第一篇:企业信息安全
企业信息安全
2
———————————————————————————————— 作者:
———————————————————————————————— 日期:
通信地址:河北省任丘市燕山道中国石油测井有 限公司华北事业部党群工作科
邮编:
062552
电子邮件:
hbzhaiyj @cnpc.com.cn
联系电话:
0317--27 22680
浅谈企业信息安全
摘要:信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。信息安全越来越受到人们的重视,信息安全和其他商品一样有价值,如何保证信息的安全性和保密性成为企业建设过程中需要解决的重要问题。
关键词:信息;信息安全;重要性
信息安全综述
信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给企业的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:
一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。
二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。
三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信
通信地址:河北省任丘市燕山道中国石油测井有 限公司华北事业部党群工作科
邮编:
062552
电子邮件:
hbzhaiyj @cnpc.com.cn
联系电话:
0317--27 22680
息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。
随着计算机网络规模的迅猛发展,网络环境变得日趋复杂,在人们享乐的同时,风险也随之而来,因为 Internet 上的任何人之间都有可能存在利益关系,这些风险从信息丢失到信息盗用,网络安全问题的数量也不断增加。世界各家机构都希望他们的网络安全功能能够用更加强大的设备来实施,使安全性得到增强。在现在更加复杂的网络环境中,更需要全面且综合的网络安全解决方案。特别是在企业中,面临的各种安全威胁,物理威胁,网络威胁,操作系统威胁等等……所带来的损失将不可计量。网络安全已经不再是网络中的一项可有可无的技术了。它需要保证网络的高安全性,使石油等企业缓解大量的网络攻击。2
信息的脆弱性
信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷等等。信息的脆弱性依赖于网络表现在 2.1 单点失效多 在没有冗余的网络中,就是不安全的网络。当分支机构的路由出现故障时,分支机构将无法与总行交换数据。总行的出口路由出现故障时,将导致办公网络无法联网及业务网络无法服务。办公网络的防火墙亦会导致单点失效。
2.2 易遭病毒攻击 在整个网络中,没有提供很好的防病毒网络安全设备。整个网络容易受病毒的攻击,使网络处于相当不安全的环境。轻则数据丢失,重则网络瘫痪,所有工作与业务将无法进行。并会感染其他的设备。
2.3 易受非法入侵 在分支机构与业务网络中,没有较好的访问控制设备,只有一个边界路由器作为保护,而边界路由器易受攻击。如利用 IP 欺骗即可。当边界路由器被攻击,分支机构与业务网络将沦陷,容易导致非法的入侵,从而引起被授权的攻击及数据窃取。
通信地址:河北省任丘市燕山道中国石油测井有 限公司华北事业部党群工作科
邮编:
062552
电子邮件:
hbzhaiyj @cnpc.com.cn
联系电话:
0317--27 22680
2.4 数据通讯不安全 在整个传输网络中,容易发现数据通信的不安全,在传输过程中以明文传输,容易受到窃听,及对信息的内容进行非法修改、重放等。破坏其完整性、影响银行的正常运作 2.5 访问控制力度小 在整个网络中,访问控制存在着严重的不足,不同的用户有着相同的访问,这样不能区分不同用户的访问权限,容易导致数据流失,不合理的访问 2.6 没有集中的网络管理 总行中不能集中的管理设备,检测设备的运行状况,当某台设备出现故障时,将不能及时检测出 2.7 局域网过大 业务网络局域网过大则导致广播域过大,网络容易出现拥塞。并且之间能够私自进行访问,容易造成不安全事故。信息安全的目标
3.1 保密性。
保密性是指信息不泄露给非授权人,或供其使用的特性。
3.2 完整性。
完整性是指信息未经授权不能被修改、不被破坏、不被插入、不迟延、不乱序和不丢失的特性。对网络信息安全进行攻击的最终目的就是破坏信息的完整性。
3.3 可用性。
可用性是指合法用户访问并能按要求顺序使用信息的特性,即保证合法用户在需要时可以访问到信息。
3.4 可控性。
可控性是指授权机构对信息的内容及传播具有控制的能力的特性,可以控制授权范围内的信息流向以及方式。
3.5 可审查性。在信息交流过程结束后,通信双方不能抵赖曾经做出的行为,也不能否认曾经接收到对方的信息。我国企业信息化中的信息安全问题
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,企业在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国企业的信
通信地址:河北省任丘市燕山道中国石油测井有 限公司华北事业部党群工作科
邮编:
062552
电子邮件:
hbzhaiyj @cnpc.com.cn
联系电话:
0317--27 22680
息化仍然存在不安全问题。
4.1 信息与网络安全的防护能力较弱。
我国企业的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级企业已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。
4.2 对引进的国外设备和软件缺乏有效的管理和技术改造。
由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。
4.3 我国企业基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国企业信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国许多企业的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
4.4 信息犯罪在我国有快速发展趋势。
除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
4.5 在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。
造成以上问题的相关因素在于:首先,我国企业的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,企业员工信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。
相关解决措施
5.1 加强计算机网络安全的防范工作
5.1.1 加强内部网络治理人员以及使用人员的安全意识很多计算机系统常用口令来控制对系统资源的访问,这是防病毒进程中,最轻易和最经济的方法之一。网络治理员和终端操作员根据自己的职责权限,选择不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。在网络上,软件的安装和治理方式是十分关键的,它不仅关系到网络维护治理的效率和质量,而
通信地址:河北省任丘市燕山道中国石油测井有 限公司华北事业部党群工作科
邮编:
062552
电子邮件:
hbzhaiyj @cnpc.com.cn
联系电话:
0317--27 22680
且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个 NT 服务器上,并可下载和散布到所有的目的机器上,由网络治理员集中设置和治理,它会与操作系统及其它安全措施紧密地结合在一起,成为网络安全治理的一部分,并且自动提供最佳的网络病毒防御措施。当计算机病毒对网上资源的应用程序进行攻击时,这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒。
5.1.2 网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的非凡网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被答应,并监视网络运行状态。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
5.1.3 安全加密技术 加密技术的出现为全球电子商务提供了保证,从而使基于 Internet 上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是 21 世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。
5.1.4 网络主机的操作系统安全和物理安全措施防火墙作为网络的第一道防线并不能完全保护内部网络,必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线,用来遭受攻击之后进行系统恢复。在防火墙和主机安全措施之后,是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。它从网络系统中的防火墙、网
通信地址:河北省任丘市燕山道中国石油测井有 限公司华北事业部党群工作科
邮编:
062552
电子邮件:
hbzhaiyj @cnpc.com.cn
联系电话:
0317--27 22680
络主机甚至直接从网络链路层上提取网络状态信息,作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判定是否有入侵事件发生,假如有入侵发生,则启动应急处理措施,并产生警告信息。而且,系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。
5.2 针对我国企业信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
5.2.1 加强全体员工的信息安全教育,提高警惕性。从自身做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
5.2.2 发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
5.2.3 创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
5.2.4 高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
5.2.5 加强国际防范,创造良好的安全外部环境。由于网络与生俱有的开放性、交互性和分散性等特征,产生了许多安全问题,要保证信息安全,必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,防范来自世界各地的黑客入侵,加强信息网络安全。结束语
总之,由于网络及信息资源的特殊性质,决定了信息安全问题的客观存在。信息安全问题不仅涉及企业的经济安全、金融安全,同时也涉及政治安全和文化安全,因此应当加强对信息安全问题的重视。目前,我国企业正在加快信息化建设步伐,加强对信息安全的管理,保证信息的安全保密性势在必行。
通信地址:河北省任丘市燕山道中国石油测井有 限公司华北事业部党群工作科
邮编:
062552
电子邮件:
hbzhaiyj @cnpc.com.cn
联系电话:
0317--27 22680
参考文献
[专著] 于磊.书名[企业信息安全建设之道].北京:东方出版社,2010.
第二篇:企业信息安全工作报告
年信息安全报告
为认真贯彻落实信息安全防护工作,依照《印发Xx重点领域网络与信息安全检查工作方案和信息安全自查操纵指南的通知》,我局立即组织展开信息系统安全检查工作,现将自查情况汇报以下。
一、信息安全组织管理
领导重视,机构健全。针对信息系统安全检查工作,理事会高度重视,做到了主要领导亲身抓,并成立了专门的信息安全工作领导小组,组长由Xx担负,副组长由Xx,成员由各科(室)、直属单位负责人组成,领导小组下设办公室,办公室设在Xx。建立健全信息安全工作制度,积极主动展开信息安全自查工作,保证了残疾人工作的良好运行,确保了信息系统的安全。
二、健全制度,严格管理
建立全面的信息安全管理体系,包括集团信息安全工作方针和策略、信息安全组织结构及职责、信息安全事件处置与报告制度、网络与信息系统应急预案管理办法、变更管理办法、网络管理制度、系统管理制度、资产管理办法、人员安全管理办法等内容。并严格网络信息保密管理制度,实行“涉密不上网,上网不涉密”坚持“谁发布,谁负责”的原则,信息系统安全方面实行领导审查签字制度,凡互联网上传的信息,必须经本单位主要领导审查批准,并按照台里新闻领导三审制度,做好信息审批才能上传。特别是针对重点岗位人员鉴证了保密安全责任书,制定了日常考核监督制度,确保管理监查到位。
三、技术落实
日常管理方面切实抓好网内、外网和硬件、应用软件“三层管理”,落实具体负责信息安全工作人员,对涉密信息文件、材料实行专人管理,对重点部门、岗位等进行严格管理,确保信息安全工作。同时,重点抓好“三大安全”排查:一是硬件安全。包括传输、防雷、防火、监控和电源等硬件设备都具有灾难备份,确保所有设备正常运转。二是网络安全。包括网络结构、安全日志管理、密码管理、互联网行为管理等;数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。三是应用安全。包括网站、软件管理等;上传文件提前进行病素检测;分模块分权限进行维护。各机房和网站的服务器使用专属权限密码锁登陆后台,主要管理人员负责保密管理,服务器的用户名和开机密码为其专有,且规定严禁外泄。同时,涉密计算机相互共享之间设有严格的身份认证和访问控制。
2、技术防护
按照等级保护、密码防护等标准规范要求,各信息系统安装了硬件防火墙,同时配置安装了瑞星专业杀毒软件,涉密计算机经过保密技术检查,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。并要求安全信息管理员积极与网络安全保障经验丰富的人员取得联系,定期对网站安全保障工作进行检查指导,在突发信息安全事件时给予技术支持。
3、应急处置与灾备
我局信息系统系统,在突发事件时候,安全信息人员马上切换应急备份系统,并上报主管领导,启动安全应急预案及时处置,保证信息系统万无一失。同时,为了技术安全与服务提供商签订硬件、软件维护事宜,商定给予应急技术最大程度的支持。
四、存在的主要问题和面临的威胁分析
1、发现的主要问题和薄弱环节
(1)专业技术人员较少,信息系统安全方面可投入的力量有限;(2)规章制度体系初步建立,但还不完善,未能覆盖相关信息系统安全的所有方面。
2、面临的安全威胁与风险
(1)拒绝服务攻击:供给者通过某种方法使系统响应减慢甚至瘫痪,组织合法用户获得服务。
(2)非授权访问:没有预先经过同意,就使用网络或计算机资源。(3)传播病毒:通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范。
3、整体安全状况的基本判断
我局对信息安全工作严格按照有关要求,对涉及到的信息进行安全检查,严格落实有关网络信息安全保密方面的各项规定,采取了多种措施防范安全保密有关事件的发生,总体上看,我局网络信息安全保密工作做得比较扎实,效果也比较好,近年来未发现失泄密问题。
五、改进措施与整改效果
我局针对存在的问题采取一些改进措施:一是继续加强对工作人员的安全意识教育和技术培训;二是切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任;三是以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故;四是提高安全工作的现代化水平,便于我们进一步加强对计算机信息系统安全的防范和保密工作。同时密切联系网络安全技术专业人员,加强机房和网站安全措施建设力度;五是加强对信息系统的监督管理,严格信息发布制度,加大对信息内容,信息权威性、一致性和时效性及网上信息办理情况的监管力度。
六、对信息安全工作开展的意见和建议
1、希望上级有关部门加强信息网络安全技术人员培训和演练,使安全技术人员及时更新信息网络安全管理知识,提高相关管理及法律法规等的认识,不断地加强信息网络安全管理和技术防范水平。
2、加大信息安全网络安全防护设备的投入。
年 月 日
第三篇:企业信息安全管理办法
信息安全管理办法
第一章 总则
第一条
为加强公司信息安全管理,推进信息安全体系建设,保障信息系统安全稳定运行,根据国家有关法律、法规和《公司信息化工作管理规定》,制定本办法。
第二条
本办法所指的信息安全管理,是指计算机网络及信息系统(以下简称信息系统)的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。
第三条
公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则,各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。
第四条
信息安全管理,包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。
第五条
本办法适用于公司总部、各企事业单位及其全体员工。
第二章 信息安全管理组织与职责
第六条
公司信息化工作领导小组是信息安全工作的最高决策机构,负责信息安全政策、制度和体系建设规划的审批,部署并协调信息安全体系建设,领导信息系统等级保护工作。
第七条
公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成,协调一致、密切配合的信息安全组织和责任体系。各级信息安全组织均要明确主管领导,确定相关责任,设置相应岗位,配备必要人员。
第八条
信息管理部是公司信息安全的归口管理部门,负责落实信息化工作领导小组的决策,实施公司信息安全建设与管理,确保重要信息系统的有效保护和安全运行。具体职责包括:组织制定和实施公司信息安全政策标准、管理制度和体系建设规划,组织实施信息安全项目和培训,组织信息安全工作的监督和检查。
第九条
公司保密部门负责信息安全工作中有关保密工作的监督、检查和指导。
第十条
企事业单位信息部门负责本单位信息安全的管理,具体职责包括:在本单位宣传和贯彻执行信息安全政
策与标准,确保本单位信息系统的安全运行,实施本单位信息安全项目和培训,追踪和查处本单位信息安全违规行为,组织本单位信息安全工作检查,完成公司部署的信息安全工作。
第十一条
技术支持单位在信息管理部的领导下,承担所负责的信息系统和所在区域的信息安全管理任务,主要包括:在所维护系统和本区域内宣传和贯彻信息安全政策与标准,确保所负责信息系统的安全运行。
第十二条
各级信息管理部门设立信息安全管理和技术岗位,包括信息安全、应用系统、数据库、操作系统、网络负责人和管理员,重要岗位可设置两个员工互为备份。
第十三条
信息安全岗位的设立应遵循职责分离的要求,包括:制度监督者与执行者分离,信息系统授权者与操作者分离,应用系统管理员与数据库管理员分离,程序开发人员不应具备对生产环境的访问权限。
第十四条
公司员工必须严格遵守公司信息安全政策、管理制度、技术标准和信息系统控制要求,承担相关安全义务和责任,并及时报告信息安全事件。
第三章 信息安全目标与工作原则
第十五条
信息安全工作的总体目标是:实施信息系统安全等级保护,建立和健全先进实用、完整可靠的信息安全体系,保证系统和信息的完整性、真实性、可用性、保密性和可控性,保障信息化建设和应用,支撑公司业务持续、稳定、健康发展。
第十六条
信息安全体系建设必须坚持以下原则: 坚持统一。信息安全体系必须统一规划、统一标准、统一设计、统一投资、统一建设、统一管理。
保障应用。保障网络和信息系统,特别是全局网络和重要业务信息系统不间断稳定运行及其信息的安全,实现以应用促安全,以安全保应用。
符合法规。信息安全体系要满足法律法规要求,包括国家对信息系统等级保护、企业内部控制要求,积极采用法律法规允许的、成熟的先进技术和专业安全服务。
综合防范。管理与技术并重,相互补充。从组织与流程、制度与人员、场地与环境、网络与系统、数据与应用等多方面着手,在系统设计、建设和运维的多环节进行综合防范。
集中共享。建立集中、统一的信息安全技术服务平台和
集中专业化的信息安全队伍。
第四章 信息安全工作基本要求
第十七条
根据公司信息安全专项规划和总体方案,分层次建立以安全组织体系为核心、安全管理体系为保障、安全技术体系为支撑的全面信息安全体系,并保持三个体系稳定、均衡发展。
第十八条
建立全面的信息安全管理体系:
制定并实施统一的信息安全策略、管理制度和技术标准。
实行信息系统资产管理责任制,保护信息系统,特别是核心信息系统的设备、软件、数据和技术文档的安全。
建立信息系统物理环境、网络、系统、应用、数据等各层面的安全管理流程,实现对信息系统全生命周期的安全管理。
实现对信息系统的安全风险管理,及时发现和防范安全隐患。
第十九条
建立有效的信息安全技术体系:
强化网络、桌面和应用系统安全防护体系,按照自主定级、自主保护的原则,评估确定各信息系统保护等级并实施
相应的保护措施。
建立统一的网络安全信任体系,加强网络实体身份管理与认证,为网络和信息系统安全运行提供信任基础。
建立完善有效的安全监控和预警体系,监控重要网络和核心业务系统,及时发现安全隐患。
建立全面有效的应急响应体系,制定并落实完整、规范的应急处理和响应流程,完善信息安全报告、处理机制。
建立包括同城和异地容灾备份中心的信息系统灾难恢复体系,定期进行灾难恢复的测试和演练,确保灾难发生后能够充分发挥备份的效能,降低造成的影响和损失。
第五章 信息安全监控
第二十条
信息安全监控的目的是对威胁系统、数据库及网络安全的因素进行有效控制,防止由于技术或人为因素导致的异常和损失,同时为其他安全措施的设计和实施提供可靠依据。安全监控的结果要保存一年以上。
第二十一条
信息系统的运行和维护单位,在国家法律和公司有关规定许可的范围内,具体进行规范、合理、有效的信息安全监控。使用公司网络及应用系统的用户有义务接受
必要的监控。监控不能影响、泄漏不涉及安全问题的网上行为和个人隐私的内容。
第二十二条
各级信息部门负责制定和实施信息安全监控计划,包括日常监控、应急处理和定期汇报。
第二十三条
日常监控分为实时监控和定期检查,包括应用系统、数据库、操作系统、网络、物理环境以及外部人员对信息系统访问的实时监控与定期检查。监控及检查结果要存档备查,异常情况须及时向有关负责人汇报。
第二十四条
各级信息部门应对网络及重要信息系统制定详细的应急处理预案。应急处理按照预案进行,并至少每年组织一次相关岗位人员进行应急预案演练。
第二十五条
各级信息部门编制、上报信息安全月报和年报,及时向主管领导和上级部门汇报重大信息安全风险和事件。
第六章 信息安全风险评估
第二十六条
信息管理部负责组织建立风险评估规范及实施团队,定期或在重大、特殊事件发生时进行风险评估。
第二十七条
风险评估包括范围确定、风险识别、风险分析和控制措施,确保信息安全,满足应用和业务需要。
评估范围可包括管理组织、流程、政策与标准、应用系统、数据库、操作系统、网络、物理环境,应涵盖公司内部关键控制点。
风险识别包括识别风险类型和风险事件,形成风险列表,更新信息风险数据库。
风险分析包括信息资产分类、风险发生概率和影响程度分析,并确定风险等级,形成风险评估报告。
控制措施包括安全管理策略和风险控制措施,形成风险控制报告。
第二十八条
信息管理部将风险评估和控制报告上报信息主管领导审批。根据领导审批意见,落实控制措施。
第七章 信息安全培训
第二十九条
信息管理部负责制定公司信息安全培训计划,组织、实施信息安全管理和技术培训。各级信息部门负责相应层级的信息安全培训,培训计划报信息管理部备案。
第三十条
信息管理部及各企事业单位信息部门对应用系统、数据库、操作系统和网络管理员、开发人员进行信息安全技术培训,提高信息安全管理和维护水平。
第三十一条
信息管理部及各企事业单位信息部门分层次、分类型对员工进行信息安全培训,包括针对业务和技术管理人员进行管理层面的信息安全管理培训,针对从事日常业务处理人员进行操作层面基本安全知识培训。
第三十二条
员工上岗前,应进行岗位信息安全培训,并签署信息安全保密协议。在岗位发生变动时,及时调整信息系统操作权限。
第三十三条
信息安全政策与标准发生重大调整、新建和升级的信息系统投入使用前,开展必要的安全培训,明确相关调整和变更所带来的信息安全权限和责任的变化。
第八章 信息安全检查与考核
第三十四条
信息管理部定期进行信息安全检查与考核,包括信息安全政策与标准的培训与执行情况、重大信息安全事件及整改措施落实情况、现有信息安全措施的有效性、信息安全技术指标完成情况。
第三十五条
各企事业单位信息部门按照本办法和《公司信息系统运行维护管理办法》进行信息安全自我考核,信息管理部进行综合评价,形成考核报告,报信息主管领导。
第三十六条
对于不执行本办法造成严重后果的,应追究相关部门和个人责任。
第九章 附则
第三十七条
各企事业单位可参照本管理办法制定相应的实施细则。
第三十八条 第三十九条
本办法由公司信息管理部负责解释。本办法自印发之日起施行。
第四篇:企业信息安全管理条例
信息安全管理条例
第一章信息安全概述 1.1、公司信息安全管理体系
信息是一个组织的血液,它的存在方式各异。可以是打印,手写,也可以是电子,演示和口述的。当今商业竞争日趋激烈,来源于不同渠道的威胁,威胁到信息的安全性。这些威胁可能来自内部,外部,意外的,还可能是恶意的。随着信息存储、发送新技术的广泛使用,信息安全面临的威胁也越来越严重了。
信息安全不是有一个终端防火墙,或者找一个24小时提供信息安全服务的公司就可以达到的,它需要全面的综合管理。信息安全管理体系的引入,可以协调各个方面的信息管理,使信息管理更为有效。信息安全管理体系是系统地对组织敏感信息进行管理,涉及到人,程序和信息科技系统。
改善信息安全水平的主要手段有:
1)安全方针:为信息安全提供管理指导和支持; 2)安全组织:在公司内管理信息安全;
3)资产分类与管理:对公司的信息资产采取适当的保护措施; 4)人员安全:减少人为错误、偷窃、欺诈或滥用信息及处理设施的风险;
5)实体和环境安全:防止对商业场所及信息未授权的访问、损坏及干扰;
6)通讯与运作管理:确保信息处理设施正确和安全运行; 7)访问控制:妥善管理对信息的访问权限;
8)系统的获得、开发和维护:确保将安全纳入信息系统的整个生命周期;
9)安全事件管理:确保安全事件发生后有正确的处理流程与报告方式;
10)商业活动连续性管理:防止商业活动的中断,并保护关键的业务过程免受重大故障或灾害的影响;
11)符合法律:避免违反任何刑法和民法、法律法规或者合同义务以及任何安全要求。
1.2、信息安全建设的原则
1)领导重视,全员参与;
2)信息安全不仅仅是IT部门的工作,它需要公司全体员工的共同参与;
3)技术不是绝对的;
4)信息安全管理遵循“七分管理,三分技术”的管理原则; 5)信息安全事件符合“
二、八”原则;
6)20%的安全事件来自外部网络攻击,80%的安全事件发生在公司内部;
7)管理原则:管理为主,技术为辅,内外兼防,发现漏洞,消除隐患,确保安全。
1.3、信息安全管理体系建设的目的
1)保障ERP系统的安全运行,控制公司信息泄密风险; 2)提高企业员工对安全的认识和对安全管理的参与; 3)提高企业用户及合作伙伴对企业的信心、信任、满意程度; 4)提高企业信息安全管理的质量和水平; 5)使企业更有效地管理和处理信息安全事件; 6)遵守和通过相关法律法规的要求;
7)为将来企业充份利用电子商务打下重要的基础。
第二章员工信息安全规范 2.1、适用范围
本标准规定了公司员工必须遵循的个人计算机和其他方面的安全要求,规定了员工保护公司涉密信息的责任,并列出了大量可能遇到的情况下的安全要求。
本标准适用于公司所有员工,包括子公司的员工,以及其他经授权使用公司内部资源的人员。
2.2、计算机安全要求
1)计算机信息登记与使用维护:
每台由公司购买的计算机的领用、使用人变更、配置变更、报废等环节必须经过IT部的登记,严禁私自变更使用人和增减配置;
每位员工有责任保护公司的计算机资源和设备,以及包含的信息。每位员工必须把自己的计算机名字设置成固定的格式,一律采用AD域名_所属地区编号组成;
例如某台计算机名为SSSS_100201,SSSS为地区AD域名,100为地区编号,201代表该地区第201个账户。2)必须在所有个人计算机上激活下列安全控制:
所有计算机(包括便携电脑与台式机)必须设有系统密码;系统密码应当符合一定程度的复杂性要求,并不定期更换密码;存储在个人计算机中的包含有公司涉密信息的文件,需要加密存放。3)当员工离开办公室或工作区域时:
必须立即锁定计算机或者激活带密码保护的屏幕保护程序; 如果办公室或者工作区域能上锁,最后一个离开的员工请锁上办公室或工作区域;
妥善保管所有包含公司涉密内容的文件,如锁进文件柜。4)防范计算机病毒和其他有害代码:
每位员工由公司配备的计算机上都必须安装和运行公司授权使用的防病毒软件;
员工必须开启防病毒软件实时扫描保护功能,至少每周进行一次全硬盘扫描,在网络条件许可的情况下每天进行一次病毒库文件的更新;
如果员工发现未能处理的病毒,应立即断开局域网连接,以免病毒在局域网内部交叉感染,并及时向公司IT部门汇报。5)软件的使用:
员工不得私自在计算机上安装公司禁止的软件,公司禁止安装的软件包括但不限于:BT等P2P软件、Sniffer等流量监控软件及黑客软件、P2P终结者、网络执法官之类的网络管理软件;
工作用计算机禁止安装盗版杀毒软件和盗版防火墙软件; 公司员工的机器上必须安装并开启功能的软件有:金山企业版防病毒软件、Office2010、360浏览器、IE8.0升级包、Winrar、固网打印服务;
如果由于使用未经公司授权的且没有许可的软件造成公司损失,员工需要承担全部责任。6)文件的共享:
员工在使用文件共享时,必须将其设置为受限共享;
禁止使用基于互联网的P2P软件和共享服务,如:BT、eMule等; 不得在计算机上配置匿名FTP、TFTP、HTTP,或其他无需验证的服务;
例如:员工不得在公司的计算机上私自架设匿名FTP; 未经IT部门许可,不得在使用ERP系统的计算机上使用U盘或移动硬盘。如因业务需要,必须要访问其他人的硬盘。当定义共享权限时,员工必须设定用户权限、设定访问密码,并及时取消所定义的共享。
7)邮件的发送与接收:
禁止使用公司的计算机散布、回复、转发连锁邮件、恶作剧邮件; 禁止将涉及公司秘密的内部邮件转发到互联网上。8)公司涉密信息的保护:
公司涉密信息包括但不限于公司数据库中的秘密信息,与公司目前或未来产品、服务或研究有关的公司技术或科技信息,业务或营销计算、营销收益或其他财务资料、人事资料,以及软件等技术信息、经营信息等;
公司的员工会接触到公司的涉密信息。员工禁止在未经公司授权的情况下泄漏这些信息,并且必须遵守公司为保护此信息而制定的各项标准和流程;
每个员工只能接触使用与本岗位工作相关的涉密信息,禁止从非正常途径获取公司或部门的涉密信息;禁止非授权复制涉密信息;
对公司文档的保管、存档、发送、删除、销毁、复制等必须遵守公司相关的文档保密管理规定;
禁止使用提供翻译服务的互联网站来翻译公司的涉密信息; 公司涉密信息尽量避免通过互联网传送,但由于工作需要,需要通过电子邮件等方式发送公司涉密信息时,可以采用Winrar加密压缩的方式把涉密内容作为附件发送,然后通过其他渠道告知对方加密密码。
9)公司信箱的帐户及密码
所有的密码必须符合如下条件:
至少8个字符长,并且包含英文、数字及特殊字符; 禁止把用户名用作密码或其一部分;
旧密码中任何三个连续的字符尽量不要连续出现在新密码中; 公司要求员工至少每30天更换一次密码。10)内部网络使用规则
禁止在网络上伪装为他人身份;
不得私自安装网络管理软件,监控网络流量或者妨碍他人使用网络资源;
不得对公司网络或服务器以及网络中他人电脑运行安全扫描程序或者恶意攻击;
未经IT部允许,不得增加网络设备到公司的网络中,严禁私自购买路由器、交换机接入公司网络等行为; 宿舍区电脑大部分属于员工私人计算机,禁止将公司数据及其他涉及到公司机密的电子文件传入私人计算机中;
第三章公司信息安全管理检查执行规定
3.1.检查原则
根据违规行为的性质、造成的后果及违规人的主观意愿对违规行为进行处罚。对在公司信息安全管理制度和措施上贯彻、监控不力、权限审核不当,造成公司安全制度和措施难以落实,安全管理工作混乱的部门,部门负责人须承担领导责任。对违反信息安全管理规定者,如其直接领导有明显管理和指导不力的须承担连带责任。
3.2.检查方式
公司技术部门抽调网络管理人员,不定期对公司所属公司办公电脑进行抽查。分析信息安全日志文件,排查违规电脑,追究相关当事人。
3.3.检查结果
对于故意盗窃、泄露公司保密信息的,或故意违反信息安全管理规定,性质特别严重造成重大损失的,给予罚款、降薪、降职、辞退、直至开除的处理,并赔偿公司损失。对于触犯国家法律的,移交国家司法机关依法处理。?对违反公司信息安全制度规定,性质较轻,在公司内部系统给予点名通报批评,并记录在案,责令限期改正。
第五篇:企业信息安全保密制度
企业集 团 管 理 制 度
信息安全保密制度
(2016初稿)/ 9
上海企业经营管理股份有限公司
信息安全保密制度 第一章 总 则
第一条 根据国家相关规定,结合《企业知识产权管理规范》及具体情况,为保障公司整体利益和长远利益,使公司长期、稳定、高效地发展,适应激烈的市场竞争,特制定本制度。
第二条 本规定是安全保密、知识产权及专利保护工作的依据和准则。各部室要把安全保密工作列入工作规划,使安全工作落到实处。
第三条 公司秘密是关系公司权力和利益,依照程序只允许特定时空范围的人员知悉的事项,包括但不限于技术专利、财务、人事和其他商业机密。技术秘密是指能为公司带来经济利益、具有实用性的技术信息、设计方案等,包括但不限于:技术信息、工程设计、科研专利、知识产权等等。财务秘密包括但不限于公司经营的财务、资产及相关统计数字。人事秘密主要是与公司人力资源现状、招聘计划、员工隐私、劳资状况等相关的信息。包括但不限于:人事档案、合同、协议、职员工资性收入、招聘计划等。日常秘密主要包括不限于:日常文件文档、资料等。商业秘密包括但不限于:客户名单、定价政策、财务资料、进货渠道,等等。
第四条 公司所有职员、外派人员都有保守公司秘密的义务。接触到公司秘密的高级员工,如:管理人员、技术人员、财务人员、秘书等负有特别的保秘责任。
第五条 保密工作实行安全、便利可行、积极预防的工作方针。保密范围和密级确定: / 9
第六条 公司秘密包括本制度第三条规定的及下列秘密事项:(一)公司重大决策中的秘密事项;
(二)公司尚未付诸实施的经营战略、方向、规划及决策等;(三)公司内部掌握的合同、协议、意见书及可行性报告;(四)公司财务预决算报告及各类财务报表、统计报表;(五)公司职员人事档案,工资性、劳务性收入及资料;(六)公司科研专有技术、专利、知识产权、工程设计、等等;(七)其他经公司确定应当保密的事项。
第七条 公司秘密的密级分为“绝密”、“机密”、“秘密”三级。
绝密是最重要的公司秘密,泄露会使公司权益和利益遭受特别严重损害;机密是重要的公司秘密,泄露会使公司权益和利益遭受到严重损害;秘密是一般的公司秘密,泄露会使公司权力和利益遭受损害。
第八条 秘级的确定:
(一)公司经营发展中,直接影响公司权益和利益的重要决策文件、技术资料、技术专利等为绝密级;(二)公司的规划、财务报表、统计资料、重要会议记录、公司经营情况为机密级;(三)公司人事档案、合同、协议、职员工资性收入、尚未进入市场或尚未公开的各类信息为秘密级。
第九条 秘密级别由董事会秘书办公室依据第七条确定,并确定保密期限:分永久、长期、短期,一般与密级相对应,特殊情况外标明。保密期限届满,自行解密。/ 9
第十条 发现已经或者可能泄露秘密时,应立即采取补救措施并报告主管部室或公司领导;主管部室或领导接到报告,应及时处理。
第十一条 本制度规定的泄密是指下列行为之一:(一)使秘密被不应知悉者知悉的;(二)使秘密超出接触限定范围,而不能证明未被不应知悉者知悉的。
第二章 日常保密管理规定
第十二条 日常保密包括但不限于文印文档、资料、人事及其他保密事项等。办公室为日常保密工作管理部室。办公室主要保密职责:
(一)根据法律及上级公司规定,结合公司实际制定安全保密管理规定,并监督实施;
(二)负责组织宣传安全保密管理规定、制度,组织培训学习公司有关保密安全条例;
(三)制定并落实人事、档案保密管理措施;
(四)配合其他部室完成技术、财务、商业等保密的管理、监督和检查工作;(五)严格机要、文印人员、招聘选拔;
(六)对安全保密突发事件应急处理,日常安全保密工作的监督;协助公司领导完成保密工作检查、奖惩及与之相关的活动等;
(七)承办上级领导交办的其他保密事项。
第十三条 日常保密工作,各部室、各岗位应做到:
(一)领导干部、部室负责人、专业组长:增强保密意识、以身作则,模范遵守保密规定,落实保密责任。做到:不泄露知悉的公司秘密;不在无保密保障的/ 9
场所阅办秘密文件、资料;不在家属、亲友、熟人和其他无关人员面前谈论公司秘密事项;不携带秘密文件、资料参加社交活动;不在出访、考察等外事活动中携带秘密文件、资料;阅办完秘密文件及时清退、归档;审校、签发文件及稿件时,要把好定密关;下级发生泄密问题后,及时上报、设法补救,不掩盖包庇。
(二)员工应做到:不该说的秘密不说;不该问的秘密不问;不该看的秘密不看;不该记录的秘密不记录;不在非保密本上记录秘密;不在公共场所和家属、子女、亲友面前谈论公司秘密事项;不在不利于保密的地方存放秘密文件、资料;不携带秘密材料游览、参观、探亲、访友和出入公共场所;不在私人交往中泄露公司秘密。日常保密措施:
第十四条 健全收发文制度,各部室要有专人负责文件、设计图纸、技术档案等机密文件的管理和清退工作,发现秘级文件资料丢失、被窃、泄密时,须立即报告,及时追查、力挽损失。
第十五条 档案管理按照质量管理体系文件中有关规定执行。
第十六条 有秘密内容的会议或活动,主办部门应采取措施:
(一)选择具备保密条件的会议场所,严禁使用无线话筒传达密件或向室外扩音;
(二)根据需要,限定参会人员的范围,指定参会人员;(三)依照规定使用会议设备和管理会议文件;
(四)规定不准记录的会议内容,不得记录,不携带录音机进入会场录音;不以任何形式对外泄露会议秘密内容,会议结束后,要对会议场所进行保密检查;/ 9
严禁滥印、复印会议秘密文件资料,确需要复制的须经批准。
第十七条 文印岗人员应该做到:
(一)复印的秘密文件:需经批准后才能复印;严格控制份数,复印件要按原件一样管理;
(二)严格保管承印的秘密文稿、资料及有秘密内容的磁盘、录音笔等;对会议记录和有关文件、资料严加保管,及时立卷归档;
(三)严格遵守保密纪律,打印、复印涉密文稿的内容不得传播,不得让无关人员阅看,不私自多印留存;
(四)打印的密件废页、图纸废页、蜡纸应及时处理,不让无关人员阅看;发现密件丢失或下落不明,要立即报告,并抓紧查找,采取补救措施。定期检查、清理、清退、销毁文件;严防将秘密文件、资料和文件底稿随同旧报纸等出售。
第十八条 对于密级文件、资料设计图纸、方案、技术标准和其他物品,须采取保密措施:
(一)非经批准,不得复制和摘抄;收发、传递和外出携带,由指定人员担任,并采取必要的安全措施;
(二)在设备完善的保险装置中保存;
(三)如有与质量管理体系中规定相左之处,以后者为准。第十九条 如有必要公司应与相关人员签订《保密合同》。
第三章 商业保密管理规定
第二十条 商业保密包括但不限于:客户信息、采购资料、定价政策、财务资料、进货渠道、投标信息、经营策略等。
第二十一条 市场部为商业保密的主管部门,办公室及其他部门配合市场部/ 9
完成商业保密管理。市场部主要保密职责:
(一)制定商业保密管理有关规范、制度,并组织实施、监督;(二)组织宣传、培训商业管理规定;
(三)负责本部门保密管理工作,监督其他部门管理工作;(四)负责商业泄密事件的应急、调查、处理、处罚工作;
第二十二条 涉及公司商业秘密的合作、代理、交易合同或协议,依据情况设置相关“保密条款”,限制对方行为。
第二十三条 市场部有关人员不可将商业秘密透露给任何第三方或用于合同目的以外的用途,离职、辞职时,要及时交出相关资料,同时不得泄露公司经营秘密;不可在对外接受访问或者与任何第三方交流时泄露秘密内容。
第四章 财务保密管理规定
第二十四条 财务保密工作包括但不限于资产、财务统计数字及工资及其他报表的保密。
第二十五条 财务部为财务保密的归主管部门,市场部、办公室及其他部门配合财务部落实财务保密工作。财务部主要保密职责:
(一)根据法律及上级单位规定,结合实际制定财务保密规范;(二)组织本部门员工学习并执行财务保密制度的有关规定;(三)负责组织宣传保密、安全管理规定、规范,组织培训学习公司有关保密安全规定;
(四)负责本部门保密管理工作,监督其他部门管理工作; / 9
(五)负责财务泄密事件的应急、调查、处理、处罚工作;
第五章 计算机与互联网信息保密管理规定
第二十六条 IT部要健全各项信息保密管理制度,强化机房计算机的应用管理。凡秘密数据的传输和存贮均应采取相应的保密措施,录有文件的存贮设备要妥善保管,严防丢失。
(一)保障公司计算机及其相关的配套设备、设施的安全,保障信息的安全,保障计算机功能的正常发挥,维护计算机信息系统的安全性。应及时发现安全隐患,及时提出解决方案,及时处理解决问题;
(二)新用户登记时,应认真核实其身份,并详细记录用户的相关信息。员工不允许将公司“用户信息和网络密码”告知非本公司人员。员工离开本公司,IT部应注销该员工的所有用户信息;
(三)对于安全性较高的信息,需要严格管理。无论是纸张形式还是电子形式,均要落实到责任人。严禁将工作中的数据文档带离。
(四)企业研发的各办公系统的数据内容要严格把关;IT部要将审核后的内容准确、安全、即时地上传至托管服务器。
(五)加强计算机系统的保密安全管理。对涉密与非保密计算机予以明确区分,涉密机必须完全与局域网脱离连接,并禁止上因特网以防泄密。并采取身份认证、存储传输加密、配置防视频泄密干扰器等措施加强保密防范。
第二十七条 属于公司秘密的信息、资料和其它物品的制作、收发、传递、使用、复制、摘抄、保存和销毁,由办公室或主管领导委托专人执行;采用电脑技术存取、处理、传递的公司秘密由IT部门负责保密。/ 9
第二十八条 计算机房内,禁止无关人员逗留、参观,严禁会客。
第六章 罚则 和 奖则
第二十九条 公司对在安全保密工作中做出突出成绩的个人和部室给予奖励。
第三十条 对未按本《规定》进行管理或管理不善造成秘密泄漏的,除对直接责任者按规定给予相应处理外,还将追究所属部室主要负责人的责任,并对直接责任者和所属部室给予相应的经济处罚。
第三十一条 对无视本《规定》,以谋取个人或小集团利益为目、蓄意泄漏秘密的,造成重大损失和严重后果的,将依《中华人民共和国刑法》追究法律责任。
第三十二条 保密管理人员因玩忽职守使秘密泄漏造成经济损失,削弱竞争能力的,视情节轻重给予不同程度的行政处分和经济处罚,明知故犯者加重处罚。对违反本《规定》,使单位秘密泄露,造成直接或间接经济损失的,由公司保卫部及所属管理部门负责调查核实,并提出处理意见,报公司领导批准后执行。
第七章 附 则
第三十三条 本《规定》自发布之日起执行。第三十四条 本规定的解释权属于本公司保卫部。/ 9