收藏
下载资源

网络信息管理制度111

上传人:新** 文档编号:564451189 上传时间:2022-11-25 格式:DOCX 页数:57 大小:191.40KB
返回 下载 相关 举报
网络信息管理制度111_第1页
第1页 / 共57页
网络信息管理制度111_第2页
第2页 / 共57页
网络信息管理制度111_第3页
第3页 / 共57页
网络信息管理制度111_第4页
第4页 / 共57页
网络信息管理制度111_第5页
第5页 / 共57页
点击查看更多>>
资源描述

《网络信息管理制度111》由会员分享,可在线阅读,更多相关《网络信息管理制度111(57页珍藏版)》请在金锄头文库上搜索。

1、信息安全管理制度琥珀(安吉吉)燃机机热电有有限公司司2016.01.15 信息安全制制度1 总则 第11条 为规范范信息安安全管理理工作,加加强过程程管理和和基础设设施管理理的风险险分析及及防范,建建立安全全责任制制,健全全安全内内控制度度,保证证信息系系统的机机密性、完完整性、可可用性,特特制定本本规定。 2 适用范范围 第22条 本规定定适用于于琥珀(安安吉)燃燃机热电电有限公公司各部部门及生生产现场场。 3 管理对对象 第33条 管理对对象指组组成计算算机信息息系统的的系统、设设备和数数据等信信息资产产和人员员的安全全。主要要范围包包括:人人员安全全、物理理环境安安全、资资产识别别和分类

2、类、风险险管理、物物理和逻逻辑访问问控制、系系统操作作与运行行安全、网网络通讯讯安全、信信息加密密与解密密、应急急与灾难难恢复、软软件研发发与应用用安全、机机密资源源管理、第第三方与与外包安安全、法法律和标标准的符符合性、项项目与工工程安全全控制、安安全检查查与审计计等。4 术语定定义 DMMZ:用用于隔离离内网和和外网的的区域,此此区域不不属于可可信任的的内网,也也不是完完全开放放给因特特网。 容量量:分为为系统容容量和环环境容量量两方面面。系统统容量包包括CPPU、内内存、硬硬盘存储储等。环环境容量量包括电电力供应应、湿度度、温度度、空气气质量等等。 安全全制度:与信息息安全相相关的制制度

3、文档档,包括括安全管管理办法法、标准准、指引引和程序序等。 安全全边界:用以明明确划分分安全区区域,如如围墙、办办公大楼楼、网段段等。 恶意意软件:包括计计算机病病毒、网网络蠕虫虫、木马马、流氓氓软件、逻逻辑炸弹弹等。 备份份周期:根据备备份管理理办法制制定的备备份循环环的周期期,一个个备份周周期的内内容相当当于一个个完整的的全备份份。 系统统工具:能够更更改系统统及应用用配臵的的程序被被定义为为系统工工具,如如系统管管理、维维护工具具、调试试程序等等。 消息息验证:一种检检查传输输的电子子消息是是否有非非法变更更或破坏坏的技术术,它可可以在硬硬件或软软件上实实施。 数字字签名:一种保保护电子

4、子文档真真实性和和完整性性的方法法。例如如,在电电子商务务中可以以使用它它验证谁谁签署电电子文档档,并检检查已签签署文档档的内容容是否被被更改。 信息息处理设设备:泛泛指处理理信息的的所有设设备和信信息系统统,包括括网络、服服务器、个个人电脑脑和笔记记本电脑脑等。 不可可抵赖性性服务:用于解解决交易易纠纷中中争议交交易是否否发生的的机制。 电子子化办公公系统:包括电电子邮件件、OAA系统以以及用于于业务信信息传送送及共享享的企业业内部网网。 5 安全制制度方面面 5.1 安安全制度度要求 5.11.1 本制度度的诠释释 第44条 所有带带有“必须”的条款款都是强强制性的的。除非非事先得得到安全

5、全管理委委员会的的认可,否否则都要要坚决执执行。其它的条款款则是强强烈建议议的,只只要实际际可行就就应该被被采用。 第55条 所有员员工都受受本制度度的约束束,各部部门领导导有责任任确保其其部门已已实施足足够的安安全控制制措施,以以保护信信息安全全。 第66条 各部门门的领导导有责任任确保其其部门的的员工了了解本安安全管理理制度、相相关的标标准和程程序以及及日常的的信息安安全管理理。 第77条 安全管管理代表表(或其其指派的的人员)将将审核各各部门安安全控制制措施实实施的准准确性和和完整性性,此过过程是公公司例行行内部审审计的一一部分。 5.1.22 制制度发布布 第88条 所有制制度在创创建

6、和更更新后,必必须经过过相应管管理层的的审批。制制度经批批准之后后必须通通知所有有相关人人员。 5.1.33 制度度复审 第99条 当环境境改变、技技术更新新或者业业务本身身发生变变化时,必必须对安安全制度度重新进进行评审审,并作作出相应应的修正正,以确确保能有有效地保保护公司司的信息息资产。 第110条 安全全管理委委员会必必须定期期对本管管理办法法进行正正式的复复审,并并根据复复审所作作的修正正,指导导相关员员工采取取相应的的行动。6 组织安安全方面面 6.1 组组织内部部安全 66.1.1 信息安安全体系系管理 第111条 公司司成立安安全管理理委员会会,安全全管理委委员会是是公司信信息

7、安全全管理的的最高决决策机构构,安全全管理委委员会的的成员应应包括公公司主要要管理人人、生产产技术管管理部负负责人、公公司安全全审计负负责人、公公司计算算机管理理员、操操作员等等。 第112条 信息息安全管管理代表表由信息息安全管管理委员员会指定定,一般般应包含含安全稽稽核岗、信信息管理理部信息息安全相相关岗位位。 第113条 安全全管理委委员会通通过清晰晰的方向向、可见见的承诺诺、详细细的分工工,积极极地支持持信息安安全工作作,主要要包括以以下几方方面: 1)确定信信息安全全的目标标符合公公司的要要求和相相关制度度; 22)阐明明、复查查和批准准信息安安全管理理制度; 3)复查信信息安全全管

8、理制制度执行行的有效效性; 4)为信息息安全的的执行提提供明确确的指导导和有效效的支持持; 55)提供供信息安安全体系系运作所所需要的的资源 6)为信息息安全在在公司执执行定义义明确的的角色和和职责; 7)批准信信息安全全推广和和培训的的计划和和程序; 8)确保信信息安全全控制措措施在公公司内被被有效的的执行。 第114条 安全全管理委委员会需需要对内内部或外外部信息息安全专专家的建建议进行行评估,并并检查和和调整建建议在公公司内执执行的结结果。 第115条 必须须举行信信息安全全管理会会议,会会议成员员包括安安全管理理委员会会、安全全管理代代表和其其他相关关的公司司高层管管理人员员。 第11

9、6条 信息息安全管管理会议议必须每每年定期期举行,讨讨论和审审批信息息安全相相关事宜宜,具体体包括以以下内容容: 1)复审本本管理制制度的有有效性;2)复复审技术术变更带带来的影影响; 3)复审安安全风险险; 44)审批批信息安安全措施施及程序序; 5)审批信信息安全全建议; 66)确保保任何新新项目规规划已考考虑信息息安全的的需求; 7)复审安安全检查查结果和和安全事事故报告告; 8)复审安安全控制制实施的的效果和和影响; 9)宣导和和推行公公司高层层对信息息安全管管理的指指示。 6.1.22 信信息安全全职责分分配 第17条 信息管理理部门作作为信息息安全管管理部门门,负责责信息安安全管理

10、理策略制制定及实实施,其其主要职职责: (一一)负责责全公司司信息安安全管理理和指导导; (二二)牵头头制订全全公司信信息安全全体系规规范、标标准和检检查指引引,参与与我司信信息系统统工程建建设的安安全规划划; (三三)组织织全公司司安全检检查; (四四)配合合全公司司安全审审计工作作的开展展; (五五)牵头头组织全全公司安安全管理理培训; (六六)负责责全公司司安全方方案的审审核和安安全产品品的选型型、购臵臵。 (七七)依据据本规定定、安全全规范、技技术标准准、操作作手册实实施各类类安全策策略。 (八八)负责责各类安安全策略略的日常常维护和和管理。 第18条 各分公司司信息管管理部门门作为信

11、信息安全全管理部部门,其其主要职职责: (一一)根据据本规定定、信息息安全体体系规范范、标准准和检查查指引,组组织建立立安全管管理流程程、手册册; (二二)组织织实施内内部安全全检查; (三三)组织织安全培培训; (四四)负责责机密信信息和机机密资源源的安全全管理; (五五)负责责安全技技术产品品的使用用、维护护、升级级; (六六)配合合安全审审计工作作的开展展; (七七)定期期上报本本单位信信息系统统安全情情况,反反馈安全全技术和和管理的的意见和和建议。 (八八)依据据本规定定、安全全规范、技技术标准准、操作作手册实实施各类类安全策策略。 (九九)负责责各类安安全策略略的日常常维护和和管理。

12、 6.1.33 信息息处理设设备的授授权 第119条 新设设备的采采购和设设备部署署的审批批流程应应该充分分考虑信信息安全全的要求求。 第220条 新设设备在部部署和使使用之前前,必须须明确其其用途和和使用范范围,并并获得安安全管理理委员会会的批准准。必须须对新设设备的硬硬件和软软件系统统进行详详细检查查,以确确保它们们的安全全性和兼兼容性。 第221条 除非非获得安安全管理理委员会会的授权权,否则则不允许许使用私私人的信信息处理理设备来来处理公公司业务务信息或或使用公公司资源源。 6.1.44 独立立的信息息安全审审核 第222条 必须须对公司司信息安安全控制制措施的的实施情情况进行行独立地

13、地审核,确确保公司司的信息息安全控控制措施施符合管管理制度度的要求求。审核核工作应应由公司司的审计计部门或或专门提提供此类类服务的的第三方方组织负负责执行行。负责责安全审审核的人人员必须须具备相相应的技技能和经经验。 第223条 独立立的信息息安全审审核必须须每年至至少进行行一次。 6.2 第第三方访访问的安安全性 6.2.11 明确确第三方方访问的的风险 第224条 必须须对第三三方对公公司信息息或信息息系统的的访问进进行风险险评估,并并进行严严格控制制,相关关控制须须考虑物物理上和和逻辑上上访问的的安全风风险。只只有在风风险被消消除或降降低到可可接受的的水平时时才允许许其访问问。 第225条 第三三方包括括但不限限于: 1) 硬件件和软件件厂商的的支持人人员和其其他外包包商 2) 监管管机构、外外部顾问问、外部部审计机机构和合合作伙伴伴 3) 临时时员工、实实习生 4) 清洁洁工和保保安 5) 公司司的客户户 第226条 第三三方对公公司信息息或信息息系统的的访问类类型包括括但不限限于: 1) 物理理的访问问,例如如:访问问公司机机房、监监控中心心等; 2) 逻辑辑的访问问,例如如:访问问公司的的数据库库、信息息系统等等; 3) 与第第三方之之间的网网络连接接,例如如:固定定的连接接、临时时的远程程连接; 第22

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 营销创新

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号