信息系统反恐安全管理制度.pdf

信息系统反恐安全管理系统1 客观的防止信息系统安全，满足 C-TPAT 的相关要求。2 适用范围涉及的计算机设备，包括机房内的计算机设备和安装在机房内其他部门或单位的计算机设备。3释义 没有什么4责任：41 专业人员负责检测和清洁所有微型计算机。42 由计算机室的专业人员，根据上述操作计划进行测试。43 经理负责监督预防措施的实施。5工作程序51 信息系统安全管理要求：511 一般工作部不安装软驱和光驱，如有安装软驱和光驱的计算机，每次使用时都要用防病毒软件检查磁盘。512 对于联网的计算器，任何人在未经批准的情况下，不要将软件或文档复制到计算器中。513 数据备份由相关专业负责人管理，备份用的软盘由专业负责人提供。514 使用前的软盘、CD 等，必须确保没有什么病毒。515 计算器一经发现病毒，立即通知机房专业人员。516 操作员应退出系统并在离开前关闭。517 未经操作员同意的任何人，不得使用他人的计算机。52 装有软驱的微机一律不得入网；对于尚未联网计算机，其软件的安装由计算机室负责、任何微机需安装软件时，由相关人员负责人提出书面报告，经经理同意后，由计算机室负责安装；软件出现异常时，应通知计算机室专业人员处理；所有微机不得安装游戏软件；数据备份由相关专业负责人负责管理，备份用的软盘由专业负责人提供。53 硬件维护人员在拆卸微机时，必须采取必要的防静电措施；硬件维护人员在作业完成后或准备离去时，必须将所拆卸的设备复原；要求各专业负责人认真履行其管辖范围内计算机及配套设备使用的维护责任；要求各专业负责人采取必要措施，确保所用的微机及外设始终处于整洁和良好的状态；所有带锁的微机，在使用完毕或离去前必须上锁；对于关键的计算机设备应配备必要的断电保护电源。54 各单位所辖微机的使用、清洗和保养工作，由相应专业负责人负责；各专业负责人必须定期检查其管辖范围内的计算机和外围设备的状态，及时发现和解决问题。55 由于计算机设备已逐步成为我们工作中必不可少的重要工作。因此，计算机系决定将计算机管理纳入各专业负责人的考核范围，并将严格实行。551 凡是发现以下情况的，计算机部根据实际情况，追究当事人及其直接领导的责任。A.计算机感染病毒B.未经许可安装和使用未经许可的软件（含游戏）C.微型计算机具有密码功能，但未使用；D.在不退出系统或关闭的情况下离开微机；E.未经授权使用他人电脑或外部原因造成不利影响或损失；F.未及时检查或清洁电脑及相关外围设备。552 发现以下操作导致的任何硬件损坏或损失，其损失由当事人负责。A.非法操作B.存储不当和未经授权的安装、使用硬件、和电气装置。56 员工的电子邮件可能会为企业网络带来好几种漏洞，例如收到不请自来的邮件却毫没有什么警惕便直接打开其附件，或者直接打开文件而不扫描附加文件以查看其中是否隐藏有病毒等。此外，企业若不主动将新的病毒库派送到员工的计算机上，强制施行公司制定的政策，而是安全信任员工随意更新自己计算机上的病毒库，那么就算员工每次都很谨慎扫描文件，确定没有病毒后才打开文件，仍然有被病毒感染的风险。更有甚者，若是放任不当的电子邮件、色情或其它具有攻击性的内容在办公室到处流窜，企业更有可能会面临法律上的种种问题。57 密码是大部份企业的主要弱点，因为人们了节省时间，常常会共享或选择简单的密码。密码若不够复杂，它很容易被他人猜测并用于获取机密信息。其实网络安全的弱点在于用户不是唯一拥有密码的人，若态度不够 谨慎，只要稍微运用一下手碗便可让他们吐露出来，例如通过电话或电子邮件假装一下，通常就能把员工的密码骗到手。58 完全不知道如何防范各式各样的安全漏洞。例如通过社交手段套取等等，便会使得企业门户大开，容易受到各种攻击。未受到正确训练或不满意工作的员工，它更有可能将企业的独家或敏感信息披露给竞争对手和其他不应获得此类信息的人。59 企业应决定由谁负责主导政策的制定与执行，人事部门则应在员工的新进训练时以书面告知公司的政策，员工同意后，需签字确认其理解并愿意遵守公司的相关规定，之后必须严格执行规定，绝对不能有例外。公司颂的政策内，应明确制定违反规定的处罚细则。一般而言，安全系统与网络管理人员应该建构安全防护机制，成立紧急应变小姐以应会可能发生的漏洞，并与人事部门密切合作，随时报告可疑的状况。510 网络维护5101 设立网际网络使用规范，让员工了解公司关于员工个人使用电子邮件和计算机的规定。此外，明确的网络的使用规范可提高IT 人员设定与监视网络安全方案的效率。5102 采用可以扫描电子邮件中不适当内容的技术，并记录违反公司管制规定的网络行为。5103 法律专家认为，监控员工在公司和法律程序中的电子邮件和网络行为，有利于保护公司本身，因此企业应当设立使用规范，并采用内容监视机制，保护员工不受任何骚扰。5104 培训员工了解如何及时下载最新的防病毒更新，如何辨认电脑是否有可能中毒，并教导员工如何开启档案之前扫描档案是否有病毒。5105 修补软件的漏洞，减少病毒通过互联网或电子邮件渗透企业网络的机会。制定密码使用规范，要求员工经常更换密码，并教育员工防范社交欺骗手段，要求他们在任何情况下都不要交出密码。5106 审查每个员工是否须接触机密资料，并严格限制机密资料，并严格限制仅对工作中绝对需要的员工使用机密信息。5107 警告员工下载免费软件和其他程序可能造成的危险。6.相关文件没有什么7、相关记录没有什么