信息系統(tǒng)安全管理流程

1、信息系統(tǒng)安全管理1 范圍適用于信息技術(shù)部實(shí)施網(wǎng)絡(luò)安全管理和信息實(shí)時(shí)監(jiān)控，以及制定全公司計(jì)算機(jī)使用安全的技術(shù)規(guī)定2 控制目標(biāo)2.1確保公司網(wǎng)絡(luò)系統(tǒng)、計(jì)算機(jī)以及計(jì)算機(jī)相關(guān)設(shè)備的高效、安全使用2.2確保數(shù)據(jù)庫(kù)、日志文件和重要商業(yè)信息的安全3 主要控制點(diǎn)3.1信息技術(shù)部經(jīng)理和公司主管副總經(jīng)理分別審批信息系統(tǒng)訪問權(quán)限設(shè)置方案、數(shù)據(jù)備份及突發(fā)事件處理政策和其它信息系統(tǒng)安全政策的合理性和可行性3.2對(duì)終端用戶進(jìn)行網(wǎng)絡(luò)使用情況的監(jiān)測(cè)4 特定政策4.1每年更新公司的信息系統(tǒng)安全政策4.2每年信息技術(shù)部應(yīng)配合公司人力資源部及其它各部門，核定各崗位的信息設(shè)備配置，并制定公司的計(jì)算機(jī)及網(wǎng)絡(luò)使用規(guī)定4.3當(dāng)員工崗位發(fā)生

2、變動(dòng)，需要更改員工的郵件帳號(hào)屬性、服務(wù)器存儲(chǔ)空間大小和文件讀寫權(quán)限時(shí)，信息技術(shù)部必須在一天內(nèi)完成并發(fā)送郵件或電話通知用戶4.4對(duì)于信息系統(tǒng)（主要為服務(wù)器）的安全管理，應(yīng)有兩名技術(shù)人員能夠完成日常故障處理以及設(shè)置、安裝操作，但僅有一名技術(shù)人員掌握系統(tǒng)密碼，若該名技術(shù)人員外出，須將密碼轉(zhuǎn)告另外一名技術(shù)人員，事后應(yīng)修改密碼，兩人不能同時(shí)外出，交接時(shí)應(yīng)做好記錄4.5普通事件警告是指未對(duì)信息系統(tǒng)安全構(gòu)成危害、而僅對(duì)終端系統(tǒng)或局部網(wǎng)絡(luò)安全造成危害，或者危害已經(jīng)產(chǎn)生但沒有繼續(xù)擴(kuò)散的事件，如對(duì)使用的終端和網(wǎng)絡(luò)設(shè)備未經(jīng)同意私自設(shè)置權(quán)限等； 嚴(yán)重事件警告是指對(duì)信息系統(tǒng)安全構(gòu)成威脅的事件，如試圖使病毒（木馬、后門程

3、序等）在網(wǎng)絡(luò)中擴(kuò)散、攻擊服務(wù)器、改變網(wǎng)絡(luò)設(shè)備設(shè)置場(chǎng)所的設(shè)置狀態(tài)、編制非法軟件在網(wǎng)絡(luò)系統(tǒng)中試運(yùn)行等；特殊事件是指來(lái)自公司網(wǎng)絡(luò)外部的惡意攻擊， 如由外部人員使用不當(dāng)造成或其它自然突發(fā)事件引起。事件鑒定小組由相關(guān)的網(wǎng)絡(luò)工程師、終端設(shè)備維護(hù)工程師和應(yīng)用系統(tǒng)程序員等相關(guān)人員組成5信息系統(tǒng)安全管理流程C-14-04-001步驟涉及部門信息技術(shù)部網(wǎng)絡(luò)工程師、終端設(shè)備維護(hù)工程師信息技術(shù)部經(jīng)理公司主管副總?cè)肆Y源部勞動(dòng)用工管理員信息技術(shù)部網(wǎng)絡(luò)工程師、終端設(shè)備維護(hù)工程師信息技術(shù)部網(wǎng)絡(luò)工程師、終端設(shè)備維護(hù)工程師信息技術(shù)部網(wǎng)絡(luò)工程師、終端設(shè)備維護(hù)工程師信息技術(shù)部網(wǎng)絡(luò)工程師、終端設(shè)備維護(hù)工程師信息技術(shù)部經(jīng)理信息技術(shù)部經(jīng)

4、理信息技術(shù)部經(jīng)理步驟說(shuō)明根據(jù)國(guó)際和國(guó)家信息系統(tǒng)安全的有關(guān)法律、法規(guī)的規(guī)定及信息技術(shù)行業(yè)的行業(yè)安全標(biāo)準(zhǔn)， 并結(jié)合公司有關(guān)商業(yè)保密的規(guī)定，制定公司的信息系統(tǒng)安全政策， 包括信息系統(tǒng)訪問權(quán)限設(shè)置方案、數(shù)據(jù)備份及突發(fā)事件處理政策、病毒防治等信息系統(tǒng)安全政策審核公司信息系統(tǒng)的各種安全政策規(guī)定，保證符合公司信息管理的安全要求和商業(yè)機(jī)密信息的管理要求，若通過， 上報(bào)主管副總審批， 若不通過，指出修改意見，責(zé)成相關(guān)人員進(jìn)行修改審核公司信息系統(tǒng)的各種安全政策規(guī)定，若通過， 下發(fā)具體執(zhí)行， 若不通過，指出修改意見，責(zé)成相關(guān)人員進(jìn)行修改根據(jù)公司計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備使用的有關(guān)規(guī)定，在公司發(fā)生新員工入廠、員工調(diào)動(dòng)和崗位變動(dòng)等情況時(shí)，編制新員工或員工變動(dòng)狀況一覽表根據(jù)人力資源部提供的一覽表， 結(jié)合公司計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備的使用規(guī)定，確定各崗位的計(jì)算機(jī)資源的配置和系統(tǒng)訪問權(quán)限對(duì)各個(gè)網(wǎng)絡(luò)用戶及計(jì)算機(jī)設(shè)備的使用過程進(jìn)行監(jiān)測(cè)， 同時(shí)督促各個(gè)終端用戶定時(shí)對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行備份根據(jù)公司的信息系統(tǒng)安全政策， 選擇建立各項(xiàng)軟硬件的安全措施， 包括病毒防治軟件、防火墻技術(shù)等，并在網(wǎng)絡(luò)上安置必要的預(yù)警裝置；定期在公司范圍內(nèi)發(fā)布病毒防治的數(shù)據(jù)資料， 并提供病毒庫(kù)升級(jí)下載文檔當(dāng)發(fā)生安全預(yù)警時(shí)， 根據(jù)警報(bào)的性質(zhì)， 按照突發(fā)事件的處理規(guī)程采取必要的處理措施，并在 1 小時(shí)內(nèi)將情況匯報(bào)至信息技術(shù)部經(jīng)理根據(jù)警報(bào)的性質(zhì)判斷緊急級(jí)別， 視情況上報(bào)公