公司的信息安全管理體系

PAGEPAGE1公司的信息安全管理體系第一篇：公司的信息安全管理體系公司的信息安全管理體系信息安全通過人員安全、文檔與數據安全，軟件與系統安全、硬件與網絡安全，區(qū)域安全實現對信心機密性，完整性，可用性的保護。信息安全管理體系的引入，可以協調各個方面信息管理，管理更為有效。信心安全管理體系是對系統地組織敏感信息進行管理，涉及到人，程序和信息技術（IT）系統。Iso27001:20XX是一套國際公認的信息安全管理體系標準，按照標準實施，可以幫助公司識別，管理和減少信息通常所面臨的各種威脅。11個角度：1．安全方針：為信息安全提供管理指導和支持2．安全組織：在公司內管理信息安全3．資產分類與管理：對公司的信息資產采取適當的保護措施4．人員安全：減少人為錯誤，偷竊，欺詐或濫用信息及處理設施的風險5．實體和環(huán)境安全：防止對商業(yè)場所及信息未經授權的訪問，損壞及干擾6．通訊與運作管理：確保信息處理設施正確和安全運行7．訪問控制：管理對信息的訪問8．系統的獲得、開發(fā)和維護：確保將安全納入信息系統的整個生命周期9．安全事件管理：確保安全事件發(fā)生后有正確的處理流程和報告方式10．商業(yè)活動的連續(xù)性管理：防止商業(yè)活動的中斷，并保護關鍵的業(yè)務過程免收重大故障或災難的影響11．符合法律：避免違反任何刑法和民法，法律法規(guī)或合同義務以及任何安全要求。信息安全建設的原則領導重視，全民參與：信息安全不僅僅是發(fā)務部和IT中心的工作，需要各事業(yè)部，中心以及公司全體員工的共同參與管理與技術結合：技術不是絕對的，信息安全管理遵循“七分管理，三分技術”管理原則?！岸恕痹瓌t：20XX信息安事件來自外部攻擊，80%的信息安全事件發(fā)生在公司內部管理原則：管理為主，技術為輔，內外兼防，發(fā)現漏洞，消除隱患，確保安全。信息安全管理體系建設的目的1管理理解企業(yè)所擁有的信息資產的價值2提高企業(yè)員工對安全的認識和對安全管理的參與3提好企業(yè)用戶及合作伙伴對企業(yè)的信心，信任，滿意程度4提高企業(yè)信息安全管理的只連年感和水平5遵守相關法律法規(guī)的要求6使企業(yè)更有效的管理和處理安全事件7通過制定和實施符合國標標準的安全管理制度來提高企業(yè)的競爭優(yōu)勢和聲譽8為將來企業(yè)全面發(fā)展電子商務打下最重要的基礎計算機安全1計算機密碼設置要求至少6位包含下面4類字符組中的3類，數字，英文大小寫字母和非字母數字字符不包含用戶名的全部或大部分至少90天更換一次密碼新密碼不能與舊密碼相同2開機密碼計算機必須設置開機密碼，不設開機密碼，那么他人可隨意操作你的計算機3登入密碼計算機必須設置登錄密碼，不設置登錄密碼，黑客將會很輕松的攻破你的計算機操作系統，并且竊取重要資料，其他人也可以輕易的使用你的計算機4屏幕保護密碼計算機必須設置屏幕保護密碼，當你離開座位最少10分鐘請及時激活屏幕保護，防止他人乘機使用你的電腦4文件夾共巷享密碼計算機必須設置文件夾共享密碼，禁止不帶密碼的共享方式6硬盤加密密碼筆記本電腦必須要設置硬盤加密密碼，7磁盤消磁當計算機硬盤需要換廠更換或者報廢時，必須通過硬盤消磁盤處理，消除存儲數據，維護信息安全8計算機軟件安裝公司禁止員工私自安裝有版權爭議的軟件9usb監(jiān)控公司目前實施的usb安全策略分為兩種：usb封閉和監(jiān)控。網絡，郵件系統，文件安全1公司內部網絡安全注意事項：禁止通過公司網絡訪問互聯網，從事與工作無關的事情禁止在網絡上偽裝為他人禁止在公司網絡上運行黑客工具禁止在公司網絡上使用非公司的電子郵件禁止員工私自撥號上網禁止未經批準增加網絡設備到公司的網絡架構中2ip地址獲得公司的內部的ip地址設置為自動獲取方式，禁止私自固定ip地址禁止私自架設代理服務器上網第二篇：信息安全及信息技術服務管理體系信息安全及信息技術服務管理體系保密協議甲方：乙方：新紀源認證有限公司依據工信部聯協[20XX]394號文《關于加強信息安全管理體系認證安全管理的通知》及各地方和有關主管部門/監(jiān)管部門，認證認可相關規(guī)定對信息安全，信息技術服務管理體系認證的要求，為保證申請認證組織信息資產的安全，雙方簽訂此保密協議。具體條款如下：1、甲方應填寫“保密和敏感信息資產和區(qū)域聲明表”，明確甲方的重要敏感信息和區(qū)域，并明確乙方的接觸要求；2、乙方審核組將嚴格遵守保密承諾。審核組在現場審核過程中不以任何形式記錄甲方的保密或敏感信息。審核組在離開審核現場前，接受甲方的檢查和確認審核組攜帶的文件、資料和設備中未夾帶甲方的任何保密或敏感信息；3、未經甲方的書面授權，乙方及其審核組不得將甲方在經營、生產、技術、管理等方面的非公開信息以任何方式泄密給第三方但下列情況除外：甲方已公開的信息，或在提供時已為公眾所知的信息，或雖不為公眾所知但已不再是秘密的信息；得到甲方的書面同意；應法律要求時，但發(fā)生該等情形時應及時通知甲方。4、乙方所有保密義務及于乙方內部人員及為乙方工作的外部人員，上述人員已經與乙方簽署了保密協議或具有保密條款的法律文件。如甲方要求，我方直接接觸客戶組織信息的認證人員（如審核組成員）可按照甲方的保密要求與甲方簽署保密協議。5、本協議作為認證合同的附件，與認證合同具有同等法律效力；6、本協議一式兩份，雙方各執(zhí)一份，經雙方簽章后生效，且不因認證協議的解除而失效。甲方（名稱加蓋單位公章）：甲方法定代表人或授權人：日期：****年**月**日乙方（名稱加蓋單位公章）：新紀源認證有限公司乙方法定代表人或授權人：日期：****年**月**日第三篇：信息安全管理體系作業(yè)文件信息安全管理體系作業(yè)文件Token管理規(guī)定產品運輸保密方法管理規(guī)定介質銷毀辦法保安業(yè)務管理規(guī)定信息中心主機房管理制度信息中心信息安全處罰規(guī)定信息中心密碼管理規(guī)定信息安全人員考察與保密規(guī)定信息開發(fā)崗位工作標準信息系統訪問權限說明信息銷毀制度(檔案室）可移動媒體使用與處置管理規(guī)定各部門微機專責人工作標準復印室管理規(guī)定工程師室和電子間管理規(guī)定數據加密管理規(guī)定文件審批表機房安全管理規(guī)定檔案室信息安全職責法律法規(guī)與符合性評估規(guī)定生產經營持續(xù)性管理戰(zhàn)略計劃監(jiān)視系統管理規(guī)定系統分析員崗位工作標準經營部信息事故處理規(guī)定經營部信息安全崗位職責規(guī)定經營部計算機機房管理規(guī)定經營部訪問權限說明網站信息發(fā)布管理規(guī)定網絡中間設備安全配置管理規(guī)定網絡通信崗位工作標準計算機硬件管理維護規(guī)定財務管理系統訪問權限說明遠程工作控制規(guī)定第四篇：信息安全管理體系記錄控制程序信息安全管理體系記錄控制程序1.適用本程序適用于本公司產生的記錄的管理。2.目的為支持信息安全體系的運作而明確記錄的管理。3.管理方法3-1保管方法（1）記錄由各保管部門在可快速檢索的條件下，決定保管場所，放在箱子、柜子等適當容器中保管。（2）對保管場所的環(huán)境，本程序沒有特別指定。由各保管部門考慮記錄媒體的特性做適當處理。（3）以電子媒體保管的場合，為預防意外，需做適當的備份。備份的安全要求執(zhí)行《信息備份管理程序》。（4）記錄保管部門應建立《記錄清單》，明確規(guī)定保管記錄類別、記錄保存期限等。記錄的保存應符合有關法律法規(guī)的要求，保存期限參考本規(guī)格書第4條款。（5）因工作需要，借閱其他部門的秘密記錄，應獲得記錄保管部門負責人授權后方可借閱，并留下授權記錄和借閱記錄。借閱者在借閱期內應妥善保管記錄，并按期歸還；機密記錄只準在現場查閱。（6）記錄的字跡應清晰、真實、文字表達準確、簡練，記錄不得隨意修改。確需修改時，必須在修改處作標識，并由修改人簽名確認。3-2廢棄超過保管期限的記錄，由保管部門作為秘密文件處理廢棄。廢棄應采用安全可靠的處置方法（如書面記錄采用粉碎方法、電子媒體采用格式化方法等)，處置記錄應予以保存。但若保管部門認為必要時，仍可繼續(xù)保管超出保管期限的記錄。4.記錄的分類和保存年限記錄類型測試報告關于合同內容確認的記錄購買管理保管期限（年)3年合同保管部門技術部行政部集成部行政部集成部質量保證書定單供應商變更申請書供應商清單購買需求單購買合同購買質量保證書供應商評價表供應商檢查表5年合同結束后3年文件管理內部審核員工教育履歷信息安全管理評審會議記錄以及糾正措施記錄信息安全目標以及分解預防措施影響分析報告業(yè)務持續(xù)性計劃業(yè)務持續(xù)性計劃測試報業(yè)務持續(xù)管理告業(yè)務持續(xù)性計劃評審報告信息資產識別表重要信息資產清單重要信息資產評估表風險評估報告資產識別和風險評估風險處理計劃調查報告信息事故、異常處理記糾正措施錄信息設備更改申請書變更管理軟件安裝/升級申請書采購記錄維護記錄授權記錄訪問記錄訪問保密協議用戶訪問授權記錄用戶訪問權限評審記錄審核日志（電子媒體)參見檔案管理規(guī)程年5年2年3年1年2年10年10年行政部行政部行政部行政部行政部各部門集成部集成部年集成部年3年3年3年3年3年3年3年3年年3年設備使用期間保管2年2年3年保持至員工離職3年1年參見檔案管理規(guī)程5年信息處理設備相關記錄集成部行政部集成部集成部集成部集成部行政部集成部集成部或技術部集成部集成部集成部技術部系統開發(fā)相關記錄用戶邏輯訪問相關記錄技術部技術部集成部集成部行政部行政部人事相關記錄財務相關記錄第五篇：地鐵信息管理體系沈陽地鐵與上海地鐵信息管理體系分析一．沈陽地鐵公司信息管理體系1.財務管理核算管理：總賬管理應收賬款固定資產應付資產預算管理：目標設定預算編制預算監(jiān)控預算報告資金管理：資金計劃資金預測現金管理賬戶管理2.人力資源管理員工發(fā)展管理：員工發(fā)展計劃員工發(fā)展評估員工發(fā)展反饋人事信息管理：員工基礎信息員工檔案信息人事組織信息教育培訓管理：培訓計劃培訓執(zhí)行培訓評估組織與崗位管理：崗位設計工作說明書指標設計3.物資管理需求計劃管理：需求預測補貨計劃采購計劃需求平衡采購申請審批與分配采購管理：詢報價管理合同管理采購預算控制采購單交付采購支付和發(fā)票校驗供應商管理:供應商信息管理供應商評估和分析供應商協同管理庫存管理：入庫出庫轉庫退庫管理庫存盤點庫存報廢庫存報表4.設備設施管理設備臺賬管理：存儲各類設備的靜態(tài)臺賬信息和動態(tài)臺賬信息，各種設備的查詢工單管理：根據各類設備屬性和地理位置創(chuàng)建各類工具，控制各類工單的執(zhí)行并與財務‘物質等進行集成維修計劃管理：根據不同類型的設備制定基于時間‘性能或者狀態(tài)的維修計劃，并發(fā)布工單設備狀態(tài)分析：支持設備缺陷和故障‘設備對象的狀態(tài)和趨勢，技術參數歷史與設備成本分析。5.資源租賃管理租賃單元管理：租賃申請‘租賃要約‘租賃合同’租入業(yè)務租賃合約管理：出租資源管理‘出租單元管理’租戶及合作伙伴管理租賃結算管理：租金管理‘租賃會計’服務費用結算6.文檔管理包括條目管理電子文件管理檔案業(yè)務管理流程管理報表統計管理安全管理7.客戶關系管理市場管理：市場計劃和預算市場活動管理，品牌管理，渠道促銷管理，市場分析服務管理;投訴管理，事件管理。服務分析銷售管理：客戶和聯系人管理，線索和商機管理，合同管理，報價和訂單管理，合作伙伴管理，銷售分析8.辦公自動化企業(yè)文化：企業(yè)形象，信息發(fā)布，規(guī)章制度，電子期刊，技術交流，電子論壇，員工建議個人事務：今日工作，個人文檔，通訊錄，日程安排，電子郵件，個人設置，短信提醒辦公管理：收文管理，發(fā)文管理，傳真服務，呈批件，會議審批，公告與通知，催辦，業(yè)務聯系單，人員動態(tài)，目錄管理，檔案管理，電子報銷，報表傳遞，辦公車輛管理9.客運管理票務管理：儲值票管理，單程票管理，計次票管理，往返票管理行車管理：行車計劃管理，施工計劃申報、審批10.決策支持系統客流量查詢：各站客流量，日客流量，周客流量，高峰小時最大客流量收入查詢：票務收入，資源租賃收入查詢，其他收入查詢等二、上海地鐵公司信息管理體系上海地鐵信息系統分為隱患控制、安全責任、安全統計分析、事故管理和安全檔案5個子系統1、隱患子系統是整個信息管理系統中的核心部分，其他子系統從某種意義上說都是為該子系統服務的，其主要功能是收集各種固有隱患情況和確定事故類型，進行分析、分級、歸類、制定風險控制策略，實現對安全生產的預先防范和動態(tài)控制，并將控制的結