《信息系统安全管理.docx》由会员分享,可在线阅读,更多相关《信息系统安全管理.docx(3页珍藏版)》请在金锄头文库上搜索。
1、信息系统安全管理1 范围适用于信息技术部推行网络安全管理和信息实时监控,以及拟定全公司计算机使用安全的技术规定2 控制目标2.1保证公司网络系统、计算机以及计算机相关设备的高效、安全使用2.2保证数据库、日志文件和重要商业信息的安全3 主要控制点3.1信息技术部经理和公司主管副总经理分别审批信息系统接见权限设置方案、数据备份及突发事件办理政策和其他信息系统安全政策的合理性和可行性3.2对终端用户进行网络使用情况的监测4 特定政策4.1每年更新公司的信息系统安全政策4.2每年信息技术部应配合公司人力资源部及其他各部门,鉴定各岗位的信息设备配置,并拟定公司的计算机及网络使用规定4.3当员工岗位发生
2、变动,需要更正员工的邮件帐号属性、服务器储藏空间大小和文件读写权限时,信息技术部必定在一天内达成并发送邮件或电话通知用户4.4对于信息系统(主要为服务器)的安全管理,应有两名技术人员能够达成平常故障办理以及设置、安装操作,但仅有一名技术人员掌握系统密码,若该名技术人员出门,须将密码转告别的一名技术人员,事后应更正密码,两人不能够同时出门,交接时应做好记录4.5一般事件警告是指未对信息系统安全组成危害、而仅对终端系统或局部网络安全造成危害,也许危害已经产生但没有连续扩散的事件,如对使用的终端和网络设备未经赞成私自设置权限等;严重事件警告是指对信息系统安全组成威胁的事件,如试图使病毒(木马、后门程
3、序等)在网络中扩散、攻击服务器、改变网络设备设置场所的设置状态、编制非法软件在网络系统中试运行等;特别事件是指来自公司网络外面的恶意攻击,如由外面人员使用不当造成或其他自然突发事件引起。事件判断小组由相关的网络工程师、终端设备保护工程师和应用系统程序员等相关人员组成5信息系统安全管理流程C-14-04-001步骤涉及部门信息技术部网络工程师、终端设备保护工程师信息技术部经理公司主管副总人力资源部劳动用工管理员信息技术部网络工程师、终端设备保护工程师信息技术部网络工程师、终端设备保护工程师信息技术部网络工程师、终端设备保护工程师信息技术部网络工程师、终端设备保护工程师信息技术部经理信息技术部经理
4、信息技术部经理步骤说明依照国际和国家信息系统安全的相关法律、法规的规定及信息技术行业的行业安全标准,并结合公司相关商业保密的规定,拟定公司的信息系统安全政策,包括信息系统接见权限设置方案、数据备份及突发事件办理政策、病毒防治等信息系统安全政策审察公司信息系统的各种安全政策规定,保证吻合公司信息管理的安全要求和商业机密信息的管理要求,若经过,上报主管副总审批,若不经过,指出更正建议,责成相关人员进行更正审察公司信息系统的各种安全政策规定,若经过,下发详尽执行,若不经过,指出更正建议,责成相关人员进行更正依照公司计算机及网络设备使用的相关规定,在公司发生新员工入厂、员工调动和岗位变动等情况时,编制
5、新员工或员工变动情况一览表依照人力资源部供应的一览表,结合公司计算机及网络设备的使用规定,确定各岗位的计算机资源的配置和系统接见权限对各个网络用户及计算机设备的使用过程进行监测,同时督促各个终端用户准时对要点数据进行备份依照公司的信息系统安全政策,选择建立各项软硬件的安全措施,包括病毒防治软件、防火墙技术等,并在网络上部署必要的预警装置;如期在公司范围内宣布病毒防治的数据资料,并供应病毒库升级下载文档当发生安全预警时,依照警报的性质,依照突发事件的办理规程采用必要的办理措施,并在1小时内将情况报告至信息技术部经理依照警报的性质判断紧急级别,视情况上报公司主管副总,采用拯救措施,记录事故档案并通知全公司属于一般警报的记录事故档案事故办理达成,对于事故的责任人和责任部门编制事故总结报告上报公司主管副总办理
