,应当进行一些必要的设置。选择工具菜单中的选项命令,在安全中设置附件的安全性为高;在其他中按高级选项按钮,按加载项管理器按钮,不选中服务器脚本运行。最后按确定按钮保存设置。
外来U盘、移动硬盘、光盘等最好在装有杀毒软件的电脑上查毒确认无病毒后再打开、执行、拷贝。1.1.3信息系统管理制度
一、业务主管职责
财务、综管、营销、运营等重点业务主管,负责协调本业务范围内信息系统的总体运行工作。具体职责包括:
1、负责本部门信息化岗位的设定和分配,结合本部门情况确定每个岗位的职责;
2、分配每一岗位人员操作权限,以书面形式通知系统管理员;
3、根据本单位的实际情况,总结系统存在的问题,并提出改进的建议;
4、研究本单位的需求,对信息系统提出新需求或升级的请求;
二、系统管理员具体职责:
1、负责系统软件、硬件及数据库的安装与升级;
2、负责系统软件、硬件及数据库所有技术问题,保障系统正常运行;
3、负责服务器的硬软件资源分配,监控网络的运行;
4、负责数据的备份与备份的恢复工作;
5、负责公司用户权限的分配管理工作,做好数据的保密工作;
6、负责组织信息系统的培训工作;
三、系统管理员操作管理制度
1、操作人员(包括专业维护人员)必须严格按照操作权限操作,不得越权操作。每次操作应记录相应的操作日记,日记包括操作时间、执行命令等。
2、操作人员离开系统时,应退出系统或进行系统封锁。
3、管理员每周应检查数据备份情况,每月应将其刻录成光盘。
4、系统管理员变动前必须办理交接手续,经接管人员或监交人员与系统管理员双方签字确认,作为档案存档。
四、系统管理员备份管理制度 具体内容包括:
(1)管辖范围内的服务器地址分布;
(2)网络服务器口令、数据库超级口令、公司信息系统管理员口令;
(3)每年的历史数据备份,本年的所有的数据备份;(4)系统培训资料;(5)系统维护记录本;
(6)所有版本的公司信息系统软件;(7)所有版本的数据库管理系统软件;(8)其他应交接的内容。
(9)对交接内容应进行相应的测试,以确保交接质量。一旦交接,接替人员或监交人员应立即更换所有口令,并开始承担系统管理员的所有工作。
五、软件管理制度
1、信息系统功能改动时,应对其功能改动部分进行认真测试研究,确定新增功能的用法,防止工作的盲目性。
2、公司在组织软件的升级工作时,一般应在同一个会计期间内一次性更换所有在用软件,升级前应通知各用户,并对功能更动部分加以说明。
3、要严格保护所有在用软件的版权,包括网络、数据库、操作系统、软件等。严禁将软件以任何形式出售、转让或赠送给该范围以外的任何单位或个人。
4、各单位要制定具体的防病毒措施。所有来历不明的媒体介质在使用前必须经过病毒检测,对所有在用计算机尤其是 NT 服务器必须定期进行病毒检测。使用网络的单位要严防病毒通过网络传播,办公用计算机不能装入各种游戏软件。
六、数据管理制度
1、信息系统的数据管理是指数据不丢失、不损毁、不向无关人员泄露、不被非法修改,保障数据的安全要从技术和管理两个方面着手,做好安全保密工作。
2、要经常对系统中的数据进行备份,以便在计算机发生故障时可将数据恢复到最近状态。数据备份的目标是防止任何时间发生的硬、软件故障以及人为失误造成的数据损毁,因此原则上要求在发生业务的当天都进行备份。具体备份模式为:
(1)每天在服务器上作一数据备份,(2)每周作一个异地备份,每月制作一份数据光盘;(3)每年年末制作双备份, 存储于不同的地点。
3、对备份的数据应加强管理,防止被非法拷贝或毁坏。
4、采取各种措施来保障上网数据的安全性。要严密控制好数据库及其服务器的口令,控制好各用户的口令。
七、系统维护管理制度
1、系统维护管理是指为保障系统正常运行而进行的对硬件、网络、数据库、操作系统、软件及相关办公自动化软件进行的安装、修正、更新版本、扩展、备份等操作以及对软件应用模式的设计及实施工作。系统的维护管理工作由系统管理员或由系统管理员授权的专业维护人员负责进行。未经系统管理员授权的人员不得进行系统维护操作。
2、未经系统管理员许可,不得在公司信息系统服务器上安装其它硬、软件,不得改变系统的运行环境。
3、系统运行时,应获得充分的维护保障。系统发生影响正常运行的故障时,系统理员应及时给予处理。属于系统优化或不影响正常业务流程的问题,系统管理员应进行合理的预计,提前规划,制定实施方案以确保系统的平稳运行。
4、系统运行中出现故障或出现不明意义的提示时,操作人员应保护现场,及时与系统管理员联系。由于操作人员擅自处理故障而引起的后果由操作人员自己负责。
5、系统管理员在不能直接排除故障并且没有替代解决方案,应请求上一级部门系统管理员或专业维护人员的技术支持。
6、要建立系统管理维护记录本实行系统维护记录制度。对故障的发生时间、表现、解决办法及结果等进行详细的记录,并由维护人员或系统管理员签字。系统管理维护记录本的登记要条理清楚、时间准确,字迹工整。
7、对于两个以上的系统维护管理人员应进行合理的分工,充分发挥系统管理员的作用,不断加强系统维护的技术保障,逐步形成一套有效的系统维护管理体制。
八、档案及数据管理制度
1、公司信息系统档案包括:(1)数据库备份资料 ;(2)软件升级前的数据库备份;
(3)打印输出的经过盖章签字的会计资料;
(4)每年一次的经系统管理员签字的系统管理维护记录本存档;
(5)所有版本的系统、网络、数据库、软件;(6)软件的开发文档、源程序;(7)其他应该存档的资料或数据。
2、打印输出的凭证、报表、帐簿等各种会计资料的保存按财政部《会计档案管理办法》 执行。数据库的备份要永久保留。以胶片、磁、光等介质保存的数据的档案应按照有关规定保存在温湿度适宜、阳光不直射,并且不能被损害的场所。
3、以磁介质存储的数据应定期更换新的介质进行再拷贝。
4、本章未及内容按照财政部《会计档案管理办法》 执行。附件:补丁更新记录台帐、数据备份登记台帐、服务器等设备维护登记表、档案移交登记表的样本。
1.1.4中心机房管理规定
为进一步做好公司信息化管理工作,提高精细化管理水平,降低办公费用消耗,确保公司网络通讯系统的畅通,按照公司《信息安全管理规定》,特制订中心机房管理规定。
本规定适用于中心机房的管理,机房工作人员要认真遵守,并作为日常行为规范。
一、机房人员日常行为准则
1.1必须注意环境卫生。禁止在机房内抽烟、吃食物、随地吐痰,保持机房无尘洁净环境。
1.2机房用品要各归其位,不能随意乱放,不许堆放杂物。注意检查机房的防晒、防水、防潮,维持机房环境通爽,保证机房的适当温度和适度。
1.3中心机房每周清扫一次,物品要摆放整齐,保持安静清洁的工作环境。
二、机房安全制度
2.1禁止带领与机房工作无关的人员进出机房,建立机房准入制度,凡进入机房人员必须得到技术保障部经理允许,并进行登记(格式见《公司管理处机房出入登记表》),由技术保障部人员全程陪同。
2.2未经主管领导批准,禁止将密码、信息外借透露给其它人员,同时有责任对信息保密。对于泄露信息的情况要及时上报,并积极主动采取措施保证机房安全。2.3重点做好机房防火、防水、防潮湿、防干燥、防短路、防断路、防老鼠、防盗、防高温,出现机房盗窃、破门、火警、水浸、110报警等严重事件时,网络信息工作人员有义务以最快的速度和最短的时间到达现场,协助处理相关的事件。
2.4工作人员离开工作区域前,应保证工作区域内保存的重要文件、资料、设备、数据处于安全保护的状态。
三、机房用电安全制度
3.1机房工作人员应学习常规的用电安全操作知识,了解机房内部的供电、用电设施的操作规程。掌握机房用电应急处理步骤、措施、要领。定期检查供电、用电设备、设施。
3.2机房不得乱拉乱接电线及用电设备。如发现用电安全隐患,应及时采取措施解决,不能解决的必须及时向主管领导汇报。
3.3在危险性高的位置应张贴相应的安全操作方法、警示以及指引,实际操作时应严格执行。
3.4在外部供电系统停电时,机房工作人员应全力配合完成停电应急工作,启动应急设备,或及时关闭计算机系统。
四、机房消防安全制度
4.1机房管理人员应熟悉机房内部消防安全操作规则,了解消防设备操作原理、掌握消防应急处理步骤、措施和要领。4.2工作人员要保护消防设备不被破坏。如发现消防安全隐患,应及时采取措施解决,不能解决的应及时向相关负责人员提出解决。
4.3最后离开机房的工作人员,应检查消防设备的工作状态消防器材的完好,关闭将会带来消防隐患的设备,采取措施保证无人状态下的消防安全。
五、机房硬件设备安全使用制度
5.1机房人员必须熟知机房内设备的基本安全操作规则。应定期检查、整理硬件物理连接线路,定期检查硬件运作状态。
5.2禁止随意在设备上进行安装、拆卸硬件、或随意更改设备连线、禁止随意进行硬件复位。禁止在服务器上进行试验性质的配置操作,需要对服务器进行配置,应在其它可进行试验的机器上调试通过并确认可行后,才能对服务器进行准确的配置。
5.3对影响到全公司的硬件设备的更改、调试等操作应预先发布通知,并且应有充分的时间、方案、人员准备,才能进行硬件设备的更改。对重大设备设置的更改,必须首先形成方案文件,经过讨论确认可行后,由具备资格的技术人员进行更改和调整,并应做好详细的更改和操作记录。对设备的更改、升级、配置等操作之前,应对更改、升级、配置所带来的负面后果做好充分的准备,必要时需要先准备好后备配件和应急措施。
5.4不允许任何人在服务器、交换设备等核心设备上进行与工作范围无关的任何操作。不允许他人操作机房内部的设备,对于核心服务器和设备的调整配置,需要主管领导同意后才能进行。
5.5要注意和落实硬件设备的维护保养措施。
六、软件安全使用制度
6.1必须定期检查软件的运行状况、定期进行数据和软件日志备份。
6.2禁止在工作服务器上进行试验性质的软件调试,禁止在服务器随意安装软件。需要对服务器进行配置,必须在其它可行试验的机器上调试通过并确认可行后,才能对服务器进行准确的配置。
6.3对会影响到全局的软件更改、调试等操作应发布通知,并且应有充分时间、方案、人员准备,才能进行软件配置的更改。对重大软件配置的更改,应先形成方案文件,经过讨论确定可行后,由具备资格的技术人员进行更改,并应做好详细的更改和操作记录。对软件的更改、升级、配置等操作之前,应对更改、升级、配置所带来的负面后果做好充分的准备,必要时需要先备份原有软件系统和落实好应急措施。
七、机房资料、文档和数据安全制度
7.1资料、文档、数据等必须有效组织、整理和归档备案。禁止任何人员将机房内的资料、文档、数据、配置参数等信息擅自以任何形式提供给其他无关人员或向外随意传播。
7.2对于牵涉到网络安全、数据安全的重要信息、密码、资料、文档等等必须妥善存放。外来工作人员的确需要翻阅文档、资料或者查询相关数据的,应由机房工作人员代为查阅,并只能向其提供与其当前工作内容相关的数据或资料。
7.3重要资料、文档、数据应采取对应的技术手段进行加密、存储和备份。对于加密的数据应保证其可还原性,防止遗失重要数据。
八、机房财产登记和保护制度
8.1机房的日常物品、设备、消耗品等必须有清晰的数量、型号登记记录,对于公共使用的物品和重要设备,必须履行借取和归还登记手续。
8.2机房工作人员应有义务安全和小心使用机房的任何设备、仪器等物品,对于使用过程中损坏、消耗、遗失的物品应汇报登记,并对责任人追究相关责任。
8.3未经主管领导同意,不允许向他人外借提供机房设备和物品。
九、机房巡检制度 9.1机房工作人员每日对中心机房按照《机房巡检标准》进行巡检
第五篇:信息安全管理协议书
信息安全管理协议书
甲 方 :
乙 方 :中国电信股份有限公司金华分公司
甲乙双方就乙方为甲方提供网站接入服务经友好协商达成如下协议:
甲方为乙方用户,IP,甲方在乙方接入的网站所从事的业务严格遵守法律、法规、规章及政府部门、行业协会、行业组织的相关规定(包括但不限于:信部电[2005]501号《互联网站管理工作细则》、国务院292号令《互联网信息服务管理办法》),不从事任何违反法规的行为,不在互联网上散布谣言、发布扰乱社会秩序的信息、不发布组织或实施过激行为的信息、对所属的网站加强监管,发现违法的相关内容及时进行制止和清理。
甲方严格按照依据《非经营性互联网备案管理办法》等法律法规履行网站备案手续。承诺提交的所有备案信息真实有效,当备案信息发生变化时会及时提交更新信息。如因未及时更新而导致备案信息不准确,乙方有权依法对接入网站进行关闭处理,如备案信息不真实,将关闭网站并注销备案。
甲方网站内容如涉及新闻、出版、教育、医疗保健、药品和医疗器械、广播电视节目、音频在线视频、电子公告服务、游戏或其他需要相关部门进行专项审批的网站必须到相关部门通过前置审批后再到乙方进行网站报备工作。
乙方妥善保管核验过程中获取的网站主办者证件信息、照片信息、《网站备案信息真实性核验单》、与网站主办者签署的各项协议,保证信息不泄露,承担对网站主办者提交材料的信息安全保密管理责任。
乙方有权对甲方的网站备案和信息内容进行监管,有权在发现甲方的网站上存在备案问题或非法信息问题时,关停网站或服务器;若因甲方监管不力,未及时进行网站备案或由于服务器上存在非法网站、非法信息导致的一切后果(包括但不限于经济责任、行政责任、法律责任等)由甲方自行承担,与乙方无关。
甲方代表签字:乙方代表签字:
单位盖章:单位盖章:
年月日年月日
点击咨询 