安全生產(chǎn)管理知識大全.doc

神馬集團有限責(zé)任公司第十四章信息技術(shù)管理索引號 信息技術(shù)管理008第四節(jié)信息管理信息系統(tǒng)安全管理1 范圍月度采購計劃包含適用于信息技術(shù)部實施網(wǎng)絡(luò)安全管理和信息實時監(jiān)控，以及制定全公司計算機使用安全的技術(shù)規(guī)定2 控制目標2.1 確保公司網(wǎng)絡(luò)系統(tǒng)、計算機以及計算機相關(guān)設(shè)備的高效、安全使用2.2 確保數(shù)據(jù)庫、日志文件和重要商業(yè)信息的安全3 主要控制點3.1 信息技術(shù)部經(jīng)理和公司主管副總經(jīng)理分別審批信息系統(tǒng)訪問權(quán)限設(shè)置方案、數(shù)據(jù)備份及突發(fā)事件處理政策和其它信息系統(tǒng)安全政策的合理性和可行性3.2 對終端用戶進行網(wǎng)絡(luò)使用情況的監(jiān)測4 特定政策4.1 每年更新公司的信息系統(tǒng)安全政策4.2 每年信息技術(shù)部應(yīng)配合公司人力資源部及其它各部門，核定各崗位的信息設(shè)備配置，并制定公司的計算機及網(wǎng)絡(luò)使用規(guī)定4.3 當員工崗位發(fā)生變動，需要更改員工的郵件帳號屬性、服務(wù)器存儲空間大小和文件讀寫權(quán)限時，信息技術(shù)部必須在一天內(nèi)完成并發(fā)送郵件或電話通知用戶4.4 對于信息系統(tǒng)（主要為服務(wù)器）的安全管理，應(yīng)有兩名技術(shù)人員能夠完成日常故障處理以及設(shè)置、安裝操作，但僅有一名技術(shù)人員掌握系統(tǒng)密碼，若該名技術(shù)人員外出，須將密碼轉(zhuǎn)告另外一名技術(shù)人員，事后應(yīng)修改密碼，兩人不能同時外出，交接時應(yīng)做好記錄4.5 普通事件警告是指未對信息系統(tǒng)安全構(gòu)成危害、而僅對終端系統(tǒng)或局部網(wǎng)絡(luò)安全造成危害，或者危害已經(jīng)產(chǎn)生但沒有繼續(xù)擴散的事件，如對使用的終端和網(wǎng)絡(luò)設(shè)備未經(jīng)同意私自設(shè)置權(quán)限等；嚴重事件警告是指對信息系統(tǒng)安全構(gòu)成威脅的事件，如試圖使病毒（木馬、后門程序等）在網(wǎng)絡(luò)中擴散、攻擊服務(wù)器、改變網(wǎng)絡(luò)設(shè)備設(shè)置場所的設(shè)置狀態(tài)、編制非法軟件在網(wǎng)絡(luò)系統(tǒng)中試運行等；特殊事件是指來自公司網(wǎng)絡(luò)外部的惡意攻擊，如由外部人員使用不當造成或其它自然突發(fā)事件引起。事件鑒定小組由相關(guān)的網(wǎng)絡(luò)工程師、終端設(shè)備維護工程師和應(yīng)用系統(tǒng)程序員等相關(guān)人員組成5 信息系統(tǒng)安全管理流程C-14-04-001步驟涉及部門步驟說明1信息技術(shù)部網(wǎng)絡(luò)工程師、終端設(shè)備維護工程師根據(jù)國際和國家信息系統(tǒng)安全的有關(guān)法律、法規(guī)的規(guī)定及信息技術(shù)行業(yè)的行業(yè)安全標準，并結(jié)合公司有關(guān)商業(yè)保密的規(guī)定，制定公司的信息系統(tǒng)安全政策，包括信息系統(tǒng)訪問權(quán)限設(shè)置方案、數(shù)據(jù)備份及突發(fā)事件處理政策、病毒防治等信息系統(tǒng)安全政策2信息技術(shù)部經(jīng)理審核公司信息系統(tǒng)的各種安全政策規(guī)定，保證符合公司信息管理的安全要求和商業(yè)機密信息的管理要求，若通過，上報主管副總審批，若不通過，指出修改意見，責(zé)成相關(guān)人員進行修改3公司主管副總審核公司信息系統(tǒng)的各種安全政策規(guī)定，若通過，下發(fā)具體執(zhí)行，若不通過，指出修改意見，責(zé)成相關(guān)人員進行修改4人力資源部勞動用工管理員根據(jù)公司計算機及網(wǎng)絡(luò)設(shè)備使用的有關(guān)規(guī)定，在公司發(fā)生新員工入廠、員工調(diào)動和崗位變動等情況時，編制新員工或員工變動狀況一覽表5信息技術(shù)部網(wǎng)絡(luò)工程師、終端設(shè)備維護工程師根據(jù)人力資源部提供的一覽表，結(jié)合公司計算機及網(wǎng)絡(luò)設(shè)備的使用規(guī)定，確定各崗位的計算機資源的配置和系統(tǒng)訪問權(quán)限6信息技術(shù)部網(wǎng)絡(luò)工程師、終端設(shè)備維護工程師對各個網(wǎng)絡(luò)用戶及計算機設(shè)備的使用過程進行監(jiān)測，同時督促各個終端用戶定時對關(guān)鍵數(shù)據(jù)進行備份7信息技術(shù)部網(wǎng)絡(luò)工程師、終端設(shè)備維護工程師根據(jù)公司的信息系統(tǒng)安全政策，選擇建立各項軟硬件的安全措施，包括病毒防治軟件、防火墻技術(shù)等，并在網(wǎng)絡(luò)上安置必要的預(yù)警裝置；定期在公司范圍內(nèi)發(fā)布病毒防治的數(shù)據(jù)資料，并提供病毒庫升級下載文檔8信息技術(shù)部網(wǎng)絡(luò)工程師、終端設(shè)備維護工程師當發(fā)生安全預(yù)警時，根據(jù)警報的性質(zhì)，按照突發(fā)事件的處理規(guī)程采取必要的處理措施，并在1小時內(nèi)將情況匯報至信息技術(shù)部經(jīng)理8.1信息技術(shù)部經(jīng)理根據(jù)警報的性質(zhì)判斷緊急級別，視情況上報公司主管副總，采取補救措施，記錄事故檔案