数据仓库信息安全管理体系说明模板.docx

《数据仓库信息安全管理体系说明模板.docx》由会员分享，可在线阅读，更多相关《数据仓库信息安全管理体系说明模板.docx（59页珍藏版）》请在咨信网上搜索。

数据仓库信息安全管理体系说明 供应商的信息安全管理体系说明 1.1 信息安全管理手册之信息安全管理方针和策略 范围 公司依据ISO/IEC27001: 信息安全管理体系标准的要求编制《信息安全管理手册》, 并包括了风险评估及处理的要求。规定了公司的信息安全方针及管理目标, 引用了信息安全管理体系的内容。 1.1规范性引用文件 下列参考文件的部分或整体在本文档中属于标准化引用, 对于本文件的应用必不可少。凡是注日期的引用文件, 只有引用的版本适用于本标准; 凡是不注日期的引用文件, 其最新版本( 包括任何修改) 适用于本标准。 ISO/IEC 27000, 信息技术——安全技术——信息安全管理体系——概述和词汇。 1.1.1 术语和定义 ISO/IEC 27000中的术语和定义适用于本文件。 1.1.1 公司环境 1.1.3.1理解公司及其环境 公司确定与公司业务目标相关并影响实现信息安全管理体系预期结果的能力的外部和内部问题, 需考虑: 明确外部状况: ü 社会、 文化、 政治、 法律法规、 金融、 技术、 经济、 自然和竞争环境, 无论国际、 国内、 区域, 还是本地的; ü 影响组织目标的主要动力和趋势; ü 与外部利益相关方的关系, 外部利益相关方的观点和价值观。 明确内部状况: ü 治理、 组织结构、 作用和责任; ü 方针、 目标, 为实现方针和目标制定的战略; ü 基于资源和知识理解的能力( 如: 资金、 时间、 人员、 过程、 系统和技术) ; ü 与内部利益相关方的关系, 内部利益相关方的观点和价值观; ü 组织的文化; ü 信息系统、 信息流和决策过程( 正式与非正式) ; ü 组织所采用的标准、 指南和模式; ü 合同关系的形式与范围。 明确风险管理过程状况: ü 确定风险管理活动的目标; ü 确定风险管理过程的职责; ü 确定所要开展的风险管理活动的范围以及深度、 广度, 包括具体的内涵和外延; ü 以时间和地点, 界定活动、 过程、 职能、 项目、 产品、 服务或资产; ü 界定组织特定项目、 过程或活动与其它项目、 过程或活动之间的关系; ü 确定风险评价的方法; ü 确定评价风险管理的绩效和有效性的方法; ü 识别和规定所必须要做出的决策; ü 确定所需的范围或框架性研究, 它们的程度和目标, 以及此种研究所需资源。 确定风险准则: ü 能够出现的致因和后果的性质和类别, 以及如何予以测量; ü 可能性如何确定; ü 可能性和( 或) 后果的时间范围; ü 风险程度如何确定; ü 利益相关方的观点; ü 风险可接受或可容许的程度; ü 多种风险的组合是否予以考虑, 如果是, 如何考虑及哪种风险组合宜予以考虑。 1.1.3.2理解相关方的需求和期望 信息安全管理小组应确定信息安全管理体系的相关方及其信息安全要求, 相关的信息安全要求。对于利益相关方, 可作为信息资产识别, 并根据风险评估的结果, 制定相应的控制措施, 实施必要的管理。相关方的要求可包括法律法规要求和合同义务。 1.1.3.3确定信息安全管理体系范围 本公司ISMS的范围包括 a) 物理范围: b) 业务范围: 计算机软件开发, 计算机系统集成相关信息安全管理活动。 c) 内部管理结构: 办公室、 财务部、 研发部、 商务部、 工程部、 运维部。 d) 外部接口: 向公司提供各种服务的第三方。 1.1.3.4信息安全管理体系 本公司按照ISO/IEC27001: 标准的要求建立一个文件化的信息安全管理体系。同时考虑该体系的实施、 维持、 持续改进, 确保其有效性。ISMS体系所涉及的过程基于PDCA模式。 1.1.2 领导力 总经理应经过以下方式证明信息安全管理体系的领导力和承诺: a) 确保信息安全方针和信息安全目标已建立, 并与公司战略方向一致; b) 确保将信息安全管理体系要求融合到日常管理过程中; c) 确保信息安全管理体系所需资源可用; d) 向公司内部传达有效的信息安全管理及符合信息安全管理体系要求的重要性; e) 确保信息安全管理体系达到预期结果; f) 指导并支持相关人员为信息安全管理体系有效性做出贡献; g) 促进持续改进; h) 支持信息安全管理小组及各部门的负责人, 在其职责范围内展现领导力。 1.1.3 规划 1.1.5.1应对风险和机会的措施 ( 一) 总则 公司针对公司内部和公司外部的实际情况, 和相关方的要求, 确定公司所需应正确信息安全方面的风险。在已确定的ISMS范围内, 针对业务全过程所涉及的所有信息资产进行列表识别。信息资产包括软件/系统、 数据/文档、 硬件/设施、 人力资源及外包服务。对每一项信息资产, 根据信息资产判断依据确定信息资产的重要性等级并对其重要度赋值。 信息安全管理小组制定信息安全风险评估管理程序, 经信息安全管理小组组长批准后组织实施。风险评估管理程序包括可接受风险准则和可接受水平。该程序的详细内容见《信息安全风险评估管理程序》。 1) 信息安全风险评估 l 风险评估的系统方法 信息安全管理小组制定信息安全风险评估管理程序, 经管理者代表审核, 总经理批准后组织实施。风险评估管理程序包括可接受风险准则和可接受水平。该程序的详细内容适用于《信息安全风险评估管理程序》。 l 资产识别 在已确定的ISMS范围内, 对所有的信息资产进行列表识别。信息资产包括软件/系统、 数据/文档、 硬件/设施及人力资源、 服务等。对每一项信息资产, 根据信息资产判断依据确定信息资产的重要性等级并对其重要度赋值。 l 评估风险 a) 针对每一项信息资产、 记录、 信息资产所处的环境等因素, 识别出所有信息资产所面临的威胁; b) 针对每一项威胁, 识别出被该威胁可能利用的薄弱点; c) 针对每一项薄弱点, 列出现有的控制措施, 并对控制措施有效性赋值; 同时考虑威胁利用脆弱性的容易程度, 并对容易度赋值; d) 判断一个威胁发生后可能对信息资产在保密性(C)、 完整性(I)和可用性(A)方面的损害, 进而对公司业务造成的影响, 计算信息资产的安全事件的可能性和损失程度。 e) 考虑安全事件的可能性和损失程度两者的结合, 计算信息资产的风险值。 f) 根据《信息安全风险评估管理程序》的要求确定资产的风险等级。 g) 对于信息安全风险, 在考虑控制措施与费用平衡的原则下制定风险接受准则, 按照该准则确定何种等级的风险为不可接受风险, 该准则在《信息安全风险评估管理程序》有详细规定, 并在《风险评估报告》中进行系统汇报并针对结果处理意见获得最高管理者批准。 h) 获得最高管理者对建议的残余风险的批准, 残余风险应该在《残余风险评价报告》上留下记录, 并记录残余风险处理批示报告。 i) 获得管理者对实施和运行ISMS的授权。ISMS管理者代表的任命和授权、 ISMS文档的签署能够作为实施和运作ISMS的授权证据。 2) 信息安全风险处理 l 风险处理方法的识别与评价 信息安全管理小组应组织有关部门根据风险评估的结果, 形成《风险处理计划》, 该计划应明确风险处理责任部门、 方法及时间。 对于信息安全风险, 应考虑控制措施与费用的平衡原则, 选用以下适当的措施: a) 采用适当的内部控制措施; b) 接受某些风险( 不可能将所有风险降低为零) ; c) 回避某些风险( 如物理隔离) ; d) 转移某些风险( 如将风险转移给保险者、 供方、 分包商) 。 l 选择控制目标与控制措施 信息安全管理小组根据信息安全方针、 业务发展要求及风险评估的结果, 组织有关部门制定信息安全目标。信息安全目标应获得总裁的批准。 本公司根据信息安全管理的需要, 能够选择标准之外的其它控制措施。 l 适用性声明SoA 信息安全管理小组编制《信息安全适用性声明》( SoA) 。该声明包括以下方面的内容: a) 所选择控制目标与控制措施的概要描述; b) 对ISO/IEC 27001: 附录A中未选用的控制目标及控制措施理由的说明。 l 残余风险 对风险处理后的残余风险应形成《残余风险评估报告》并得到信息安全最高责任人的批准。信息安全管理小组应保留信息安全风险处理过程的文件化信息。 1.1.5.2信息安全目标和实现规划 根据公司的信息安全方针, 经过最高管理者确认, 公司的信息安全管理目标为: 顾客保密性抱怨/投诉的次数不超过1起/年 受控信息泄露的事态发生不超过3起/年 秘密信息泄露的事态不得发生。 信息安全管理小组根据《适用性声明》、 《信息资产风险评估表》中风险处理计划所选择的控制措施, 明确控制措施改进时间表。对于各部门信息安全目标的完成情况, 按照《信息安全目标及有效性测量程序》的要求, 周期性在主责部门对各控制措施的目标进行测量, 并记录测量的结果。经过定期的内审、 控制措施目标测量及管理评审活动评价公司信息安全目标的完成情况。 1.1.4 支持 1.1.6.1资源 总经理负责确定并提供建立、 实施、 保持和持续改进信息安全管理体系所需的资源。 1.1.6.2能力 办公室应: a) 确定公司全体员工影响公司信息安全绩效的必要能力; b) 确保上述人员在适当的教育、 培训或经验的基础上能够胜任其工作; c) 适用时, 采取措施以获得必要的能力, 并评估所采取措施的有效性; d) 保留适当的文件化信息作为能力的证据。 注: 适用的措施可包括, 对新入职员工进行的信息安全意识教育; 定期对公司员工进行的业务实施过程中的信息安全管理相关的培训等。 1.1.6.3意识 公司全体员工应了解: a) 公司的信息安全方针; b) 个人其对公司信息安全管理体系有效性的贡献, 包括改进信息安全绩效带来的益处; c) 不符合信息安全管理体系要求带来的影响。 1.1.6.4沟通 信息安全管理小组负责确定与信息安全管理体系相关的内部和外部的沟通需求, 包括: a) 沟通内容; b) 沟通时间; c) 沟通对象; d) 谁应负责沟通; e) 影响沟通的过程。 1.1.6.5文件化信息 ( 一) 总则 公司的信息安全管理体系应包括: a) 本标准要求的文件化信息; b) 信息安全管理小组确保信息安全管理体系的有效运行, 需编制《文件控制程序》以管理公司信息安全管理体系的相关文件。 ( 二) 创立和更新 创立和更新文件化信息时, 信息安全管理小组应确保适当的: a) 标识和描述( 例如标题、 日期、 作者或编号) ; b) 格式( 例如语言、 软件版本、 图表) 和介质( 例如纸质、 电子介质) ; c) 对适宜性和充分性的评审和批准。 ( 三) 文件化信息的控制 信息安全管理体系及本标准所要求的文件化信息应予以控制, 以确保: a) 在需要的地点和时间, 是可用和适宜的; b) 得到充分的保护( 如避免保密性损失、 不恰当使用、 完整性损失等) ; c) 为控制文件化信息, 适用时, 科技规划部应开展以下活动; d) 分发, 访问, 检索和使用; e) 存储和保护, 包括保持可读性; f) 控制变更( 例如版本控制) ; g) 保留和处理。 信息安全管理小组需在《文件控制程序》中规划和运行信息安全管理体系所必须的外来的文件化信息, 应得到适当的识别, 并予以控制。 1.1.5 运行 1.1.7.1运行规划和控制 为确保ISMS有效实施, 对已识别的风险进行有效处理, 本公司开展以下活动: a) 形成《信息安全风险处理计划》, 以确定适当的管理措施、 职责及安全保密控制措施的优先级, 应特别注意公司外包过程的确定和控制; 对于系统集成和IT外包运维服务项目, 项目经理应在项目策划阶段识别所面临的信息安全风险, 并在项目全过程中对信息安全风险进行监控和更新; b) 为实现已确定的安全保密目标、 实施风险处理计划, 明确各岗位的信息安全职责; c) 实施所选择的控制措施, 以实现控制目标的要求; d) 进行信息安全培训, 提高全员信息安全意识和能力; e) 对信息安全体系的运作进行管理, 控制计划了的变更, 评审非预期变更的后果, 必要时采取措施减缓负面影响; f) 对信息安全所需资源进行管理; g) 实施控制程序, 对信息安全事故( 或事件) 进行迅速反应。 总经理为本公司信息安全最高责任者。 办公室制定全公司的组织机构和各部门的职责( 包括信息安全职责) , 并形成文件。 信息安全管理小组成员负责完成信息安全管理体系运行时必须的任务; 对信息安全管理体系的运行情况和必要的改进措施向信息安全最高责任者报告。 各部门负责人作为本部门信息安全的主要责任人, 信息安全内审员负责指导和监督本部门信息安全管理体系的运行与实施, 并形成文件; 全体员工都应按保密承诺的要求自觉履行信息安全义务。 各部门应按照《信息安全适用性声明》中规定的安全保密目标、 控制措施( 包括安全保密运行的各种控制程序) 的要求实施信息安全控制措施。 信息安全管理小组应对满足信息安全要求及实施6.1中确定的措施所需的过程予以规划、 实施和控制, 同时应实施计划以实现6.2中确定的信息安全目标。 信息安全管理小组应保持文件化信息达到必要的程度, 以确信过程按计划得到执行。 信息安全管理小组应控制计划内的变更并评审非预期变更的后果, 必要时采取措施减轻负面影响。 各部门确定本部门业务过程中的外包活动, 并对外包过程进行必要的控制。 1.1.7.2信息安全风险评估 公司按照组织《信息安全风险评估管理程序》的要求, 每年定期或当重大变更提出或发生时, 执行信息安全风险评估。每次风险评估的过程均需形成记录, 并由信息安全管理小组保留每次风险评估的记录, 如: 风险评估报告、 风险处理计划等。 1.1.7.3信息安全风险处理 为确保ISMS有效实施, 对已识别的风险进行有效处理, 本公司开展以下活动: a) 形成《风险处理计划》, 以确定适当的管理措施、 职责及安全保密控制措施的优先级; b) 为实现已确定的安全保密目标、 实施风险处理计划, 明确各岗位的信息安全职责; c) 实施所选择的控制措施, 以实现控制目标的要求; d) 进行信息安全培训, 提高全员信息安全意识和能力; e) 对信息安全体系的运作进行管理; f) 对信息安全所需资源进行管理; 信息安全管理小组负责组织相关人员, 定期检查风险处理计划的执行情况, 并保留信息安全风险处理结果的文件化信息。 1.1.6 绩效评价 1.1.8.1监视、 测量、 分析和评价 本公司经过实施定期的控制措施实施有效性检查、 事故报告调查处理、 电子监控、 技术检查等检查方式检查信息安全管理体系运行的情况, 并报告结果以实现: a) 及时发现信息安全体系的事故和隐患; b) 及时了解信息处理系统遭受的各类攻击; c) 使管理者掌握信息安全活动是否有效, 并根据优先级别确定所要采取的措施; d) 积累信息安全方面的经验。 按照计划的时间间隔( 不超过一年) 进行ISMS内部审核, 内部审核的具体要求。 根据控制措施有效性检查和内审检查的结果以及来自相关方的建议和反馈, 由最高责任者主持, 每年对ISMS的有效性进行评审, 其中包括信息安全范围、 方针、 目标及控制措施有效性的评审。 管理者代表应组织有关部门按照《信息安全风险评估管理程序》的要求对风险处理后的残余风险进行定期评审, 以验证残余风险是否达到可接受的水平, 对以下方面变更情况应及时进行风险评估: a) 组织机构发生重大变更; b) 信息处理技术发生重大变更; c) 公司业务目标及流程发生重大变更; d) 发现信息资产面临重大威胁; e) 外部环境, 如法律法规或信息安全标准发生重大变更。保持上述活动和措施的记录。 以上活动的详细程序规定于以下文件中: ü 《控制措施有效性的测量程序》 ü 《信息安全职责权限划分对照表》 ü 《信息安全风险评估管理程序》 ü 《内部审核控制程序》 1.1.8.2内部审核 内部信息安全审核主要指内部信息安全管理体系审核, 其目的是验证公司信息安全管理体系运行的符合性和有效性并不断改进和完善公司的信息安全管理体系。 ( 一) 组织审核 a) 公司统一组织、 管理内部信息安全审核工作, 信息安全管理小组负责制定《内部审核控制程序》并贯彻执行; b) 管理者代表负责领导和策划内部审核工作, 批准年度内审计划和追加审核计划, 批准审核组成员, 批准审核实施计划, 审批年度内审报告; c) 信息安全管理小组负责对审核组长及成员提名, 编制年度审核计划和追加审核计划, 报管理者代表批准后执行。 d) 审核组长组织和管理内部审核工作, 根据实际情况和重要性安排审核顺序实施审核。 e) 审核员不应审核自己的工作。 ( 二) 实施审核 a) 审核组长编制的审核计划, 经管理者代表批准后, 负责在实施审核前5天向被审核方发出书面审核通知; b) 审核小组按《内部审核控制程序》实施审核; c) 审核员收集客观证据, 经过分析整理做出公正判断, 填写《内审不合格报告》提交审核组长, 并请被审核部门经理在报告上签字认可。 ( 三) 审核报告 审核组长应在完成全部审核后, 按规定格式编写《内部管理体系审核报告》提交信息安全管理小组, 经其审阅后报管理者代表, 《内部管理体系审核报告》作为管理评审的输入证据。 ( 四) 纠正措施和跟踪验证 a) 被审核部门经理制定纠正措施, 填写在《内审不合格报告》中。 b) 纠正措施完成后后, 应将纠正措施完成情况填写到《内审不合格报告》相应栏内, 然后将《内审不合格报告》交到审核组长。 c) 审核组长视具体情况通知审核组复查, 跟踪验证纠正措施实施情况, 并将验证结果填写在《内审不合格报告》中。 ( 五) 审核记录 审核组长应收集所有内部信息安全审核中发生的计划通知、 内部审核检查表、 记录、 审核报告、 总结等原始资料, 整理后由信息安全管理小组负责保管内审相关记录。 1.1.8.3 ISMS管理评审 ( 一) 总则 信息安全最高责任者为确认信息安全管理体系的适宜性、 充分性和有效性, 每年对信息安全管理体系进行一次全面评审。该管理评审应包括对信息安全管理体系是否需改进或变更的评价, 以及对信息安全方针和信息安全管理目标的评价。管理评审的结果应形成书面记录, 并至少保存3年, 按照《文件控制程序》的要求进行受控访问。 ( 二) 管理评审的输入 在管理评审时, 信息安全管理小组应组织相关部门提供以下资料, 供信息安全管理最高责任者和各部门负责人进行评审: a) ISMS体系内、 外部审核的结果; b) 相关方的反馈( 投诉、 抱怨、 建议) ; c) 能够用来改进ISMS业绩和有效性的新技术、 产品或程序; d) 信息安全目标达成情况, 纠正和预防措施的实施情况; e) 信息安全事故或征兆, 以往风险评估时未充分考虑到的薄弱点或威胁; f) 上次管理评审时决定事项的实施情况; g) 可能影响信息安全管理体系变更的事项( 标准、 法律法规、 相关方要求) ; h) 对信息安全管理体系改进的建议; i) 有效性测量结果。 ( 三) 管理评审的输出 信息安全管理最高责任者对以下事项做出必要的指示: a) 信息安全管理体系有效性的改进事项; b) 信息安全方针适宜性的评价; c) 必要时, 对影响信息安全的控制流程进行变更, 以应对包括以下变化的内外部事件对信息安全体系的影响: ü 业务发展要求; ü 信息安全要求; ü 业务流程; ü 法律法规要求; ü 风险水平/可接受风险水平。 d) 对资源的需求。 以上内容的详细规定见《管理评审控制程序》。 1.1.7 改进 1.1.9.1不符合和纠正措施 发生不符合事项的责任部门在查明原因的基础上制定并实施相应的纠正措施, 以消除不符和的原因, 防止不符合事项再次发生。 信息安全管理小组负责制定《纠正措施控制程序》并组织问题发生部门针对发现的不符合现象分析原因、 制定纠正措施, 以消除不符合, 并防止不符合的再次发生。 对纠正措施的实施和验证规定以下步骤: a) 识别不符合; b) 确定不符合的原因; c) 评价确保不符合不再发生的措施要求; d) 确定和实施所需的纠正措施; e) 记录所采取措施的结果; f) 评审所采取的纠正措施, 将重大纠正措施提交管理评审讨论。 1.1.9.2持续改进 公司的持续改进是信息安全管理体系得以持续保持其有效性的保证, 公司在其信息管理体系安全方针、 安全目标、 安全审核、 监视事态的分析、 纠正措施以及管理评审方面都要持续改进信息安全管理体系的有效性。 本公司开展以下活动, 以确保ISMS的持续改进: a) 实施每年管理评审、 内部审核、 安全检查等活动以确定需改进的项目; b) 按照《内部审核管理程序》、 《纠正措施管理程序》的要求采取适当的纠正和预防措施; c) 吸取其它组织及本公司安全事故的经验教训, 不断改进安全措施的有效性; d) 对信息安全目标及分解进行适当的管理, 确保改进达到预期的效果。 为了确保信息安全管理体系的持续有效, 各级管理者应经过适当的手段保持在公司内部对信息安全措施的执行情况与结果进行有效的沟通。包括获取外部信息安全专家的建议、 信息安全政府行政主管部门、 电信运营商等组织的联系及识别顾客对信息安全的要求等。如: 管理评审会议、 内部审核报告、 公司内文件体系、 内部网络和邮件系统、 法律法规评估报告等。 1.1.8 信息安全管理方针 公司的信息安全管理方针: 安全第一, 预防为主; 全员参与, 综治风险; 遵纪守法, 提高绩效; 成本可控, 持续发展。 对于信息安全方针的解释: a) 满足客户要求: 满足顾客的要求是企业运营的必然选择。 b) 保障信息安全: 信息安全是企业管理的重中之重。 c) 遵守法律法规: 遵守法律法规是企业生存之前提, 满足法律法规及相关行业标准/技术规范的要求也是本公司必须承担的社会责任。 d) 持续改进管理: 控制风险是前提, 风险自身是动态的过程。经过各种方式提升公司员工的信息安全意识, 提高公司的信息安全管理过程。 本公司承诺提供一切可能的资源与先进的技术, 保证信息的保密性、 可用性和完整性, 有针对性地采取一切必要的安全措施。使用有效的风险评估的工具和方法, 严格控制风险事故在可接受风险范围之内。制订周密可靠的应急方案并定期进行演练, 关键信息数据异地备份, 制订业务连续性计划, 以确保业务的持续进行。 为了满足适用法律法规及相关方要求, 维持计算机系统集成及服务、 计算机应用软件的设计开发及服务活动的正常进行, 本公司依据ISO/IEC27001: 标准, 建立信息安全管理体系, 以保证与公司经营管理相关信息的保密性、 完整性、 可用性和可追溯性, 实现业务可持续发展的目的。本公司将: a) 在公司内各层次建立完整的信息安全管理组织机构, 确定信息安全方针、 安全保密目标和控制措施, 明确信息安全的管理职责; b) 识别并满足适用法律、 法规和相关方信息安全要求; c) 定期进行信息安全风险评估, ISMS评审, 采取纠正预防措施, 保证体系的持续有效性; d) 采用先进有效的设施和技术, 处理、 传递、 储存和保护各类信息, 实现信息共享; e) 对全体员工进行持续的信息安全教育和培训, 不断增强员工的信息安全意识和能力; f) 制定并保持完善的业务连续性计划, 实现可持续发展。 上述方针的批准、 发布及修订由公司信息安全最高责任者负责; 经过培训、 宣贯等方式使得本公司员工知晓并执行相关内容; 经过有效途径告知服务相关方及客户, 以提高安全保密意识及服务水平; 并定期经过《管理评审控制程序》评审其适用性、 充分性, 必要时予以修订。 组织的角色, 职责和权限 公司经营管理层决定全公司的组织机构和各部门的职责( 包括信息安全职责) , 并形成文件。 各部门的信息安全管理职责决定本部门组织形式和业务分担, 并形成文件。 总经理为本公司信息安全最高责任者。各部门/项目组负责人为本部门/项目组信息安全管理责任者, 全体员工都应按保密承诺的要求自觉履行信息安全保密义务; 各部门应按照《信息安全适用性声明》中规定的安全目标、 控制措施( 包括安全运行的各种控制程序) 的要求实施信息安全控制措施。 1.2 信息安全管理手册之信息安全管理制度与规范、 业务流程 1.2.1 信息安全与保密管理制度 1) 为了保证项目网络数据的安全保密, 维持安全可靠的计算机应用环境, 特制定本规定。 2) 凡项目组从事项目管理工作的员工都必须执行本规定。 3) 项目的合同、 需求说明、 设计变更、 工作联系单、 工程洽商单、 经济签证单、 公司内部资料等必须由各部门信息管理员妥善管理, 严禁外借, 严禁非相关人员传阅、 查看。 4) 对接入计算机及设备, 必须符合一下规定: a) 在未经许可的情况下, 不得擅自对处计算机及其相关设备的硬件部分进行修改、 改装或拆卸配置, 包括添加光驱、 软驱, 挂接硬盘等读写设备, 以及增加串口或并口外围设备, 如扫描仪、 打印机等。 b) 非我项目的计算机及任何外设, 不得接入网络系统。 c) 严禁私自开启计算机机箱封条或机箱锁。 5) 凡使用项目配备计算机网络系统的员工, 必须遵守以下规定; a) 未经批准, 严禁非本项目工作人员使用除计算机及任何相关设备。 b) 对新上网使用办公网络系统的员工, 由办公室负责上岗前的计算机网络设备系统安全及信息保密的技术培训工作。 c) 未经批准, 任何人严禁将其以任何形式( 如数据形式: Internet、 软盘、 光盘、 硬磁盘等; 硬拷贝形式: 图纸打印、 复印、 照片等) 复制、 传输或对外提供。 d) 任何员工均不得超越权限侵入网络中未开放的信息, 不得擅自修改入库数据资料和修改她人数据资料。 6) 严格执行国家、 有关保密、 安全及办公自动化系统的有关法律、 法规的规定和要求。各部门应自觉按照有关规定和要求配合做好保密和信息安全工作。 7) 任何经由我公司外网接入互联网的员工, 必须严格遵守国家有关法律、 法规。 8) 凡使用公司网络系统的员工, 必须配合网络管理员做好防病毒工作。 a) 由办公室负责网络防病毒工作。信息维护员负责实施防病毒的日常管理工作。 b) 凡装有可与外界进行数据传输的设备的计算机, 必须安装防病毒程序, 办公室定期对防病毒程序进行升级, 增强对病毒的查杀能力。 c) 凡需入网传输数据的盘片, 由网络管理员负责检查、 清查计算机病毒, 确保没有病毒后方可传输数据。 d) 员工在使用过程中如发现计算机病毒, 应立即停止进行任何程序并报告网络管理员, 如遇到现有防病毒程序无法清杀的病毒, 网络管理员必须先将受感染的计算机从网络上隔开, 协助员工做好数据备份工作, 并为用户恢复系统。 9) 分公司办公室定期对有关部门进行计算机网络系统安全和数据保密检查, 并将检查结果向处保密工作小组汇报。 10) 涉及项目信息安全与保密的管理人员均需要对本制度相关具体要求, 进行保密工作承诺。 1.2.2 文件加密管理制度 1.2.2.1目的 为规范公司重要文件的安全管理级别, 经过文件外发控制以及加密管理, 防止公司机密文件外泄, 保障公司信息安全。 1.2.2.2范围 本管理制度适用于所有安装加密软件用户。 1.2.2.3重要文件定义 需要保护的公司重要电子文档包含: 公司财务数据, 公司人员信息总表, 各部门培训课件, 采购部商品分析表, 薪资表, 工程图纸, 市场部合同信息, 公司vip信息汇总表。 1.2.2.4职责与权限 所有安装加密软件用户必须按照本制度规定进行执行; 网管负责人负责加密软件的日常维护, 安装管理, 以及加密软件权限分配; 综合部负责监管。 1.2.2.5规定描述 1) 文件加密类型 2) 当前对所有安装加密软件的用户电脑的重要文件进行加密处理。 3) 文件传播方式控制 4) 禁止经过复制/剪贴方式进行外发信息; 5) 重要文件在创立或编辑时必须在指定机器上操作并进行加密。所有经过U盘、 E-mail、 QQ、 MSN、 微信、 网盘等工具传送的重要文件, 都必须经过部门主管许可才允许。 6) 公司部提倡远程工作及登录服务器, 如有必要需进行申请, 开放端口, 并经过加密的方式进行通讯。 7) 文件外发控制管理 重要文件需要传递到没有安装加密软件用户或者外发到公司外部, 必须由各部门制定人员经过加密处理后才允许外发。. 对违反本规定者按照《员工手册》的有关规定处理。 本制度由网管员编撰、 修改、 执行, 自总经理批准之日起开始执行。 1.2.3 信息安全奖惩管理办法 1.2.3.1目的 明确信息安全奖励与违规行为处罚的操作原则, 强化执行, 促进员工信息安全意识提升。 1.2.3.2适用范围 本规范适用于我公司内部信息安全事件的奖惩。 1.2.3.3定义 序号 角色 职责 001 信息安全事件 指识别出的发生的系统、 服务或网络事件表明可能违反信息安全策略或防护措施失效; 或以前未知的与安全相关的情况; 其中一、 二级信息安全事件称为重大信息安全事件。 002 信息安全活动 为培养员工信息安全意识, 提高公司整体安全水平而举办的活动, 形式包括但不限于: 考试、 培训、 宣传和自查。 1.2.3.4职责与权限 序号 角色 职责 001 员工 遵守公司信息安全管理制度, 积极配合、 参与信息安全活动。 002 各部门信息安全接口人 协助公司信息安全管理制度、 产品的宣传与培训工作; 负责对部门信息安全问题进行汇总与反馈。 003 部门主管 是部门信息安全的直接责任人, 负责监督和管理本部门员工的信息安全行为, 并对潜在的信息安全风险进行预警, 预防信息安全事件。 004 部门经理 作为部门信息安全的间接责任人, 熟悉公司信息安全战略, 并积极推动信息安全策略的落地执行。 005 部门副总 对所负责部门的信息安全事件负相应的管理责任。 006 IT部信息安全组 对信息安全事件进行跟踪处理, 并确定事件责任人。 007 总经理 最终审批信息安全事件处罚申请。 008 总经理 最终审批信息安全事件处罚申请。 1.2.3.5内容 ( 一) 奖励、 违规行为处罚原则 及时激励原则 对长期妥善保护公司信息资产, 有效避免信息资产的遗失、 滥用、 盗用等, 或对于促进信息安全合理共享表现突出的个人或者集体, 将及时奖励。 举报保密原则 对于举报信息安全违规行为的人员, 将对其进行奖励并严格保护其个人资料不公开。 违规行为处罚原则 Ø 法律追究原则 公司所有保密信息均为公司合法资产, 受国家法律法规保护。任何损害公司保密信息的行为, 公司均有权追究行为人法律责任。 Ø 违规分级原则 根据违规行为的性质、 造成的损失和影响的严重程度、 违规人员是否有意对违规行为分级。涉及关键信息资产的, 违规等级要升级; 一次违反多条信息安全规定的人员按最高违规等级从重处罚; 对多次违反信息安全规定的人员再次违规时要从重处罚。 Ø 主动从宽原则 产生违规行为后主动报告, 积极采取补救措施以减少影响和损失的人员, 可减轻处罚; 对问题隐瞒不报或者不及时上报而导致违规影响扩大的人员, 加重处罚。 Ø 过度防卫处罚原则 对阻碍信息合理流动与共享的人员要给予处罚。 Ø 及时处理原则 对重大信息安全违规事件, 要及时处理。任何拖延、 推诿不处理的责任人, 要给予问责。 ( 二) 奖励等级与责任部门 奖励等级与措施 奖励事迹 奖励等级 奖励措施 举报或者制止泄密、 窃密或者其它严重损害公司利益事件的集体或者个人 一级 根据具体情况给予8000元集体奖励或者5000元个人奖励; 通报表扬( 遵循”举报保密原则”淡化事迹并隐藏人员信息) 。 制止她人违规行为或者即时反映可能造成泄密、 窃密或者其它重大安全隐患的个人, 以及在信息安全方面做出表率或者突出贡献的集体 二级 根据具体情况集体奖5000元或者3000个人奖励; 通报表扬( 遵循”举报保密原则”淡化事迹并隐藏人员信息) 。 在信息安全管理中做出贡献, 反映信息安全隐患或者过度防卫被核实、 提出信息安全合理化建议并被采纳的个人, 以及在信息安全方面做出贡献的集体 三级 根据具体情况给予3000元集体奖励或者1000元个人奖励。 奖励责任部门 1) 对于满足信息安全奖励标准的集体或者个人, IT部信息安全组可根据具体事迹定期进行申报, 审批经过后由综合部根据公司财务制度进行发放奖金; 2) 各部门信息安全接口人可自行组织对本部门优秀信息安全集体或者个人进行奖励。 违规等级与措施 违规事件 违规等级 处罚措施 盗窃、 故意泄露公司保密信息的, 或故意违反信息安全管理规定, 性质严重造成重大影响或者风险 一级 1. 直接开除, 永不录用; 2. 如违反法律法规由公司法务部移送公安机关处理; 如给公司造成相关损失, 须赔偿公司损失。 3. 全公司范围内通报处罚决定。 故意违反信息安全规定, 性质严重; 或者造成较大影响或较大风险 二级 1. 如给公司造成相关损失, 须赔偿公司损失; 2. 担任公司管理岗位的人员, 进行降职或者降薪处理; 非公司管理岗位的人员, 进行降薪处理; 3. 全公司范围内通报处罚决定。 过失违反信息安全管理规定, 造成一定影响或者风险的; 或者故意违反信息安全管理规定, 但性质不严重且没有造成严重影响或风险 三级 1. 记入关键事件考评结果减10分或罚款500元; 2. 12个月内2次三级违规升级为1次二级违规。 3.部门内部通报处罚决定。 过失违反信息安全管理规定, 性质较轻, 且造成轻微影响或者风险 四级 1.记入关键事件考评结果减5分或罚款300元; 2.12个月内2次四级违规升级为1次三级违规; 3.部门内部通报处罚决定。 说明: 1) 信息安全管理规定包括公司各部门正式发布的信息安全管理制度; 2) 上表中”违规事件”的描述是定性的描述, 是违规事件定级的参考原则。常见违规行为所适用违规等级具体参考附件1: 《常见违规行为及其适用处罚等级举例》, 其它违规行为所使用等级可参考举例进行认定。 责任判定 1) 发生一、 二级重大信息安全事件违规时, 违规者直接上级和部门经理承担直接和间接责任, 部门副总须承担连带管理责任, 并按照《常见违规行为及其适用处罚等级举例V1.0》适用条款进行处罚; 2) 对于三、 四级信息安全违规, 根据以下条件判断责任人直接上级是否连带处罚: Ø 员工无意违规, 且责任人领导未进行审批授权的, 不进行连带处罚; Ø 员工无意违规, 但责任人领导进行包庇的, 在事实确认的基础上, 进行连带处罚; Ø 若所管理部门一个月内发生2次( 含) 以上故意违规或者4次( 含) 以上