公司信息安全管理制度全套.docx
《公司信息安全管理制度全套.docx》由会员分享,可在线阅读,更多相关《公司信息安全管理制度全套.docx(17页珍藏版)》请在优知文库上搜索。
1、公司信息安全管理制度第一章总则第一节为保证信息系统安全可靠稳定运行,降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁,结合公司实际,特制定本制度。第二节本制度适用于XX公司以及所属各部门的信息系统安全管理.第二章职责第三节相关部门职责一、信息中心(一)负贲组织和协调XX公司的信息系统安全管理工作;(二)负责建立XX公司信息系统网络成员单位间的网络访问规则;对公司本部信息系统网络终端的网络准入进行管理;(三)负责对XX公司互联网接口进行管理,配置防火墙等信息安全设备;会同审计部对公司本部互联网上网行为进行管理并审计;(四)根据XX公司信息安全事件专项应急预案
2、,对XX公司统一建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,界定两级单位信息安全管理责任;(五)负责XX公司网络边界、网络拓扑、网络设备等全局性的信息安全管理。二、各部门(一)负责组织和协调本部门信息安全管理工作。(二)配合和协助业务主管部门完善相关制度建设,落实日常管理工作。第三章信息安全策略的基本要求第四节信息系统安全管理应遵循以下原则:一、规范定级原则;二、依法行政原则;三、以人为本原则;四、注重效费比原则;五、全面防范、突出重点原则;六、系统、动态原则;七、特殊安全管理原则。第五节信息中心应根据业务需求和相关法律法规,组织制定公司信息安全策略,经主管领导审批发布后,对
3、员工及相关方进行传达和培训。第六节制定信息安全策略时应充分考虑信息系统安全策略的“七定要求,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。第七节信息安全策略主要包括以下内容:一、信息网络与信息系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略;二、对已投入运行且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞;三、对安全体系的各种日志(如入侵检测日志等)审计结果进行研究,以便及时发现系统的安全漏洞;四、定期分析信息系统的安全风险及漏洞、分析当前系苑E常规登录的特点,及时调整安全策略;五、制定人力资源、物理环境、访问控制、操作、备份、系统获取及维护、业务连
4、续性等方面的安全策略,并实施。第八节公司审计部每年应组织对信息安全策略的适应性、充分性和有效性进行评审,必要时组织修订;当公司的组织架构、生产经营模式等发生重大变化时也应进行评审和修订。第九节根据谁主管、谁负责的原则,公司建立信息安全分级责任制,各层级落实信息系统安全责任。第四章人力资源安全管理第十节信息系统相关岗位设置应满足以下要求:一、安全管理岗与其它任何岗位不得兼岗、混岗、代岗。二、系统管理岗、网络管理岗与应用管理岗不得兼岗、混岗.三、安全管理岗、系统管理岗、网络管理岗、应用管理岗、设备管理岗、技术档案管理向原则上有人员备份。四、以上岗位人员调离必须办理交接手续,所掌握的口令应立刻更换或
5、注销该用户。第十一节人力资源部在相关岗位任职要求中应包含信息安全管理的相关文件和要求;将信息安全相关培训纳入年度员工培训计划,并组织实施。第五章信息系统物理和环境安全管理第十二节信息系统物理安全指为了保证信息系统安全可靠运行,不致受到人为或自然因索的危害,而对计算机设备、设施(包括机房建筑、供电、空调)、环境、系统等采取适当的安全措施。第十三节信息管理部门应采取切实可行的物理防护手段或技术措施对物理周边、物理入口、办公及生产区域等进行安全控制,防止无关人员未授权物理访问、损坏和干扰.第十四节针对于公司办公电脑系统,信息管理部门或审计部每周中午或下班后会不定时的抽查各部门的人员不在岗,办公电脑密
6、码锁屏状态的检查。如发现员工离开工位,办公电脑未密码锁屏状态,审计部将会对当事员工的行为进行一次警告、二次纳入员工信用管理。第十五节信息管理部门应加强对信息系统机房及配线间的安全管理,要求如下:一、根据XX机房管理制度工作人员需经授权,方能且只能进入中心机房的授权工作区;确因工作需要,需进入非授权工作区时,需由该授权工作区人员陪同;做好机房出入登记。二、工作人员必须严格按照规定操作,未经批准不得超越自己职权范围以外的操作;操作结束时,必须退出已进入的操作画面;最后离开工作区域的人员应将门禁关闭。三、非授权人员严禁操作中心机房UPS、专用空调、监控安防、门禁、消防及UPS供配电设备设施.四、未经
7、授权,田可人员不得擅自拷贝数据和文件等资料。五、严禁将易燃、易爆、强磁性物品带入中心机房;严禁在机房内吸烟。六、发生意外情况应立即采取应急措施,并及时向信息中心和直接领导报告。第六章信息系统资产管理第十六节信息管理部门应对信息和信息系统设备设施等相关资产建立台帐清单,并定期对其进行盘点清查,资产录入到XX-IT1.1.管理系统”进行资产管理CMDB配置。第十七节设备使用人应对信息和信息系统设备设施、各类存储介质等相关资产进行标识.标识应张贴在信息设备的明显位置,做三J信息完整、字迹清晰,并做好防脱落防护工作。第十八节信息管理部门应对主机进行控制管理,要求如下:一、关键业务生产系统中的主机原则上
![公司信息安全管理制度全套.docx_第1页](https://www.yzwku.com/fileroot_temp1/2024-8/4/5460fa9e-7f86-4fc1-9124-7f2ba7564f25/5460fa9e-7f86-4fc1-9124-7f2ba7564f251.gif)
![公司信息安全管理制度全套.docx_第2页](https://www.yzwku.com/fileroot_temp1/2024-8/4/5460fa9e-7f86-4fc1-9124-7f2ba7564f25/5460fa9e-7f86-4fc1-9124-7f2ba7564f252.gif)
![公司信息安全管理制度全套.docx_第3页](https://www.yzwku.com/fileroot_temp1/2024-8/4/5460fa9e-7f86-4fc1-9124-7f2ba7564f25/5460fa9e-7f86-4fc1-9124-7f2ba7564f253.gif)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 公司 信息 安全管理 制度 全套
![提示](https://www.yzwku.com/images/bang_tan.gif)