信息安全组织管理制度

信息安全组织管理制度目 录.目的和范围 2.引用文件 2.职责和权限 2.内部组织及沟通 3.与监管机构联系 4.与特定利益集团联系 4.项目管理中的信息安全 4.笔记本电脑使用规定 5.远程访问管理 69.1.远程接入的用户认证 69.2.远程接入的审计 6.实施策略 6.相关记录 7.目的和范围建立完善内外组织系统保证内外部组织渠道的畅通及时了解体系运行况，确保体系有效运行，促进公司业务组织的安全管理制度。本规定适用于公司业务组织的安全管理，包括：1)内部之间的组织；2)信息系统与外部系统之间的组织；3)与供应商、客户等相关单位和个人间的组织。.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期适用于本标准然而鼓励各部门研究是否可使用这些文件的最新版本凡是不注日期的引用文件，其最新版本适用于本标准。2)GB/T22080-2016/ISO/IEC27001:2013 信息技术安全技术信息安全管理体系要求3)GB/T22081-2016/ISO/IEC27002:2013 信息技术安全技术信息安全管理实施细则.职责和权限1)信息安全工作小组 内部沟通职责：维持内部的信息沟通；向公司内部人员传达与信息安全有关的法规资料及政策；接收内部人员对信息安全管理体系的意见并采取相应行动。2)信息安全工作小组成员：收集员工对信息安全方面的意见，并向信息安方面的知识。3)部门负责人：确保部门内容信息能及时有效沟通。对于公司内、外部所全管理体系。.内部组织及沟通1)通告、会议及培训把有关信息安全方面的政策及其它事项传达予各员工；2)员工对公司信息安全管理体系有任何意见可向其部门主管或其所在部门工作小组联同各部门按此表格进行跟进并进行有关调查；3)信息安全工作小组负责收集和汇总《监管机构及特定利益团体联系表》的信息。4)信息安全管理体系的管理评审结果应由信息安全工作小组向各部门负责人员讲解及监察其执行情况；5)信息安全工作小组联同各部门建立及维护信息安全管理体系的文件控制制度；6)每月召开安全例会，传达公司安全精神和公司内部信息安全相关工作；7)员工有关于信息安全管理体系方面的建议和问题可以通过email邮件给：.与监管机构联系为及时了解政府相关监管机构新出台的管理政策及法规并且依照相关管理政策公司应该遵守的通报规定公司应与有关监管机构或相关政府机构定期行联系沟通及时掌握监管机构或政府部门发布的相关信息按照其相关规定对可能引发的公司信息安全事件有所预期在发生相关信息安全事件时可以及时取得相关机构的协助。公司对客户员工供应商等利益相关方需要定义与监管机构沟通的方式周期及接口部门。.与特定利益集团联系为及时了解行业相关非营利机构新公布的信息，公司应保持与特定相关方其他安全专家组和专业协会的适当联系增进最佳实践的知识掌握最新相关安全信息；；获得信息安全专家的建议；共享和交换关于新的技术、产品、威胁或脆弱性的信息；当处置信息安全事件时，提供适当的联络点。.项目管理中的信息安全作为项目的一部份信息安全需整合到组织的项目管理方法中以确保识别并强调了信息安全风险所有项目例如软件开发过程、设施管理和其他支持过程等方面的项目均需要使用以下的信息安全控制措施进行管理：1）重点项目启动前对人员和技术进行风险评估及合同评估；2）根据客户要求签订保密协议；3）信息安全目的被纳入项目目的；4）信息安全作为所采用的项目管理方法各个阶段的一部分；5）在所有项目中需定期评审信息安全问题。.笔记本电脑使用规定1)笔记本电脑设备必须有严格的口令访问控制措施，口令设置需满足公司安全策略要求。2)对无人看守的笔记本电脑设备必须实施物理保护，必须放在带锁的办公室、抽屉或文件柜里。3)笔记本电脑设备丢失或被窃后应及时报告给部门经理和行政部。4)凡带出公司使用而遗失、被偷盗等均由个人负全责赔偿。5)除自然损坏外，凡人为损坏（如撞坏、跌坏、电源插错烧坏等）由本人负责修好，费用由个人承担。6)笔记本电脑中除工作所需的软件外，不导入其他与工作无关的软件。离开公司办公环境的设备和媒体在公共场所不能无人看管，出差员工如7)离开公司办公环境的设备和媒体在公共场所不能无人看管，出差员工如需携带便携式计算机，需要提前向直属领导/行政部提出申请。在旅行需携带便携式计算机，需要提前向直属领导/行政部提出申请。在旅行要数据需加密保存。.远程访问管理.远程接入的用户认证1)凡是接入公司的远程用户的访问必须通过VPN并经过认证方可接入。2)认证用户必须使用8位以上复杂密码。3)任何远程接入用户不得将自己的用户名密码提供给任何人包括同事，家人。4)所有远程接入用户的客户端或个人电脑必须安装防病毒软件并且病毒库升级到最新。.远程接入的审计1)远程接入用户的操作必须要经过接入设备的审计。应记录相关日志，对用户行为监控。. 实施策略1)信息安全工作小组负责内部信息沟通的有效渠道建设；2)员工有关于信息安全管理系统方面的建议和问题可以通过email邮件给：3)员工对信息安全管理体系有任何意见填《信息安全管理体系意见表。4)信息安全工作小组负责收集和汇总《监管机构及特定利益团体联系表》的信息。编号所 编号所 备注1总裁办3年电/2表 总裁办3年电/文档编号（由总裁办填写）F4-B文档编号（由总裁办填写）F4-B总裁办-006-V1.1密级内部公开文档发布级别公司级文档发布及实行范围全员制度试行日期（可选）制度执行日期2016/07/01文档起草人王江签字：日期：2016/07/01文档修订人：王江签字：