集团信息安全管理制度模版.docx
《集团信息安全管理制度模版.docx》由会员分享,可在线阅读,更多相关《集团信息安全管理制度模版.docx(8页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、xx集团信息安全管理制度1. 总则21.1 信息安全定义21.2 确保信息安全的重要性21.3 本制度适用范围21.4 责任22. 信息资产安全管理22.1 信息资产分类22.2 信息资产管理33. 人力资源安全33.1 新进员工管理33.2 信息系统权限管理34. 机房与环境安全34.1 机房位置选择34.2 机房防护措施34.3 出入机房规定44.4 机房巡检制度45. 网络安全45.1 上网行为管理45.2 防火墙制度45.3 虚拟私人网络(VPN)45.4 Internet安全45.5 虚拟局域网(VLAN)55.6 微博、微信管理56. 密码安全与保密制度56.1 服务器操作系统超级
2、用户密码56.2 数据库超级用户密码56.3 其他系统超级用户密码56.4 个人pc密码56.5 信息保密制度57. 数据库、应用与服务器安全67.1 建立磁盘阵列RAID77.2 数据库备份67.3 数据库权限管理67.4 直接修改数据库数据流程67.5 信息的异地备份67.6 机密数据加密67.7 应用程序版本管理78. 病毒防范制度78.1 杀毒软件与杀毒78.2 病毒防范行为71. 总则1.1 信息安全定义 信息安全是指为数据处理系统而采取的技术和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。 定义包含了几个层面的概念,其中计算机硬件可以看做是
3、物理层面,软件可以看做是运行层面,和数据层面;又包含了属性的概念,其中破坏涉及的是可用性,更改涉及的是完整性,显露涉及的是机密性。1.2 确保信息安全的重要性 信息系统是企业业务活动正常运行的基础,信息安全是企业业务活动正常运行的保障。xx集团是一家规范的多元化产业公司群,拥有大量的金融、财务、人力资源、客户等涉密信息,网络化,数字化使得这些信息虽然容易被存放,也极其容易被泄露、盗取和挪用。所以建立信息安全制度显得十分必要。1.3 本制度适用范围 除了xx集团信息管理中心全体职员外,本制度还适用于使用、维护信息系统或使用信息工具的全体xx集团职员。1.4 责任 在信息安全制度的涉及范围内,每个
4、单位、部门的信息安全由部门负责人或由其指定专人来负责。2. 信息资产安全管理2.1 信息资产分类 信息资产按照机密性分为普通、敏感与机密三类。2.2 信息资产管理 1.敏感与机密信息在传输和存储时均需标示其等级。 2.敏感与机密信息欲复制、携带外出时,应提出申请载明申请用途,经单位负责人及集团信息管理中心负责人授权核准后,加密后携离使用。 3.可携带存储媒体(磁盘、光盘、移动硬盘、U盘等)若存储敏感与机密信息,保存时需于枷锁橱柜内。必须注意防磁、防潮、防火、防盗,必须垂直放置。 4.单位、部门敏感与机密信息应由单位、部门负责人管理,集团敏感与机密信息应由集团办公室负责人管理。 5.敏感与机密信
5、息不得使用网络、传真等方式传送。 6.敏感与机密信息应采用加密方法进行保护,并考虑使用技术手段,防止信息在未经过授权的情况下遭到篡改。 7.敏感与机密信息应执行权限管理与异地备份机制。3. 人力资源安全3.1 新进员工管理 1.新员工签署劳动合同时,要明确信息安全责任,使新员工从一开始就了解公司对信息安全的要求,增加员工的安全印象。 2.对新员工进行岗前教育与培训,使员工在较短时间内熟悉组织的信息安全政策和程序。 3.明确规定员工必须遵守国家的法律法规的信息安全政策,任何与法律法规安全政策相违背的行为,都被视为安全事件并受到相应惩罚。 4.根据新员工的岗位职能,分配相应系统的使用权限。3.2
6、信息系统权限管理 1.任何信息系统必须具有权限管理功能。对于用户较多的大型系统,可使用区域、组别、个人三级管理;而对于用户数量一般的中型系统,可使用组别、个人进行二级管理。 2.为确保金融、财务等关键系统准确无误,系统中相关数据必须由一人录入,另一个审核。数据的录入人员和审核人员不能为同一人。 3.信息安全负责人负责信息系统权限管理和分配工作。如果是全公司员工都需使用系统,如OA,由集团办公室负责系统权限管理和分配工作。 4.各单位的信息技术部门人员负责权限管理的实施工作。3.2.1 信息系统权限申请流程 1.员工填写信息系统权限申请审批表时(附表1,以下简称“审批表”),应注明员工工号、姓名
7、,权限区域、组别,申请理由等必要内容。 2.“审批表”交由所在单位的信息安全负责人审核信息后签名确认,并提交集团信息管理中心信息技术部。 3.“审批表”经集团信息管理中心信息技术部安全负责人审核签名确认后,由信息技术部开通权限。 4.原则上登陆系统的用户名与申请员工工号一致,初始密码是password或统一标记。如果不是,则通过邮件告知申请人员。 5.申请人员得到系统使用权限后,需立即登陆系统,并修改初始密码。如不修改,所造成的后果自负。3.2.2 信息系统权限变更流程 1.信息系统权限变更流程适用于人员调岗、离岗、转岗、离职等变化情况。 2.“审批表”应注明员工工号,姓名,变更(撤销)权限原
8、因,变更(撤销)权限区域、组别等必要内容。 3.交由所在单位的信息安全负责人审核信息后签名确认,并提交集团信息管理中心信息技术部。 4.“审批表”经集团信息管理中心信息技术部安全负责人审核签名确认后,由信息技术调整或撤销权限。4. 机房与环境安全4.1 机房位置选择 1.机房应选择在具有防震、防风和防雨等能力的建筑内。机房的承重要求应满足设计要求,不能建立在地下室,以及用水设备的下层或者隔壁。 2.机房场地应当避开强电场、强磁场、强振动源、强噪声源、重度环境污染,易发生火灾、水灾、易遭受雷击的地区4.2 机房防护措施 1.防雷击。机房建筑应设置避雷针;应设置防雷保安器,防止感应雷;应设置交流电
9、源接地。 2.防火。应设置火宅自动消防系统,自动检测火情,自动报警。机房建筑材料应具有耐火等级。 3.防水与防潮。水管安装不得穿过屋顶和活动地板下;应采取措施防止雨水通过屋顶和墙壁。 4.温湿度控制。应设置恒温恒湿系统,使机房温度、湿度的变化在设备运行所允许的范围内。 5.防静电。应采用必要的接地等防静电措施;应采用防静电地板。 6.防电力中断。应采用UPS和备用电源平衡管理,当发生突然停电时,不产生闪断现象。4.3 出入机房规定 1.机房大门配置电子门禁,除机房巡检人员、信息技术部经理、集团信息管理中心总监、集团负责人外,其他人员一律不得进入机房。 2.外来人员须进入机房的,要填写机房出入申
10、请审批单(附表2),经过集团信息管理中心信息技术部门安全负责人审核批准后,才能进入。 3.机房内安装监控装置,保留15天以上的摄像记录。4.4 机房巡检制度 1.机房管理员每天早(9:00)晚(17:00)巡视机房各个设备,认真填写机房巡检单(附表3)。发现设备故障,记录并立即报告信息技术部运维经理、总监。 2.信息技术部运维经理、总监不定时抽查机房巡检员日常巡检工作,发现漏巡检、晚巡检等违规行为,严肃处理。 3.机房巡检单每月汇总,封存入信息技术部档案。5. 网络安全5.1 上网行为管理1.防止非法信息恶意传播,避免企业机密信息泄漏;并可实时监控、管理网络资源使用情况,提高整体工作效率,建立
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 集团 信息 安全管理 制度 模版
限制150内