信息安全保障措施

PAGEPAGE3信息安全保障措施網(wǎng)絡與信息的安全不僅關系到公司正常業(yè)務的開展，還將影響到國家的安全、社會的穩(wěn)定。我公司將認真開展網(wǎng)絡與信息安全工作，通過檢查進一步明確安全責任，建立健全的管理制度，落實技術(shù)防范措施，保證必要的經(jīng)費和條件，對有毒有害的信息進行過濾、對用戶信息進行保密，確保網(wǎng)絡與信息安全。信息安全保障措施概要物理安全：包括環(huán)境安全、設備安全、人員的訪問控制、審計記錄、異常情況的追查等。網(wǎng)絡安全：包括網(wǎng)絡拓撲結(jié)構(gòu)、網(wǎng)絡設備的管理、網(wǎng)絡安全訪問措施（防火墻、入侵檢測系統(tǒng)、VPN等）、安全掃描、遠程訪問、不同級別網(wǎng)絡的訪問控制方式、識別/認證機制等。數(shù)據(jù)備份：包括適用范圍、備份方式、備份數(shù)據(jù)的安全存儲、備份周期、負責人等。病毒防護：包括防病毒軟件的安裝、配置、對軟盤使用、網(wǎng)絡下載等作出的規(guī)定等。系統(tǒng)安全：包括WWW訪問策略、數(shù)據(jù)庫系統(tǒng)安全策略、郵件系統(tǒng)安全策略、應用服務器系統(tǒng)安全策略等。事故處理、緊急響應：包括響應小組、聯(lián)系方式、事故處理計劃、控制過程等。復查審計：包括對安全策略的定期復查、對安全控制及過程的重新評估、對系統(tǒng)日志記錄的審計、對安全技術(shù)發(fā)展的跟蹤等。主機托管/虛擬主機協(xié)議書及提供接入服務的運營商的ISP經(jīng)營許可證復印件。網(wǎng)站運行安全保障措施公司網(wǎng)站實施托管，由托管方保證網(wǎng)站的安全運行。ERP系統(tǒng)運行安全保障措施服務器和其他計算機之間設置經(jīng)公安部認證的防火墻,，做好安全策略,拒絕外來的惡意攻擊，保障網(wǎng)站正常運行。在服務器及工作站上均安裝了正版的防病毒軟件，對計算機病毒、有害電子郵件有整套的防范措施，防止有害信息對系統(tǒng)的干擾和破壞。做好系統(tǒng)日志的留存。系統(tǒng)具有保存60天以上的系統(tǒng)運行日志和用戶使用日志記錄功能，具備有IP地址、用戶登記和識別確認功能，對沒有合法用戶名和密碼的用戶以及惡意攻擊系統(tǒng)的用戶采取嚴厲的懲處措施。系統(tǒng)建立雙機熱備份機制，一旦主系統(tǒng)遇到故障或受到攻擊導致不能正常運行，保證備用系統(tǒng)能及時替換主系統(tǒng)提供服務。關閉系統(tǒng)中暫不使用的服務功能,及相關端口,并及時用補丁修復系統(tǒng)漏洞,定期查殺病毒。后臺管理界面設置超級用戶名及密碼,并綁定IP,以防他人登入。系統(tǒng)提供集中式權(quán)限管理，針對不同的應用模塊、終端、操作人員，由系統(tǒng)管理員設置數(shù)據(jù)信息的訪問權(quán)限，并設置相應的密碼及口令。不同的操作人員設定不同的用戶名，且定期自定義更換密碼，嚴禁操作人員泄漏自己的口令。對操作人員的權(quán)限嚴格按照崗位職責設定，并由系統(tǒng)管理員定期檢查操作人員權(quán)限。公司機房按照電信機房標準建設，內(nèi)有必備的獨立UPS不間斷電源、消防設施，定期進行電力、防火、防潮、防磁和防鼠檢查。信息安全保密管理制度公司建立了健全的信息安全保密管理制度，實現(xiàn)信息安全保密責任制，切實負起確保網(wǎng)絡與信息安全保密的責任。嚴格按照“誰主管、誰負責”、“誰主辦、誰負責”的原則，落實責任制，明確責任人和職責，細化工作措施和流程，建立完善管理制度和實施辦法，確保使用網(wǎng)絡和提供信息服務的安全。各崗位工作人員通過培訓提高專業(yè)素質(zhì),需有強烈的責任心和責任感。所有業(yè)務數(shù)據(jù)需經(jīng)分管領導審核批準及確認。工作人員采集信息將嚴格遵守國家的有關法律、法規(guī)和相關規(guī)定。嚴禁通過我如何途徑散布《互聯(lián)網(wǎng)信息管理辦法》等相關法律法規(guī)明令禁止的信息以及公司內(nèi)部保密信息，一經(jīng)發(fā)現(xiàn)，立即嚴懲。遵守對數(shù)據(jù)信息的監(jiān)視，保存、清除和備份的制度。并開展對公司利益有損害信息的清理整治工作，對違法犯罪行外，報告并協(xié)助公安機關查處。所有信息都及時做備份。按照公司規(guī)定，對不同數(shù)據(jù)信息做分類保存?zhèn)浞?。制定并遵守安全教育和培訓制度。加大宣傳教育力度，增強員工安全意識，自覺遵守公司相關規(guī)定，不泄密、不傳播公司保密信息。員工信息安全管理制度公司尊重并保護員工的個人隱私，除了在員工允許的情況下，未經(jīng)員工允許公司不會隨意公布與員工個人身份有關的資料，除非有法律或程序要求。所有員工信息將得到公司人事系統(tǒng)的安全保存，并永久的登記于公司認識檔案中，員工離開公司后及時進行封存。嚴格遵守公司各電子系統(tǒng)用戶帳號使用登記和操作權(quán)限管理制度，對員工信息專人管理，嚴格保密，未經(jīng)允許不得向他人泄露。培訓考核公司定期對相關人員進行網(wǎng)絡信息安全培訓并進行考核，使員工能夠充分認識到網(wǎng)絡安全的重要性，嚴格遵守相應規(guī)章制度。安全小組由單位領導負責，網(wǎng)絡技術(shù)、客戶服務等部門參加，并確定安全負責人作為突發(fā)事件處理的聯(lián)系人。附表：網(wǎng)絡安全小組成員名單姓名部門職位備注馬芳企管部企管總監(jiān)宋昆企管部網(wǎng)絡工程師鄒穎行政部電力工程師緊急情況第一聯(lián)系人：宋昆（電話緊急情況第二聯(lián)系人：鄒穎（電話其中專業(yè)理論知識內(nèi)容包括：保安理論知識、消防業(yè)務知識、職業(yè)道德、法律常識、保安禮儀、救護知識。作技能訓練內(nèi)容包括：崗位操作指引、勤務技能、消防技能、軍事技能。二．培訓的及要求培訓目的安全生產(chǎn)目標責任書為了進一步落實安全生產(chǎn)責任制，做到“責、權(quán)、利”相結(jié)合，根據(jù)我公司2015年度安全生產(chǎn)目標的內(nèi)容，現(xiàn)與財務部簽訂如下安全生產(chǎn)目標：一、目標值：1、全年人身死亡事故為零，重傷事故為零，輕傷人數(shù)為零。2、現(xiàn)金安全保管，不發(fā)生盜竊事故。3、每月足額提取安全生產(chǎn)費用，保障安全生產(chǎn)投入資金的到位。4、安全培訓合格率為100%。二、本單位安全工作上必須做到以下內(nèi)容：1、對本單位的安全生產(chǎn)負直接領導責任，必須模范遵守公司的各項安全管理制度，不發(fā)布與公司安全管理制度相抵觸的指令，嚴格履行本人的安全職責，確保安全責任制在本單位全面落實，并全力支持安全工作。2、保證公司各項安全管理制度和管理辦法在本單位內(nèi)全面實施，并自覺接受公司安全部門的監(jiān)督和管理。3、在確保安全的前提下組織生產(chǎn)，始終把安全工作放在首位，當“安全與交貨期、質(zhì)量”發(fā)生矛盾時，堅持安全第一的原則。4、參加生產(chǎn)碰頭會時，首先匯報本單位的安全生產(chǎn)情況和安全問題落實情況；在安排本單位生產(chǎn)任務時，必須安排安全工作內(nèi)容，并寫入記錄。5、在公司及政府的安全檢查中杜絕各類違章現(xiàn)象。6、組織本部門積極參加安全檢查，做到有檢查、有整改，記錄全。7、以身作則，不違章指揮、不違章操作。對發(fā)現(xiàn)的各類違章現(xiàn)象負有查禁的責任，同時要予以查處。8、虛心接受員工提出的問題，杜絕不接受或盲目指揮；9、發(fā)生事故，應立即報告主管領導，按照“四不放過”的原則召開事故分析會，提出整改措施和對責任者的處理意見，并填寫事故登記表，嚴禁隱瞞不報或降低對責任者的處罰標準。10、必須按規(guī)定對單位員