有限公司信息安全管理手册_第1页
有限公司信息安全管理手册_第2页
有限公司信息安全管理手册_第3页
有限公司信息安全管理手册_第4页
有限公司信息安全管理手册_第5页
已阅读5页,还剩92页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

年4月19日有限公司信息安全管理手册文档仅供参考xxxx有限公司信息安全管理手册密级□机密□保密■内部使用□公开信息受控状态■受控□非受控-12-01-12-01颁布封面-01-01实施深圳市xxxx有限公司信息中心发布文件历史控制记录文件名称信息安全管理手册文件编号IT-IT-M-0003对应OA文号版次编制与修订概要完成日期状态角色人员编写初审会签审核批准前言随着xxxx有限公司业务发展日益增长,信息交换互连面也随之增大,信息业务系统依赖性扩大,所带来的信息安全风险和信息脆弱点也逐渐呈现,原有信息安全技术和管理手段很难满足当前和未来信息化安全的需求,为确保xxxx有限公司信息及信息系统的安全,使之免受各种威胁和损害,保证各项信息系统业务的连续性,使信息安全风险最小化,xxxx有限公司每年开展网络与信息系统安全风险评估及等级保护测评,定期对等级保护测评与风险评估活动过程中的风险漏洞进行全面整改,分析了信息安全管理上的不足与缺陷,编制了差距测评报告。经过开展信息安全风险评估和等级保护测评,了解xxxx有限公司信息安全现状和未来需求,为建立xxxx有限公司信息安全管理体系奠定了基础。7月开展信息安全管理体系持续改进建设,依据信息安全现状和未来信息安全需求及GB/T22080-/ISO/IEC27001:信息安全管理体系的标准要求,建立了符合xxxx有限公司信息安全管理现状和管理需求的信息安全管理体系,该体系覆盖了GB/T22080-/ISO/IEC27001:信息安全管理体系的标准要求12个控制领域、39个控制目标和133个控制措施。本手册是xxxx有限公司信息安全管理体系的纲领性文件,由信息中心归口负责解释。信息安全管理手册颁布令xxxx有限公司(以下简称公司)依据GB/T22080-/ISO/IEC27001:信息安全管理体系标准要求,结合限公司实际情况,在原有的各项管理制度的基础上编制完成了<xxxx有限公司信息安全管理体系手册>第一版,现予以批准实施。<xxxx有限公司信息安全管理体系手册>是公司在信息及信息系统安全方面的规范性文件,手册阐述了限公司信息安全服务方针,信息安全目标及信息安全管理体系的过程方法和策略,是公司信息安全管理体系建设实施的纲领和行动准则,是公司开展各项服务活动的基本依据;是对社会各界证实我公司有能力稳定地提供满足国际标准信息安全要求以及客户和法律法规相关要求的有效证据。适合公司信息化当前发展趋势需求,且内容充分、表示准确,现予颁布。本手册定于8月1日起实施,属强制性文件,要求各部门所有人员必须正确理解并严格贯彻全面执行。xxxx有限公司总经理签名:日期:01月01日公司介绍企业简介xxxx有限公司(以下简称xxxx)始创于4月,大致经过三个发展阶段:第一阶段,—,为创业期,全力开拓市场,实现在竞争激烈的行业中立足;第二阶段,—,为整合期,整合一切有效资源,重力推出新产品,奠定以优质产品占据市场的方向,梳理并确立了经营理念、发展愿景、经营方针,完成了股份制改革;第三阶段,—至今,为蜕变期,立足电气传动、工业控制领域,为全球用户提供专业化产品和服务,于在深交所A股上市,股票代码:002334,步入不断提升企业核心竞争力,并实现飞跃的阶段。当前xxxx设有国内办事处30多个,海外办事处2个,拥有海内外经销合作伙伴上百家,用户遍布全球50多个国家和地区。xxxx是国家级高新技术企业,拥有深圳市唯一的”变频器工程技术研究开发中心”。在吸收国外先进技术的基础上,结合近十年变频推广应用经验和当今电力电子最新控制技术,研制出高、中、低压通用及各行业专用变频器、交流伺服系统、制动单元、能量回馈单元等产品。并在市政、建材、塑胶、油田、机械、化工、冶金、纺织、印刷、机床、矿山等行业广泛应用。xxxx变频器产品包括低压CHA/CHV/CHE/CHF/各行业专用系列、中压660V/1140V系列、高压CHH(3KV/6KV/10KV)系列等,功率范围涵盖0.4~8000kW,满足不同行业不同场合的各种变频控制应用需求。成熟矢量控制技术、各行业专用变频控制技术的掌握以及国际领先四象限控制技术的突破使xxxx的发展持续领先,成为中国变频器行业的领导者。高性能交流伺服系统的开发与成功应用标志着xxxx向运动控制领域的拓展与延伸。xxxx在”众诚德厚、业精志远”的经营理念指导下,坚持在不断创新、精益求精中与包括员工、股东、供应商、客户等广大合作伙伴共同发展,公司的自主创新及品牌美誉度在行业中已经占有重要地位,并得到社会的广泛认同。企业文化经营理念:众诚德厚业精志远愿景:成为全球领先、受人尊敬的电气传动、工业控制领域的产品和服务供应商。使命:竭尽全力提供物超所值的产品和服务,让客户更有竞争力。经营方针:创新品质标准化共同发展核心价值观:众诚德厚拼搏创新人才理念:人才是企业第一资本尊重人才,经营人才质量方针:提供不断优化的产品和服务,提高客户满意度。企业标识:标识释义:xxxx企业标徽有两种色彩:xxxx红(M100Y80)、xxxx蓝(C100M80K40),红色体现进取和活力,蓝色象征包容和专注的钻研精神。字体设计简洁、凝聚、浑厚、扩张,传达xxxx经过与合作伙伴和员工的合力凝聚坚固产品品质,厚重企业诚信、拼搏创新、走向国际、再创新高的思想。”INVT”是变频器(inverter),也是创新(innovation)和美德(virtue)的结合,是xxxx核心价值观”众诚德厚,拼搏创新”的标识承载;首字母”i”色彩红蓝结合,强调xxxx企业——个人与团队、个人与公司、xxxx与客户、供应商的相互信赖,共同发展;红色圆点是旭日也是星球,蓝色体现企业所在地域——滨海城市深圳,体现xxxx电气立足本土,致力于成为全球领先、受人尊敬的电气传动、工业控制领域产品/服务供应商的远景目标。信息安全管理目标根据国家信息安全等级保护要求、公司下达的目标与指标、公司信息化发展战略目标、信息安全风险评估结果、信息用户的满意度,结合公司实现目标所需的资源,识别公司的信息安全目标与指标。公司每年年底制定下一年度的信息安全目标与指标,公司制定完成信息安全目标与指标的工作计划,将目标、指标的层层分解,并落实完成。下列是详细的信息安全目标:目标类别目标项目标值目标换算方法统计周期信息安全目标不可接受风险处理率100%(不可接受风险数处理数/不可受风险总数)×100%年机密信息泄密事件0次按实际发生次数统计年秘密信息泄密事件0次按实际发生次数统计年特别重大突发事件(Ⅰ级)0次按实际发生次数统计年重大突发事件(Ⅱ级)0次按实际发生次数统计年较大突发事件(Ⅲ级)0次按实际发生次数统计年一般突发事件(Ⅳ级)0次按实际发生次数统计年内部审核及管理评审实施及时率100%按计划实施年员工入职培训完成率100%(入职员工参训人数/入职员工总数)×100%年信息安全培训计划完成率100%(实际培训次数/计划培训次数)×100%年信息安全运行指标大面积感染计算机病毒次数0次按实际发生次数统计年由于网络故障导致关键业务中断次数0次按实际发生次数统计年员工保密协议签订率100%(实际签订人数/入职总人数)×100%年重要信息备份及时率100%(实际备份数/计划备份数)×100%年内部审核不符合项整改率≥90%(不符合项整改完成数/不符合项总数)×100%年计算机故障处理完成率100%(实际处理数/故障总数)×100%年容量不足导致业务故障次数≤3按实际发生次数统计年计算机口令强度符合率100%(帐号符合数/帐号总数)×100%年注:公司的信息安全目标不限此,可根据各部门的实际业务进行调整或分解。信息安全会议信息安全会议要求公司应在每年一次的信息化工作会议上,总结汇报本年度的信息安全工作情况。公司应在每季度召开的计算机管理会议中,总结本季度的信息安全工作情况。公司信息中心应在每月召开的信息管理工作例会中,总结本月的信息安全工作情况。公司应根据风险变化的需要或在重大活动期间,不定期召开信息安全专题会。信息安全会议记录管理公司应及时制定相关的信息安全管理文件、信息安全数据与记录。信息安全管理数据与记录包括:信息安全会议纪要信息安全事故调查报告信息安全事件整改报告信息安全检查整改方案信息安全审计记录技术档案资料培训记录信息安全作业活动数据与记录信息安全事件通报、整改活动信息安全检查活动应急演练活动信息系统定级备案活动信息安全审计活动信息安全风险评估活动数据与记录要求:真实、完整、齐全、准确、及时。信息文件的管理根据精简、高效的原则,制定公司信息安全工作和管理流程,包括:信息安全管理流程信息安全事件处理流程信息安全应急流程其它相关流程每年回顾流程的效率,必要时修订、增加或废除不必要的流程或环节。信息安全管理流程和信息安全事件处理流程纳入信息安全管理体系中管理信息安全应急流程纳入<xxxx有限公司网络与信息安全专项应急预案>中管理。根据管理变化、技术变化,公司定期修订如下:更新管理手册、程序文件、作业指导书或管理制度、办法;更新培训要求;更新应急处理程序;对涉及到的所有信息安全风险进行回顾分析;变化管理需文件化,并保存变化过程的相关记录。信息安全管理体系总则为了加强xxxx有限公司(以下简称”xxxx有限公司或公司”)信息安全管理工作,保护信息系统的安全,促进信息系统的应用和发展,根据国家有关法律法规,以及变频器行业的管理规范、行业标准,并遵照公司信息系统安全的有关规定,特制定本手册。信息系统的安全保护范围包括各信息系统相关的和配套的软件、硬件、信息、网络和运行环境的安全。xxxx有限公司信息系统安全管理应遵循”统一规划、预防为主、集中管理、分层保护、明确责任”的原则。xxxx有限公司运行中的信息系统是支撑生产的运行设备,各级安全生产责任人对其职责范围内的信息系统安全运行负有安全管理责任。任何人不得利用信息系统从事危害国家利益、集体利益和其它公民权益的活动,不得从事危害xxxx有限公司信息系统安全的活动。本手册适用于公司本部、各基层单位的信息系统的安全保护工作。公司多经企业参照执行。规范性引用标准<信息安全等级保护管理办法>(公通字[]43号)<信息安全技术信息系统安全等级保护基本要求>(GB/T22239-)<信息安全技术信息系统安全等级保护定级指南>(GB/T22240-)<信息安全技术信息安全管理实用规则>(GB/T22081-)<信息安全技术信息安全风险评估规范>(GB/T20984-)国家相关法律、法规及合同的要求。术语与定义资产asset任何对组织有价值的东西。可用性availability根据授权实体的要求可访问和利用的特性。保密性confidentiality信息不能被未授权的个人、实体或者过程利用或知悉的特性。信息安全informationsecurity保证信息的保密性、完整性、可用性;另外也可包括诸如真实性,可核查性,不可否认性和可靠性等特性。信息安全事态informationsecurityevent信息安全事态是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态。信息安全事件informationsecurityincident一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成,它们具有损害业务运作和威胁信息安全的极大的可能性。信息安全管理体系informationsecuritymanagementsystem是整个管理体系的一部分。它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的。注:管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。完整性integrity保护资产的准确和完整的特性。残余风险residualrisk经过风险处理后遗留的风险。风险接受riskacceptance接受风险的决定。风险分析riskanalysis系统地使用信息来识别风险来源和估计风险。风险评估riskassessment风险分析和风险评价的整个过程。风险评价riskevaluation将估计的风险与给定的风险准则加以比较以确定风险严重性的过程。风险管理riskmanagement指导和控制一个组织相关风险的协调活动。风险处理risktreatment选择而且执行措施来更改风险的过程。注:在本标准中,术语”控制措施”被用作”措施”的同义词。适用性声明statementofapplicability描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档。信息系统是指由计算机及其相关配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统,包括管理信息系统和生产控制系统。信息安全保持信息的保密性、完整性和可用性,另外也可包括诸如真实性,可核查性,不可否认性和可靠性等。信息系统运行单位是指信息系统资产归属单位,对于托管的信息系统有另行约定的除外。信息安全工作人员是指包括信息安全管理人员、信息安全技术人员(包括防火墙、入侵检测系统、漏洞扫描系统、防病毒系统等信息安全相关设备的管理员)和信息安全审计员。信息工作人员是指与关键信息系统(涉及公司生产、建设与经营、管理等核心业务且有保密要求的信息系统)直接相关的系统管理人员、网络管理人员、关键业务信息系统开发人员、系统维护人员、关键业务信息系统操作人员等。第三方是指软件开发商、硬件供应商、系统集成商、设备维护商、服务提供商以及其它外协单位。第三方人员是指包括软件开发商出、硬件供应商、系统集成商、设备维护商、服务提供商及其它外协服务单位的工作人员,以及实习学生和其它临时工作人员。信息资产是指公司在生产、经营和管理过程中,所需要的以及所产生的,用以支持(或指导、或影响)公司生产、经营和管理的一切有用的数据和资料等非财务的无形资产,其范围包括现在的和历史的。信息系统运行维护单位是指与信息系统运行单位签订维护合同的专业服务提供商。信息安全等级保护是指根据国家信息安全等级保护相关管理文件,确定信息系统的安全保护等级,并开展相应的信息系统安全等级保护工作。信息安全评估是指,按照<管理办法>和有关技术标准,开展信息系统安全等级保护的自查自纠、差距评测、安全整改等续工作。安全风险管理是指采用风险管理的理念与方法来识别、评估信息系统面临的风险,制定风险控制措施,并将风险降低到可接受的程度,安全风险管理包括风险评估和风险控制。注:基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同义务以及组织对于信息安全的业务要求,制定控制目标和控制措施。标准缩写ISMS:信息安全管理体系(InformationSecurityManagementSystems);SoA:适用性声明(StatementofApplicability);PDCA:建立、实施和运行、监视和评审、保持和改进(Plan、Do、Check、Act)。信息安全管理体系总要求根据GB/T22080-/ISO/IEC27001:信息安全管理体系要求标准在整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。ISMS所涉及的过程基于以下PDCA模式:建立建立ISMS保持和改进ISMS实施和运作ISMS监控&评审ISMS相关方已被管理的信息安全相关方信息安全要求&期望、法律法规策划(D)措施实施检查图4-1PDCA模型规划(建立ISMS)建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和程序,以提供与组织总方针和总目标相一致的结果。实施(实施和运行ISMS)实施和运行ISMS方针、控制措施、过程和程序。检查(监视和评审ISMS)对照ISMS方针、目标和实践经验,评估并在适当时,测量过程的执行情况,并将结果报告管理者以供评审。处理(保持和改进ISMS)基于ISMS内部审核和管理评审的结果或者其它相关信息,采取纠正和预防措施,以持续改进ISMS。本手册中提出的用于信息安全管理的过程方法鼓励其用户强调以下方面的重要性:理解xxxx有限公司的信息安全要求和建立信息安全方针与目标的需要;从组织整体业务风险的角度,实施和运行控制措施,以管理xxxx有限公司的信息安全风险;监视和评审ISMS的执行情况和有效性;基于客观测量的持续改进。本标准采用了”规划(Plan)-实施(Do)-检查(Check)-处理(Act)”(PDCA)模型,该模型可应用于所有的ISMS过程。图1说明了ISMS如何把相关方的信息安全要求和期望作为输入,并经过必要的行动和过程,产生满足这些要求和期望的信息安全结果。图4-1描述了4、5、6、7和8章所提出的过程间的联系。采用PDCA模型还反映了治理信息系统和网络安全的OECD指南()中所设置的原则。本标准为实施OECD指南中规定的风险评估、安全设计和实施、安全管理和再评估的原则提供了一个强健的模型。ISMS的建立、实施和运作、监督和评审、保持和改进建立ISMSxxxx有限公司ISMS的范围和边界根据业务、组织、资产、位置等方面的特性,确定ISMS的范围和边界。xxxx有限公司信息安全管理体系的范围和边界包括:业务边界:xxxx有限公司为开展供电业务,在管理信息大区范围内实施的信息安全管理。组织边界:xxxx有限公司信息中心;资产边界:xxxx有限公司负责管理的信息资产;物理边界:广东省广州市天河区天南二路239号和梅花路机房确定xxxx有限公司ISMS方针应满足以下要求确保为ISMS方针建立一个框架并为信息安全实施和运作、监督和评审、保持和改进的活动建立系统的方向与原则;确定业务发展、法律法规要求及其它相关方合同涉及的信息安全要求;在组织的战略和风险管理下,建立和保持ISMS;建立风险评价的准则和机团队;获得信息安全领导小组批准。风险评估的系统方法xxxx有限公司信息中心负责建立信息安全风险评估控制程序并组织实施。风险评估控制程序包括可接受风险准则和可接受水平,所选择的评估方法应确保风险评估能产生可比较的和可重复的结果。具体的风险评估过程控制执行<信息安全风险评估程序>,以下是风险评估流程图;确定确定ISMS范围资产识别与重要信息资产确定威胁识别与评价已有控制措施确认薄弱点识别与评价风险评估(测量)是否接受保持已有的控制措施施施选择安全目标及控制措施实施残余风险评审YESNO风险评估流程图风险识别在已确定的ISMS范围内,对所有的信息资产进行列表识别。信息资产包括软件/系统、数据/文档、硬件/设施、服务、人力资源。对每一项信息资产,根据重要信息资产判断依据确定是否为重要信息资产,形成<重要信息资产清单>。评估风险针对每一项重要信息资产,参考<信息安全威胁列表>及以往的安全事故(事件)记录、信息资产所处的环境等因素,识别出所有重要信息资产所面临的威胁;针对每一项威胁,考虑现有的控制措施,参考<信息安全薄弱点列表>识别出可能被该威胁利用的薄弱点;综合考虑以上2点,按照<威胁发生可能性等级表>中的判定准则对每一个威胁发生的可能性进行赋值;根据<威胁影响程度判断准则>,判断一个威胁发生后对信息资产在保密性(C)、完整性(I)和可用性(A)方面的损害及对公司业务的威胁影响程度,对其威胁影响程度进行赋值;进行风险大小计算时,考虑威胁产生安全故障的可能性及其所造成影响程度两者的结合,根据风险计算公式来计算风险等级;对于信息安全风险,在考虑控制措施与费用平衡的原则下制定风险接受准则,按照该准则确定何种等级的风险为不可接受风险。风险处理方法的识别与评价xxxx有限公司信息中心组织有关部门根据风险评估的结果,形成<风险处理计划>,该计划应明确风险处理责任部门、方法及时间。对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施:采用适当的内部控制措施;接受某些风险(不可能将所有风险降低为零);规避某些风险(如物理隔离);转移某些风险(如将风险转移给保险公司、供应方)。选择控制目标与控制措施信息中心根据信息安全方针、业务发展要求及风险评估的结果,组织有关部门制定信息安全目标,并将目标分解到有关部门。信息安全目标应获得信息安全领导小组的批准。控制目标及控制措施的选择原则来源于GB/T22080-/ISO/IEC27001:信息安全管理体系要求标准附录A,具体控制措施能够参考GB/T22081-/ISO/IEC27002:<信息技术—安全技术—信息安全管理实施细则>。xxxx有限公司根据信息安全管理的需要,能够选择标准之外的其它控制措施。适用性声明信息中心负责<信息安全管理体系适用性声明>(SoA)编制,由信息中心归口管理。该声明包括以下方面的内容:所选择控制目标与控制措施的概要描述;当前已经实施的控制;对GB/T22080-/ISO/IEC27001:信息安全管理体系要求附录A中未选用的控制目标及控制措施的说明。注:该声明的详细内容见<信息安全管理体系适用性声明>。ISMS实施及运行ISMS岗位职责和权限信息安全领导小组组长为公司信息安全最高管理者。领导小组主要职责:国家有关信息安全的政策、法律和法规,以及南方电网公司和公司的统一部署要求,审查、批准xxxx有限公司信息安全策略、管理规范和技术标准;部署信息安全总体工作,审定信息安全投资策略,建立工作考评机制;指导信息安全保障体系建设和应急管理。信息安全工作小组主要职责:根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实;贯彻执行信息安全领导小组的决议,协调、督促各部门、各单位的信息安全工作;制订信息安全策略和投资策略,组织对信息安全工作制度和技术操作策略的审查,并监督执行;接受各单位的紧急信息安全事件报告,组织信息安全应急处理工作,并开展事件调查、分析原因、涉及范围和评估安全事件的严重程度,提出信息安全事件防范措施;及时向信息安全领导小组和上级有关部门、单位报告信息安全事件;跟进先进的信息安全技术,组织信息安全知识的培训和宣传工作。信息安全管理体系的管理者代表对公司信息安全负有以下职责:建立并实施信息安全管理体系必要的程序并维持其有效运行;对信息安全管理体系的运行情况和必要的改进措施向信息安全领导小组报告。各部门负责人为本部门信息安全管理者,全体员工都应按保密承诺的要求自觉履行信息安全保密义务;各部门应按照<信息安全管理体系适用性声明>中选择的控制目标与目标的控制措施,确保ISMS有效实施与运行,并开展以下活动:确保信息安全风险的有效管理,制定<风险处理计划>,以便明确管理措施、所需资源、工作职责及识别活动的优先顺序;保证已识别的控制目标实施<风险处理计划>;确保处理风险所选择的控制措施,以满足控制目标;确保所选控制措施有效测量;制定<信息安全培训计划>并加以实施,提高全员信息安全意识和能力;管理ISMS的运行;管理ISMS的资源;制定信息安全事件或事故的程序控制措施,以便迅速的检测安全事件与安全事故的响应。ISMS的监督检查与评审经过实施不定期安全检查、内部审核、事故报告调查处理、电子监控、定期技术检查(如日志审核)等控制措施并报告结果以实现:及时发现信息安全体系的事故和隐患;及时了解信息处理系统遭受的各类攻击;使管理者掌握信息安全活动是否有效,并根据优先级别确定所要采取的措施;积累信息安全方面的经验。根据以上活动的结果以及来自相关方的建议和反馈,由信息安全工作小组组长主持,定期(每年至少一次)对ISMS的有效性进行评审,其中包括信息安全范围、方针、目标及控制措施有效性的评审。管理评审的具体要求,见本手册第7章。信息中心应组织有关部门按照<信息安全风险管理程序>的要求对风险处理后的残余风险进行定期评审,以验证残余风险是否达到可接受的水平,对以下方面变更情况应及时进行风险评估:组织机构发生重大变更时;信息处理技术发生重大变更时;xxxx有限公司业务目标及流程发生重大变更时;发现信息资产面临重大威胁时;外部环境,如法律法规或信息安全标准发生重大变更时。保持上述活动和措施的记录。ISMS保持与改进xxxx有限公司开展以下活动,以确保ISMS的持续改进:实施每年安全检查、内部审核、管理评审等活动以确定需改进的项目;按照<内部审核管理程序>、<纠正与预防措施控制程序>的要求采取适当的纠正和预防措施;吸取其它组织及xxxx有限公司安全事故的经验教训,不断改进现有安全措施。对信息安全目标及分解进行适当的管理,确保改进达到预期的效果。为了确保信息安全管理体系的持续有效,各级管理者应经过适当的手段对信息安全措施的执行情况与结果进行有效的交流与沟通。与外部信息安全专家、信息安全机构、政府行政主管部门、电信运营商等组织保持联系。与外部专家、服务商等外部机构的联系方式见<对外联系表>。文件要求总则根据GB/T22080-/ISO/IEC27001:信息安全管理体系标准要求并结合xxxx有限公司实际情况建立xxxx有限公司信息安全管理体系文件结构,体系文件分为四级,分别为一级文件、二级文件、三级文件及四级记录性文件。一级文件为信息安全管理体系手册(包含信息安全方针、目标)和适用性声明等;二级文件为信息安全管理体系建立实施的相关程序文件;三级文件为信息安全管理体系建立实施的相关制度、办法和规程等;四级文件为信息安全管理体系实施运行过程中的记录类文件。文件控制为确保文件的修订得到控制,使用现场得到有效版本的文件,防止作废文件的非预期使用,在<文件控制程序>中明确规定了文件的编制、评审、批准、发放、使用、更改、再次批准、标识、回收、作废和保存期限等管理。注:以上程序详细内容见<文件控制程序>。记录控制为提供有效的信息安全管理体系运行的符合性证据,并具有追溯、证实和依据记录采取纠正和预防措施的作用,在<记录控制程序>中明确规定了记录的填写要求、标识、收集、储存、检索、防护、保存期限和处理所需的控制。注:以上程序详细内容见<记录控制程序>。管理职责管理承诺信息安全领导小组承诺按GB/T22080-/ISO/IEC27001:信息安全管理体系标准要求建立、实施、运行、监视和评审,并经过持续保持和改进,使体系不断发展和完善。经过以下活动,确保上述承诺得以实现:制定ISMS方针:制定ISMS目标和实施计划;建立信息安全组织机构并明确职责;经过适当的沟通方式,利用多种方式向全体员工传达并使她们认识到满足信息安全目标、符合信息安全方针以及法律、法规要求,持续改进信息安全的重要性;提供适当的资源以满足信息安全管理体系建立、实施、运行、监视、评审、保持和改进的需要;对可接受风险的等级进行判断;组织实施ISMS内部审核;组织实施ISMS管理评审。资源管理资源提供确保并提供实施、保持信息安全管理体系所需资源,并采取适当措施,以保证:建立、实施、运作、监视、评审、保持和改进ISMS;确保信息安全管理程序符合业务支持流程要求;识别和满足法规要求以及合同中的安全义务;经过正确实施所有的控制措施保持适当的信息安全;必要时,应对资源提供进行评审,并按评审结果执行;在需要时,改进ISMS资源的有效性。能力、意识和培训为提高全员信息安全的意识,确保相关人员履行信息安全职责所需的能力,应采取并实施以下的管理活动:确保与ISMS有关工作人员具备必要的信息安全能力;实施信息安全意识和能力的教育及培训并评价其培训的有效性;经过宣传和其它活动使员工普遍认识到信息安全职责的重要性,为实现信息安全目标做出各自的贡献;保持教育、培训、技能、经历和资格或其它活动的记录;注:以上程序详细内容见<教育培训控制程序>安全职责信息安全管理组织机构和人员职责xxxx有限公司信息安全管理机构有xxxx有限公司信息安全领导小组和xxxx有限公司信息安全工作小组,并配置相应的信息安全工作人员,包括信息安全管理人员、信息安全技术人员、信息安全审计员。xxxx有限公司信息安全领导小组xxxx有限公司成立信息安全领导小组。xxxx有限公司信息安全领导小组是公司信息安全的最高决策机构。xxxx有限公司信息安全领导小组组长由分管生产安全的公司领导担任。信息安全领导小组主要职责如下:对公司信息安全领导小组负责。根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准。确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。信息安全领导小组下设两个信息安全工作小组(包括管理信息系统信息安全工作小组和生产控制系统信息安全工作小组)和应急处理工作小组,并负责指导两个工作组的工作。xxxx有限公司信息安全工作小组xxxx有限公司信息安全工作组隶属xxxx有限公司信息安全领导小组,是领导小组决策的执行机构,工作组的日常工作由xxxx有限公司信息中心承担。xxxx有限公司信息安全工作组组长由xxxx有限公司信息中心领导担任。xxxx有限公司信息安全工作组主要职责如下:贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作;根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实;组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。xxxx有限公司应急处理工作小组xxxx有限公司应急处理工作小组组长由xxxx有限公司信息中心领导担任。xxxx有限公司应急处理工作小组主要职责如下:审定公司信息系统的安全应急策略及应急预案。决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统。每年组织对信息安全应急策略和应急预案进行测试和演练。应对公司内发生的大规模信息安全事件,协调指挥事故处理以及事故后系统恢复工作。xxxx有限公司信息中心xxxx有限公司信息中心是xxxx有限公司信息安全小组领导下的信息系统安全的职能和技术归口管理部门,并直接负责管理信息系统的安全管理和技术监督工作,其职责主要包括:组织制定xxxx有限公司信息安全保护工作的总体目标和总体策略。而且根据信息系统管理要求、运行环境的变化,以及系统本身的变化,及时更新信息安全保护工作的总体目标、策略、规划、技术标准和管理制度。不断提高信息安全管理的技术水平和管理手段。组织开展xxxx有限公司的信息安全等级保护工作,并进行xxxx有限公司信息安全评估和风险管理工作,组织编写信息安全保护工作的总体技术规范、管理制度、技术方案和实施计划,并负责组织实施。负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。监督指导各管理信息系统的开发建设人员、运行人员、维护人员、业务使用人员执行信息系统安全保护的技术标准和管理制度。组织对信息安全事故的调查取证工作,对其中涉及违纪违法、严重违规的事故配合人力资源部进行调查,并提出处理意见。负责监督管理数据中心及公司本部网络、设备、运行环境,以及集中管理的信息系统的安全保护工作。完成其它上级信息安全管理机构交办的信息管理系统安全防护工作。各级安全责任人各级安全生产责任人是其职责范围内的信息系统安全运行管理的责任人。各级安全生产责任人职责:负责监督执行xxxx有限公司制定的信息安全策略、管理制度和技术标准。负责监督管理其职责范围内信息系统及其附属网络、设备、软件、信息、运行环境的安全保护工作。负责监督执行xxxx有限公司信息安全保护的其它工作。基层单位计算机及网络专责基层单位计算机及网络专责是本单位范围内管理信息系统安全运行工作的责任人兼信息安全员。基层单位自动化专责是本单位范围内生产控制系统信息安全运行工作的责任人兼信息安全员。其安全职责:负责执行公司制定的信息安全策略、管理制度和技术标准。负责执行责任范围内信息系统及其附属网络、设备、软件、信息、运行环境的安全保护工作。定期向技术监督部门报告本单位的信息安全情况,对安全缺陷和事故应及时汇报。管理信息系统类安全情况向信息中心汇报,生产控制系统类安全情况向调度中心汇报。组织本单位员工进行信息安全知识的培训和宣传工作。在职能管理部门指导下,完成xxxx有限公司信息安全等级保护、安全评估、风险管理及其它工作。信息安全工作人员信息安全工作人员基本要求信息安全工作人员应由政治可靠、业务素质高、遵纪守法、恪尽职守的人员担任。信息安全工作人员应有计算机专业工作三年以上经历,及具备本科以上学历。兼职信息安全人员应有电力生产业务工作五年以上或专职计算机管理工作三年及以上经历,具备专科以上学历。违反国家法律、法规和行业规章受到处罚的人员,不得从事信息安全相关工作。信息安全工作人员在行使职责时,确因工作需要,经批准,可了解涉及电力生产、经营与管理有关的信息系统的机密信息。信息安全工作人员基本职责:信息安全工作人员发现本单位重大信息安全隐患,有权向公司信息中心报告。信息安全工作人员发现信息工作人员使用不当,应及时建议有关单位、部门进行调整。信息安全工作人员必须严格遵守国家有关法律、法规和公司有关规章制度,严守公司商业秘密。信息安全工作人员包括信息安全管理人员、信息安全技术人员、信息安全审计员,其相应的职责分别如下:负责信息安全管理的日常工作。组织开展信息安全检查,对信息工作人员安全工作进行指导和监督。组织开展信息安全知识的培训和宣传工作。监控信息安全总体状况,提出信息安全分析报告。及时向信息安全领导小组和有关部门、单位报告信息安全事件。信息安全技术人员职责负责信息安全相关设备(包括防火墙、入侵检测系统、漏洞扫描系统、防病毒系统等)的日常运行维护管理。负责防火墙系统策略的安全配置。负责定期查看入侵检测系统日志,对入侵检测系统发现的恶意攻击行为进行跟踪处理。负责漏洞扫描软件(包括漏洞库)的管理、更新和公布。负责对网络系统所有服务器和专用网络设备的首次、周期性和紧急的漏洞扫描。负责设备、系统等补丁升级、安全加固。负责定期更新反病毒数据库和程序模块,定期执行查杀病毒任务。负责定期升级垃圾邮件网关特征库、定期维护垃圾邮件网关黑白名单和规则库设置。负责密切注意最新网络攻击行为的发生、发展情况,关注和追踪业界公布的攻击事件。负责密切注意最新漏洞的发生、发展情况,关注和追踪业界公布的漏洞疫情;负责密切关注权威机构最近公布的病毒分析报告、最新恶性病毒的防范报警以及应急处理办法。信息安全审计员职责负责监督检查单位内部信息安全审计制度及其实施情况。定期检查信息系统的用户权限设置及安全配置是否与信息系统安全策规定相符合,监督检查信息系统数据安全管理工作。监督信息系统的运行情况,定期查看日志记录,对信息系统资源的各种非法访问事件进行分析、提出安全风险防范对策。信息工作人员信息工作人员包括系统管理员、系统维护员、系统开发员、数据库系统管理员、应用系统管理员、网络管理员、业务操作员,其相应的安全责任如下。系统管理员安全责任负责系统的运行管理,实施系统安全运行细则。严格用户权限管理,维护系统安全正常运行。负责对所管辖的服务器操作系统进行安全配置,并定期对所管辖的服务器操作系统进行安全检查。认真记录系统安全事项,及时向信息安全人员报告安全事件。对进行系统操作的其它人员予以安全监督。系统维护员安全责任负责系统维护,及时解除系统故障,确保系统正常运行。不得擅自改变系统配置和功能。不得安装与系统无关的计算机程序。维护过程中,发现安全漏洞应及时报告信息安全工作人员。系统开发员安全责任系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现。系统投产运行前,应完整移交系统源代码和相关涉密资料。不得对系统设置”后门”或添加”恶意代码”。对系统核心技术保密。数据库系统管理员安全责任负责数据库管理系统的安装、备份和维护,保证系统的安全、正常运行。负责对所管辖的数据库系统进行安全配置,并定期对所管辖的数据库系统进行安全检查。负责定期检查数据库数据的完整性和可用性,发现系统故障及时排除,做好系统恢复。应用系统管理员安全责任应根据应用系统的安全策略,负责应用系统的用户权限设置以及系统安全配置。密切注意应用系统运行中发生的系统故障、安全事件,关注应用系统存在的隐患,收集业务用户的问题反映,及时报告信息管理部门和业务主管部门。应根据应用系统运行的实际情况,制定应急处理预案,提交信息管理部门审定。网络管理员安全责任负责网络的运行管理,实施网络安全策略和安全运行细则。负责安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行。负责监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全工作人员报告安全事件。负责对操作网络管理功能的其它人员进行安全监督。业务操作员安全责任严格执行系统操作规程和运行安全管理制度。不得向她人提供自己的操作口令,不得把PKI数字证书介质借给她人使用。及时向系统管理员报告系统各种异常事件。普通员工普通员工的安全责任如下:每个员工须有责任保护本单位的计算机资源、设备及数据信息。每个员工有责任确保本机须符合信息安全措施要求,包括加入域、安装统一的防病毒软件、软件补丁,并定期升级。因工作需要访问互联网的员工,经审批后只能使用本单位互联网出口。不得以任何设备(如手机、ADSL、MODEM等)私自将本单位计算机接入互联网。离开办公室或工作区域,须锁定计算机屏幕或关闭计算机。在办公室之外的地方工作,须将笔记本电脑置于控制之下。严格遵守”涉密信息不上网,上网信息不涉密”的纪律。未经授权不准制作、复制、发布、传播任何可能泄漏国家秘密、单位商业秘密、工作秘密的信息。禁止经过本单位计算机及网络访问不良及政治敏感网站,禁止传播、扩散不良或政治敏感信息,严禁利用本单位计算机及网络从事违法活动。发现紧急事件(如计算机感染病毒、非法入侵等)时,须首先断开网络连接,并及时报告信息服务中心或本单位信息安全人员处理。不得在单位浏览与工作无关的网站,不得运行与工作无关的软件,不得打开来历不明的邮件,员工在单位网络内群发邮件仅能够用于工作目的。未经信息管理部门允许,员工不得监控网络流量,不得针对单位内的网络或服务器进行安全扫描程序,不得增加网络设备(如HUB、交换机)到本单位内的网络架构中。禁止员工在网络上伪装为她人身份,禁止利用连网计算机从事危害单位网络与信息安全的行为,不得危害或侵入服务器、工作站,不得有网络攻击行为。禁止员工在网络上传播未经证实信息、垃圾邮件和广告等无关消息或在网络上以单位的名义表示私人的意见或看法。员工应妥善保管自身的帐号、口令、PKI数字证书介质(如智能卡、USBKEY)等,口令安全符合相关规定,丢失时须及时报告信息服务中心。内部ISMS审核信息中心按计划的时间定期组织内部ISMS审核,以确定其ISMS的控制目标、控制措施、过程和程序是否:符合GB/T22080-/ISO/IEC27001:信息安全管理体系要求标准和相关法律法规要求;符合已识别确定的信息安全要求;有效实施和保持;完成预期的目标。注:以上程序详细内容见<内部审核控制程序>。ISMS管理评审总则信息安全管理体系管理者代表应按计划的时间间隔(原则上一年进行一次评审,组织发生重大变更或信息安全出现重大事故后应视影响情况来定),对组织的ISMS进行评审,以确保其持续适宜性、充分性和有效性。评审包括评价改进的机会和对体系进行修改的需求,包括信息安全方针、目标和指标的修改需求。评审的结果应清晰地形成文件,记录应加以保持,评审具体执行<管理评审控制程序>。管理评审的输入信息安全管理体系管理者代表应组织相关部门按要求提供以下资料:ISMS审核结果,包括第一方[内部审核]、第二方和第三方审核的结果;相关方的反馈(投诉、抱怨、建议);技术、产品和程序用于改进ISMS执行情况的有效性;纠正和预防措施的实施情况;以往信息安全风险评估没有充分强调的脆弱点或威胁;信息安全目标实现程度;以往管理评审的跟踪措施的实施情况;可能影响信息安全管理体系变更的事项(标准、法律法规、相关方要求);对信息安全管理体系改进的建议。管理评审的输出管理评审的输出应包括与以下方面有关的任何决定和措施:信息安全管理体系过程有效性的改进;风险评估和风险处理计划的更新;以下内内容发生变更,必要时修改影响信息安全的程序和控制措施,以响应业务发展要求;业务要求;信息安全要求;影响现有信息安全业务要求的业务过程;信息安全相关法律法规要求;风险级别和风险接收准则;合同义务;对资源的需求;评价控制措施的有效性。注:以上内容的详细要求见<管理评审控制程序>。ISMS持续改进持续改进xxxx有限公司经过制定信息安全方针、安全目标,审核结果,监视事态的分析、纠正和预防措施以及管理评审等活动,持续改进ISMS的有效性。纠正措施不符合事项的责任部门在查明原因的基础上制定并实施相应的纠正措施,以消除不符合事项,防止不符合事项再次发生。在<纠正与预防措施控制程序>和其它控制、检查文件中明确以下要求:识别不符合ISMS的事项(指明不符合事项的判断依据);确定不符合产生的原因;评价确保不符合不再发生的措施需求;确定和实施纠正措施的需求;针对记录文件所采取措施的结果;评审对所采取的纠正措施。预防措施信息中心应定期(原则上一年一次,特殊情况除外)组织有关部门分析信息安全方面的相关信息,如内外审核报告、监视记录、相关方安全专家的建议、新反病毒技术等,以便采取措施,消除潜在不符合的原因,防止其发生。预防措施应与潜在问题的影响程度相适应。预防措施的要求在<纠正与预防措施控制程序>中作详细规定。该程序包括了以下方面的要求:识别潜在不符合及其它原因所在;评价防止不符合发生的预防措施;确定实施所需要的预防措施;记录所采取措施的结果;评价所采取的预防措施;识别已变更的风险,并识别潜在的重大风险的预防措施的要求,预防措施的优先级要根据风险评估的结果来确定。各责任部门应对本部门预防措施的实施加以控制,确保预防措施的有效性。管理评审前,信息中心应对以往管理评审后所实施的所有预防措施进行汇总并提交评审。注:以上内容详细要求见<纠正与预防控制程序>。资产安全管理信息中心应清晰的识别,编制并保存所有重要资产的清单,包括资产责任部门、重要程度和所处位置等内容。信息中心应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为。信息中心应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施。信息中心应根据公司<公司信息安全管理办法>对信息进行分级,对信息标识方法做出规定,并对信息的使用、传输和存储等进行规范化管理。人员安全管理信息安全工作人员安全管理信息安全工作人员应恪守职业道德,严守企业秘密,熟悉国家安全生产法以及有关信息安全管理的相关规程。信息安全工作人员应在从事信息安全的相关工作前,须参与相关培训和考核,考核合格经授权后,才能从事信息安全的相关工作。信息安全工作人员有责任保护公司信息秘密,必须遵守自己岗位各项管理制度,须签订保密协议书并作出安全承诺。信息安全工作人员工作性质、工作岗位变动时,须报告公司信息中心,并重新进行考核或者授权。信息安全工作人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及公司业务核心技术的信息安全工作人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。信息安全工作人员的任期应根据系统的安全性要求而定,最长为三年,期满经过考核后能够续任。信息工作人员安全管理信息工作人员上岗前必须经单位人力资源部进行政治素质审查,技术部门进行业务技能考核,工作经历和工作经验考查等,合格者方可上岗。信息工作人员的任命应遵循”权限分散、不得交叉覆盖”的原则,系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员,系统开发人员原则上不应兼任系统管理员,在多个系统的环境下,管理员和审计员岗位可交叉担任。对关键信息系统管理人员应不定期地循环任职,实行定期考查制度,定期接受安全培训,加强自身安全意识和风险防范意识。对业务操作人员进行轮流培训。信息工作人员有责任保护信息系统的秘密,必须签订保密协议书并做出安全承诺,必须遵守自己岗位各项管理制度。对信息工作人员实行定期考查制度,要害岗位人员应定期接受安全培训,加强自身安全意识和风险防范意识。信息工作人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务;涉及公司业务保密信息的信息工作人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。信息工作人员离岗后,必须即刻更换该用户账号的操作口令或注销该用户账号。第三方人员安全管理第三方人员是指软件开发商、硬件供应商、系统集成商、设备维护商和服务提供商的工作人员,以及实习学生和临时工作人员,对第三方人员安全管理要求如下:须对第三方人员的物理访问和逻辑访问实施访问控制,提供专门的第三方人员安全工作区域。根据其在系统中完成工作的时间、性质、范围、内容等方面的需要给予最低授权。第三方人员应在合同中明确规定现场工作或远程维护工作内容,如工作涉及机密或秘密信息内容,应要求其签署保密协议。第三方人员应在本单位信息中心门有关人员的陪同和监督下开展现场工作。未经批准,第三方人员不可使用单位内部的设备、软件、网络资源等,不可更改单位内部软硬件的配置状态。未经批准,第三方人员携带的笔记本电脑、掌上电脑,不能够接入公司内部网络,若工作需要,第三方人员自带设备接入单位内部网络和信息系统时,应得到特别授权,并在接入前,须经过杀毒处理,而且必须在指定的区域、经过指定的端口、指定的方式接入内部网络,其操作应受到审计。第三方人员的工作结束后,应及时清除有关账户、过程记录等信息。普通员工安全管理严禁内部员工利用单位内的网络设备、计算机设备、移动存储设备及信息系统进行以下活动:散播违反国家法律法规的信息。泄露国家机密、企业商业秘密。浏览、下载与本人工作无关的信息。安装不符合公司信息安全技术要求的软件、硬件。扫描、攻击信息系统其它计算机设备、网络设备。人员培训与教育管理应定期对普通员工进行信息安全意识教育和基本的信息安全知识培训,可采用讲座、培训班、员工信息安全手册、EIP门户专栏等各种形式开展。信息安全工作人员、信息工作人员应定期接受政治思想教育、职业道德教育和安全保密教育。必须对信息安全工作人员、信息工作人员开展相关的技能培训,并根据各个岗位的技能要求和培训需求,分层、分级编制年度培训计划,培训内容至少包括:信息安全法律法规及行业规章制度的培训,信息安全意识教育;信息安全基础知识、岗位操作规程与技能等培训;网络与信息安全风险管理体系的技术培训;工作中潜在的风险与控制方法培训;事件预防及响应中的程序、角色和职责培训;信息安全管理手册与作业指导书培训。按计划实施培训,对教育和培训的情况和结果进行记录和归档保存。各相关人员每年累计参加培训的时间要求如下:信息中心门主任/主管不少于16学时。信息安全工作人员不少于40学时。信息工作人员不少于16学时。普通用户不少于8学时。每年对培训计划、执行等情况进行回顾、更新。评估内容包括:培训对象、内容和方法的适宜性计划执行与员工参与的依从性知识、技能、意识提高和应用效果IT职业健康管理将IT职业健康统一纳入xxxx有限公司职业健康管理中,每年对IT员工进行常规体检,对体检结果进行IT专项统计分析,确定IT人员健康状况变化趋势,关注IT职业危害内容。开展IT职业健康风险监测工作,评估IT环境与健康风险,并采取必要的控制措施。充分利用课堂教学、内部会议、公司域网、板报、橱窗和公告牌等多种形式进行IT职业健康知识宣传、教育工作。识别IT废品种类、数量及相关风险,制定废料控制方案对IT废品进行有效管理,记录并保存IT废料处理信息。对生产及办公场所提供必要的卫生设施,并派专人管理,包括定期回收IT废品、定期保持IT设备卫生、定期对IT设备实施检查维护。IT作业环境安全管理标识管理xxxx有限公司应对IT作业环境所识别的标识需求,确定对应的标识类别:功能类禁止类警告类指令类提示类公告类xxxx有限公司应按<xxxx有限公司IT服务管理体系>中的配置管理要求,对所有IT设备进行配置标识,要求如下:内容准确、符合标准及现场实际标识清晰、位置明显、对应安装(张贴)规范分区管理xxxx有限公司根据功能、类别及相关标准对IT作业场所进行分区管理,区域间应有明显边界。xxxx有限公司就分区的原则、目的和含义对员工进行培训。xxxx有限公司应对区域进行检查,并对分区及时进行维护或调整,以保证分区的适用性。环境安全管理IDC信息监控管理人员须每天对机房供配电、空调、温湿度控制等设施进行维护管理。IDC信息监控管理人员须对机房的出入、服务器的开机或关机等工作进行管理。信息中心应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定。设备安全管理设备安全管理信息中心应指定专门人员对信息系统相关的各种设备(包括备份和冗余设备)、线路等定期进行维护管理。信息中心应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理。信息中心应对信息系统相关的各种设备的操作和使用进行规范化管理,按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/断电等操作;信息中心应确保信息处理设备必须经过审批才能带离机房或办公地点。终端安全管理接入公司内网的客户端计算机(简称终端)应纳入AD域和桌面管理系统统一管理,及时安装操作系统和主要办公软件的安全补丁。终端应安装信息中心部署的企业版防病毒软件,并经过公司防病毒系统定期(每天)升级病毒库代码。未经信息中心或信息中心授权单位进行安全审查和批准的终端不准接入到公司信息网络中,严禁未经信息中心批准私自将终端接入国际互联网。由信息中心建立网络集中监控系统,对终端的物理连接、网络配置、网络流量等情况进行统一集中监控对终端进行标准化管理,提高终端安全,基本要求如下:建立域管理与桌面安全,对计算机终端实行统一管理。建立防病毒系统,实现计算机终端统一的防病毒管理。建立IT服务管理系统,实现计算机终端台帐、变更等管理。建立终端网络接入控制,对计算机终端接入内网统一管理。建立终端软件安装许可清单,禁止安装未经许可的软件,减少危险源。对终端的安全配置与维护要求:建立补丁升级管理制度,及时对操作系统进行补丁、升级,减少漏洞。终端必须安装信息中心部署的企业版防病毒软件,并定期更新。定期对终端进行病毒、木马查杀。所有终端的IP必须由信息中心统一管理。所有终端必须纳入网络接入控制管理。定期检查终端的口令安全性,减少弱口令的安全隐患。介质管理信息中心应根据介质上承载的信息的安全级别对介质进行分级管理,信息分级引用公司<公司信息安全管理办法>。信息中心应指定专门的介质管理人员,对介质的存放环境、使用、维护和销毁等进行管理。信息中心应确保介质存放在安全的环境中,对各类介质进行控制和保护。对实行了异地保存的介质,异地保存点的环境要求和管理方法应与本地相同介质管理人员应对介质的使用进行登记,并定期进行盘点在介质使用、存储和处理过程中,应按照信息的分类级别,处理和标记所有介质,并明确标识未授权人员的访问限制,保持授权访问数据人员的正式记录。当介质中包含敏感数据时,应控制介质的使用范围,并对其实施适当物理保护措施。信息中心对包含敏感信息的存储介质送出维修应进行严格的管理,对送出维修的介质应首先清除介质中的敏感数据。电子化的系统文档应当得到有效的保护,对于复制到移动存储介质上的重要内部数据的扩散必须是受控的,其使用应受到监控和记录,并能进行审计。为最大限度地降低信息泄露的风险,包含敏感信息的媒介应被安全地处理,如粉碎、焚毁,或清空其中的数据,以便重用。其中处理方法应与信息分级相一致。当无法确认媒介中的信息级别,或确认信息级别的代价较高时,应统一按最严格的方式处理所有媒介。敏感媒介的处理过程应当记录在案,以便审计跟踪。包含重要数据的介质应放置在符合制造商要求的安全的环境中。密码管理xxxx有限公司应使用符合国家密码管理规定的密码技术和产品。安全工作人员应对xxxx有限公司使用的密码技术和产品进行审核,确保密码技术和产品的使用符合国家密码主管部门的要求。本规定所称密码,是指对信息进行加密保护或者安全认证所使用的密码技术和密码产品。系统运行档案系统管理员应为每个系统建立系统运行档案,对每个系统的运行进行持续性安全跟踪,从而形成系统运行安全基准,以便于在系统出现安全问题或异常情况时进行分析处理。系统运行安全档案中应包括以下(但不限于)支持安全运行管理所需要的信息,如系统运行的操作系统和应用软件及版本号、安装的补丁程序、系统的运行状态、存在的安全漏洞及控制措施、系统曾经遭受攻击的记录等。系统管理员应及时更新系统运行档案,确保系统运行档案的准确性。信息安全工作小组应定期对系统运行档案内容的准确性进行检查核实。维护作业计划为保证系统维护的规范性与准确性,系统管理员应遵照系统安全要求,结合实际情况,编制系统维护作业计划。系统管理员应在系统正式运营前,将系统维护作业计划送信息安全工作小组审核备案,进入服务流程。维护作业计划应明确规定维护活动的内容和周期。系统管理员必须严格执行维护作业计划,未经信息安全工作小组批准不得随意更改。维护作业计划的执行情况应记录在案,并接受信息安全工作小组的检查。作业指导书系统管理员应评估系统维护过程中存在的风险,识别系统维护过程中存在的较大风险的操作,并制定相应的作业指导书,以控制系统维护操作风险。系统管理员应在系统正式运营前,将作业指导书送安全管理组审核备案,进入服务流程。系统管理员必须严格按作业指导书进行系统维护操作,未经安全管理组批准不得随意更改。作业指导书应包含操作活动的资源要求、操作风险与控制措施、作业程序、作业记录等。维护操作细则系统管理员应遵照系统安全要求,结合实际情况,制定系统维护操作细则。系统管理员应在系统正式运营前,将系统维护操作细则送信息安全工作小组审核备案,进入服务流程。系统管理员必须严格按操作细则进行系统维护,未经安全管理组批准不得随意更改。操作细则应包含操作活动的职责、内容、目的、时间、场所、方法等,并涵盖系统维护的具体操作程序、系统维护时间进度的要求,包括同其它系统的相关性、最早的开始时间与最晚的结束时间等。操作细则应包含操作过程中发生非预期的错误或其它异常情况的指导说明。操作细则应包含意外的操作困难或技术难题出现时的支持联系人。操作细则应包含故障情况下系统的重启和恢复程序。故障管理系统管理员在处理故障后应将系统的故障记录在案,故障报告应包括故障起止时间、故障现象、业务影响、故障原因分析、处理过程及结果、故障恢复证据、事后的补救措施等。信息安全工作小组应审核故障报告,审核包括:故障已被正确解决;故障对系统安全造成的破坏已得到修补和恢复;补救措施本身不会危及系统安全;具体的补救措施已经过授权;补救措施已得到有效实施。故障处理流程应按照<xxxx有限公司IT服务管理体系>中”问题管理流程”进行。机房安全管理xxxx有限公司建立规范的机房安全管理规定,加强机房安全管理,减少威胁来源。机房安全管理包括机房场地基本要求、机房场地检查与维护、机房保安管理、机房消防管理、机房通风与温湿度控制、机房供电管理以及机房电磁防护、防静电、防雷击等要求,详细管理要求参见<xxxx有限公司数据处理与存储中心(IDC机房)运行管理规定>。人机工效管理xxxx有限公司应每年定期进行人机工效的调查与评估,调查与评估包括作业的方式和方法包括、IT设备运行环境等。人机工效的调查与评估的方式包括现场检查、在线调查、收集员工的投诉与建议、借鉴同行业经验等xxxx有限公司应对人机工效的调查和评估的结果分析,并制定措施加以改进与优化。xxxx有限公司建立机房KVM集中监控系统,将IDC机房内的IT设备连入KVM系统,实现统一管理、统一监控;xxxx有限公司将员工的人机工效的目的和作用培训纳入年度培训计划。网络与信息安全设备管理网络与信息安全设备管理包括基本的安全设备或用具及其管理。xxxx有限公司根据网络与信息专业工作性质与可能的危害,提供安全、适用的安全设备或用具,以提高信息安全技术装备水平及管理水平,安全设备或用具至少包括:防火墙入侵保护系统(IPS)入侵检测系统(IDS)漏洞扫描系统防病毒系统网络分析仪xxxx有限公司每年制定信息安全设备或用具购置计划,组织采购,并对安全工设备或用具需求计划进行评估、回顾和修订建立信息安全设备或用具清单,记录设备或用具信息,明确检测、检验与维护周期和内容,清单内容包括:设备编号设备功能设备采购日期设备版本及更新情况设备保管人员建立信息安全设备或用具的发放、使用、借用记录。对相关员工进行设备或用具的的使用、检查、维护和操作的培训,确保所有安全设备或用具的操作人员具备相应的技术水平。按照确定的频率和内容对安全设备或用具进行检测和检查,未经检验或检验不合格的设备或用具严禁使用并进行标识。检验后应张贴标识,标明检验日期、有效期,保存相应的记录。信息安全保护等级管理系统定级与审批信息安全等级保护遵循”自主定级、自主保护”原则。经过对信息系统的安全保护等级进行定级、测评和落实防护措施,确保信息系统安全控制措施满足相关要求。信息安全工作小组应依据国家颁布的<信息安全等级保护管理办法>、国家电力监管委员会<电力行业信息系统安全等级保护定级工作指导意见>及南方电网公司的<信息安全等级保护定级规范>对信息系统安全进行定级。对于已运营(运行)的第二级以上信息系统,信息中心应当在安全保护等级确定后30日内到广州公安公司办理备案手续。对于新建安全保护等级为第二级及以上的系统,信息中心应当在系统投入运行后30日内到深圳公安局办理备案手续。对于第三级及以上信息系统,信息中心报公司审核批准后,到深圳公安局办理备案手续。信息系统等级保护信息安全工作小组应依据国家颁布的信息安全等级保护技术标准、技术规范要求,对信息系统安全进行差距测评,并落实各信息系统的防护措施。信息系统等级测评等级测评工作应由具有国家相关技术资质和安全资质的测评单位承担。对于新建、改建、扩建的二级及以上信息系统,应经测评机构测评合格方可投入使用,安全测评和风险评估要形成相关文档,作为项目验收的重要内容。等级为三级的信息系统每年进行一次等级测评,等级为四级的信息系统每半年进行一次等级测评。系统安全建设管理系统安全方案设计要求信息中心负责对二级及以上的信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划。信息安全工作小组应根据系统的风险评估结果选择安全措施,安全措施应满足系统安全保护等级基本安全措施的要求。信息安全工作小组应根据信息系统安全评估的结果和安全等级划分情况统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件。对于二级及以上的信息系统,信息中心应组织相关部门和有关安全技术专家对信息系统的总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定。只有在经过信息中心主管领导批准后,才能正式实施。信息安全工作小组应根据安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。通信和操作管理变更管理系统的任何变更必须受到严格控制,系统变更包括但不限于:网络结构与系统参数的调整、硬件的增减与更换、软件版本与补丁的变更、维护计划/操作细则/作业指导书的改变等。任何变更必须经过授权,记录在案并接受测试。系统管理员应识别并评估变更的潜在影响,并进行相关测试;系统管理员应制定变更失败的恢复措施,并进行失败回退后的验证测试,确保变更失败回退成功;系统管理员应将变更内容及步骤书面化,向所有相关人员传达变更细节,明确各方的责任;系统管理员应填写系统变更申请表,并获得信息中心平台分部主管批准;变更实施时系统管理员应记录所有的变更过程和内容;变更完成后系统管理员应保留并归档所有的变更记录,并更新相关的文档,如安全策略文档、系统运行档案等。第三方安全管理xxxx有限公司对第三方单位进行风险控制、资质要求、服务质量评价等方面管理。xxxx有限公司对第三方安全管理内容包括:识别、评估第三方进入xxxx有限公司带来的风险对第三方风险控制要求第三方现场信息安全表现与服务质量评价第三方自身信息安全管理情况评价信息安全保密管理要求xxxx有限公司应对第三方进行安全相关的资质审查,审查内容应包括:许可的相关资质质量管理体系以往的信息安全服务表现和评价第三方员工培训与能力证明资料xxxx有限公司应建立程序对第三方进行评价,评价内容包括:第三方的服务和技术支持能力第三方提供产品的安全性及运行情况第三方安全管理制度的执行情况第三方合同管理与履约情况xxxx有限公司对第三方单位的安全管理按照<第三方单位及人员管理规定>执行。信息安全科技与创新管理xxxx有限公司鼓励开展信息安全方面技术应用的研究。xxxx有限公司鼓励开展信息安全方面管理提升的研究。信息安全技术应用(包括新产品、新技术、新工艺、新设计等)前应进行风险评估与分析,并制定其风险的控制措施。信息安全管理制度(包括规范、制度等)在颁布前应进行评审,并采取相应措施,保证贯彻执行。xxxx有限公司定期对信息安全科技与创新应用成果和效果进行回顾。纠正与预防管理xxxx有限公司应根据年度信息安全风险评估、信息安全大检查、信息安全等级保护及日常运维工作中发现的信息安全问题,提出安全整改措施与计划,并及时整改纠正。整改及纠正的要求至少包括:整改纠正行动应书面化执行整改纠正行动的责任部门、责任人、工作内容、工作时间、工作地点及时反馈整改纠正行动的执行情况责任部门应审阅整改纠正行动的执行情况报告,并对不符标准的提出处理意见经过流程测试等方法检验整改纠正行动的效果应评估整改纠正行动,以确保类似问题不会再次发生xxxx有限公司组织进行整改纠正与预防效果评估,评估整改纠正与预防行动解决根本原因问题的有效性,并保持整改纠正和预防行动的记录并随时可用,评估方法包括:整改情况检查信息安全事件统计风险评估与控制管理信息安全风险评估与控制遵循”谁主管谁负责,谁运营谁负责”的工作原则。信息中心及系统运营部门应采用风险管理的理念与方法来识别、评估信息系统面临的风险,制定风险控制措施,把风险降低到可接受的程度,实现风险的超前控制,实现基于风险的信息安全管理。风险评估和控制应贯穿于信息系统生命周期的各阶段中,包括规划、设计、实施、运行维护和废弃等五个阶段。风险评估和控制应涵盖信息系统管理与技术方面的内容,至少应包括但不限于:安全管理制度、安全管理机构、人员安全管理、系统安全建设、系统运维等管理方面的内容,以及信息及系统物理、网络、主机、应用、数据等技术方面的内容。信息安全管理人员应在与被评估系统的相关各方进行充分协商的基础上,选择合适的风险分析方法及风险评价准则,以确保风险评估结果能够被各方认可。信息安全管理人员在进行风险评估时应保持风险分析方法及风险评价准则的一致性,以确保风险评估的可重复性和可审核性。信息安全管理人员在制定措施时应与被评估系统的相关各方进行充分协商,制定措施时应考虑控制措施的可行性、适用性、可操作性、经济性以及控制措施可能带来的新风险。信息中心应每年对信息安全保护等级为二级及以上的信息系统,以及包括在ITSM服务目录中的信息系统每年进行一次采用详细风险分析方法进行的风险评估。并在此基础上采取相应的控制措施,将风险降低到可接受的程度。详细风险分析可参照国家标准GBT20984-<信息安全技术信息安全风险评估规范>进行。信息系统运营部门或单位应对自己管理的信息安全保护等级为二级以下的信息系统每年进行一次采用基线风险分析方法进行的自评估,并在此基础上采取相应的控制措施,将风险降低到可接受的程度。信息中心应每年进行一次检查评估,以确保系统风险处于可接受程度。信息安全管理人员应根据国家、行业及上级单位法律法规要求、业界实践经验、自身安全要求制定xxxx有限公司的信息系统安全基线。除定期进行风险评估外,在系统运行中遇到下列情

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论