信息安全及信息技术服务管理体系(范文大全)

时间:2020-11-27 12:42:50下载本文作者:会员上传
简介:写写帮文库小编为你整理了多篇相关的《信息安全及信息技术服务管理体系》,但愿对你工作学习有帮助,当然你在写写帮文库还可以找到更多《信息安全及信息技术服务管理体系》。

第一篇:信息安全及信息技术服务管理体系

信息安全及信息技术服务管理体系

甲方:

乙方:

新纪源认证有限公司

依据工信部联协[2010]394号文《关于加强信息安全管理体系认证安全管理的通知》及各地方和有关主管部门/监管部门,认证认可相关规定对信息安全,信息技术服务管理体系认证的要求,为保证申请认证组织信息资产的安全,双方签订此保密协议。具体条款如下:

1、甲方应填写“保密和敏感信息资产和区域声明表”,明确甲方的重要敏感信息和区域,并明确乙方的接触要求;

2、乙方审核组将严格遵守保密承诺。审核组在现场审核过程中不以任何形式记录甲方的保密或敏感信息。审核组在离开审核现场前,接受甲方的检查和确认审核组携带的文件、资料和设备中未夹带甲方的任何保密或敏感信息;

3、未经甲方的书面授权,乙方及其审核组不得将甲方在经营、生产、技术、管理等方面的非公开信息以任何方式泄密给第三方但下列情况除外:

甲方已公开的信息,或在提供时已为公众所知的信息,或虽不为公众所知但已不再是秘密的信息;

得到甲方的书面同意;

应法律要求时,但发生该等情形时应及时通知甲方。

4、乙方所有保密义务及于乙方内部人员及为乙方工作的外部人员,上述人员已经与乙方签署了保密协议或具有保密条款的法律文件。如甲方要求,我方直接接触客户组织信息的认证人员(如审核组成员)可按照甲方的保密要求与甲方签署保密协议。

5、本协议作为认证合同的附件,与认证合同具有同等法律效力;

6、本协议一式两份,双方各执一份,经双方签章后生效,且不因认证协议的解除而失效。

甲方(名称加盖单位公章):

甲方 法定代表人 或授权人:

期 :

****年**月**日

乙方(名称加盖单位公章):新纪源认证有限公司 乙方 法定代表人或 授权人:

期:

****年**月**日

第二篇:信息技术服务合同书

信息技术服务合同书

合同编号(xxxxxxx)

甲方: XXXXXX有限公司(委托方)

地址:XXXXXXXXXXXXXXXXXXX

邮编:XXXXXX

电话:XXXXXXXXX

负责人:XXX

乙方:XXXXX有限公司(服务提供方)

地址:XXXXXXXXX

邮编:XXXXXX

电话:XXXXXXXXX

负责人:XXX

甲乙双方经友好协商,就乙方向甲方提供xxxxxxxxxxxxxxx系统软件的信息技术支持及服务事宜,达成如下协议,特订立本合同。

第一条:甲方向乙方购买xxxxxxxxxxxxxxx系统软件的信息技术支持及服务,期限为一年,从合同生效日起。协议到期后,如果甲方希望继续获得乙方提供的技术支持服务,则另行签订服务协议。

第二条:服务期限内,乙方向甲方提供信息技术支持及服务,甲方支付乙方费用,总计人民币XXXX(小写),XX元整(大写)。

甲乙双方签订协议后5个工作日内,甲方向乙方支付全额服务费,协议正式生效。

第三条:乙方向甲方提供信息技术支持及服务方式和内容如下:

1、电话技术支持服务 提供7×24小时热线电话服务,工程师在线提供信息技术问题咨询和故障诊断。

2、网络在线、Email技术支持服务 提供7×24小时网络在线、Email信息技术支持服务。

3、远程在线诊断和故障排除 对于电话咨询无法解决的问题,经甲方授权乙方可通过Internet远程登录乙方网络系统进行系统维护和故障排除(需要系统和网络的支持)。

4,现场技术支持服务 对于电话、在线支持等方式无法解决的问题,根据甲方的要求乙方提供技术人员现场故障诊断和排除服务。其他现场技术支持服务包括数据迁移、系统迁移,或者由于用户硬件原因重新部署系统等内容。服务期限内,乙方根据甲方要求提供不多于3次的免费上门现场技术支持服务。如果此类现场技术服务1年内超过3次,乙方须视现有系统和实际情况酌情收取甲方操作费用,具体收费标准由甲乙双方协商确定。乙方派员到达甲方完成技术服务离开时,甲方应于乙方提交的《工作单》上签章确认其到达、离开时间。在此过程中如果发生食宿和交通费用,由甲方负责支付乙方合理之食宿和交通费用。

6,现场技术培训服务

服务期限内,乙方根据甲方要求提供不多于2次,每次不少于2小时且不多于4小时的免费信息技术培训,培训地点在甲方现场,培训内容和培训时间双方协商确定。

第四条:甲方责任

1,甲方应向乙方提供信息技术支持及服务所涉及的各种资料和业务流程。

1、甲方应向乙方准确、及时地反馈遇到的信息化问题,使乙方能及时了解并解决问题。

2、甲方应按协议约定向乙方支付相关服务费用。

第五条:本合同一式贰份,双方各持壹份,一经签署,立即生效。

第六条:补充约定:

乙方应就甲方在服务期限内提供的各种资料和业务相关的一切业务细节、业务流程、业务逻辑(包括相关文件、资料)给予严格保密。

甲方(盖章)

XXXXXXXXXXX有限公司XXXXXXXXX

授权代表签字

2012年 x月 xX日201X

乙方(盖章)科技有限公司 授权代表签字年 X 月 XX日

第三篇:公司的信息安全管理体系

公司的信息安全管理体系

信息安全通过人员安全、文档与数据安全,软件与系统安全、硬件与网络安全,区域安全实现对信心机密性,完整性,可用性的保护。信息安全管理体系的引入,可以协调各个方面信息管理,管理更为有效。信心安全管理体系是对系统地组织敏感信息进行管理,涉及到人,程序和信息技术(IT)系统。

Iso27001:2005是一套国际公认的信息安全管理体系标准,按照标准实施,可以帮助公司识别,管理和减少信息通常所面临的各种威胁。11个角度:

1. 安全方针:为信息安全提供管理指导和支持

2. 安全组织:在公司内管理信息安全

3. 资产分类与管理:对公司的信息资产采取适当的保护措施

4. 人员安全:减少人为错误,偷窃,欺诈或滥用信息及处理设施的风险

5. 实体和环境安全:防止对商业场所及信息未经授权的访问,损坏及干扰

6. 通讯与运作管理:确保信息处理设施正确和安全运行

7. 访问控制:管理对信息的访问

8. 系统的获得、开发和维护:确保将安全纳入信息系统的整个生命周期

9. 安全事件管理:确保安全事件发生后有正确的处理流程和报告方式

10. 商业活动的连续性管理:防止商业活动的中断,并保护关键的业务过程免收重大故

障或灾难的影响

11. 符合法律:避免违反任何刑法和民法,法律法规或合同义务以及任何安全要求。

信息安全建设的原则

领导重视,全民参与:信息安全不仅仅是发务部和IT中心的工作,需要各事业部,中心以及公司全体员工的共同参与

管理与技术结合:技术不是绝对的,信息安全管理遵循“七分管理,三分技术”管理原则。

“二八”原则:20%的信息安事件来自外部攻击,80%的信息安全事件发生在公司内部

管理原则:管理为主,技术为辅,内外兼防,发现漏洞,消除隐患,确保安全。

信息安全管理体系建设的目的1管理理解企业所拥有的信息资产的价值

2提高企业员工对安全的认识和对安全管理的参与

3提好企业用户及合作伙伴对企业的信心,信任,满意程度

4提高企业信息安全管理的只连年感和水平

5遵守相关法律法规的要求

6使企业更有效的管理和处理安全事件

7通过制定和实施符合国标标准的安全管理制度来提高企业的竞争优势和声誉

8为将来企业全面发展电子商务打下最重要的基础

计算机安全

1计算机密码设置要求

至少6位

包含下面4类字符组中的3类,数字,英文大小写字母和非字母数字字符

不包含用户名的全部或大部分

至少90天更换一次密码

新密码不能与旧密码相同

2开机密码

计算机必须设置开机密码,不设开机密码,那么他人可随意操作你的计算机

3登入密码

计算机必须设置登录密码,不设置登录密码,黑客将会很轻松的攻破你的计算机 操作系统,并且窃取重要资料,其他人也可以轻易的使用你的计算机

4屏幕保护密码

计算机必须设置屏幕保护密码,当你离开座位最少10分钟请及时激活屏幕保护,防止他人乘机使用你的电脑

4文件夹共巷享密码

计算机必须设置文件夹共享密码,禁止不带密码的共享方式

6硬盘加密密码

笔记本电脑必须要设置硬盘加密密码,7磁盘消磁

当计算机硬盘需要换厂更换或者报废时,必须通过硬盘消磁盘处理,消除存储数据,维护信息安全

8计算机软件安装

公司禁止员工私自安装有版权争议的软件

9usb监控

公司目前实施的usb安全策略分为两种:usb封闭和监控。

网络,邮件系统,文件安全

1公司内部网络安全注意事项:

禁止通过公司网络访问互联网,从事与工作无关的事情

禁止在网络上伪装为他人

禁止在公司网络上运行黑客工具

禁止在公司网络上使用非公司的电子邮件

禁止员工私自拨号上网

禁止未经批准增加网络设备到公司的网络架构中

2ip地址获得

公司的内部的ip地址设置为自动获取方式,禁止私自固定ip地址 禁止私自架设代理服务器上网

第四篇:信息安全管理体系记录控制程序

信息安全管理体系记录控制程序 1.适用

本程序适用于本公司产生的记录的管理。

2.目的为支持信息安全体系的运作而明确记录的管理。

3.管理方法

3-1保管方法

(1)记录由各保管部门在可快速检索的条件下,决定保管场所,放在箱子、柜子等适当 容器中保管。

(2)对保管场所的环境,本程序没有特别指定。由各保管部门考虑记录媒体的特性做适 当处理。

(3)以电子媒体保管的场合,为预防意外,需做适当的备份。备份的安全要求执行《信息备份管理程序》。

(4)记录保管部门应建立《记录清单》,明确规定保管记录类别、记录保存期限等。记录的保存应符合有关法律法规的要求,保存期限参考本规格书第 4 条款。

(5)因工作需要,借阅其他部门的秘密记录,应获得记录保管部门负责人授权后方可借 阅,并留下授权记录和借阅记录。借阅者在借阅期内应妥善保管记录,并按期归还;机 密记录只准在现场查阅。

(6)记录的字迹应清晰、真实、文字表达准确、简练,记录不得随意修改。确需修改时,必须在修改处作标识,并由修改人签名确认。

3-2废弃 超过保管期限的记录,由保管部门作为秘密文件处理废弃。废弃应采用安全可靠的处置 方法(如书面记录采用粉碎方法、电子媒体采用格式化方法等),处置记录应予以保存。但若保管部门认为必要时,仍可继续保管超出保管期限的记录。

4.记录的分类和保存年限

记录类型 测试报告

关于合同内容确认的记录 购买管理

保管期限(年)3 年 合同

保管部门 技术部 行政部 集成部

行政部 集成部

质量保证书 定单

供应商变更申请书 供应商清单 购买需求单 购买合同

购买质量保证书 供应商评价表 供应商检查表 5 年

合同结束后 3 年

文件管理 内部审核 员工教育履历

信息安全管理评审会议记录以及纠正措施记录 信息安全目标以及分解 预防措施 影响分析报告业务持续性计划业务持续性计划测试报 业务持续管理 告

业务持续性计划评审报 告

信息资产识别表

重要信息资产清单重要信息资产评估表风险评估报告 资产识别和风险评估 风险处理计划

调查报告

信息事故、异常处理记纠正措施 录 信息设备更改申请书 变更管理 软件安装/升级申请书

采购记录

维护记录 授权记录 访问记录 访问保密协议 用户访问授权记录 用户访问权限评审记录

审核日志(电子媒体)参见档案 管理规程年 5 年 2 年 3 年 1 年 2 年 10 年 10 年 行政部 行政部 行政部 行政部 行政部 各部门 集成部 集成部年 集成部年 3 年 3 年 3 年 3 年 3 年 3 年 3 年 3 年年 3 年

设备使用期间保 管 2 年 2 年 3 年

保持至员工 离职 3 年 1 年 参见档案 管理规程 5 年

信息处理设备相关记录

集成部 行政部 集成部 集成部 集成部 集成部 行政部 集成部

集成部或技术部 集成部 集成部 集成部 技术部

系统开发相关记录

用户逻辑访问相关记录

技术部

技术部 集成部 集成部 行政部 行政部

人事相关记录 财务相关记录

第五篇:信息安全管理体系作业文件

信息安全管理体系作业文件 Token管理规定

产品运输保密方法管理规定 介质销毁办法

保安业务管理规定

信息中心主机房管理制度 信息中心信息安全处罚规定 信息中心密码管理规定

信息安全人员考察与保密规定 信息开发岗位工作标准 信息系统访问权限说明 信息销毁制度(档案室)

可移动媒体使用与处置管理规定 各部门微机专责人工作标准 复印室管理规定

工程师室和电子间管理规定 数据加密管理规定

文件审批表

机房安全管理规定

档案室信息安全职责

法律法规与符合性评估规定 生产经营持续性管理战略计划 监视系统管理规定

系统分析员岗位工作标准 经营部信息事故处理规定 经营部信息安全岗位职责规定 经营部计算机机房管理规定 经营部访问权限说明 网站信息发布管理规定

网络中间设备安全配置管理规定 网络通信岗位工作标准 计算机硬件管理维护规定 财务管理系统访问权限说明 远程工作控制规定

下载信息安全及信息技术服务管理体系(范文大全)word格式文档
下载信息安全及信息技术服务管理体系(范文大全).doc
将本文档下载到自己电脑,方便修改和收藏,请勿使用迅雷等下载。
点此处下载文档

文档为doc格式


声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:645879355@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。

相关范文推荐

    地铁信息管理体系

    沈阳地铁与上海地铁信息管理体系分析 一. 沈阳地铁公司信息管理体系 1.财务管理 核算管理:总账管理 应收账款 固定资产 应付资产 预算管理:目标设定 预算编制 预算监控 预算报......

    6月信息技术服务管理体系审核员考试试题及答案(审核部分)

    信息安全管理体系审核员考试(审核知识与技能) 姓 名: 身份证号: 中国认证认可协会CCAA单位名称: 考试日期: 年 月 日类别 多选题 阐述题 总得分 单选题 案例分析题 得分 阅卷人签......

    信息安全管理体系管理评审报告

    信息安全管理体系管理评审报告 评审日期:2009 年 4 月 1 日 评审目的:分析 2009 年度外审前信息安全工作完成情况,评价管理体系的适宜性、充分性、有效性,明确本年度工作目标,提......

    信息安全管理体系审核员 真题

    ISMS 201409/11 一、简答 1、 内审不符合项完成了30/35,审核员给开了不符合,是否正确?你怎么审核? [参考]不正确。应作如下审核: (1) 询问相关人员或查阅相关资料(不符合项整改计划......

    宝鸡新起点信息技术服务有限公司

    宝鸡新起点信息技术服务有限公司是宝鸡地区一家以IT技术应用,开发,咨询服务为主的科技型企业,公司主要以IT技术实用人才培养,企事业单位信息化建设与应用,软件开发,网站建设,网络工......

    信息安全管理体系认证申请书[合集5篇]

    申请编号: 信息安全管理体系认证 申 请 书 (第2版) 初次认证 复评变更申请组织名称(盖章): 申请日期:中国信息安全认证中心 其它 第 1 页 共 4 页 1 申请组织信息 1.1 基本信......

    应用现代信息技术服务山区财政管理

    应用现代信息技术服务山区财政管理为顺应国际国内蓬勃发展的管理信息化热潮,梅州市财政局计划三至五年内建设财政管理信息化系统。这一财政信息化工程的宗旨是推动各级财政部......

    安全信息

    安全工作心得体会安全对于每个人来说既是非常重要却又容易忽视的,安全顾名思义,无危则安,无缺则安。安全就是要以人为本,就是要保护自己和他人的生命财产安全。从其他角度上来讲......