信息安全管理體系建立方案

11419日信息安全治理體系建立方案信息安全治理體系文檔僅供參考文檔僅供參考22419日信息安全治理體系建立方案(初稿)信息技術(shù)部2月隨著企業(yè)的進(jìn)展?fàn)畲?，信息安全漸漸被集團(tuán)高層所重視，但直到當(dāng)前為止還沒有一套格外完善的信息安全治理方案，而且隨著技術(shù)的不斷涌現(xiàn)，安全防護(hù)又如何能做到一勞永逸的堅(jiān)守住企業(yè)信息安全的大門便成為每個(gè)信息技術(shù)部門永恒不變的課題。作為天一藥業(yè)集團(tuán)的興部門，信息技術(shù)部存在的意義確定不是簡潔的電腦修理，它存在的意義在于要為企業(yè)建設(shè)好信息安全屏障，保護(hù)企業(yè)的信息安全，同時(shí)經(jīng)過信息交互平臺(tái)，簡化辦公流程，提高工作效率，這才是部門存在的目的和意義，信息技術(shù)部經(jīng)過不斷的學(xué)習(xí)，爭論，經(jīng)過大量的調(diào)研，最終開頭著手建立屬于天一藥業(yè)自己的信息堡壘。企業(yè)信息安全主要包括了四個(gè)方面的內(nèi)容，即實(shí)體安全、運(yùn)行安全、信息資產(chǎn)安全和人員安全，信息技術(shù)部將從這四個(gè)方面具體提出解決方案，供領(lǐng)導(dǎo)參考，評議。實(shí)體安全防護(hù)：所謂實(shí)體安全就是保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施〔含網(wǎng)絡(luò)〕以及其它媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其它環(huán)境事故破壞的措施和過程。要想做好實(shí)體安全就必需要保證以下幾點(diǎn)的安全：1、環(huán)境安全：每個(gè)實(shí)體都存在于環(huán)境當(dāng)中，環(huán)境的安全對于實(shí)體來講尤為重要，但對于環(huán)境來講要想做到100的安全那是不現(xiàn)實(shí)的，由于環(huán)境是在不斷的變化的，因此我們只能做到相正確安全，對于天一集團(tuán)來講，集團(tuán)及各子廠所在的地理位置即稱之為環(huán)境，計(jì)算機(jī)實(shí)體設(shè)備都存放于這個(gè)環(huán)境之中，因此要求集團(tuán)及各子廠的辦公樓要具備確定的防災(zāi)〔防震，防火，防水，防盜等〕力氣。機(jī)房作為效勞器所在的環(huán)境，要求機(jī)房要具備防火、防塵、防水、防盜的力氣，因此依據(jù)現(xiàn)用《機(jī)房治理制度》要求，集團(tuán)現(xiàn)用機(jī)房的環(huán)境除不具備防塵力氣外，根本上仍能滿足環(huán)境安全條件。2、 設(shè)備及媒體安全：計(jì)算機(jī)設(shè)備、設(shè)施〔含網(wǎng)絡(luò)〕、媒體設(shè)備的安全需要具備確定的安全保障，而為了保障設(shè)備安全，首先需要確定設(shè)備對象，針對不同的治理設(shè)備制訂相應(yīng)的保障條例，比方計(jì)算機(jī)設(shè)備的治理?xiàng)l例中就應(yīng)當(dāng)明確規(guī)定里面的散件也應(yīng)屬于固定資產(chǎn)，應(yīng)對散件加強(qiáng)治理，每次固定資產(chǎn)盤點(diǎn)時(shí)應(yīng)認(rèn)真核對其配置信息，而不是只盤點(diǎn)主機(jī)數(shù)量。同時(shí)為了保障機(jī)器中配件的安全，需要對全部設(shè)備加裝機(jī)箱鎖，由信息技術(shù)部，行政部共同把握鑰匙。散件的使用狀況必需建立散件庫臺(tái)帳，由信息技術(shù)部治理，行政部將對信息部進(jìn)展監(jiān)視。對于移動(dòng)設(shè)備〔筆記本、移動(dòng)硬盤、U盤等〕不允許帶離集團(tuán)，如必需帶離集團(tuán)需要經(jīng)信息部、行政部以及申請部門共同簽字前方可帶走，同時(shí)對帶離的設(shè)備進(jìn)展具體登記，同時(shí)還需標(biāo)注帶回時(shí)間。對于未能按要求時(shí)間歸還的人員進(jìn)展懲罰。運(yùn)行安全防護(hù)：運(yùn)行安全是為了保障系統(tǒng)功能的安全實(shí)現(xiàn)，供給一套安全措施來保護(hù)信息處理過程的安全。為了保障系統(tǒng)功能的安全，必需實(shí)行風(fēng)險(xiǎn)分析、審計(jì)跟蹤、備份與恢復(fù)、應(yīng)急處理等措施。1、風(fēng)險(xiǎn)分析：這不但僅是對系統(tǒng)的風(fēng)險(xiǎn)分析，它更重要的是對現(xiàn)用系統(tǒng)進(jìn)展風(fēng)險(xiǎn)分析，對于運(yùn)營環(huán)節(jié)、信息管控環(huán)節(jié)存在的風(fēng)險(xiǎn)予以封堵。因此集團(tuán)首先要建立一套完善的風(fēng)險(xiǎn)評估制度與風(fēng)險(xiǎn)評估的標(biāo)準(zhǔn)，這套標(biāo)準(zhǔn)需要具體明確各風(fēng)險(xiǎn)項(xiàng)以及評分標(biāo)準(zhǔn)，這樣才能保證風(fēng)險(xiǎn)評估的準(zhǔn)確客觀，但標(biāo)準(zhǔn)的制訂不是一個(gè)、兩個(gè)部門就能夠完成的，由于風(fēng)險(xiǎn)評估將貫徹到集團(tuán)的各個(gè)環(huán)節(jié)，各個(gè)部門，因此應(yīng)由各部門共同協(xié)作來完成。建議集團(tuán)盡快成立風(fēng)險(xiǎn)評估小組，小組成員應(yīng)包含各個(gè)部門的負(fù)責(zé)人，經(jīng)過大家來集思廣益，完成風(fēng)險(xiǎn)評估制度。2、審計(jì)跟蹤：對于全部