信息安全管理标准.标准参考

信息安全管理标准InformationSecurityManagementStandard1 背景和目的为保证公司网络环境的安全稳定，公司重要数据的安全，为公司提供有效便捷的办公环境等，特制定本本管理标准。信息资源是分公司的重要资产，是企业进行生产、经营、管理和决策的重要基础，必须加强安全管理。2 适用范围本作业标准适用于公司范围内所有信息资源管理。本管理办法所涵盖的信息资源范畴，主要是指分公司内部有关生产经营管理方面的信息（以下称内部信息）。管理的对象主要是由信息化系统形成的信息、使用计算机编制的信息、专业系统采集的原始信息等，包括各类文本信息、数据库信息、 WEB页面信息、图形图像信息、多媒体信息等。3 管理体系第一条信息安全是指通过各种计算机、网络（内部信息平台）和密码技术，保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。1、信息处理和传输系统的安全。 我部门从信息处理最集中地核心路由器入手，使用专业核心硬件防火墙对所有产生并传输的信息数据进行安全检查，通过核心路由器内的记录进行安全分析， 避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。所有信息数据的安全综合分析报告每半个月检测分析一次， 并装订成册。2、信息内容的安全。 侧重于保护信息的机密性、完整性和真实性。我部门应对所负责所有系统的功能进行评测， 采取技术措施对所发现的漏洞进行补救升级，对系统出现的 bug进行持续改进。3、信息传播安全。要加强对信息的审查， 防止和控制非法、有害的信息通过本公司的信息网络（内部信息平台）系统传播，避免对公司利益、公共利益以及国家利益造成损害。公司所有对外的工作信息（即部门外发的所有信息）产生原则上由部门综合科室进行初步审查，包括发送的通知公告，工作传阅，工作报告等等，初步审查后提交部门经理进行签字确认，通过后方可发布及传播。部门内部交流的信息由部门主管严格审查，发现有问题的及时处理。公司计算机不得产生与工作无关的任何信息。所有信息的上传及下载技术上首先由单机的杀毒软件查杀，在传输过程中由核心防火墙上的策略进行检测查杀，确保数据的安全无误。信息管理部负责单机的杀毒软件的选型，安装及升级维护。对于存放在FTP等长期共享的数据，由信息管理部在服务器上安装杀毒软件定期自动查杀，设置FTP详细的权限保障和控制数据的安全性。对于数据的安全由部门领导进行指派相关权限防泄密和防删除，防篡改。由各部门指定各个员工的详细数据权限，报分管领导签字认可后，交信息管理部在后台通过加密软件，服务器自带权限及各系统权限分配功能进行相应调整实时完成权限把控。从源头上用技术手段保障信息安全。当遭遇泄密时，通过文件的权限对应相关的权限拥有者进行内部立案调查，对重大信息泄露的，则报公司领导立项专案调查。第二条 我部门承担任何涉及国家秘密信息的安全工作，配合电信及公安网警的监管工作。第三条 信息的内部管理1、各部门综合科室负责部门网络（内部信息平台）系统的简单查毒、杀毒工作，确保信息文件无毒上载，防止垃圾数据上传；2、我部门在后台采取网络（内部信息平台）的病毒监测、查毒、杀毒等技术措施，提高网络（内部信息平台）的整体防病毒能力；3、各部门综合科室对部门所负责的信息数据的备份整理及归档工作，数据整理后可以向我部门申请提交， 由我部门制作成特定光盘存档；4、各部门应对部门的信息进行严格的审查及控制，各栏目或系统发布的公共信息必须由各部门综合科室制定审查制度， 对信息来源的合法性，发布范围，信息栏目维护的负责人等作出明确的规定。信息发布后还要随时检查信息的完整性、 合法性，并对数据的及时性进行跟踪检查，遵守我部门的通知，定期及时清理系统里的垃圾数据，保障系统的流畅运行及数据的有效性；5、员工不得散布涉及国家秘密的信息的存储、传输，严格遵守国家有关保密的法律、法规执行，各部门指定专门的信息员负责对本部门信息在网络传播的宣贯教育；6、涉及国家秘密信息，未经信息安全分管领导批准不得在网络上发布和传输；7、公司涉密文件不可放置个人计算机中，非涉密电子邮件的收发也要实行病毒查杀。由信息管理部在分配计算机下发时对每台计算机进行杀毒软件安装，并将各类杀毒软件设置为自动查杀。第四条 信息加密1、涉及公司秘密的信息，其电子文档资料应当在涉密介质中加密单独存储；2、涉及部门敏感信息的电子文档资料应当在涉密介质中加密单独存储；3、不得传播涉及国家秘密、国家与部门利益和社会安定的秘密信息和敏感信息。第五条 员工不得从事以下活动：1、未经信息管理部批准，任何人不得改变网络（内部信息平台）拓扑结构、网络（内部信息平台）设备布置、服务器、路由器配置和网络（内部信息平台）参数。2、任何人不得进入未经许可的计算机系统更改系统信息和用户数据。3、公司局域网上任何人不得利用计算机技术侵占用户合法利益，不得制作、复制和传播妨害单位稳定的有关信息。4、各部门应定期对本科室计算机系统和相关业务数据进行备份以防发生故障时进行恢复。5、网络（内部信息平台）帐号采用分组管理。并详细登记：用户姓名、部门名称、口令，存取权限，开通时间，网络（内部信息平台）资源分配情况等。6、网络（内部信息平台）管理员为用户设置明码口令，用户可以根据自己的保密情况进行修改口令，用户应对工作站设置开机密码和屏保密码。7、用户帐号下的数据属于用户私有数据， 当事人具有存入权限，管理员具有管理和备份存取权限。8、网络（内部信息平台）管理员根据有关帐号管理规则对用户帐号执行管理，并对用户帐号及数据的安全和保密负责。9、网络（内部信息平台）管理员必须严守职业道德和职业纪律，不得将任何用户的密码、帐号等保密信息等资料泄露出去。第六条 信息管理员职责履行：1、协助制定网络（内部信息平台）建设方案，确定网络（内部信息平台）安全及资源共享策略。2、负责公用网络（内部信息平台）实体，如服务器、交换机、集线器、防火墙、网线、接插件等的维护和管理。3、负责服务器和系统软件的安装、维护、调整及更新。4、负责网络（内部信息平台）账号管理，资源分配，数据安全和系统安全。5、监视网络（内部信息平台）运行，调整参数，调度资源，保持网络（内部信息平台）安全、稳定、畅通。6、负责系统备份和网络（内部信息平台）数据备份，负责各部门电子数据资料的整理和归档。第七条 应急预案及预防纠正措施1、各部门由部门综合管理员兼任部门信息安全主管，负责部门信息安全日常管理。对员工上报的信息安全问题进行收集整理与上报，对部门的信息进行归类整理区别秘密等级，严格把控信息流转。编写系统使用部门人员权限提交信息管理部，由信息管理部按部门要求在系统中做相应调整。2、一旦防火墙病毒报警或员工发现有网络系统，计算机系统有异常，由员工及时上报部门综合管理主管，部门主管整理以书面形式报信息管理部信息管理员，由信息管理员收集相关资料，按问题的紧急性排序，对能够独立处理的问题及时进行解决，对无法处理的问题，及时上报部门主管及相关负责领导，由相关领导组织安排策划出解决方案并予以实施。3、对突发的硬件故障，员工可以口头报部门综合主管，由综合主管联系信息管理部尽快予以解决，信息管理部将在最快的时间内给出方案并及时维修或替换配件，或联系商务部及时采购后进行维修或更换。4、信息管理部综合管理员对所有上报的书面资料进行归档整理成册，并持续跟踪问题是否解决。对重大故障进行事后的讨论研究，对问题的解决方案进行收集整理， 并编制预防纠正措施表，在以后的工作中进行规避同样的错误。对不可避免发生的错误记录最合理的解决方案，力求能在最短的时间予以修复。5、对部门乃至公司级别的信息泄密，由各部门统一制单上报信息管理部，信息管理部整理编制成报告与上级领导汇报， 专门立案进行调查，通过现场调查，各方分析，务求每个案子都能破。事后对该案进行探讨研究，讨论是否可以技术手段防止此类事件再发生， 并编制预防改进措施表，持续完善相关管理。第八条 数据备份1、各部门综合运营科室严格管理部门的电子信息数据，对需要进行备份的数据进行收集整理，对确需保存的数据形成书面需求提交信息管理部，由信息管理部采用相关手段进行备份， 一般采用光盘刻录保存的方式。2、对于设计数据的备份，由技术部运营科讨论后形成书面备份需求，与信息管理部讨论备份方法方式，报相关领导批阅后，信息管理部按需求进行相关备份操作，并整理归档保存。3、对于网络系统及计算机系统的重要数据，由信息管理讨论研究并整理，形成电子文档上传至 FTP进行保存，部分可刻录光盘进行保存。第九条 服务器安全服务器的登录方式1）普通用户登录。2）超级用户登录。3）项目助理用户登录。服务器文件与数据使用权限普通用户1）权限：普通用户登录后，服务器上所有的文件及文件夹不能随意移动、修改、删除、重命名及保存，只能浏览。2）使用人：所有公司人员超级用户1）权限：超级用户登录后，服务器上所有文件及文件夹，均能移动、修改、删除、重命名。2）使用人：系统管理员。项目助理用户对其管理的项目有超级用户权限。2.4服务器使用权限明细表图纸工程权限普通用户权限项目助理用户超级用户1．计划管理R、M、W本项目R、M、W、DR、M、W、D1来往信件R、M、W本项目R、M、W、DR、M、W、D22详细设计R、M、W本项目R、M、W、DR、M、W、D技3设备资料R本项目R、M、W、DR、M、W、D术4生产设计R本项目R、M、W、DR、M、W、D管5专业协调联系单R、M、W本项目R、M、W、DR、M、W、D理6技术文件更改R、M、W本项目R、M、W、DR、M、W、D7施工图纸R、M、W本项目R、M、W、DR、M、W、D8反馈信息R、M、W本项目R、M、W、DR、M、W、D表7-1服务器文件使用权限明细表注：R表示读取权限；M表示修改、重命名文件；W表示写入、替换文件权限、D表示删除、剪切权限。3 服务器的基本操作（1）服务器上所有文件及文件夹的命名不能有非法字符。例如： ~、 、/等。（2）禁止远程直接打开或修改服务器上的文件，应先将要打开的文件从服务器目录下载到本地电脑上，再打开本地电脑上的文件，修改完成后再上传到服务器上。4 服务器的维护（1）服务器的维护工作由网络管理员负责。2）每周检查服务器各机房的空调、交换机、UPS是否正常运行，及时报修。3）每周检查所有服务器运行指示灯是否正常，若有异常则检查服务器相关部件并及时报修。4）每周检查所有服务器每个分区的剩余空间，删除服务器中的垃圾文件*.lsp、*.tmp、*.bak等格式文件）。5）每周定时重启服务器一次。步骤：通知所有相关人员重启服务器的时间，并要求其断开与服务的连接→重新启动→启动完毕→通知所有相关人员可以正常工作。6）每月检查服务器与UPS的连接是否正常，并进行断电测试检查是否能够使用UPS进行正常工作。7）当服务器机房断电后，网络管理人员能第一时间通过手机接听断电报警电话，赶到服务器机房，正常关闭服务器。恢复通电后启动服务器。附则4.1本标准自发布之日起执行，凡与本制度有冲突的均以本制度为准。本办法由公司信息管理部负责解释-----------------------------------------------------------------------------------------------卫生管理制度1 总则1.1 为了加强公司的环境卫生管理，创造一个整洁、文明、温馨的购物、办公环境，根据《公共场所卫生管理条例》的要求，特制定本制度。1.2 集团公司的卫生管理部门设在企管部，并负责将集团公司的卫生区域详细划分到各部室，各分公司所辖区域卫生由分公司客服部负责划分，确保无遗漏。2 卫生标准2.1 室内卫生标准2.1.1 地面、墙面：无灰尘、无纸屑、无痰迹、无泡泡糖等粘合物、无积水，墙角无灰吊、无蜘蛛网。2.1.2 门、窗、玻璃、镜子、柱子、电梯、楼梯、灯具等，做到明亮、无灰尘、无污迹、无粘合物，特别是玻璃，要求两面明亮。2.1.3 柜台、货架：清洁干净，货架、柜台底层及周围无乱堆乱放现象、无灰尘、无粘合物，货架顶部、背部和底部干净，不存放杂物和私人物品。2.1.4 购物车（筐）、直接接触食品的售货工具（包括刀、叉等）：做到内外洁净，无污垢和粘合物等。购物车（筐）要求每天营业前简单清理，周五全面清理消毒；售货工具要求每天消毒，并做好记录。2.1.5 商品及包装：商品及外包装清洁无灰尘（外包装破损的或破旧的不得陈列）。2.1.6 收款台、服务台、办公橱、存包柜：保持清洁、无灰尘，台面和侧面无灰尘、无灰吊和蜘蛛网。桌面上不得乱贴、乱画、乱堆放物品，用具摆放有序且干净，除当班的购物小票收款联外，其它单据不得存放在桌面上。2.1.7 垃圾桶：桶内外干净，要求营业时间随时清理，不得溢出，每天下班前彻底清理，不得留有垃圾过夜。2.1.8 窗帘：定期进行清理，要求干净、无污渍。2.1.9 吊饰：屋顶的吊饰要求无灰尘、无蜘蛛网，短期内不适用的吊饰及时清理彻底。2.1.10 内、外仓库：半年彻底清理一次，无垃圾、无积尘、无蜘蛛网等。2.1.11 室内其他附属物及工作用具均以整洁为准，要求无灰尘、无粘合物等污垢。2.2 室外卫生标准2.2.1 门前卫生：地面每天班前清理，平时每一小时清理一次，每周四营业结束后有条件的用水冲洗地面（冬季可根据情况适当清理），墙面干净且无乱贴乱画。2.2.2 院落卫生：院内地面卫生全天保洁，果皮箱、消防器械、护栏及配电箱等设施每周清理干净。垃圾池周边卫生清理彻底，不得有垃圾溢出。2.2.3 绿化区卫生：做到无杂物、无纸屑、无塑料袋等垃圾。3 清理程序3.1 室内和门前院落等区域卫生：每天营业前提前10分钟把所管辖区域内卫生清理完毕，营业期间随时保洁。下班后5-10分钟清理桌面及卫生区域。3.2 绿化区卫生：每周彻底清理一遍，随时保持清洁无垃圾。4 管理考核4.1 实行百分制考核，每月一次（四个分公司由客服部分别考核、集团职能部室由企管部统一考核）。不符合卫生标准的，超市内每处扣0.5分，超市外每处扣1分。信息安全管理标准InformationSecurityManagementStandard1 背景和目的为保证公司网络环境的安全稳定，公司重要数据的安全，为公司提供有效便捷的办公环境等，特制定本本管理标准。信息资源是分公司的重要资产，是企业进行生产、经营、管理和决策的重要基础，必须加强安全管理。2 适用范围本作业标准适用于公司范围内所有信息资源管理。本管理办法所涵盖的信息资源范畴，主要是指分公司内部有关生产经营管理方面的信息（以下称内部信息）。管理的对象主要是由信息化系统形成的信息、使用计算机编制的信息、专业系统采集的原始信息等，包括各类文本信息、数据库信息、 WEB页面信息、图形图像信息、多媒体信息等。3 管理体系第一条信息安全是指通过各种计算机、网络（内部信息平台）和密码技术，保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。1、信息处理和传输系统的安全。 我部门从信息处理最集中地核心路由器入手，使用专业核心硬件防火墙对所有产生并传输的信息数据进行安全检查，通过核心路由器内的记录进行安全分析， 避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。所有信息数据的安全综合分析报告每半个月检测分析一次， 并装订成册。2、信息内容的安全。 侧重于保护信息的机密性、完整性和真实性。我部门应对所负责所有系统的功能进行评测， 采取技术措施对所发现的漏洞进行补救升级，对系统出现的 bug进行持续改进。3、信息传播安全。要加强对信息的审查， 防止和控制非法、有害的信息通过本公司的信息网络（内部信息平台）系统传播，避免对公司利益、公共利益以及国家利益造成损害。公司所有对外的工作信息（即部门外发的所有信息）产生原则上由部门综合科室进行初步审查，包括发送的通知公告，工作传阅，工作报告等等，初步审查后提交部门经理进行签字确认，通过后方可发布及传播。部门内部交流的信息由部门主管严格审查，发现有问题的及时处理。公司计算机不得产生与工作无关的任何信息。所有信息的上传及下载技术上首先由单机的杀毒软件查杀，在传输过程中由核心防火墙上的策略进行检测查杀，确保数据的安全无误。信息管理部负责单机的杀毒软件的选型，安装及升级维护。对于存放在FTP等长期共享的数据，由信息管理部在服务器上安装杀毒软件定期自动查杀，设置FTP详细的权限保障和控制数据的安全性。对于数据的安全由部门领导进行指派相关权限防泄密和防删除，防篡改。由各部门指定各个员工的详细数据权限，报分管领导签字认可后，交信息管理部在后台通过加密软件，服务器自带权限及各系统权限分配功能进行相应调整实时完成权限把控。从源头上用技术手段保障信息安全。当遭遇泄密时，通过文件的权限对应相关的权限拥有者进行内部立案调查，对重大信息泄露的，则报公司领导立项专案调查。第二条 我部门承担任何涉及国家秘密信息的安全工作，配合电信及公安网警的监管工作。第三条 信息的内部管理1、各部门综合科室负责部门网络（内部信息平台）系统的简单查毒、杀毒工作，确保信息文件无毒上载，防止垃圾数据上传；2、我部门在后台采取网络（内部信息平台）的病毒监测、查毒、杀毒等技术措施，提高网络（内部信息平台）的整体防病毒能力；3、各部门综合科室对部门所负责的信息数据的备份整理及归档工作，数据整理后可以向我部门申请提交， 由我部门制作成特定光盘存档；4、各部门应对部门的信息进行严格的审查及控制，各栏目或系统发布的公共信息必须由各部门综合科室制定审查制度， 对信息来源的合法性，发布范围，信息栏目维护的负责人等作出明确的规定。信息发布后还要随时检查信息的完整性、 合法性，并对数据的及时性进行跟踪检查，遵守我部门的通知，定期及时清理系统里的垃圾数据，保障系统的流畅运行及数据的有效性；5、员工不得散布涉及国家秘密的信息的存储、传输，严格遵守国家有关保密的法律、法规执行，各部门指定专门的信息员负责对本部门信息在网络传播的宣贯教育；6、涉及国家秘密信息，未经信息安全分管领导批准不得在网络上发布和传输；7、公司涉密文件不可放置个人计算机中，非涉密电子邮件的收发也要实行病毒查杀。由信息管理部在分配计算机下发时对每台计算机进行杀毒软件安装，并将各类杀毒软件设置为自动查杀。第四条 信息加密1、涉及公司秘密的信息，其电子文档资料应当在涉密介质中加密单独存储；2、涉及部门敏感信息的电子文档资料应当在涉密介质中加密单独存储；3、不得传播涉及国家秘密、国家与部门利益和社会安定的秘密信息和敏感信息。第五条 员工不得从事以下活动：1、未经信息管理部批准，任何人不得改变网络（内部信息平台）拓扑结构、网络（内部信息平台）设备布置、服务器、路由器配置和网络（内部信息平台）参数。2、任何人不得进入未经许可的计算机系统更改系统信息和用户数据。3、公司局域网上任何人不得利用计算机技术侵占用户合法利益，不得制作、复制和传播妨害单位稳定的有关信息。4、各部门应定期对本科室计算机系统和相关业务数据进行备份以防发生故障时进行恢复。5、网络（内部信息平台）帐号采用分组管理。并详细登记：用户姓名、部门名称、口令，存取权限，开通时间，网络（内部信息平台）资源分配情况等。6、网络（内部信息平台）管理员为用户设置明码口令，用户可以根据自己的保密情况进行修改口令，用户应对工作站设置开机密码和屏保密码。7、用户帐号下的数据属于用户私有数据， 当事人具有存入权限，管理员具有管理和备份存取权限。8、网络（内部信息平台）管理员根据有关帐号管理规则对用户帐号执行管理，并对用户帐号及数据的安全和保密负责。9、网络（内部信息平台）管理员必须严守职业道德和职业纪律，不得将任何用户的密码、帐号等保密信息等资料泄露出去。第六条 信息管理员职责履行：1、协助制定网络（内部信息平台）建设方案，确定网络（内部信息平台）安全及资源共享策略。2、负责公用网络（内部信息平台）实体，如服务器、交换机、集线器、防火墙、网线、接插件等的维护和管理。3、负责服务器和系统软件的安装、维护、调整及更新。4、负责网络（内部信息平台）账号管理，资源分配，数据安全和系统安全。5、监视网络（内部信息平台）运行，调整参数，调度资源，保持网络（内部信息平台）安全、稳定、畅通。6、负责系统备份和网络（内部信息平台）数据备份，负责各部门电子数据资料的整理和归档。第七条 应急预案及预防纠正措施1、各部门由部门综合管理员兼任部门信息安全主管，负责部门信息安全日常管理。对员工上报的信息安全问题进行收集整理与上报，对部门的信息进行归类整理区别秘密等级，严格把控信息流转。编写系统使用部门人员权限提交信息管理部，由信息管理部按部门要求在系统中做相应调整。2、一旦防火墙病毒报警或员工发现有网络系统，计算机系统有异常，由员工及时上报部门综合管理主管，部门主管整理以书面形式报信息管理部信息管理员，由信息管理员收集相关资料，按问题的紧急性排序，对能够独立处理的问题及时进行解决，对无法处理的问题，及时上报部门主管及相关负责领导，由相关领导组织安排策划出解决方案并予以实施。3、对突发的硬件故障，员工可以口头报部门综合主管，由综合主管联系信息管理部尽快予以解决，信息管理部将在最快的时间内给出方案并及时维修或替换配件，或联系商务部及时采购后进行维修或更换。4、信息管理部综合管理员对所有上报的书面资料进行归档整理成册，并持续跟踪问题是否解决。对重大故障进行事后的讨论研究，对问题的解决方案进行收集整理， 并编制预防纠正措施表，在以后的工作中进行规避同样的错误。对不可避免发生的错误记录最合理的解决方案，力求能在最短的时间予以修复。5、对部门乃至公司级别的信息泄密，由各部门统一制单上报信息管理部，信息管理部整理编制成报告与上级领导汇报， 专门立案进行调查，通过现场调查，各方分析，务求每个案子都能破。事后对该案进行探讨研究，讨论是否可以技术手段防止此类事件再发生， 并编制预防改进措施表，持续完善相关管理。第八条 数据备份1、各部门综合运营科室严格管理部门的电子信息数据，对需要进行备份的数据进行收集整理，对确需保存的数据形成书面需求提交信息管理部，由信息管理部采用相关手段进行备份， 一般采用光盘刻录保存的方式。2、对于设计数据的备份，由技术部运营科讨论后形成书面备份需求，与信息管理部讨论备份方法方式，报相关领导批阅后，信息管理部按需求进行相关备份操作，并整理归档保存。3、对于网络系统及计算机系统的重要数据，由信息管理讨论研究并整理，形成电子文档上传至 FTP进行保存，部分可刻录光盘进行保存。第九条 服务器安全服务器的登录方式1）普通用户登录。2）超级用户登录。3）项目助理用户登录。服务器文件与数据使用权限普通用户1）权限：普通用户登录后，服务器上