管理制度网络信息安全管理制度

发布 2020-05-10 02:28:28 阅读 1156

为了保障公司办公区域资讯信息安全和员工人身及财物安全,防止公司财产流失,特制定本制度。

本制度适用于公司员工外出及外来人员进入公司出入管理。

公司设立接待人员,负责来访人员登记管理。

员工因工作需要外出,需向相应上一级主管作出事由说明,经批准后方可外出。

到客户现场提供服务或工作的人员,需带公司胸卡。

1)凡是来宾访客(包括外包协作厂商、客户及**等来访人员)进入公司内时,一律须出示其有效证件,说明来访事由,经被访人同意后,方可允许相关人员进入办公区。

2)团体来宾参观时,在得到总经理或副总的许可后,须由相关人员陪同方可进入。

3)员工亲友私事来访时,除特殊紧急事故,经其部门主管核准外,不得在上班时间内会客,亲友须于会客区内等候至下班时会见。

4)公司内部核心区域出入管理规定。

1)敏感区域。

公司敏感区域主要为内部机房和经理室。公司安装监控器;实施办公区域24小时监控。

2)如需进入上述敏感区域,需经管理者代表/总经理同意,否则不得进入。

相关文件物理访问控制程序。

为确保被外部相关方访问、处理、共享、管理的组织信息及信息处理设施的安全,特制定本管理规定。

本管理规定适用于公司外部相关方(包括顾客。供方。第三方)管理。

技术部系统管理员负责制定本规定并负责执行。

1)第三方物理访问须经公司被访问部门的授权,具体执行《访客管理制度》.

2)公司与顾客需明确规定信息安全要求,公司规定在与客户签订合同中需规定必要的安全要求。

3)服务器访问权需由技术部统一授权给用户,一个用户给予惟一账号,口令自行保管。

4)本公司公网接入服务提供方等为外包过程,此类外包服务商应由技术部组织签订服务协议/合同,并应收集其相关资质,经公司评估成为合格供方后方可与之进行经济来往。

5)采购供方或任何其它相关方人员现场访问公司现场时,需由技术部接待,需要涉及到公司重要应用软件、重要设施及重要数据的访问时,必须由技术部人员授权方可使用或查阅,涉及到资料复制名外借时,公司重要数据和文件需征得总经理同意。

6)《服务合同》1年注意更新。

为公司对外与**相关部门的相关业务联系提供指导;

技术部负责各项**项目的申报。

财务部负责报税和营业执照年审。

1)申报相关流程;

由技术部按各**部门项目申报的要求**相关**,并按要求组织填报。

2)申报涉及到相关经营数据的审核。

相关经营数据在上报给**部门前,先由核对数据,再交由综合部,审核通过后由总经理盖公司公章。

3)技术部申报材料的备份管理。

所有上报给**部门的文件数据都备份一份,由技术部资质人员整理归档保存在办公室档案室中,并记录档案文件编号。

4)材料保密要求。

所有档案文件材料由技术部专员负责看管,其他人员如要查阅,需先向技术申请,获得总经理批准认可后,到存放档案的办公室中查阅相关文件,档案文件不允许带出办公室。

1)报税管理要求。

用**财税处相关报税软件,**填写企业经营数据,完成后由软件系统上报。

2)营业执照管理要求。

接到**相关部门通知后,持企业营业执照到指定**办事处办理营业执照年审手续。

针对已确定的服务级别目标和业务需求来设计、维持相应的技术部服务能力,从而确保实际的技术部服务能够满足服务要求。

适用于公司所有硬件、软件、外围设备、人力资源容量管理。

技术部负责确定、评估容量需求。

1)容量管理包括:服务器,重要网络设备:lan、wan、防火墙、路由器等;所有外围设备:

存储设备、打印机等;所有软件:操作系统、网络、内部开发的软件包和购买的软件包;人力资源:要维持有足够技能的人员。

2)对于每一个新的和正在进行的活动来说,公司管理层应识别容量要求。

3)公司管理层每年应在管理评审**审系统容量的可用性和效率。公司管理层应特别关注与订货交货周期或高成本相关的所有资源,并监视关键系统资源的利用,识别和避免潜在的瓶颈及对关键员工的依赖。

4)技术部应根据业务规划、**、趋势或业务需求,定期**施加于综合部系统上的未来的业务负荷以及组织信息处理能力,以适当的成本和风险按时获得所需的容量,确保公司营运利益,并防止与公司营运相关的保密信息泄漏。

本办法适用于公司所有员工。

保密信息指与公司营运相关且列入机密等级管理的相关信息。

机密等级分为秘密、内控、公开三类,区分标准如下:

(1)秘密:凡该信息泄漏后,足以严重损害本公司益或有于竞争对手的。

2)内控:凡该信息泄漏后,虽致直接影响本公司益,但可能使本公司经营管理因而造成困扰,需限制其阅读对象的。

3) 内控:凡该信息泄漏后,虽致直接影响本公司益,但可能使本公司经营管理因而造成困扰,需限制其阅读对象的。

4) 公开:指可对社会公开的信息,公用的信息处理设备和系统资源。

1) 信息资产的分类可参见附件"信息分类表"。如未列入分类表的信息资产,可依照下面的原则进行判断:

2) 秘密,由信息保管单位主管判定,且至少须为部门以上主管。

3) 内控,由保密信息保管单位自行判定。

1) 文件类的信息在判定等级后,加盖印章于文件及附件各页右上角或其它明显处。如页数太多,得酌情抽页盖骑缝章。但绝密级信息应予编码管控。

2) 非文件类的保密信息,包括档案、电子邮件、投影片等,于判定等级后,应于资料传送/显示前告知使用人或相关人员该项信息的密级。

3) 印章由技术部统一刻制,发放给各个部门使用。

1) 内部传送。

2) 秘密、内控:保密信息保管单位应将印刷形式保密信息密封后注明机密等级,再装入传递袋中发送收件人;软件形式定稿和完整信息以电子邮件方式传递时应加密;内控信息可加密。

3) 外部传送:印刷形式保密信息于外部传送时应以**函件或其它适当方式寄送收件人。任何软件形式的机密等级信息于公司外系统、或于公司外使用环境情况下,非经加密均得以电子邮件方式传递,以避免遭拦截转送。

4) 其它未判定为任一机密等级但仍具有敏感性或半成品性质的信息于传送前可应视情况加密。

1) 保密信息得用于公司以外的公开活动(如演讲、授课、一般资料调查、出版发行等),如须于前述活动使用,应准用第五条的规定,并经管理者代表核准。

2) 保密信息应由管代/相关负责人妥善保管,并善尽管理保护职责。

3) 离职员工应缴出其所持归公司所有的一切资料及其任何形式复印件、副本,并确定确实归还全部所持公司文件。

4) 新进人员于入职当天即应签署员工保密合约,在新进人员签署上述文件时,综合部应对合约书上有关企业保密信息等有关条文详加说明与解释,务必使新进人员充分了解并遵守企业保密信息有关事项。

5) 保管人员判定保密信息无继续保存的必要时,可经各判定主管的上一级主管核准后销毁。绝密信息、机密信息无保存必要时,应将正本连同复印的保密信息,由原保管单位统一收回销毁。

6) 本办法经总经理核准后公告实施,修订时亦同。

本程序是对信息资产分类中物理资产下的硬件设备的规划、购置、安装、验收、使用、维护、处置等各阶段进行有效控制,在保证设备安全的前提下最大限度发挥设备的效能,同时减少由于设备入网造成安全安全风险。

1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。

2) iso/iec27001:2005信息技术-安全技术-信息安全管理体系要求。

3) iso/iec27002:2005信息技术-安全技术-信息安全管理实施细则。

4) 介质管理规定。

5) 笔记本电脑管理规定。

6) 机房管理规定。

1) 技术部:负责信息设备的规划、安装、验收、使用、维护、处置。信息设备指公司综合部建设方面所需的硬件设备。负责重大设备或新类设备的安全评估、风险分析和安全验收。

1)设备入网。

1) 需按设备本身提供的“设备安全操作说明书”进行正确操作和使用,设备在日常使用过程中应注意安全;

2) 系统工程师应查找有关的风险评估报告,确定准备入网的设备是否已做过风险评估。

3) 如果没有类似的设备做过风险分析和处置计划,则应按风险评估的要求,通知信息安全管理小组进行。

4) 如果做过风险分析和处置计划,则应按照相关的处置计划和实施要求,制定设备入网计划。

5) 系统工程师对计划入网的设备在独立的测试环境中进行测试,测试通过后提交综合部审批。

6) 技术部批准入网申请后,由系统工程师组织设备入网。

7) 设备入网应按照处置计划和入网计划对设备进行安全加固。

8) 对入网系统进行一段时间的监控,以观察入网是否生效。如果发现问题,要及时进行处理,必要时要寻求**商的协助。监控一段时间后,设备担当组织人员进行验收,并通知信息安全管理小组对系统进行安全检测。

2)设备安置与保护。

3)信息设备安装管理。

1) 技术部对信息设备安全的安置与保护工作,包括对温度、湿度的监测和日常的巡检等,详见《机房管理规定》。

2) 信息安全设备的安置应按照设备制造商的说明,安置工作由专业人员进行。

3) 信息安全设备安置要选择能够避免或减少未授权访问的物理场所,应采取措施以减小潜在的物理威胁的风险。

4) 重要系统使用的信息设备安置在专用的机房内。

5) 安置在室外的信息设备要注意防盗、防雨、防雷、防尘、防腐蚀等工作。

6) 确保消防设备充足并随时可用,定期进行消防演练。

4)支持性设施安置管理。

1) 技术部负责信息安全设备支持性设施的管理工作,包括提供、维护、维修等。

2) 对支持关键业务操作的信息设备,使用不间断电源(ups)。ups设备要定期地检查,,详见《机房管理规定》。

3) 应急电源开关应位于设备房间应急出口附近,以便紧急情况时快速切断电源。万一主电源出现故障时要提**急照明。

4) 技术部要确保通风和空调系统等运行良好,对其运**况可进行定期检查。

管理制度电信信息安全管理制度

甘孜电信信息安全管理制度。一 信息安全管理制度。一 州公司各部门工作界面。1 市场拓展部 负责信息类业务整体规划 审核 负责对信息业务的整体把关 负责对外协调 公关,负责统一 宣传口径等工作。2 信息化应用中心 负责制订信息安全工作管理规范,负责对州县信息安全工作的检查指导 负责信息安全管理体系相关...

年网络信息安全管理制度

公司网络安全管理制度。根据有关计算机 网络和信息安全的相关法律 法规和安全规定,结合本单位网络系统建设的实际情况,制定网络安全管理制度,成立本单位网络安全小组 组长 副组长 成员。一 网络安全管理领导小组职责。1.组织宣传计算机信息网络安全管理方面的法律 法规和有关政策 2.拟定并组织实施本单位计算...

管理制度 宿舍安全管理制度

宿舍安全管理制度。为规范学生日常安全管理工作,制定以下管理制度 1 沟通制度。生活老师每天与班主任 定期与家长取得联系,随时掌握学生的思想变化,及时准确地做好有问题学生的思想工作。2 分析制度。生活处每月召开一次安全管理分析会,对宿舍用电 用水 床铺设施 重点人 重点部位及时分析,制定整改措施,做到...