信息安全管理制度体系

信息安全管理制度体系篇一：制度体系之 - 信息安全管理制度实施指南制度体系之 - 信息安全管理制度 实施指南 1 策略管理 . 7 安全策略和管理制度 .7 信息安全策略 .7 信息安全管理制度 .7 行为规范 . 8 安全规划 . 8 系统安全规划 .8 系统安全规划的更新 .9 阶段性行动计划 .9 2 组织管理 . 9 组织机构 . 9 信息安全管理机构 .9 信息安全管理人员 .10 人员安全 . 10 工作岗位风险分级 .10 人员审查 .10 人员工作合同终止 .11 人员调动 .11 工作协议和条款 .11 第三方人员安全 .12 人员处罚 .12 安全意识和培训 .12 安全意识 .12 安全培训 .13 安全培训记录 .13 3 运行管理 .14 风险评估和认证认可 .14 安全分类 .14 风险评估 .14 安全认证 .15 安全认可 .15 持续监控 .16 系统与服务采购 .16 资源分配 .16 生命周期支持 .17 采购 . 17 信息系统文件 .17 软件使用限制 .17 用户安装的软件 .18 安全设计原则 .18 外包信息系统服务 .18 开发配置管理 .19 开发安全测试评估 .19 配置管理 . 19 基线配置 .20 配置变更控制 .20 监督配置变更 .21 变更访问限制 .21 配置策略设置 .21 功能最小化 .21 应急计划和事件响应 .22 应急计划 .22 应急响应培训 .22 应急和事件响应计划测试 .22 应急和事件响应计划更新 .23 事件处理 .(转 载 于: 小 龙文 档 网:信息安全管理制度体系). 23 事件监控 .23 事件报告 .24 系统管理与维护 .24安全管理技术 .25 常规维护 .25 维护工具管理 .25 远程维护 .25 维护人员 .26 维护及时性 .26 4 技术管理 .26 标识鉴别 . 26 身份标识和鉴别 .26 设备标识和鉴别 .27 标识管理 .27 鉴别管理 .28 登录和鉴别反馈 .28 访问控制 . 29 账户管理 .29 强制访问 .30 信息流控制 .30 职责分离 .31 最小权限 .31 不成功登录尝试 .31 系统使用情况 .32 最近登录情况 .32 并发会话控制 .33 会话锁定 .33 会话终止 .33 对访问控制的监督和审查 .34 不需鉴别或认证的行为 .34 自动化标记 .34 无线接入访问控制 .35 便携式移动设备的访问控制 .35 个人信息系统 .36 系统与信息完整性 .36 漏洞修补 .36 防恶意代码攻击 .37 输入信息的限制 .37 错误处理 .37 输出信息的处理和保存 .38 系统与通信保护 .38 应用系统分区 .38 安全域划分 .39 拒绝服务保护 .39 边界保护 .39 网络连接终止 .39 公共访问保护 .39 移动代码 .40 介质保护 . 40 介质访问 .40 介质保存 .40 信息彻底清除 .41 介质的废弃 .41 物理和环境保护 .41 物理访问授权 .42 物理访问控制 .42 显示介质访问控制 .42 物理访问监视 .42 来访人员控制 .43 来访记录 .43 篇二：信息安全管理制度信息安全管理制度 1总则：为了切实有效的保证公司信息系统安全，提高信息系统为公司生产经营的服务能力，特制定信息系统相关管理制度，设定管理部门及专业管理人员对公司整体信息系统进行管理，以保证公司信息系统的正常运行。 2范围 计算机网络系统由基础线路、计算机硬件设备、软件及各种终端设备的网络系统配置组成。 软件包括：PC 操作系统、数据库及应用软件、有关专业的网络应用软件等。 终端机的网络系统配置包括终端机在网络上的名称，IP 地址分配，用户登录名称、用户密码、U8 设置、OA 地址设置及 Internet 的配置等。 系统软件是指: 操作系统（如 WINDOWS XP 等）软件。平台软件是指:设计平台工具（如 AUTOCAD 等） 、办公用软件（如 OFFICE）等平台软件。 管理软件是指：生产和财务管理用软件（如用友 U8软件） 。 基础线路是指：联系整个信息系统的所有基础线路，包括公司内部的局域网线路及相关管路。 3职责 公司设立信息管理部门，直接隶属于分管生产副总经理，设部门经理一名。 信息管理部门为网络安全运行的归口部门，负责计算机网络系统的日常维护和管理。 负责系统软件的调研、采购、安装、升级、保管工作。 负责软件有效版本的管理。 信息管理部门为计算机系统、网络、数据库安全管理的归口管理部门。 信息管理人员负责计算机网络、办公自动化、生产经营各类应用软件的安全 运行；服务器安全运行和数据备份；internet 对外接口安全以及计算机系统防病毒管理；各种软件的用户密码及权限管理；协助职能科室进行数据备份和数据归档（如财务、生产、设计、采购、销售等） 。信息管理人员执行企业保密制度，严守企业商业机密。 员工执行计算机安全管理制度，遵守企业保密制度。 系统管理员的密码必须由信息管理部门相关人员掌握。负责公司网络系统基础线路的实施及维护。 4管理 网络系统维护 系统管理员每日定时对机房内的网络服务器、各类生产经营应用的数据库服务器及相关网络设备进行日常巡视，并填写网络运行日志 附录 A记录各类设备的运行状况及相关事件。 对于系统和网络出现的异常现象信息管理部应及时组织相关人员进行分析，制定处理方案，采取积极措施，并如实将异常现象记录在网络运行日志 附录 A 。针对当时没有解决的问题或重要的问题应将问题描述、分析原因、处理方案、处理结果、预防措施等内容记录在网络问题处理跟踪表 附录 B上。部门负责人要跟踪检查处理结果。 定时对相关服务器数据备份进行检查。 （包括对系统的自动备份及季度或年度数据的刻盘备份等） 定时维护 OA 服务器，及时组织清理邮箱，保证服务器有充足空间，OA 系统能够正常运行。 维护 Internet 服务器，监控外来访问和对外访问情况，如有安全问题，及时处理。 制定服务器的防病毒措施，及时下载最新的防病毒疫苗，防止服务器受病毒的侵害。 客户端维护 按照人事部下达的新员工（或外借人员）姓名、分配单位、人员编号为新的计算机用户分配计算机名、IP 地址等。 帐号申请新员工（或外借人员）需使用计算机向部门主管提出申请经批准由信息部门负责分配计算机、OA 的 ID 和邮箱。如需使用专业软件（财务软件等）则向财务主管申请，由财务主管分配权限和帐号密码，信息管理部人员负责软件客户端的安装调试。 使用 帐号注销：员工离职应将本人所使用的计算机名、IP 地址、用户名、登录密码、生产经营专用软件等软件信息以书面形式记录，经信息管理人员核实并将该记录登记备案。信息管理人员对离职人员的公司资料信息备份以及拿到人事部门的员工离职通知单，方可对该离职人员所用的帐号信息删除。 网络用户不得随意移动信息点接线。因房屋调整确需移动或增加信息点时，应由计算机管理人员统一调整，并及时修改“网络结构图” 。 为客户机安装防病毒软件，并通知和协助网络用户升级防病毒疫苗。 系统及平台软件的管理 系统及平台软件采购 由信息管理员提出相关系统软件的采购及升级申请，填写软件引进、升级审批表 附录 D ，经部门主管及公司领导批准后采购。 应将原始盘片、资料、合同及发票复制件归档案保存，以备日后查询等。 应办理软件注册手续，并将软件认证号码、经销商和技术支持商相关信息填入软件信息表 附录 C 。 系统、平台软件的管理 信息管理人员负责软件的安装。 信息管理部门保存和使用软件的复制盘片，也可根据需要从档案借出原始盘片，复制相关资料留存使用。 信息管理人员应及时下载系统及平台软件的相关补丁程序，并与原系统进行配套管理和使用。 信息管理员负责将软件商信息记录在软件信息表附录 C ，就软件技术问题与软件商联系，并负责软件的升级。 软件维护 用户向信息管理人员提交软件维护请求。接到请求的信息管理人员应及时提供维护服务，并填写维护记录附录 E 。对于较复杂的问题，处理人应及时与信息管理员沟通，信息管理员组织研究解决方案，及时处理问题。 应记录处理问题的方案及结果，信息管理员定期组织交流，总结汇总各种软件的问题，以便改进软件，积累经验，提高处理问题的技术水平。 软件的借用 用户需自行安装系统和专业软件时，应填写软件借用记录 附录 F ，办理借用手续。 软件有效版本管理 信息管理员应建立系统、平台、专业、管理软件的有效版本清单，并定期发布，格式见软件有效版本清单附录 G 。 数据备份管理 服务器数据备份 每周应至少做一次 U8、金碟数据的备份，并在备份服务器中进行逻辑备份的验证工作，经过验证的逻辑备份存放在不同的物理设备中，至少同时保留两个完整的数据备份。 每周至少对文件服务器和财务等生产经营用服务器做一次数据备份。 应对数据库进行自动实时备份。 自动或手工备份的数据应在数据库故障时能够准确恢复。 管理信息的备份 各部门应定时对管理数据进行备份。 每年的 1 或 2 月份，计算机人员应协助职能科室对上一年度的管理数据进行备份、标识并归档。 计算机病毒防治 在服务器和客户端微机上安装病毒自动检测程序和防病毒软件，信息管理人员应及时下载防病毒疫苗，用户应及时下载疫苗并检测、杀毒。 在向微机及服务器拷贝或安装软件前，首先要进行病毒检测。如用户经管理代表批准安装外来软件，应经过计算机人员对安装软件进行防病毒检测。 对于外来的图纸和文件，在使用前要进行病毒监测。送外维修和欲联网的计算机必须经过病毒检测后，方可联入网络。 为了防止病毒侵蚀，员工和信息管理人员不得从internet 网下载游戏及与工作无关的软件，不得在服务器或关键客户端微机上安装、运行游戏软件。 文件服务器的管理 文件服务器中为用户预留了一定的存储空间，存放重要文件、设计图纸和阶段成果，以避免在本地硬盘遭到损坏时丢失文件。 系统保密制度 系统管理员的职责和义务 系统管理员应由主管领导批准设立，具有系统管理员权限的用户应对所管理系统的安全负责。 系统管理员不得擅自泄露其他用户的用户名及密码，不得为员工检索其他人员信息和企业保密信息。 因工作需要，经主管领导批准，系统管理员可以为用户检索、打印企业信息，但应妥善保管打印件，并对作废内容及时销毁。 系统管理员不得随意修改合法用户的身份，确因工作需要应得到主管领导的批准。 系统管理员应遵守保密制度，不泄漏企业信息。 用户的职责和义务 用户有权以自己合法的身份使用应用系统。 用户不得盗用其他人的身份登陆网络或进入应用系统，确因工作需要需征得本人的同意。 用户应保管好自己的密码，并三个月更换一次密码，以保证数据安全。 基础线路建设管理 在进行网络系统基础线路新建或增加时，系统管理部门应会同相关部门及专业公司尽可能的从整体性、先进性、可拓展性等方面规划建设，有公司网络系统的可持续发展打下良好的基础。 基础建设完成后，将基础建设所涉及的图纸、标识等竣工资料保管整齐，以备后续的增添及维护。 篇三：企业信息安全管理制度企业信息安全管理制度 编制： 校对： 审核： 企业信息安全管理制度 近年来， 随着计算机技术和信息技术的飞速发展，社会的需求不断进步，企业传统的手工生产模式和管理模式迈入了一个全新的时代信息化时代。随着信息化程度的日益推进，企业信息的脆弱性也日益暴露。如何规范日趋复杂的信息安全保障体系建设，如何进行信息风险评估保护企业的信息资产不受侵害，已成为当前行业实现信息化运作亟待解决的问题。 一、前言：企业的信息及其安全隐患。 在我公司，我部门对信息安全做出整体规划：通过从外到内、从广义到狭义、从总体到细化、从战术到战略，从公司的整体到局部的各个部门相结合一一剖析，并针对信息安全提出解决方案。涉及到企业安全的信息包括以下方面： A. 技术图纸。主要存在于技术部、项目部、质管部。.B. 商务信息。主要存在于采购部、客服部。 C. 财务信息。主要存在于财务部。 D 服务器信息。主要存在于信管部。 E 密码信息。存在于各部门所有员工。 针对以上涉及到安全的信息，在企业中存在如下风险：1 来自企业外的风险 病毒和木马风险。互联网上到处流窜着不同类型的病毒和木马，有些病毒在感染企业用户电脑后，会篡改电脑系统文件，使系统文件损坏，导致用户电脑最终彻底崩溃，严重影响员工的工作效率；有些木马在用户访问网络的时候，不小心被植入电脑中，轻则丢失工作文件，重则泄露机密信息。 不法分子等黑客风险。计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等，他们利用所学的计算机编程语言编译有特定功能的木马插件，经过层层加壳封装技术，用扫描工具找到互联网上某电脑存在的漏洞，绕过杀毒软件的追击和防火墙的阻挠，从漏洞进入电脑，然后在电脑中潜伏，依照不法分子设置的特定时间运行，开启远程终端等常用访问端口，那么这台就能被不法分子为所欲为而不被用户发觉，尤其是技术部、项目部和财务部电脑若被黑客植入后门，留下监视类木马查件，将有可能造成技术图纸被拷贝泄露、财务网银密码被窃取。还有些黑客纯粹为显示自己的能力以攻击为乐，他们在用以上方法在网络上绑架了成千上万的电脑，让这些电脑成为自己傀儡，在网络上同时发布大量的数据包，前几年流行的洪水攻击及 DDoS 分布式拒绝服务攻击都由此而来，它会导致受攻击方服务器资源耗尽，最终彻底崩溃，同时整个网络彻底瘫痪。 2、来自企业内的风险 文件的传输风险。若有员工将公司重要文件以QQ、MSN 发送出去，将会造成企业信息资源的外泄，甚至被竞争对手掌握，危害到企业的生存发展。 文件的打印风险。若员工将公司技术资料或商业信息打印到纸张带出公司，会使企业信息资料外泄。 文件的传真风险。若员工将纸质重要资料或技术图纸传真出去，以及将其他单位传真给公司的技术文 件和重要资料带走，会造成企业信息的外泄。 存储设备的风险。若员工通过光盘或移动硬盘等存储介质将文件资料拷贝出公司，可能会泄露企业机 密信息。若有动机不良的员工，私自拆开电脑机箱，将硬盘偷偷带出公司，将会造成企业信息的泄露。 上网行为风险。员工可能会在电脑上访问不良网站，会将大量的病毒和顽固性插件带到企业网络中来，造成电脑及企业网络的破坏，更甚者，在电脑中运行一些破坏性的程序，导致电脑系统的崩溃。 用户密码风险。主要包括用户密码和管理员密码。若用户的开机密码、业务系统登陆密码被他人掌握， 可能会窃取此用户权限内的信息资料和业务数据；若管理员的密码被窃取，可能会被不法分子破坏应用系统的正常运行，甚至会被窃取整个服务器数据。 机房设备风险。主要包括服务器、UPS 电源、网络交换机、电话交换机、光端机等。这些风险来自防 盗、防雷、防火、防水。若这些自然灾害发生，可能会损坏机房设施，造成业务中断。 办公/区域风险。主要包括办公区域敏感信息的安全。有些员工缺乏安全意识，在办公区域随意堆放本 部门的重要文件或是在办公区域毫不避嫌谈论工作内容，若不小心被其他人拿走或听到，可能会泄露部门工作机密，甚至是公司机密。 为了保证企业信息的安全保密，公司所有人员必须严格遵守企业信息安全管理总则，以安全总则为基础，各部门具体细则为安全管理行为标准，从各个层面杜绝信息安全隐患。 二、总则：从整个公司层出发，针对这些信息隐患制订安全防范措施。 1.计算机设备安全管理。 1） 公司所有人员应保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、