数据仓库信息安全管理体系说明样本

供应商信息安全管理体系阐明信息安全管理手册之信息安全管理方针和方略范畴公司根据ISO/IEC27001:信息安全管理体系原则规定编制《信息安全管理手册》，并涉及了风险评估及处置规定。规定了公司信息安全方针及管理目的，引用了信息安全管理体系内容。1.1规范性引用文献下列参照文献某些或整体在本文档中属于原则化引用，对于本文献应用必不可少。凡是注日期引用文献，只有引用版本合用于本原则；凡是不注日期引用文献，其最新版本（涉及任何修改）合用于本原则。ISO/IEC27000，信息技术——安全技术——信息安全管理体系——概述和词汇。术语和定义ISO/IEC27000中术语和定义合用于本文献。公司环境理解公司及其环境公司拟定与公司业务目的有关并影响实现信息安全管理体系预期成果能力外部和内部问题，需考虑：明确外部状况：社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境，无论国际、国内、区域，还是本地；影响组织目的重要动力和趋势；与外部利益有关方关系，外部利益有关方观点和价值观。明确内部状况：治理、组织构造、作用和责任；方针、目的，为实现方针和目的制定战略；基于资源和知识理解能力（如：资金、时间、人员、过程、系统和技术）；与内部利益有关方关系，内部利益有关方观点和价值观；组织文化；信息系统、信息流和决策过程（正式与非正式）；组织所采用原则、指南和模式；合同关系形式与范畴。明确风险管理过程状况：拟定风险管理活动目的；拟定风险管理过程职责；拟定所要开展风险管理活动范畴以及深度、广度，涉及详细内涵和外延；以时间和地点，界定活动、过程、职能、项目、产品、服务或资产；界定组织特定项目、过程或活动与其她项目、过程或活动之间关系；拟定风险评价办法；拟定评价风险管理绩效和有效性办法；辨认和规定所必要要做出决策；拟定所需范畴或框架性研究，它们限度和目的，以及此种研究所需资源。拟定风险准则：可以浮现致因和后果性质和类别，以及如何予以测量；也许性如何拟定；也许性和（或）后果时间范畴；风险限度如何拟定；利益有关方观点；风险可接受或可容许限度；各种风险组合与否予以考虑，如果是，如何考虑及哪种风险组合宜予以考虑。理解有关方需求和盼望信息安全管理小组应拟定信息安全管理体系有关方及其信息安全规定，有关信息安全规定。对于利益有关方，可作为信息资产辨认，并依照风险评估成果，制定相应控制办法，实行必要管理。有关方规定可涉及法律法规规定和合同义务。拟定信息安全管理体系范畴我司ISMS范畴涉及物理范畴：业务范畴：计算机软件开发，计算机系统集成有关信息安全管理活动。内部管理构造：办公室、财务部、研发部、商务部、工程部、运维部。外部接口：向公司提供各种服务第三方。信息安全管理体系我司按照ISO/IEC27001:原则规定建立一种文献化信息安全管理体系。同步考虑该体系实行、维持、持续改进，保证其有效性。ISMS体系所涉及过程基于PDCA模式。领导力总经理应通过如下方式证明信息安全管理体系领导力和承诺：保证信息安全方针和信息安全目的已建立，并与公司战略方向一致；保证将信息安全管理体系规定融合到寻常管理过程中；保证信息安全管理体系所需资源可用；向公司内部传达有效信息安全管理及符合信息安全管理体系规定重要性；保证信息安全管理体系达到预期成果；指引并支持有关人员为信息安全管理体系有效性做出贡献；增进持续改进；支持信息安全管理小组及各部门负责人，在其职责范畴内呈现领导力。规划应对风险和机会办法（一）总则公司针对公司内部和公司外部实际状况，和有关方规定，拟定公司所需应对信息安全面风险。在已拟定ISMS范畴内，针对业务全过程所涉及所有信息资产进行列表辨认。信息资产涉及软件/系统、数据/文档、硬件/设施、人力资源及外包服务。对每一项信息资产，依照信息资产判断根据拟定信息资产重要性级别并对其重要度赋值。信息安全管理小组制定信息安全风险评估管理程序，经信息安全管理小组组长批准后组织实行。风险评估管理程序涉及可接受风险准则和可接受水平。该程序详细内容见《信息安全风险评估管理程序》。1）信息安全风险评估风险评估系统办法信息安全管理小组制定信息安全风险评估管理程序，经管理者代表审核，总经理批准后组织实行。风险评估管理程序涉及可接受风险准则和可接受水平。该程序详细内容合用于《信息安全风险评估管理程序》。资产辨认在已拟定ISMS范畴内，对所有信息资产进行列表辨认。信息资产涉及软件/系统、数据/文档、硬件/设施及人力资源、服务等。对每一项信息资产，依照信息资产判断根据拟定信息资产重要性级别并对其重要度赋值。评估风险针对每一项信息资产、记录、信息资产所处环境等因素，辨认出所有信息资产所面临威胁；针对每一项威胁，辨认出被该威胁也许运用薄弱点；针对每一项薄弱点，列出既有控制办法，并对控制办法有效性赋值；同步考虑威胁运用脆弱性容易限度，并对容易度赋值；判断一种威胁发生后也许对信息资产在保密性(C)、完整性(I)和可用性(A)方面损害，进而对公司业务导致影响，计算信息资产安全事件也许性和损失限度。考虑安全事件也许性和损失限度两者结合，计算信息资产风险值。依照《信息安全风险评估管理程序》规定拟定资产风险级别。对于信息安全风险，在考虑控制办法与费用平衡原则下制定风险接受准则，按照该准则拟定何种级别风险为不可接受风险，该准则在《信息安全风险评估管理程序》有详细规定，并在《风险评估报告》中进行系统报告并针对成果解决意见获得最高管理者批准。获得最高管理者对建议残存风险批准，残存风险应当在《残存风险评价报告》上留下记录，并记录残存风险处置批示报告。获得管理者对实行和运营ISMS授权。ISMS管理者代表任命和授权、ISMS文档订立可以作为实行和运作ISMS授权证据。2）信息安全风险处置风险解决办法辨认与评价信息安全管理小组应组织关于部门依照风险评估成果，形成《风险解决筹划》，该筹划应明确风险解决责任部门、办法及时间。对于信息安全风险，应考虑控制办法与费用平衡原则，选用如下恰当办法：采用恰当内部控制办法；接受某些风险（不也许将所有风险减少为零）；回避某些风险（如物理隔离）；转移某些风险（如将风险转移给保险者、供方、分包商）。选取控制目的与控制办法信息安全管理小组依照信息安全方针、业务发展规定及风险评估成果，组织关于部门制定信息安全目的。信息安全目的应获得总裁批准。我司依照信息安全管理需要，可以选取原则之外其她控制办法。合用性声明SoA信息安全管理小组编制《信息安全合用性声明》（SoA）。该声明涉及如下方面内容：所选取控制目的与控制办法概要描述；对ISO/IEC27001:附录A中未选用控制目的及控制办法理由阐明。残存风险对风险解决后残存风险应形成《残存风险评估报告》并得到信息安全最高负责人批准。信息安全管理小组应保存信息安全风险处置过程文献化信息。信息安全目的和实现规划依照公司信息安全方针，通过最高管理者确认，公司信息安全管理目的为：顾客保密性抱怨/投诉次数不超过1起/年受控信息泄露事态发生不超过3起/年秘密信息泄露事态不得发生。信息安全管理小组依照《合用性声明》、《信息资产风险评估表》中风险解决筹划所选取控制办法，明确控制办法改进时间表。对于各部门信息安全目的完毕状况，按照《信息安全目的及有效性测量程序》规定，周期性在主责部门对各控制办法目的进行测量，并记录测量成果。通过定期内审、控制办法目的测量及管理评审活动评价公司信息安全目的完毕状况。支持资源总经理负责拟定并提供建立、实行、保持和持续改进信息安全管理体系所需资源。能力办公室应：拟定公司全体员工影响公司信息安全绩效必要能力；保证上述人员在恰当教诲、培训或经验基本上可以胜任其工作；合用时，采用办法以获得必要能力，并评估所采用办法有效性；保存恰当文献化信息作为能力证据。注：合用办法可涉及，对新入职工工进行信息安全意识教诲；定期对公司员工进行业务实行过程中信息安全管理有关培训等。意识公司全体员工应理解：公司信息安全方针；个人其对公司信息安全管理体系有效性贡献，涉及改进信息安全绩效带来益处；不符合信息安全管理体系规定带来影响。沟通信息安全管理小组负责拟定与信息安全管理体系有关内部和外部沟通需求，涉及：沟通内容；沟通时间；沟通对象；谁应负责沟通；影响沟通过程。文献化信息（一）总则公司信息安全管理体系应涉及：本原则规定文献化信息；信息安全管理小组保证信息安全管理体系有效运营，需编制《文献控制程序》以管理公司信息安全管理体系有关文献。（二）创立和更新创立和更新文献化信息时，信息安全管理小组应保证恰当：标记和描述（例如标题、日期、作者或编号）；格式（例如语言、软件版本、图表）和介质（例如纸质、电子介质）；对适当性和充分性评审和批准。（三）文献化信息控制信息安全管理体系及本原则所规定文献化信息应予以控制，以保证：在需要地点和时间，是可用和适当；得到充分保护（如避免保密性损失、不恰当使用、完整性损失等）；为控制文献化信息，合用时，科技规划部应开展如下活动；分发，访问，检索和使用；存储和保护，涉及保持可读性；控制变更（例如版本控制）；保存和处置。信息安全管理小组需在《文献控制程序》中规划和运营信息安全管理体系所必须外来文献化信息，应得到恰当辨认，并予以控制。运营运营规划和控制为保证ISMS有效实行，对已辨认风险进行有效解决，我司开展如下活动：形成《信息安全风险解决筹划》，以拟定恰当管理办法、职责及安全保密控制办法优先级，应特别注意公司外包过程拟定和控制；对于系统集成和IT外包运维服务项目，项目经理应在项目策划阶段辨认所面临信息安全风险，并在项目全过程中对信息安全风险进行监控和更新；为实现已拟定安全保密目的、实行风险解决筹划，明确各岗位信息安全职责；实行所选取控制办法，以实现控制目的规定；进行信息安全培训，提高全员信息安全意识和能力；对信息安全体系运作进行管理，控制筹划了变更，评审非预期变更后果，必要时采用办法减缓负面影响；对信息安全所需资源进行管理；实行控制程序，对信息安全事故（或事件）进行迅速反映。总经理为我司信息安全最高责任者。办公室制定全公司组织机构和各部门职责（涉及信息安全职责），并形成文献。信息安全管理小构成员负责完毕信息安全管理体系运营时必要任务；对信息安全管理体系运营状况和必要改进办法向信息安全最高责任者报告。各部门负责人作为本部门信息安全重要负责人，信息安全内审员负责指引和监督本部门信息安全管理体系运营与实行，并形成文献；全体员工都应按保密承诺规定自觉履行信息安全义务。各部门应按照《信息安全合用性声明》中规定安全保密目的、控制办法（涉及安全保密运营各种控制程序）规定实行信息安全控制办法。信息安全管理小组应对满足信息安全规定及实行6.1中拟定办法所需过程予以规划、实行和控制，同步应实行筹划以实现6.2中拟定信息安全目的。信息安全管理小组应保持文献化信息达到必要限度，以确信过程按筹划得到执行。信息安全管理小组应控制筹划内变更并评审非预期变更后果，必要时采用办法减轻负面影响。各部门拟定本部门业务过程中外包活动，并对外包过程进行必要控制。信息安全风险评估公司按照组织《信息安全风险评估管理程序》规定，每年定期或当重大变更提出或发生时，执行信息安全风险评估。每次风险评估过程均需形成记录，并由信息安全管理小组保存每次风险评估记录，如：风险评估报告、风险解决筹划等。信息安全风险处置为保证ISMS有效实行，对已辨认风险进行有效解决，我司开展如下活动：形成《风险解决筹划》，以拟定恰当管理办法、职责及安全保密控制办法优先级；为实现已拟定安全保密目的、实行风险解决筹划，明确各岗位信息安全职责；实行所选取控制办法，以实现控制目的规定；进行信息安全培训，提高全员信息安全意识和能力；对信息安全体系运作进行管理；对信息安全所需资源进行管理；信息安全管理小组负责组织有关人员，定期检查风险解决筹划执行状况，并保存信息安全风险处置成果文献化信息。绩效评价监视、测量、分析和评价我司通过实行定期控制办法实行有效性检查、事故报告调查解决、电子监控、技术检查等检查方式检查信息安全管理体系运营状况，并报告成果以实现：及时发现信息安全体系事故和隐患；及时理解信息解决系统遭受各类袭击；使管理者掌握信息安全活动与否有效，并依照优先级别拟定所要采用办法；积累信息安全面经验。按照筹划时间间隔（不超过一年）进行ISMS内部审核，内部审核详细规定。依照控制办法有效性检查和内审检查成果以及来自有关方建议和反馈，由最高责任者主持，每年对ISMS有效性进行评审，其中涉及信息安全范畴、方针、目的及控制办法有效性评审。管理者代表应组织关于部门按照《信息安全风险评估管理程序》规定对风险解决后残存风险进行定期评审，以验证残存风险与否达到可接受水平，对如下方面变更状况应及时进行风险评估：组织机构发生重大变更；信息解决技术发生重大变更；公司业务目的及流程发生重大变更；发现信息资产面临重大威胁；外部环境，如法律法规或信息安全原则发生重大变更。保持上述活动和办法记录。以上活动详细程序规定于如下文献中：《控制办法有效性测量程序》《信息安全职责权限划分对照表》《信息安全风险评估管理程序》《内部审核控制程序》内部审核内部信息安全审核重要指内部信息安全管理体系审核，其目是验证公司信息安全管理体系运营符合性和有效性并不断改进和完善公司信息安全管理体系。（一）组织审核公司统一组织、管理内部信息安全审核工作，信息安全管理小组负责制定《内部审核控制程序》并贯彻执行；管理者代表负责领导和策划内部审核工作，批准年度内审筹划和追加审核筹划，批准审核构成员，批准审核算施筹划，审批年度内审报告；信息安全管理小组负责对审核组长及成员提名，编制年度审核筹划和追加审核筹划，报管理者代表批准后执行。审核组长组织和管理内部审核工作，依照实际状况和重要性安排审核顺序实行审核。审核员不应审核自己工作。（二）实行审核审核组长编制审核筹划，经管理者代表批准后，负责在实行审核前5天向被审核方发出书面审核告知；审核小组按《内部审核控制程序》实行审核；审核员收集客观证据，通过度析整顿做出公正判断，填写《内审不合格报告》提交审核组长，并请被审核部门经理在报告上签字承认。（三）审核报告审核组长应在完毕所有审核后，按规定格式编写《内部管理体系审核报告》提交信息安全管理小组，经其审视后报管理者代表，《内部管理体系审核报告》作为管理评审输入证据。（四）纠正办法和跟踪验证被审核部门经理制定纠正办法，填写在《内审不合格报告》中。纠正办法完毕后后，应将纠正办法完毕状况填写到《内审不合格报告》相应栏内，然后将《内审不合格报告》交到审核组长。审核组长视详细状况告知审核组复查，跟踪验证纠正办法实行状况，并将验证成果填写在《内审不合格报告》中。（五）审核记录审核组长应收集所有内部信息安全审核中发生筹划告知、内部审核检查表、记录、审核报告、总结等原始资料，整顿后由信息安全管理小组负责保管内审有关记录。ISMS管理评审（一）总则信息安全最高责任者为确认信息安全管理体系适当性、充分性和有效性，每年对信息安全管理体系进行一次全面评审。该管理评审应涉及对信息安全管理体系与否需改进或变更评价，以及对信息安全方针和信息安全管理目的评价。管理评审成果应形成书面记录，并至少保存3年，按照《文献控制程序》规定进行受控访问。（二）管理评审输入在管理评审时，信息安全管理小组应组织有关部门提供如下资料，供信息安全管理最高责任者和各部门负责人进行评审：ISMS体系内、外部审核成果；有关方反馈（投诉、抱怨、建议）；可以用来改进ISMS业绩和有效性新技术、产品或程序；信息安全目的达到状况，纠正和防止办法实行状况；信息安全事故或征兆，以往风险评估时未充分考虑到薄弱点或威胁；上次管理评审时决定事项实行状况；也许影响信息安全管理体系变更事项（原则、法律法规、有关方规定）；对信息安全管理体系改进建议；有效性测量成果。（三）管理评审输出信息安全管理最高责任者对如下事项做出必要批示：信息安全管理体系有效性改进事项；信息安全方针适当性评价；必要时，对影响信息安全控制流程进行变更，以应对涉及如下变化内外部事件对信息安全体系影响：业务发展规定；信息安全规定；业务流程；法律法规规定；风险水平/可接受风险水平。对资源需求。以上内容详细规定见《管理评审控制程序》。改进不符合和纠正办法发生不符合事项责任部门在查明因素基本上制定并实行相应纠正办法，以消除不符和因素，防止不符合事项再次发生。信息安全管理小组负责制定《纠正办法控制程序》并组织问题发生部门针对发现不符合现象分析因素、制定纠正办法，以消除不符合，并防止不符合再次发生。对纠正办法实行和验证规定如下环节：辨认不符合；拟定不符合因素；评价保证不符合不再发生办法规定；拟定和实行所需纠正办法；记录所采用办法成果；评审所采用纠正办法，将重大纠正办法提交管理评审讨论。持续改进公司持续改进是信息安全管理体系得以持续保持其有效性保证，公司在其信息管理体系安全方针、安全目的、安全审核、监视事态分析、纠正办法以及管理评审方面都要持续改进信息安全管理体系有效性。我司开展如下活动，以保证ISMS持续改进：实行每年管理评审、内部审核、安全检查等活动以拟定需改进项目；按照《内部审核管理程序》、《纠正办法管理程序》规定采用恰当纠正和防止办法；吸取其她组织及我司安全事故经验教训，不断改进安全办法有效性；对信息安全目的及分解进行恰当管理，保证改进达到预期效果。为了保证信息安全管理体系持续有效，各级管理者应通过恰当手段保持在公司内部对信息安全办法执行状况与成果进行有效沟通。涉及获取外部信息安全专家建议、信息安全政府行政主管部门、电信运营商等组织联系及辨认顾客对信息安全规定等。如：管理评审会议、内部审核报告、公司内文献体系、内部网络和邮件系统、法律法规评估报告等。信息安全管理方针公司信息安全管理方针：安全第一，防止为主；全员参加，综治风险；遵纪守法，提高绩效；成本可控，持续发展。对于信息安全方针解释：满足客户规定：满足顾客规定是公司运营必然选取。保障信息安全：信息安全是公司管理重中之重。遵守法律法规：遵守法律法规是公司生存之前提，满足法律法规及有关行业原则/技术规范规定也是我司必要承担社会责任。持续改进管理：控制风险是前提，风险自身是动态过程。通过各种方式提高公司员工信息安全意识，提高公司信息安全管理过程。我司承诺提供一切也许资源与先进技术，保证信息保密性、可用性和完整性，有针对性地采用一切必要安全办法。使用有效风险评估工具和办法，严格控制风险事故在可接受风险范畴之内。制定周密可靠应急方案并定期进行演习，核心信息数据异地备份，制定业务持续性筹划，以保证业务持续进行。为了满足合用法律法规及有关方规定，维持计算机系统集成及服务、计算机应用软件设计开发及服务活动正常进行，我司根据ISO/IEC27001:原则，建立信息安全管理体系，以保证与公司经营管理有关信息保密性、完整性、可用性和可追溯性，实现业务可持续发展目。我司将：在公司内各层次建立完整信息安全管理组织机构，拟定信息安全方针、安全保密目的和控制办法，明确信息安全管理职责；辨认并满足合用法律、法规和有关方信息安全规定；定期进行信息安全风险评估，ISMS评审，采用纠正防止办法，保证体系持续有效性；采用先进有效设施和技术，解决、传递、储存和保护各类信息，实现信息共享；对全体员工进行持续信息安全教诲和培训，不断增强员工信息安全意识和能力；制定并保持完善业务持续性筹划，实现可持续发展。上述方针批准、发布及修订由公司信息安全最高责任者负责；通过培训、宣贯等方式使得我司员工知晓并执行有关内容；通过有效途径告知服务有关方及客户，以提高安全保密意识及服务水平；并定期通过《管理评审控制程序》评审其合用性、充分性，必要时予以修订。组织角色，职责和权限公司经营管理层决定全公司组织机构和各部门职责（涉及信息安全职责），并形成文献。各部门信息安全管理职责决定本部门组织形式和业务分担，并形成文献。总经理为我司信息安全最高责任者。各部门/项目组负责人为本部门/项目组信息安全管理责任者，全体员工都应按保密承诺规定自觉履行信息安全保密义务；各部门应按照《信息安全合用性声明》中规定安全目的、控制办法（涉及安全运营各种控制程序）规定实行信息安全控制办法。信息安全管理手册之信息安全管理制度与规范、业务流程信息安全与保密管理制度为了保证项目网络数据安全保密，维持安全可靠计算机应用环境，特制定本规定。凡项目组从事项目管理工作员工都必要执行本规定。项目合同、需求阐明、设计变更、工作联系单、工程洽商单、经济签证单、公司内部资料等必要由各部门信息管理员妥善管理，禁止外借，禁止非有关人员传阅、查看。对接入计算机及设备，必要符合一下规定：在未经允许状况下，不得擅自对处计算机及其有关设备硬件某些进行修改、改装或拆卸配备，涉及添加光驱、软驱，挂接硬盘等读写设备，以及增长串口或并口外围设备，如扫描仪、打印机等。非我项目计算机及任何外设，不得接入网络系统。禁止擅自启动计算机机箱封条或机箱锁。凡使用项目配备计算机网络系统员工，必要遵守如下规定；未经批准，禁止非本项目工作人员使用除计算机及任何有关设备。对新上网使用办公网络系统员工，由办公室负责上岗前计算机网络设备系统安全及信息保密技术培训工作。未经批准，任何人禁止将其以任何形式（如数据形式：Internet、软盘、光盘、硬磁盘等；硬拷贝形式：图纸打印、复印、照片等）复制、传播或对外提供。任何员工均不得超越权限侵入网络中未开放信息，不得擅自修改入库数据资料和修改她人数据资料。严格执行国家、关于保密、安全及办公自动化系统关于法律、法规规定和规定。各部门应自觉按照关于规定和规定配合做好保密和信息安全工作。任何经由我公司外网接入互联网员工，必要严格遵守国家关于法律、法规。凡使用公司网络系统员工，必要配合网络管理员做好防病毒工作。由办公室负责网络防病毒工作。信息维护员负责实行防病毒寻常管理工作。凡装有可与外界进行数据传播设备计算机，必要安装防病毒程序，办公室定期对防病毒程序进行升级，增强对病毒查杀能力。凡需入网传播数据盘片，由网络管理员负责检查、清查计算机病毒，保证没有病毒后方可传播数据。员工在使用过程中如发现计算机病毒，应及时停止进行任何程序并报告网络管理员，如遇到既有防病毒程序无法清杀病毒，网络管理员必要先将受感染计算机从网络上隔开，协助员工做好数据备份工作，并为顾客恢复系统。分公司办公室定期对关于部门进行计算机网络系统安全和数据保密检查，并将检查成果向处保密工作小组报告。涉及项目信息安全与保密管理人员均需要对本制度有关详细规定，进行保密工作承诺。文献加密管理制度目为规范公司重要文献安全管理级别，通过文献外发控制以及加密管理，防止公司机密文献外泄，保障公司信息安全。范畴本管理制度合用于所有安装加密软件顾客。重要文献定义需要保护公司重要电子文档包括：公司财务数据，公司人员信息总表，各部门培训课件，采购部商品分析表，薪资表，工程图纸，市场部合同信息，公司vip信息汇总表。职责与权限所有安装加密软件顾客必要按照本制度规定进行执行；网管负责人负责加密软件寻常维护，安装管理，以及加密软件权限分派；综合部负责监管。规定描述文献加密类型当前对所有安装加密软件顾客电脑重要文献进行加密解决。文献传播方式控制禁止通过复制/剪贴方式进行外发信息；重要文献在创立或编辑时必要在指定机器上操作并进行加密。所有通过U盘、E-mail、QQ、MSN、微信、网盘等工具传送重要文献，都必要通过部门主管允许才容许。公司部倡导远程工作及登录服务器，如有必要需进行申请，开放端口，并通过加密方式进行通讯。文献外发控制管理重要文献需要传递到没有安装加密软件顾客或者外发到公司外部，必要由各部门制定人员通过加密解决后才容许外发。.对违背本规定者按照《员工手册》关于规定解决。本制度由网管员编撰、修改、执行，自总经理批准之日起开始执行。信息安全奖惩管理办法目明确信息安全奖励与违规行为惩罚操作原则，强化执行，增进员工信息安全意识提高。合用范畴本规范合用于我公司内部信息安全事件奖惩。定义序号角色职责001信息安全事件指辨认出发生系统、服务或网络事件表白也许违背信息安全方略或防护办法失效；或此前未知与安全有关状况；其中一、二级信息安全事件称为重大信息安全事件。002信息安全活动为培养员工信息安全意识，提高公司整体安全水平而举办活动，形式涉及但不限于：考试、培训、宣传和自查。职责与权限序号角色职责001员工遵守公司信息安全管理制度，积极配合、参加信息安全活动。002各部门信息安全接口人协助公司信息安全管理制度、产品宣传与培训工作；负责对部门信息安全问题进行汇总与反馈。003部门主管是部门信息安全直接负责人，负责监督和管理本部门员工信息安全行为，并对潜在信息安全风险进行预警，防止信息安全事件。004部门经理作为部门信息安全间接负责人，熟悉公司信息安全战略，并积极推动信息安全方略落地执行。005部门副总对所负责部门信息安全事件负相应管理责任。006IT部信息安全组对信息安全事件进行跟踪解决，并拟定事件负责人。007总经理最后审批信息安全事件惩罚申请。008总经理最后审批信息安全事件惩罚申请。内容（一）奖励、违规行为惩罚原则及时勉励原则对长期妥善保护公司信息资产，有效避免信息资产遗失、滥用、盗用等，或对于增进信息安全合理共享体现突出个人或者集体，将及时奖励。举报保密原则对于举报信息安全违规行为人员，将对其进行奖励并严格保护其个人资料不公开。违规行为惩罚原则法律追究原则公司所有保密信息均为公司合法资产，受国家法律法规保护。任何损害公司保密信息行为，公司均有权追究行为人法律责任。违规分级原则依照违规行为性质、导致损失和影响严重限度、违规人员与否故意对违规行为分级。涉及核心信息资产，违规级别要升级；一次违背多条信息安全规定人员按最高违规级别从重惩罚；对多次违背信息安全规定人员再次违规时要从重惩罚。积极从宽原则产生违规行为后积极报告，积极采用补救办法以减少影响和损失人员，可减轻惩罚；对问题隐瞒不报或者不及时上报而导致违规影响扩大人员，加重惩罚。过度防卫惩罚原则对阻碍信息合理流动与共享人员要予以惩罚。及时解决原则对重大信息安全违规事件，要及时解决。任何迟延、推诿不解决负责人，要予以问责。（二）奖励级别与责任部门奖励级别与办法奖励事迹奖励级别奖励办法举报或者制止泄密、窃密或者其她严重损害公司利益事件集体或者个人一级依照详细状况予以8000元集体奖励或者5000元个人奖励；通报表扬（遵循“举报保密原则“淡化事迹并隐藏人员信息）。制止她人违规行为或者即时反映也许导致泄密、窃密或者其她重大安全隐患个人，以及在信息安全面做出表率或者突出贡献集体二级依照详细状况集体奖5000元或者3000个人奖励；通报表扬（遵循“举报保密原则“淡化事迹并隐藏人员信息）。在信息安全管理中做出贡献，反映信息安全隐患或者过度防卫被核算、提出信息安全合理化建议并被采纳个人，以及在信息安全面做出贡献集体三级依照详细状况予以3000元集体奖励或者1000元个人奖励。奖励责任部门1）对于满足信息安全奖励原则集体或者个人，IT部信息安全组可依照详细事迹定期进行申报，审批通过后由综合部依照公司财务制度进行发放奖金；2）各部门信息安全接口人可自行组织对本部门先进信息安全集体或者个人进行奖励。违规级别与办法违规事件违规级别惩罚办法盗窃、故意泄露公司保密信息，或故意违背信息安全管理规定，性质严重导致重大影响或者风险一级直接开除，永不录取；如违背法律法规由公司法务部移送公安机关解决；如给公司导致有关损失，须补偿公司损失。全公司范畴内通报惩罚决定。故意违背信息安全规定，性质严重；或者导致较大影响或较大风险二级如给公司导致有关损失，须补偿公司损失；担任公司管理岗位人员，进行降职或者降薪解决；非公司管理岗位人员，进行降薪解决；全公司范畴内通报惩罚决定。过错违背信息安全管理规定，导致一定影响或者风险；或者故意违背信息安全管理规定，但性质不严重且没有导致严重影响或风险三级1.记入核心事件考核成果减10分或罚款500元；2.12个月内2次三级违规升级为1次二级违规。3.部门内部通报惩罚决定。过错违背信息安全管理规定，性质较轻，且导致轻微影响或者风险四级1.记入核心事件考核成果减5分或罚款300元；2.12个月内2次四级违规升级为1次三级违规；3.部门内部通报惩罚决定。阐明：信息安全管理规定涉及公司各部门正式发布信息安全管理制度；上表中“违规事件“描述是定性描述，是违规事件定级参照原则。常用违规行为所合用违规级别详细参照附件1：《常用违规行为及其合用惩罚级别举例》，其她违规行为所使用级别可参照举例进行认定。责任鉴定1）发生一、二级重大信息安全事件违规时，违规者直接上级和部门经理承担直接和间接责任，部门副总须承担连带管理责任，并按照《常用违规行为及其合用惩罚级别举例V1.0》合用条款进行惩罚；2）对于三、四级信息安全违规，依照如下条件判断负责人直接上级与否连带惩罚：员工无意违规，且负责人领导未进行审批授权，不进行连带惩罚；员工无意违规，但负责人领导进行包庇，在事实确认基本上，进行连带惩罚；若所管理部门一种月内发生2次（含）以上故意违规或者4次（含）以上无意违规事件，对直接上级进行连带惩罚。惩罚责任部门惩罚级别惩罚负责人批准申诉一级总经理/综合部二级总经理/综合部三级部门分管副总IT部信息安全组综合部四级部门分管副总IT部信息安全组综合部阐明：1）对于各类违规行为惩罚应当慎重，应建立在客观事实基本上给出惩罚意见。依照违规行为性质、导致损失和影响大小，IT部信息安全组有权规定对当事人加重或者减轻惩罚；2）发现可疑事件组织作为事件调查和解决责任部门。为了加快一级违规行为解决进度，沟通时限和批如期限都是2天；3）在违规事件解决过程中，IT部信息安全组协助与监督惩罚负责人完毕惩罚执行工作。惩罚负责人或其授权人员要做好与违规员工沟通工作。对违规惩罚过程中浮现迟延、推诿行为，IT部信息安全组可以行使否决权。维护与解释1）本规定发布之日起生效；2）本规定由信息安全组至少每两年审视一次，依照审核成果修订原则并颁布执行；3）本规定解释权归信息安全组。计算机数据备份管理规定为保证我司计算机所保存数据和信息安全，加强和规范公司计算机数据和信息管理，特制定本规定。本办法合用于公司所有使用计算机进行寻常办公、信息化系统操作、自动化控制系统操作部门与员工，本规定自下发之日起执行。职责计算机使用者负责所使用计算机数据备份操作，涉及到信息监控系统、自动化控制系统用计算机，关于单位和部门要指定专人负责。各单位、部门负责人是本部门数据备份管理、信息安全管理第一负责人。各部门负责人要理解本部门需要备份数据内容与类型，贯彻备份规定，防范也许浮现数据风险，对本部门数据备份状况要进行不定期抽查，对不按规定备份要及时予以纠正。研发部网络管理员负责公司各部门数据备份技术支持、培训、监督核查工作。数据备份管理（一）备份办法及规定数据备份采用人工备份方式，备份分重要数据备份、重要文档资料备份、信息监控系统数据库原始数据备份、计算机操作系统备份、应用软件备份。所有备份工作必要由操作人员做详细记录，规定记录备份内容、时间及次数。计算机需要备份数据、文档资料要随时归档备份并异地存储，每周至少备份一次，日新增数据量大、财务、销售、经营调度等部门数据必要每天备份一次，每月整顿一次，备份办法实行三重备份方式，即本地硬盘、移动存储设备（网络硬盘）、光盘刻录保存并进行异地存储。备份介质由各部门自行准备，并妥善保管。计算机操作系统应使用正版软件，每周打一次补丁，每季度用Ghost做镜像备份。应用软件更新后，及时用光盘刻录方式转存。每年元月，各部门将上一年所有数据分类，完整、真实、精确地以刻录光盘形式存档，然后交由部门负责人保管。应定期检查备份介质可用性，若发现介质已经不能使用，应及时更换新介质并对重要数据进行转存解决。备份数据资料保管地点必要满足防火、防热、防潮、防尘、防盗等条件，并指定专人保存。计算机需要重装操作系统时，必要自行确认其系统所在硬盘所有盘符中重要数据有异地备份，以防止意外发生（有少数计算机会因病毒、硬盘损坏或是磁盘分区问题，存在重装系统后若干磁盘打不开提示格式化现象）。研发部软件开发代码及文档备份必要同步满足本地及云端规定。（二）关于数据丢失网络管理员在对各部门备份数据核查过程中，发现数据未备份或是备份不及时、不完整状况，应及时指出，并向全公司通报。因可控人为因素导致重要数据（例如行政办公、技术、销售、人事及财务等）遗失，公司依照损失状况将对负责人进行严肃惩罚，涉及到公司安全，依法追究刑事责任。如因违背计算机数据备份管理规定，导致备份数据不完整或丢失，由此导致损失及数据恢复费用由各部门自己承担。各部门统一由研发部安装正版网络杀毒软件，并定期更新病毒数据库和定期查杀毒，如果因杀毒软件误操作破坏数据，各部门应保持原始状态，由研发部联系杀毒软件服务商进行数据恢复。数据保密（一）依照公司保密规定，禁止外泄备份数据，否则以故意泄露公司商业机密论处。（二）除公司数据备份管理人员外，任何人无权询问、刺探、破解其她部门数据备份信息内容。（三）员工离职时，必要将重要数据与本部门有关人员交接清晰。（四）外请计算机维护人员进行系统维护时，本部门人员必要全程陪伴并监督，禁止维护人员以任何形式拷贝任何资料。服务器安全管理办法（一）总则为我司业务正常运营，特制定本管理办法。（二）寻常管理第二条服务器由维护组人员进行管理并授权与建站服务有关人员使用，明确各自服务器用途、应用范畴及使用对象，并对整个系统资源进行合理规划。第三条服务器管理员和服务器使用人员应遵守服务器安装工作流程，从系统划分、安全设立等方面规范管理工作。第四条系统管理员负责各自服务器寻常管理和维护，重要有：顾客帐户管理、网络管理、数据库管理、服务器系统运营状态监控、以及各应用系统使用资源状况记录，并合理地分派系统资源。第五条服务器使用员负责对自己上传网站或文献进行寻常管理和维护，重要有文献更新，修改，网站及网站有关文献和代码安全和漏洞检查和管理，病毒和木马清除。第六条为保证系统安全性、可靠性及文献、数据一致性和完整性，必要对系统进行备份工作。管理员依照各自服务器状况，制定出相应备份及恢复方略，定期进行备份。第七条系统管理员要进一步理解系统工作原理，不断提高系统管理水平。在系统浮现普通性故障或错误时，能及时予以排除；而浮现重大问题时，可通过系统恢复等手段加以解决。第八条系统管理员对负责服务器应提供详细文档，涉及系统安装、各种软件安装、开关机环节及安全设立等信息。研发部对软件在作业系统执行进行严格控制，在新软件安装或软件升级之前，应经主管部门负责人审核批准后方可进行。计算机终端顾客除非授权，否则禁止擅自安装任何软件。。第十条系统管理员和有关使用人员建立系统维护管理手册，对自己所做各项工作要有详细记录。如：1.系统问题发现，因素分析，解决方案，管理改进；2.建立“任务申请表”制度，使管理工作有案可查、有章可寻；3.系统备份日期、内容、类别、操作者等；4.系统及软件安装或版本升级，要有时间和内容详细记录；4.网站新增、修改、删除，数据库各种操作。第十一条系统管理员必要定期更改服务器帐号，特别是超级顾客管理密码，建议每月1-5日将各自管理服务器帐号进行更新。（三）工作权责服务器上维护内容有如下几点：操作系统安装与配备，服务器安全设立，补丁更新，系统安全检测WEB服务（IIS）安装与配备，ASP/ASPX网站配备，数据库（MSSQL）安装与配备主站网站维护（网站）网站服务器维护（所有建站服务器及正在运营VPS）虚拟空间网站维护服务器代码备份，数据备份服务器软件检测（FTP、虚拟网卡、网站所需组件）服务器顾客账号管理DNS搭建与配备服务器盘符目录设定及约束（四）权责明细权限范畴：服务器安全检测保证服务器上各软件运营状况DNS服务器正常运营服务器安全设立、系统补丁更新。服务器所需组件安装及添加监控服务器中各网站运营状况保证邮件服务器正常运营服务器盘符目录设定及约束对VPS监控及分派服务器数据库备份网站网站程序备份本网站所有网站程序和数据库备份节假日服务器运营状况监控FTP帐号管理，上传网站程序。对网站代码及目录进行检测，随时发现也许浮现木马。商定第一条禁止对服务器中每个盘符所设定目录进行更改或者随意添加。第二条管理人不得将服务器管理账号转借她人。管理人未经总经理签字允许不得将数据库内容导出给她人。只容许服务器管理人通过FTP上传数据到服务器上（已经告知FTP网站顾客除外）。第五条管理人不得在服务器上安装任何与系统安全和网站运营无关软件和应用程序。第六条管理人不得开服务器上开设除网站本网站以外站点和空间。第七条管理人不得为其她工作人员开放职权范畴外权限。（五）数据备份第一条正常工作日每天登录服务器，查看服务运营状态与否正常。第二条管理人每周对服务器数据库备份至少一次，保存于服务器中。第三条管理人每次大假前必要将数据库以及网站所有程序及资料备份交下载到本地进行保存。信息安全管理手册之信息安全管理架构职能分派表部门管理职责管理层信息安全小组商务部财务部研发部办公室运维部工程部组织背景理解组织和它背景★○○○○○○○理解有关方需求和盼望★○○○○○○○拟定ISMS范畴★○○○○○○○ISMS★○○○○○○○领导力领导力和承诺★○○○○○○○方针★○○○○○○○组织角色、职责和权限★○○○○○○○筹划解决风险和机遇行动○★○○○○○○可实现信息安全目的和筹划○★○○○○○○支持资源★○○○○○○○能力○○○○○★○○意识○○○○○★○○沟通★○○○○★○○文档化信息○○○○○★○○运营运营筹划及控制○○○○○★○○信息安全风险评估○○○○○★○○信息安全风险处置○○○○○★○○绩效评价监视、测量、分析和评价○★○○○○○○内部审核○○○○○★○○管理评审★○○○○○○○改进不符合及纠正办法○○○○○★○○持续改进○★○○○○○○控制目的与控制规定信息安全方针★○○○○○○○内部组织★○○○○○○○移动设备和远程办公○○○○★○★★任用前○○○○○★○○任用中○○○○○★○○任用终结和变更○○○○○★○○资产责任○○★★★★★★信息分类○○○★○★○○介质解决○○○○★○○★访问控制业务需求○○○○★○○○顾客访问管理○○○○★○○○顾客责任○○★★★★★★系统和应用访问控制○○○○★○○○密码控制○○○○★○○○安全区域○★○○○○○○设备安全○★○○○○○○操作程序及职责○★○○○○○○防范恶意软件★★★★★★★★备份○○○★★○○★日记记录和监控○○○○★○○○操作软件控制○○○○★○○○技术漏洞管理○○○○★○○○信息系统审计考虑因素○○○○★○○○网络安全管理○○○○★○○○信息传播○○○○★○○○信息系统安全需求○○○○★○○○开发和支持过程安全○○○○★○○○测试数据○○○○★○○○供应商关系信息安全○○○○★○○★供应商服