信息系统安全管理流程

1、Importa nt & Selected Docume nts 信息系统安全管理 1 范围 以及制定全公司计算机使用安全的技 适用于信息技术部实施网络安全管理和信息实时监控, 术规定 Important & Selected Documents 2 控制目标 2.1 确保公司网络系统、计算机以及计算机相关设备的高效、安全使用 2.2 确保数据库、日志文件和重要商业信息的安全 3 主要控制点 3.1 信息技术部经理和公司主管副总经理分别审批信息系统访问权限设置方 案、数据备份及突发事件处理政策和其它信息系统安全政策的合理性和可 行性 3.2 对终端用户进行网络使用情况的监测 4 特定政策 4.

2、1 每年更新公司的信息系统安全政策 4.2 每年信息技术部应配合公司人力资源部及其它各部门，核定各岗位的信息 设备配置，并制定公司的计算机及网络使用规定 4.3 当员工岗位发生变动，需要更改员工的邮件帐号属性、服务器存储空间大 小和文件读写权限时，信息技术部必须在一天内完成并发送邮件或电话通 知用户 4.4 对于信息系统（主要为服务器）的安全管理，应有两名技术人员能够完成 日常故障处理以及设置、安装操作，但仅有一名技术人员掌握系统密码， 若该名技术人员外出， 须将密码转告另外一名技术人员， 事后应修改密码， 两人不能同时外出，交接时应做好记录 Importa nt & Selected Doc

3、ume nts 4.5普通事件警告是指未对信息系统安全构成危害、而仅对终端系统或局部网 络安全造成危害，或者危害已经产生但没有继续扩散的事件，如对使用的 终端和网络设备未经同意私自设置权限等；严重事件警告是指对信息系统 安全构成威胁的事件，如试图使病毒（木马、后门程序等）在网络中扩散、 攻击服务器、改变网络设备设置场所的设置状态、编制非法软件在网络系 统中试运行等；特殊事件是指来自公司网络外部的恶意攻击，如由外部人 员使用不当造成或其它自然突发事件引起。事件鉴定小组由相关的网络工 程师、终端设备维护工程师和应用系统程序员等相关人员组成 5 信息系统安全管理流程C-14-04-001 步骤 涉及

4、部门 步骤说明 1 信息技术部网络 工程师、终端设 备维护工程师 根据国际和国家信息系统安全的有关法律、法规的规定及信息技 术行业的行业安全标准，并结合公司有关商业保密的规定，制定 公司的信息系统安全政策，包括信息系统访问权限设置方案、数 据备份及突发事件处理政策、病毒防治等信息系统安全政策 2 信息技术部经理 审核公司信息系统的各种安全政策规定，保证符合公司信息管理 的安全要求和商业机密信息的管理要求，若通过，上报主管副总 审批，若不通过，指出修改意见，责成相关人员进行修改 3 公司主管副总 审核公司信息系统的各种安全政策规定，若通过，下发具体执行， 若不通过，指出修改意见，责成相关人员进行

5、修改 4 人力资源部劳动 用工管理员 根据公司计算机及网络设备使用的有关规定，在公司发生新员工 入厂、员工调动和岗位变动等情况时，编制新员工或员工变动状 况一览表 5 信息技术部网络 工程师、终端设 备维护工程师 根据人力资源部提供的一览表，结合公司计算机及网络设备的使 用规定，确定各岗位的计算机资源的配置和系统访问权限 6 信息技术部网络 工程师、终端设 备维护工程师 对各个网络用户及计算机设备的使用过程进行监测，同时督促各 个终端用户定时对关键数据进行备份 7 信息技术部网络 工程师、终端设 备维护工程师 根据公司的信息系统安全政策，选择建立各项软硬件的安全措施， 包括病毒防治软件、防火墙技术等，并在网络上安置必要的预警 装置；定期在公司范围内发布病毒防治的数据资料，并提供病毒 库升级下载文档 8 信息技术部网络 工程师、终端设 备维护工程师 当发生安全预警时，根据警报的性质，按照突发事件的处理规程 采取必要的处理措施，并在1小时内将情况汇报至信息技术部经 理 8.1 信息技术部经 根据警报的性质判断紧急级别，视情况上报公司主管副总，采取 补救措施，记录事故档案并通报全公司 Importa nt & Selected Docume nts 步