信息安全管理程序

中國3000萬經(jīng)理人首選培訓網(wǎng)站信息安全管理程序1 目的為了引導企業(yè)充分利用計算機及信息系統(tǒng)規(guī)范交易行為，提高信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)的完整性和準確性，降低人為因素導致內(nèi)部控制失效的可能性，形成良好的信息傳遞渠道，根據(jù)國家有關(guān)法律法規(guī)和企業(yè)內(nèi)部控制規(guī)范，制定本規(guī)范。2 范圍適用公司所有職能部門。3 職責3.1 信息中心：負責公司網(wǎng)絡及計算機信息安全的管理與維護。3.2 各部門：負責配合信息中心對計算機信息安全進行管理。4 定義： 計算機信息系統(tǒng)：是指利用計算機技術(shù)對業(yè)務和信息進行集成處理的程序、數(shù)據(jù)和文檔等的總稱,計算機包括個人電腦、服務器及防火墻等硬件設備。5 工作程序流程要求使用表單相關(guān)部門崗位分工與授權(quán)審批l 信息系統(tǒng)及信息安全崗位包括： 網(wǎng)絡及計算機管理：負責公司的網(wǎng)絡安裝及維護、計算機硬件維護及軟件維護，應當注意對郵件及其他重要信息數(shù)據(jù)的保護。 系統(tǒng)分析：系統(tǒng)分析員與相關(guān)業(yè)務部門分析需開發(fā)的信息系統(tǒng)需求，并得到業(yè)務部門負責人確認。 開發(fā)及維護：軟件工程師負責開發(fā)得到確認的業(yè)務系統(tǒng)或?qū)ν獍_發(fā)的信息系統(tǒng)進行維護，同時負責相關(guān)報表的開發(fā)。 數(shù)據(jù)庫管理：維護組織數(shù)據(jù)資源的安全性及完整性，對數(shù)據(jù)庫做好日備份及轉(zhuǎn)移。 信息系統(tǒng)庫管理：在單獨的信息系統(tǒng)庫中存儲暫時不用的程序和文件，并保留所有版本的數(shù)據(jù)和程序 信息系統(tǒng)管理：負責管理郵件系統(tǒng)、ERP系統(tǒng)、內(nèi)網(wǎng)系統(tǒng)等信息系統(tǒng)的后臺配置及管理 數(shù)據(jù)控制：確保原始數(shù)據(jù)經(jīng)過正確授權(quán)，監(jiān)控信息系統(tǒng)工作流程，協(xié)調(diào)輸入和輸出，將輸入的錯誤數(shù)據(jù)反饋到輸入部門并跟蹤監(jiān)控其糾正過程，將輸出信息分發(fā)給經(jīng)過授權(quán)的用戶。 終端：終端用戶負責記錄交易內(nèi)容，授權(quán)處理數(shù)據(jù)，并利用系統(tǒng)輸出的結(jié)果。 系統(tǒng)開發(fā)和變更過程中不相容崗位（或職責）一般應包括：開發(fā)（或變更）審批、開發(fā)、系統(tǒng)上線、監(jiān)控。 系統(tǒng)訪問過程中不相容崗位（或職責）一般應包括：申請、審批、操作、監(jiān)控。l 企業(yè)計算機信息系統(tǒng)戰(zhàn)略規(guī)劃、重要信息系統(tǒng)政策等重大事項應當經(jīng)由董事會審批通過后，方可實施。l 信息系統(tǒng)戰(zhàn)略規(guī)劃應當與企業(yè)業(yè)務目標保持一致。信息系統(tǒng)使用部門應該參與信息系統(tǒng)戰(zhàn)略規(guī)劃、重要信息系統(tǒng)政策等的制定。l 信息中心對計算機及信息系統(tǒng)實施歸口管理，負責信息系統(tǒng)開發(fā)、變更、運行、維護等工作。l 財務部負責信息系統(tǒng)中各項業(yè)務賬務處理的準確性和及時性；財務電算化制度的制定；計劃價格的確定和修改；財務操作規(guī)定等。l 生產(chǎn)、銷售、倉儲及其他部門（下稱用戶部門）應當根據(jù)本部門在信息系統(tǒng)中的職能定位，參與信息系統(tǒng)建設和管理，按照信息中心制定的管理標準、規(guī)范、規(guī)章來操作、管理和運用信息系統(tǒng)。 信息系統(tǒng)開發(fā)、變更與維護控制l 計算機信息系統(tǒng)開發(fā)包括自行設計、外購調(diào)試和外包合作開發(fā)。企業(yè)在開發(fā)信息系統(tǒng)時，充分考慮業(yè)務和信息的集成性，優(yōu)化流程，并將相應的處理規(guī)則（交易權(quán)限）嵌入到系統(tǒng)程序中，以預防、檢查、糾正錯誤和舞弊行為，確保企業(yè)業(yè)務活動的真實性、合法性和效益性。l 信息系統(tǒng)開發(fā)必須經(jīng)過正式授權(quán)，企業(yè)應當進行詳細備案。具體程序包括:用戶部門提出需求；歸口管理部門審核；企業(yè)負責人授權(quán)批準；系統(tǒng)分析人員設計方案；程序員編寫代碼或外包等。l 對于外包合作開發(fā)的項目，企業(yè)應當加強對外包第三方的監(jiān)控。l 外購調(diào)試或外包合作開發(fā)等需要進行招投標的信息系統(tǒng)開發(fā)項目，企業(yè)應當成立招投標小組，并保證招投標小組的獨立性。l 在新系統(tǒng)上線前需要制定詳細的信息系統(tǒng)上線計劃。對涉及新舊系統(tǒng)切換之情形，企業(yè)應當在上線計劃中明確系統(tǒng)回退計劃，保證新系統(tǒng)一旦失效，能夠順利回退到原來的系統(tǒng)狀態(tài)。l 新舊系統(tǒng)切換時，如涉及數(shù)據(jù)遷移，企業(yè)應當制定詳細的數(shù)據(jù)遷移計劃。l 用戶部門應當積極參與數(shù)據(jù)遷移過程，對數(shù)據(jù)遷移結(jié)果進行測試，并簽署測試報告。l 信息系統(tǒng)在投入使用前應當至少完成整體測試和用戶驗收測試，以確保系統(tǒng)的正常運轉(zhuǎn)。數(shù)據(jù)控制小組應當用測試數(shù)據(jù)來證明程序工作正常并確認就緒，開發(fā)完成后交操作人員并由信息系統(tǒng)庫管理員備份留存。l 信息系統(tǒng)原設計功能未能正常實現(xiàn)時，相關(guān)操作人員負責詳細記錄，并及時報告信息中心，由其負責系統(tǒng)程序修正和軟件參數(shù)調(diào)整，盡快解決存在的問題。l 信息中心積極采用日常檢測、設立容錯冗余、編制意外計劃等預防性措施，確保計算機信息系統(tǒng)的持續(xù)運行，使系統(tǒng)意外停工時間最小化。 信息系統(tǒng)訪問安全l 信息中心負責制定信息系統(tǒng)工作程序、信息管理制度以及各模塊子系統(tǒng)的具體操作規(guī)范。 l 計算機信息系統(tǒng)操作人員不得擅自進行系統(tǒng)軟件的刪除、拷貝、修改等操作，不得擅自升級、改變系統(tǒng)軟件版本或更換系統(tǒng)軟件，不得擅自改變軟件系統(tǒng)環(huán)境配置。l 嚴禁信息系統(tǒng)操作人員使用空密碼或系統(tǒng)默認密碼，規(guī)范信息系統(tǒng)的權(quán)限，普通操作人員只有職責范圍內(nèi)的權(quán)限也只能操作職責范圍內(nèi)的數(shù)據(jù)，查詢用戶只有只讀權(quán)限。l 未經(jīng)上機培訓的人員不得作為操作人員l 對于發(fā)生崗位變化或離崗的用戶，企業(yè)應當及時調(diào)整其在系統(tǒng)中的訪問權(quán)限。 信息中心每月對系統(tǒng)中的賬號進行審閱，避免有授權(quán)不當或冗余賬號存在。 對于特權(quán)用戶，信息中心應該對其在系統(tǒng)中的操作進行監(jiān)控，并定期審閱監(jiān)控日志。l 企業(yè)應當充分利用操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)自身提供的安全性能，在系統(tǒng)中設置安全參數(shù)，以加強系統(tǒng)訪問安全。禁止未經(jīng)授權(quán)人員擅自調(diào)整、刪除或修改系統(tǒng)中設置的各項參數(shù)。l 信息中心加強對防火墻、路由器等網(wǎng)絡安全方面的管理，對員工上網(wǎng)行為進行控制。l 信息中心每周檢測信息系統(tǒng)運行情況，及時進行計算機病毒的預防、檢查工作，禁止用戶私自安裝非法軟件和卸載企業(yè)要求安裝的防病毒軟件。一經(jīng)發(fā)現(xiàn)潛在危險，應當及時通知操作人員隔離受病毒侵襲的系統(tǒng)部分，盡快處理。如有必要，可以暫時終止系統(tǒng)運行。l 信息系統(tǒng)操作人員應當在權(quán)限范圍內(nèi)進行操作，不得利用他人的口令和密碼進入軟件系統(tǒng)。更換操作人員或密碼泄密后，必須及時更改密碼。操作人員如果離開工作現(xiàn)場，必須在離開前鎖定或退出已經(jīng)運行的程序，防止其他人員越權(quán)操作或散發(fā)不當信息。l 信息中心負責公司內(nèi)網(wǎng)的建設和完善，建立公司的知識管理平臺，在知識管理平臺上規(guī)范信息的使用和傳遞，提高經(jīng)營管理的效率和效果。l 企業(yè)應當對所有的重要信息進行密級劃分，包括書面形式和電子媒介形式保存的信息。 企業(yè)可以根據(jù)信息的重要性程度和泄密風險損失等劃分標準，將信息分為機密類、秘密類和重要類等，并建立不同類別信息的授權(quán)使用制度。 對于在知識管理平臺上存放的企業(yè)信息，根據(jù)公司的密級劃分，設定是否公開及用戶查詢權(quán)限；所有郵件用戶的電子郵件均在郵件服務器上備份。l 企業(yè)應當利用計算機信息系統(tǒng)，生成生產(chǎn)、銷售、存儲等子系統(tǒng)，及時反映和記錄交易。交易責任部門在其授權(quán)范圍內(nèi)對子系統(tǒng)錄入信息的及時性、準確性和完整性負責，并定期檢查、核對所錄信息。l 企業(yè)財會部門應當認真審核采購、生產(chǎn)、銷售、倉庫等部門與財務相關(guān)的關(guān)鍵業(yè)務數(shù)據(jù)，及時進行賬務處理，保證會計信息與業(yè)務流程在時間、數(shù)量和價值上的統(tǒng)一，并做好電子財務數(shù)據(jù)保密和安全工作。l 一經(jīng)發(fā)現(xiàn)已輸入數(shù)據(jù)信息有誤，必須按照信息系統(tǒng)操作規(guī)定加以修正，不得使用非軟件系統(tǒng)提供的方法處理信息數(shù)據(jù)。l 對于財務軟件、ERP軟件、郵件系統(tǒng)等除了數(shù)據(jù)庫系統(tǒng)自動日備份外，至少應當在遠離計算機設備和操作的地方保存一套備份和交易日志，以備丟失或損壞時重建。l 信息中心應當編制完整、具體的災難恢復計劃，以備意外事件發(fā)生后恢復系統(tǒng)之需。 硬件管理l 信息中心對計算機及其它信息設備的新增、報廢、流轉(zhuǎn)等情況建檔登記，統(tǒng)一管理。l 計算機硬件設備放置在臨時機房或機房中，由專人負責管理和檢查，其他任何人未經(jīng)授權(quán)不得接觸計算機信息系統(tǒng)硬件設備。l 硬件設備的更新、擴充、修復等工作應當由相關(guān)人員提出申請，報上級主管負責人審批。未經(jīng)允許，不得擅自拆裝硬件設備。l 信息中心應當加強計算機機房的物理安全管理，配備適當?shù)姆辣I報警裝置。機房內(nèi)應當配備空調(diào)必要的環(huán)境設施,溫度及濕度保持在適當?shù)姆秶?，對于防火墻、路由器及郵件服務器等主要系統(tǒng)服務器應當配備不中斷電源供給設備。l 企業(yè)操作人員應當嚴格遵守用電安全，不得在計算機專用線路上使用其他用電設備。l 信息中心應當完善計算機信息系統(tǒng)硬件設備異常狀況處理制度。一經(jīng)發(fā)生異?，F(xiàn)象（如冒煙、打火、異常聲響等），應當立即斷電并通知信息中心，不得擅自處理。 6 相關(guān)文件 7 附件 ISO27001信息安全管理標準理解及內(nèi)審員培訓 培訓熱線25936264 李小姐客服QQ：1484093445、675978375 ISO27001信息安全管理標準理解及內(nèi)審員培訓 下載報名表 內(nèi)訓調(diào)查表 【課程描述】ISO/IEC27001:2005信息技術(shù)安全管理體系要求用于組織的信息安全管理體系的建立和實施，保障組織的信息安全。本課程將詳述ISO 27001:2005/ISO 27002:2005標準的每一個要求，指導如何管理信息安全風險，并附以大量的審核實戰(zhàn)案例以作說明。內(nèi)部審核部分將以ISO 19011:2002為基礎，教授學員如何策劃和實施信息安全管理體系內(nèi)部審核活動。掌握該體系的具體執(zhí)行程序和標準，并了解對該體系進行檢查和審核的方法以及制作審核報告的技巧。 【課程幫助】如果你想對本課程有更深入的了解，請參考 德信誠ISO27001內(nèi)審員相關(guān)資料手冊【課程對象】信息安全管理人員，欲將ISO27001導入組織的人員，在ISO27001實施過程中承擔內(nèi)部審核工作的人員，有志于從事IT信息安全管理工作的人員。 【課程大綱】第一部分：ISO27001：2005信息安全概述、標準條款講解 信息安全概述：信息及信息安全，CIA目標，信息安全需求來源，信息安全管理。 風險評估與管理：風險管理要素，過程，定量與定性風險評估方法，風險消減。 ISO/IEC 27001簡介：ISO27001標準發(fā)展歷史、現(xiàn)狀和主要內(nèi)容，ISO27001標準認證。 信息安全管理實施細則：從十個方面介紹ISO27001的各項控制目標和控制措施。 信息安全管理體系規(guī)范：ISO/IEC27001-2005標準要求內(nèi)容，PDCA管理模型，ISMS建設方法和過程。第二部分：ISO27001：2005信息安全管理體系文件建立（ISO27001與ISO9001、ISO14001管理體系如何整合） ISO27001與ISO9001、ISO14001的異同 ISO27001與ISO9001、ISO14001可以共用的程序文件和三級文件 如何將三體系整