第一篇:公司的信息安全管理体系
公司的信息安全管理体系
信息安全通过人员安全、文档与数据安全,软件与系统安全、硬件与网络安全,区域安全实现对信心机密性,完整性,可用性的保护。信息安全管理体系的引入,可以协调各个方面信息管理,管理更为有效。信心安全管理体系是对系统地组织敏感信息进行管理,涉及到人,程序和信息技术(IT)系统。
Iso27001:2005是一套国际公认的信息安全管理体系标准,按照标准实施,可以帮助公司识别,管理和减少信息通常所面临的各种威胁。11个角度:
1. 安全方针:为信息安全提供管理指导和支持
2. 安全组织:在公司内管理信息安全
3. 资产分类与管理:对公司的信息资产采取适当的保护措施
4. 人员安全:减少人为错误,偷窃,欺诈或滥用信息及处理设施的风险
5. 实体和环境安全:防止对商业场所及信息未经授权的访问,损坏及干扰
6. 通讯与运作管理:确保信息处理设施正确和安全运行
7. 访问控制:管理对信息的访问
8. 系统的获得、开发和维护:确保将安全纳入信息系统的整个生命周期
9. 安全事件管理:确保安全事件发生后有正确的处理流程和报告方式
10. 商业活动的连续性管理:防止商业活动的中断,并保护关键的业务过程免收重大故
障或灾难的影响
11. 符合法律:避免违反任何刑法和民法,法律法规或合同义务以及任何安全要求。
信息安全建设的原则
领导重视,全民参与:信息安全不仅仅是发务部和IT中心的工作,需要各事业部,中心以及公司全体员工的共同参与
管理与技术结合:技术不是绝对的,信息安全管理遵循“七分管理,三分技术”管理原则。
“二八”原则:20%的信息安事件来自外部攻击,80%的信息安全事件发生在公司内部
管理原则:管理为主,技术为辅,内外兼防,发现漏洞,消除隐患,确保安全。
信息安全管理体系建设的目的1管理理解企业所拥有的信息资产的价值
2提高企业员工对安全的认识和对安全管理的参与
3提好企业用户及合作伙伴对企业的信心,信任,满意程度
4提高企业信息安全管理的只连年感和水平
5遵守相关法律法规的要求
6使企业更有效的管理和处理安全事件
7通过制定和实施符合国标标准的安全管理制度来提高企业的竞争优势和声誉
8为将来企业全面发展电子商务打下最重要的基础
计算机安全
1计算机密码设置要求
至少6位
包含下面4类字符组中的3类,数字,英文大小写字母和非字母数字字符
不包含用户名的全部或大部分
至少90天更换一次密码
新密码不能与旧密码相同
2开机密码
计算机必须设置开机密码,不设开机密码,那么他人可随意操作你的计算机
3登入密码
计算机必须设置登录密码,不设置登录密码,黑客将会很轻松的攻破你的计算机 操作系统,并且窃取重要资料,其他人也可以轻易的使用你的计算机
4屏幕保护密码
计算机必须设置屏幕保护密码,当你离开座位最少10分钟请及时激活屏幕保护,防止他人乘机使用你的电脑
4文件夹共巷享密码
计算机必须设置文件夹共享密码,禁止不带密码的共享方式
6硬盘加密密码
笔记本电脑必须要设置硬盘加密密码,7磁盘消磁
当计算机硬盘需要换厂更换或者报废时,必须通过硬盘消磁盘处理,消除存储数据,维护信息安全
8计算机软件安装
公司禁止员工私自安装有版权争议的软件
9usb监控
公司目前实施的usb安全策略分为两种:usb封闭和监控。
网络,邮件系统,文件安全
1公司内部网络安全注意事项:
禁止通过公司网络访问互联网,从事与工作无关的事情
禁止在网络上伪装为他人
禁止在公司网络上运行黑客工具
禁止在公司网络上使用非公司的电子邮件
禁止员工私自拨号上网
禁止未经批准增加网络设备到公司的网络架构中
2ip地址获得
公司的内部的ip地址设置为自动获取方式,禁止私自固定ip地址 禁止私自架设代理服务器上网
第二篇:信息安全及信息技术服务管理体系
信息安全及信息技术服务管理体系
保
密
协
议
甲方:
乙方:
新纪源认证有限公司
依据工信部联协[2010]394号文《关于加强信息安全管理体系认证安全管理的通知》及各地方和有关主管部门/监管部门,认证认可相关规定对信息安全,信息技术服务管理体系认证的要求,为保证申请认证组织信息资产的安全,双方签订此保密协议。具体条款如下:
1、甲方应填写“保密和敏感信息资产和区域声明表”,明确甲方的重要敏感信息和区域,并明确乙方的接触要求;
2、乙方审核组将严格遵守保密承诺。审核组在现场审核过程中不以任何形式记录甲方的保密或敏感信息。审核组在离开审核现场前,接受甲方的检查和确认审核组携带的文件、资料和设备中未夹带甲方的任何保密或敏感信息;
3、未经甲方的书面授权,乙方及其审核组不得将甲方在经营、生产、技术、管理等方面的非公开信息以任何方式泄密给第三方但下列情况除外:
甲方已公开的信息,或在提供时已为公众所知的信息,或虽不为公众所知但已不再是秘密的信息;
得到甲方的书面同意;
应法律要求时,但发生该等情形时应及时通知甲方。
4、乙方所有保密义务及于乙方内部人员及为乙方工作的外部人员,上述人员已经与乙方签署了保密协议或具有保密条款的法律文件。如甲方要求,我方直接接触客户组织信息的认证人员(如审核组成员)可按照甲方的保密要求与甲方签署保密协议。
5、本协议作为认证合同的附件,与认证合同具有同等法律效力;
6、本协议一式两份,双方各执一份,经双方签章后生效,且不因认证协议的解除而失效。
甲方(名称加盖单位公章):
甲方 法定代表人 或授权人:
日
期 :
****年**月**日
乙方(名称加盖单位公章):新纪源认证有限公司 乙方 法定代表人或 授权人:
日
期:
****年**月**日
第三篇:信息安全管理体系记录控制程序
信息安全管理体系记录控制程序 1.适用
本程序适用于本公司产生的记录的管理。
2.目的为支持信息安全体系的运作而明确记录的管理。
3.管理方法
3-1保管方法
(1)记录由各保管部门在可快速检索的条件下,决定保管场所,放在箱子、柜子等适当 容器中保管。
(2)对保管场所的环境,本程序没有特别指定。由各保管部门考虑记录媒体的特性做适 当处理。
(3)以电子媒体保管的场合,为预防意外,需做适当的备份。备份的安全要求执行《信息备份管理程序》。
(4)记录保管部门应建立《记录清单》,明确规定保管记录类别、记录保存期限等。记录的保存应符合有关法律法规的要求,保存期限参考本规格书第 4 条款。
(5)因工作需要,借阅其他部门的秘密记录,应获得记录保管部门负责人授权后方可借 阅,并留下授权记录和借阅记录。借阅者在借阅期内应妥善保管记录,并按期归还;机 密记录只准在现场查阅。
(6)记录的字迹应清晰、真实、文字表达准确、简练,记录不得随意修改。确需修改时,必须在修改处作标识,并由修改人签名确认。
3-2废弃 超过保管期限的记录,由保管部门作为秘密文件处理废弃。废弃应采用安全可靠的处置 方法(如书面记录采用粉碎方法、电子媒体采用格式化方法等),处置记录应予以保存。但若保管部门认为必要时,仍可继续保管超出保管期限的记录。
4.记录的分类和保存年限
记录类型 测试报告
关于合同内容确认的记录 购买管理
保管期限(年)3 年 合同
保管部门 技术部 行政部 集成部
行政部 集成部
质量保证书 定单
供应商变更申请书 供应商清单 购买需求单 购买合同
购买质量保证书 供应商评价表 供应商检查表 5 年
合同结束后 3 年
文件管理 内部审核 员工教育履历
信息安全管理评审会议记录以及纠正措施记录 信息安全目标以及分解 预防措施 影响分析报告业务持续性计划业务持续性计划测试报 业务持续管理 告
业务持续性计划评审报 告
信息资产识别表
重要信息资产清单重要信息资产评估表风险评估报告 资产识别和风险评估 风险处理计划
调查报告
信息事故、异常处理记纠正措施 录 信息设备更改申请书 变更管理 软件安装/升级申请书
采购记录
维护记录 授权记录 访问记录 访问保密协议 用户访问授权记录 用户访问权限评审记录
审核日志(电子媒体)参见档案 管理规程年 5 年 2 年 3 年 1 年 2 年 10 年 10 年 行政部 行政部 行政部 行政部 行政部 各部门 集成部 集成部年 集成部年 3 年 3 年 3 年 3 年 3 年 3 年 3 年 3 年年 3 年
设备使用期间保 管 2 年 2 年 3 年
保持至员工 离职 3 年 1 年 参见档案 管理规程 5 年
信息处理设备相关记录
集成部 行政部 集成部 集成部 集成部 集成部 行政部 集成部
集成部或技术部 集成部 集成部 集成部 技术部
系统开发相关记录
用户逻辑访问相关记录
技术部
技术部 集成部 集成部 行政部 行政部
人事相关记录 财务相关记录
第四篇:信息安全管理体系作业文件
信息安全管理体系作业文件 Token管理规定
产品运输保密方法管理规定 介质销毁办法
保安业务管理规定
信息中心主机房管理制度 信息中心信息安全处罚规定 信息中心密码管理规定
信息安全人员考察与保密规定 信息开发岗位工作标准 信息系统访问权限说明 信息销毁制度(档案室)
可移动媒体使用与处置管理规定 各部门微机专责人工作标准 复印室管理规定
工程师室和电子间管理规定 数据加密管理规定
文件审批表
机房安全管理规定
档案室信息安全职责
法律法规与符合性评估规定 生产经营持续性管理战略计划 监视系统管理规定
系统分析员岗位工作标准 经营部信息事故处理规定 经营部信息安全岗位职责规定 经营部计算机机房管理规定 经营部访问权限说明 网站信息发布管理规定
网络中间设备安全配置管理规定 网络通信岗位工作标准 计算机硬件管理维护规定 财务管理系统访问权限说明 远程工作控制规定
第五篇:地铁信息管理体系
沈阳地铁与上海地铁信息管理体系分析
一. 沈阳地铁公司信息管理体系
1.财务管理
核算管理:总账管理 应收账款 固定资产 应付资产 预算管理:目标设定 预算编制 预算监控 预算报告 资金管理:资金计划 资金预测 现金管理 账户管理 2.人力资源管理
员工发展管理:员工发展计划 员工发展评估 员工发展反馈 人事信息管理:员工基础信息 员工档案信息 人事组织信息 教育培训管理:培训计划 培训执行 培训评估 组织与岗位管理:岗位设计 工作说明书 指标设计 3.物资管理 需求计划管理:需求预测 补货计划 采购计划 需求平衡 采购申请审批与分配
采购管理:询报价管理 合同管理 采购预算控制 采购单交付 采购支付和发票校验
供应商管理:供应商信息管理 供应商评估和分析 供应商协同管理 库存管理:入库 出库 转库 退库管理 库存盘点 库存报废 库存报表 4.设备设施管理 设备台账管理:存储各类设备的静态台账信息和动态台账信息,各种设备的查询 工单管理:根据各类设备属性和地理位置创建各类工具,控制各类工单的执行并与财务‘物质等进行集成
维修计划管理:根据不同类型的设备制定基于时间‘性能或者状态的维修计划,并发布工单
设备状态分析:支持设备缺陷和故障‘设备对象的状态和趋势,技术参数历史与设备成本分析。5.资源租赁管理
租赁单元管理:租赁申请‘租赁要约‘租赁合同’租入业务
租赁合约管理:出租资源管理‘出租单元管理’租户及合作伙伴管理 租赁结算管理:租金管理‘租赁会计’服务费用结算 6.文档管理
包括条目管理 电子文件管理档案业务管理 流程管理 报表统计管理 安全管理 7.客户关系管理
市场管理:市场计划和预算 市场活动管理,品牌管理,渠道促销管理,市场分析
服务管理;投诉管理,事件管理。服务分析
销售管理:客户和联系人管理,线索和商机管理,合同管理,报价和订单管理,合作伙伴管理,销售分析 8.办公自动化
企业文化:企业形象,信息发布,规章制度,电子期刊,技术交流,电子论坛,员工建议
个人事务:今日工作,个人文档,通讯录,日程安排,电子邮件,个人设置,短信提醒
办公管理:收文管理,发文管理,传真服务,呈批件,会议审批,公告与通知,催办,业务联系单,人员动态,目录管理,档案管理,电子报销,报表传递,办公车辆管理 9.客运管理
票务管理:储值票管理,单程票管理,计次票管理,往返票管理 行车管理:行车计划管理,施工计划申报、审批 10.决策支持系统
客流量查询:各站客流量,日客流量,周客流量,高峰小时最大客流量 收入查询:票务收入,资源租赁收入查询,其他收入查询等
二、上海地铁公司信息管理体系
上海地铁信息系统分为隐患控制、安全责任、安全统计分析、事故管理和安全档案5个子系统
1、隐患子系统是整个信息管理系统中的核心部分,其他子系统从某种意义上说都是为该子系统服务的,其主要功能是收集各种固有隐患情况和确定事故类型,进行分析、分级、归类、制定风险控制策略,实现对安全生产的预先防范和动态控制,并将控制的结果及时归纳总结。
2、安全责任子系统负责建立各级管理责任和考核指标,记录措施落实情况和考核结果,对安全员反馈的各种信息的数量和质量进行统计和评价。
3、安全统计分析子系统负责建立安全作业计划安排表,收集日常安全生产报表。
4、事故管理子系统对事故处理过程中需要描述事故的大量数据、文字、图像进行输入、归纳和整理,并要随时调阅各类图纸、法令、法规、技术规范等信息。在此基础上形成对事故的总结与分析报告。
5、安全档案子系统负责建立各级安全组织、安全管理人员、安全教育集训和劳动保护情况的档案等。
09交运七班 20092878 秦伟杰
点击咨询 