金融机构信息安全管理指引
附件
省银行业金融机构信息安全管理指引(试行)
第一章总则
第一条为切实加强省银行业金融机构(以下简称银行机构)信息安全工作的管理和指导,进一步增强银行机构信息安全保障能力,保障国家经济金融运行安全,保护金融消费权益和维护社会稳定,根据国家和人民银行总行有关规定和要求,特制订本指引。
第二条本指引所称信息安全管理,是指在银行机构计算机系统建设、运行、维护、使用及废止等过程中,保障计算机数据信息、计算机系统、网络、机房基础设施等安全的一系列活动。
第三条省人民银行分支机构按属地管理原则对辖银行机构信息安全工作进行管理、指导和协调。各银行机构负责本系统(单位)的信息安全管理,完成人民银行交办的信息安全管理任务、接受人民银行的监督和检查。
第四条各银行机构信息安全管理工作的目标是:建立和完善与金融机构信息化发展相适应的信息安全保障体系,满足金融机构业务发展的安全性要求,保证信息系统和相关基础设施功能的正常发挥,有效防、控制和化解信息技术风险,增强信息系统安全预警、应急处置和灾难恢复能力,保障数据安全,显著提高金融机构业务持续运行保障水平。
第五条各银行机构信息安全管理工作的主要任务是:
(一)加强组织领导,健全信息安全管理体制,建立跨部门、
跨行业协调机制;
(二)加强信息安全队伍建设,落实岗位职责制,不断提高信息安全队伍业务技能;
(三)保证信息安全建设资金的投入,将信息安全纳入“五年”发展规划和年度工作计划,不断完善信息安全基础设施建设;
(四)进一步加强信息安全制度和标准规体系建设;
(五)加大信息安全监督检查力度;加快以密码技术应用为基础的网络信任体系建设;
(六)加强安全运行监控体系建设;
(七)大力开展信息安全风险评估,实施等级保护;
(八)加快灾难恢复系统建设,建立和完善信息安全应急响应和信息通报机制;
(九)广泛、深入开展信息安全宣传教育活动,增强全员安全意识。
第六条本指引适用于在省设立的各政策性银行、国有商业银行、股份制银行、邮政储蓄银行、城市商业银行、农村商业银行、城市信用合作社、农村信用合作社、村镇银行的总部和分支机构。非银行机构参照执行。
第二章组织机构
第七条各银行机构应建立健全信息安全管理机构。应建立由行领导负责、相关部门负责人及部专家组成的信息安全领导机构,负责本系统(单位)信息安全管理工作,决策本系统(单位)信息安全重大事宜。
第八条各银行机构应设立或指定专门负责信息安全工作的部门,配备专门负责信息安全工作的人员,实行A、B岗制度。
第九条各银行机构应建立和完善统一的信息安全协调机制。应建立外部协调机制,加强信息安全的交流、沟通和协作,充分发挥纵向、横向协调的组织保障作用,有效提升信息安全保障能力。
第十条各银行机构应明确信息安全管理部门、运营部门和应用部门的信息安全管理职责分工,科学制定安全规划,有效组织实施安全策略。
第十一条各银行机构应建立完善的信息安全制度管理体系。
第十二条各银行机构信息安全分管行领导、信息安全主管部门及部门负责人变更后,应报当地人民银行备案。
第三章人员管理
第十三条各银行机构的工作人员应根据不同的岗位或工作围,履行相应的信息安全管理职责。
第十四条各银行机构应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和有关规定受到过处罚或处分的人员,不得从事此项工作。
第十五条各银行机构应加大人才培养力度,每年至少对信息安全管理人员进行一次信息安全培训,适时对工作人员进行信息安全知识培训。
第十六条各银行机构信息安全管理人员应认真履行职责:
(一)组织落实信息安全管理规定和本单位及分支机构信息安全保障工作,制定信息安全管理制度。
(二)审核信息化建设项目中的安全方案,组织实施信息安全项目建设,维护、管理信息安全专用设施。
(三)督促检查网络和信息系统的安全运行状况,组织检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。统计分析和协调处置信息安全事件。
(四)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。
第十七条加强对职工的信息安全教育,提高全员信息安全意识。加大专业技能培养,优化人员结构,形成梯队,重点加强数据中心高端系统运行人员技能的培养力度,不断增强自我运行操作能力与应急能力。合理配置和使用人力资源,人尽其才,合理流动,广开人才来源。
第十八条建立信息安全管理业绩评价体系,奖惩分明。
第四章机房环境和设备资产管理
第十九条本指引所称机房,是指网络与计算机设备放置、运行的场所,包含供配电、通信、空调、消防、监控等配套环境设施。
第二十条各银行机构机房的规划、建设、改造、运行、维护和机房设施配备,应符合国家计算机机房有关标准、行业管理有关要求和部管理有关规定。
第二十一条计算机机房应配套建设消防、防雷、门禁、视频监控、环境监控等系统,通过技术和管理手段,确保计算机机房及配套设施安全。
第二十二条计算机机房配套建设的消防系统、防雷系统应通过国家主管部门的竣工验收和定期检测。
第二十三条应建立健全计算机机房管理制度,落实专人担任机房管理员,定期巡查机房运行状况。机房管理员应经过相关专业培训,掌握机房各类设备的操作要领。
第二十四条对计算机机房搬迁等可能影响系统正常运行的维护事项,事前需报当地人民银行备案。
第二十五条对外提供柜面服务的场所与核心业务处理环境,应严格人员出入管理,并通过安装门禁、视频监控录像等系统,加强技术防。
第二十六条各银行机构应做好计算机设备的登记工作,严格设备资产管理,落实设备使用者的安全保护责任。
第二十七条各银行机构应根据计算机设备的重要程度,采取相应等级的安全保护措施,防止未授权使用设备或信息。有特殊安全要求的计算机设备,应放置在机房特殊功能区,并遵守相关安全规定。
第五章密码技术及网络安全管理
第二十八条各银行机构信息系统应根据安全需要合理运用密码技术和产品,所使用的密码技术与产品应符合国家密码管理相关规定。
第二十九条各银行机构信息系统重要信息的传输、存储要采取一定强度的加密措施,建立规的密钥管理制度。
第三十条各银行机构信息系统所使用的网络应具备可信体系架构,具备身份认证、授权管理、跟踪审计等功能。
第三十一条各银行机构信息系统所使用的网络应具备基本的
安全防能力,能通过身份认证、访问控制、容过滤、信息加密、网络隔离等措施有效防来源于部和外部的网络威胁。
第三十二条各银行机构应严格网络安全配置管理,制订合理的网络服务策略和强制路径策略,强化外部连接用户认证,加强远程诊断接口的保护。
第三十三条各银行机构应规划分网络安全域,利用国际互联网提供金融服务的信息系统要与办公网实现安全隔离,加强网络边界防护,保证重要信息不被泄露、篡改或非法利用。
第六章国产化及外包服务
第三十四条各银行机构应积极开展国外技术和产品的国产化替代工程,降低对外资厂商的依赖程度,消除外资产品可能植入后门、逻辑炸弹等恶意代码和记录信息装置带来的安全隐患,提高信息安全自主可控水平。
第三十五条在保证可用性的条件下,各银行机构应优先考虑购买使用国产的网络产品、服务器、终端设备、操作系统、数据库系统、中间件等软硬件产品和技术。
第三十六条积极开展安全管理认证工作,开展测评认证时,应选择具有资质的国认证和咨询机构,加强信息安全和管理,保证重要敏感信息不出境。
第三十七条各银行机构应在充分评估风险控制的基础上使用
外包服务,并建立规的外包服务管理机构及管理制度。
第三十八条各银行机构涉及国计民生、银行关键业务的核心系统不得使用外包服务。重要业务系统托管应选择具有相关资质的中资机构。
第三十九条各银行机构加强对外包服务全过程的跟踪管理,完善过程记录,定期对外包服务的实施过程风险和完成情况进行评估。
第四十条各银行机构加强对外包服务商的管理,选择外包服务商应符合国家和行业监管部门信息安全相关规定,明确服务等级责任(SLA),签订协议。
第七章风险评估及等级保护
第四十一条各银行机构应加强对信息系统风险评估的管理,在信息系统方案设计、建设投产、运行维护、重大变更等各个重要环节应实施风险评估。
第四十二条各银行机构使用的信息系统要适时、有效开展风险评估,重要信息系统至少每一年进行一次评估,并根据评估结果,及时研究整改存在的问题,实施安全加固。
第四十三条各银行机构应每半年按照《省银行业金融机构信息安全评估规》开展一次全面的自评估,在2月底和10月底上报当地人民银行。
第四十四条各银行机构要严格控制风险评估过程的管理,有
规的制度和专门人员,应建立风险预案,落实预防性应对措施,确保风险评估工作不影响生产系统安全。
第四十五条各银行机构应每年梳理本机构运营使用的信息系统,按照国家和人民银行有关要求开展规的定级工作,按人民银行要求报送定级评审材料,二级及以上信息系统需向当地公安部门备案。
第四十六条各银行机构应对三级及以上的信息系统按照国家有关要求开展等级保护测评工作,并针对测评问题做好整改工作,并按照属地管理原则向当地人民银行报送测评整改总结报告。
第八章灾难恢复系统和业务连续性体系
第四十七条各银行机构应按照国家相关规加强灾难恢复系统建设,制定覆盖所有重要信息系统的业务连续性计划和应急预案,建立和完善各项管理制度,提高业务持续运营能力。
第四十八条实施数据集中的银行机构应同步规划、同步建设、同步运行同城或异地信息系统灾难恢复系统,逐步形成生产中心、同城灾备中心、异地灾备中心的“两地三中心”灾备架构。
第四十九条各银行机构核心业务系统,应实施应用级备份;对于其他业务系统,可实施系统级或数据级备份。应适时备份和安全保存业务数据,定期对冗余备份系统、备份介质进行深度可用性检查。
第五十条同城灾备中心对站点级灾难恢复能力应达到《信息安全技术信息系统灾难恢复规》(GB/T 20988-2007)中所定义的
公司网络信息安全管理办法(修改)
公司网络信息安全管理办法 1.总则 为规范公司计算机与网络的管理,确保计算机与网络资源的高效性与安全性,特制订本办法。 1.1网络信息安全是指保护网络系统中的软件、硬件及信息资源,使之免受偶然或恶意的破坏、篡改和泄露,保证网络系统的正常运行、网络服务不中断。 1.2本规定涉及的管理范围,包括各类软、硬件设备。其中,软件设备包含:办公系统(OA、CRM、现金流系统)、邮件系统、局域网、操作系统以及网络上提供的相关服务;硬件设备包含计算机及与计算机相连接的打印机、扫描仪、路由器、服务器、U盘、移动硬盘等设备。 1.3本办法适用于部门及车间各单位。 2.网络安全管理 2.1全公司计算机由其指定责任人负责计算机与网络管理的各项工作。该部门与责任人有权对公司的所有计算机进行操作并查看。同时,其负有对所有计算机信息保密的义务。若发现该责任人泄漏计算机内信息秘密,将视情节轻重,对该责任人处以200-5000元的经济处罚。 2.2公司员工必须定期对其重要文件进行备份,不建议将文件数据单一存储在某一设备介质中,应在多种设备介质(移动硬盘或U盘)中建立多个备份。一旦数据丢失且无法恢复,将视数据损失情况及重
要程度,对当事人处以200-5000元的经济处罚。 2.3公司各部门的重要数据,应每季度由其部门特定人员进行备份,同时应将数据备份到多种设备介质中,包括移动硬盘,光盘等。一旦数据丢失,将视数据损失情况及重要程度,对当事人处以200-5000元的经济处罚。 2.4公司服务器系统的数据备份,由其部门特定人员进行数据备份。责任人需每周一次对数据文件进行完整备份,并将备份文件转移到指定存储介质中。未按要求进行备份,并导致服务器数据丢失,将视数据损失情况及重要程度,对当事人处以200-5000经济处罚。 2.5公司员工不得使用各种手段破解、攻击公司计算机网络系统与各种服务平台。一经发现,将对当事人处以5000元的经济处罚并给予开除处理。 2.6 责任人需定期对使用电脑进行杀毒、清理垃圾文件、升级补丁,保持计算机系统清洁。未按规定执行,对部门第一负责人及经办人员分别处以200元和100元的经济处罚。 2.7责任人需定期对服务器进行杀毒、清理垃圾文件、升级补丁,保持计算机系统清洁。未按规定执行,对第一负责人及经办人员分别处以200元和100元的经济处罚。 2.8 公司员工因履行职务或者主要利用公司的物质条件、技术累积、业务信息等产生的发明创造、作品、计算机软件、技术信息或其他与商业信息有关的知识产权均属公司所有。工作成果包括发明创造、技术改造、工具模型、专有技术、专有设计、专利、管理模式、
信息安全管理规定
信息安全管理规定 1目的 在遵循集团《计算机信息安全管理制度》原则基础上,为确保公司网络平台、信息系统的正常运行及信息系统中的信息数据安全,防止泄密,针对公司实际情况,制定本管理规定。 2范围 本办法适用于公司全体员工。 3术语定义 3.1 计算机信息:是指存储在计算机相关设备上的应用系统(软件)、数据、文档、图纸等含有一定意义的计算机信息资料。 3.2 内部网络:是指园区网络及通过专线与园区互联的其他园区、驻外机构网络(以下简称内网)。 3.3 外部网络:是指互联网或除互联网和公司内网之外的第三方专网(以下简称外网)。 3.4 VPN:虚拟专用网络(Virtual Private Network,简称VPN),是指在公共网络上建立专用网络的技术,属于远程访问技术,就是利用公网链路架设的虚拟私有网络。 4职责 4.1信息化管理部门:公司信息化管理部门,负责计算机信息安全日常工作,事业部接入级网络交换设备的管理工作,及时向总部信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。 4.2 计算机用户:负责本人领用的办公计算机的日常保养、正常操作及安全管理,负责所接触计算机信息的保密性、可用性和完整性;及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。涉密信息的起草人必须按公司《保密制度》相关规定提出信息密级的定级申请。 5内容与要求 5.1 账号和密码安全管理 5.1.1 信息系统用户账号须严格按照业务信息系统要求进行设置,原则上不得设置成共用账号,以确保使用人与账号的唯一性。 5.1.2 员工申请信息系统账号权限时,所在部门的负责人应严格审核,控制授予满足其工作需要的最小权限;员工岗位或工作内容发生变化后应及时提出申请权限变更,应用系统管理员应及时变更异动员工的权限,冻结离职员工的账号。 5.1.3计算机用户应妥善保管好自己的系统账号密码或身份认证设备,如发现遗失或被盗,应立即向信息化管理部门报告,信息化管理部门应及时处理,确保账号使用的合法性。
金融业信息科技风险管理
信息科技风险管理办法 第一章总则 第一条为有效防范运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我行各项业务安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《商业银行信息科技风险管理指引》、《营口沿海银操作风险管理指引》,以及国家信息安全相关要求和有关法律法规,制定本管理办法。 第二条本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在我行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。 第三条本管理办法所称信息科技风险,是指信息科技在我行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第四条信息科技风险管理的目标是通过建立有效的机制,实现对我行信息科技风险的识别、计量、监测和控制,促进我行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章机构职责 第五条根据我行信息科技治理的要求,法定代表人是本机构信息科技风险管理的第一责任人,负责组织本管理办法的贯彻落实, 董事会应履行以下信息科技管理职责: (一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。 (四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。 (五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 (六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。
信息安全管理机构
信息安全管理机构 1.组织架构 中国文联文艺资源中心为适应单位发展,促进和加强信息化建设,确保信息化网络和设备安全、稳定运行,组织成立了信息化领导小组,信息化领导小组是信息安全管理的最高管理层,单位各相关部门负责日常管理工作。中国文联文艺资源中心员工需遵守相关的管理制度,配合信息安全检查工作。 2.信息安全管理组织结构图 3.信息安全机构管理职责 3.1.信息化领导小组 信息化领导小组的最高领导由单位主管领导委任或授权。成员有:
委员会主任:向云驹 委员会副主任:冉茂金、彭宽 信息化领导小组职责(信息安全领导小组/信息安全工作委员会): (1)负责指导和管理信息化建设和信息安全工作。 (2)负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。 3.2.应急领导小组 信息化领导小组下设应急领导小组。其成员包括: 组长:向云驹 副组长:冉茂金、彭宽 下设领导小组办公室: 下设领导小组办公室:由中国文联文艺资源中心综合部和各业务部门负责人组成。 应急领导小组职责: (1)拟订或者组织拟订中国文联文艺资源中心应对信息安全突发事件的工作规划和应急预案并组织实施。 (2)督促检查各处室应急预案的执行情况,并给予指导。 (3)督促技术部信息安全突发事件监测、预警工作情况,并给予指导。 (4)汇总有关信息安全突发事件的各种重要信息,进行综合分析,并提出建议。(5)监督检查、协调指导技术部及各部门信息安全突发事件预防、应急准备、应急处置和事后恢复与重建工作。 (6)组织制订信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划,并督促落实。
公司信息安全网络安全管理
文档序号:XXGS-AQSC-001 文档编号:AQSC-20XX-001 XXX(单位)公司 信息安全网络安全管理 编制科室:知丁 日期:年月日
信息安全网络安全管理 1.局域网由市公司信息中心统一管理。 2.计算机用户加入局域网,必须由系统管理员安排接入网络,分配计算机名、IP地址、帐号和使用权限,并记录归档。 3.入网用户必须对所分配的帐号和密码负责,严格按要求做好密码或口令的保密和更换工作,不得泄密。登录时必须使用自己的帐号。口令长度不得小于6位,必须是字母数字混合。 4.任何人不得未经批准擅自接入或更改计算机名、地址、帐号和使用权限。业务系统岗位变动时,应及时重新设置该岗帐号和工作口令。 5.凡需联接互联网的用户,必需填写《计算机入网申请表》,经单位分管领导或部门负责人同意后,由信息中心安排和监控、检查,已接入互联网的用户应妥善保管其计算机所分配帐号和密码,并对其安全负责。不得利用互联网做任何与其工作无关的事情,若因此造成病毒感染,其本人应付全部责任。 6.入网计算机必须有防病毒和安全保密措施,确因工作需要与外单位通过各种存储媒体及网络通讯等方式进行数据交换,必须进行病毒检查。因违反规定造成电子数据失密或病毒感染,由违反人承担相应责任,同时应追究其所在部
门负责人的领导责任。 7.所有办公电脑都应安装全省统一指定的趋势防病毒系统,并定期升级病毒码及杀毒引擎,按时查杀病毒。未经信息中心同意,不得以任何理由删除或换用其他杀毒软件(防火墙),发现病毒应及时向信息中心汇报,由系统管理员统一清除病毒。 8.入网用户不得从事下列危害公司网络安全的活动: (1)未经允许,对公司网络及其功能进行删除、修改或增加; (2)未经允许,对公司网络中存储、处理或传输的数据和应用程序进行删除、修改或增加; (3)使用的系统软件和应用软件、关键数据、重要技术文档未经主管领导批准,不得擅自拷贝提供给外单位或个人,如因非法拷贝而引起的问题,由拷贝人承担全部责任。 9.入网用户必须遵守国家的有关法律法规和公司的有关规定,如有违反,信息中心将停止其入网使用权,并追究其相应的责任。 10.用户必须做好防火、防潮、防雷、防盗、防尘和防泄密等防范措施,重要文件和资料须做好备份。知丁
商业银行信息科技风险管理解决方案
商业银行信息科技风险管理解决方案 本帖最后由 infosec123 于 2009-9-23 17:16 编辑 背景 为加强商业银行的信息科技风险管理,提升信息科技风险管理能力,09年3月份银监会正式发布了《商业银行信息科技风险管理指引》(以下简称《指引》),这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后,银监会发布的又一重要风险管理指引。该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样,是商业银行面临的主要风险。现阶段商业银行已经基本完成了信息化建设,在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下,国际银行业金融机构的信息科技风险有增大的趋势,国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。目前,国际上宣布实施新资本协议的国家和地区都按照新协议的要求,明确将操作风险纳入资本监管的范畴,而信息科技风险是操作风险的重要组成部分。 需求分析合规性需求: 近年来,国家各部门不断推出了各种监管要求,对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有: 2002年,美国国会发布了SOX《萨班斯[url=; 2004年9月30日,中国银监会发布了[url=; 2006年,银监会发布《电子银行安全评估指引》、《[url=;
XXXX医院信息安全管理组织机构及岗位职责
XXXX医院信息安全管理组织机构及岗位职责 为规范我院信息安全管理工作,建立信息安全工作管理体系,需建立健全相应的组织管理体系,以推动医院信息安全工作的开展。 1、我院的医院信息化工作领导小组,是信息安全的最高决策机构,日常机构设立在医院微机中心,负责信息安全的日常事务。 2、信息化工作领导小组负责研究重大事件,落实方针政策和制定总体策略等。主要职责: 根据国家和行业有关信息安全的政策、法律和法规,批准医院信息化安全总体策略规划、管理规范和技术标准; 确定医院信息安全各有关部门工作职责,指导、监督信息安全工作。 3、微机中心具体负责医院信息安全工作和应急处理工作,主要工作包括:执行医院信息化工作领导小组的决议,协调和规范医院信息安全工作;根据信息化工作领导小组的工作部署,对信息安全工作进行具体安排、落实;组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;
负责协调、督促各职能部门和相关科室的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; 组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策; 负责接受各部门的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 及时向信息安全工作领导小组和上级有关部门报告信息安全事件。组织信息安全知识的培训和宣传工作。 决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统; 定期组织对信息安全应急策略和应急预案进行测试和演练。 4、设置信息系统的关键岗位并加强管理。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。 系统管理员主要职责有: 负责系统的运行管理,实施系统安全运行细则; 严格用户权限管理,维护系统安全正常运行; 认真记录系统安全事项,及时向信息安全人员报告安全事件;
XX公司网络与信息安全管理组织机构
XX公司网络与信息安全管理组织机构 设置及工作职责 一、总则 为规范XX公司(以下简称公司”信息安全管理工作,建立自上而下的信息安全工作管理体系,需建立健全相应的组织管理体系,以推动信息安全工作的开展。 二、范围 本管理办法适用于公司的信息安全组织机构和重要岗位的管理。 三、规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的应用文件,其随后的所有的修改单或修订版均不适用于本标准(不包括勘误、通知单),然而,鼓励根据本标准达成协议的各方研究是否可以使用这些文件的最新版本。凡未注日期的引用文件,其最新版本适用于本标准: 信息安全技术信息系统安全保障评估框架》( GB/T 20274.1-2006) 信息安全技术信息系统安全管理要求》( GB/T 20269-2006) 信息安全技术信息系统安全等级保护基本要求》( GB/T 22239-2008) 四、组织机构 1、公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公 室,负责信息安全领导小组的日常事务。 2、信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括:① 根据国家和行业有关信息安全的策略、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;② 确定公司信息安全各有关部门工作职责,知道、监督信息安全工作。
3、信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作 组长均由公司负责人担任。 4、信息安全工作组的主要职责包括: ① 贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工 ② 根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落 实; ③ 组织对重大的信息安全工作制度和技术操作策略进行审查,拟定信息安 全总体策略规划,并监督执行; ④ 负责协调、督促各职能部门和有关单位的信 息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; ⑤ 组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全 风险的防范对策; ⑥ 负责接收各单位的紧急信息安全事件报告,组织进行时间 调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全时间 防范措施; ⑦ 及时向信息安全工作领导小组和上级有关部门、单位报告信息安全时 间。 ⑧ 跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。 5、应急处理工作组的主要职责包括: ① 审定公司网络与信息系统的安全应急策略及应急预案; ② 决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障, 恢复系统; ③ 每年组织对信息安全应急策略和应急预案进行测试和演练。 五、关键岗位 1、设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、 应用开发管理员、安全审计员、安全保密管理员。要害岗位人员必须严格遵守 保密法规和有关信息安全的管理规定。 2、系统管理员主要职责必须包含并不限 于: ① 负责系统的运行管理,实施系统安全运行细则; 组。 作;
信息安全管理组织机构及岗位职责
信息安全管理组织机构及岗位职责. 组织机构 1.1 公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。 1.2 信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括: 根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准; 确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。 1.3 信息安全领导小组下设两个工作组: 信息安全工作组、应急处理工作组。组长均由公司负责人担任。 1.4 信息安全工作组的主要职责包括: 1.4.1 贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作 1.4.2 根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 1.4.3 组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行; 1.4.4 负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统 工程建设中的安全规划,监督安全措施的执行 1.4.5 组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全 风险的防范对策; 1.4.6 负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施
1.4.7 及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 1.4.8 跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。 1.5 应急处理工作组的主要职责包括: 1.5.1 审定公司网络与信息系统的安全应急策略及应急预案 1.5.2 决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统; 1.5.3 每年组织对信息安全应急策略和应急预案进行测试和演练。 1.6 公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全技术人员,有条件的应设置信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。 . 关键岗位 2.1 设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员,要求五人各自独立。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。 2.2 系统管理员主要职责有: 2.2.1 负责系统的运行管理,实施系统安全运行细则 2.2.2 严格用户权限管理,维护系统安全正常运行 2.2.3 认真记录系统安全事项,及时向信息安全人员报告安全事件 2.2.4 对进行系统操作的其他人员予以安全监督。 2.3 网络管理员主要职责有: 2.3.1 负责网络的运行管理,实施网络安全策略和安全运行细则 2.3.2 安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
网络及信息安全管理组织机构设置及工作职责.docx
网络与信息安全管理组织机构设置及工作职责一、网络与信息安全责任人: 1. 网络与信息安全第一责任人:企业 法定代表人姓名;工作职责为:对机构内的信息安全工作负有领 导责任;联系方式:电话及邮箱。(联系电话应为本人常用、真实 有效的手机号码,可抽测。) 2.网络与信息安全责任人:分管信息安全工作的负责人姓名;工作职责为:对企业内信息安全工作负有直接领导责任。联系方式:电话及邮箱。(联系电话应为本人常用、真实有效的手机号码,可抽测。)(上述两项请全部填写)二、网络与信息安全管理组织机 构设置及工作职责 1.企业需设置或指定网络与信息安全主管部门(如信息安全领导小组、信息安全工作组、信息安全部等),负责本企业网络与信息安全 相关工作;企业网络与信息安全管理组织架构:包括主管部门、相关 配合部门; 2.网络与信息安全管理机构职责(包括但不限于下述内容,要对公 司实际制度建立和管理情况进行简述):( 1)建立健全网络与信息 安全规章制度,以及各项规章制度执行情况监督检查;( 2)开展网 络与信息安全风险监测预警和评估控制、隐患排查整改工作;( 3) 建立健全网络与信息安全事件应急处置和上报制度,以及组 织开展应急演练;( 4)建立健全从业人员网络与信息安全教育培 训以及考核制度;( 5)违法有害信息监测处置制度和技术手段建 设;( 6)建立健全用户信息保护制度。 3.对于申请 IDC/ISP( 开展网站接入业务的)企业,在许可证申请 完成后,开展业务前,企业的 IDC/ISP 信息安全管理系统需与我局IDC/ISP 信息安全管理系统进行对接,并且按照《工业和信息化部办 公厅关于印发《互联网信息安全管理系统使用及运行维护管理办法 (试行)》(工信厅网安(2016)135 号)要求,制定本企业 IDC/ISP 信息安全管理系统的运行维护管理办法。 网络与信息安全一、网络与信息安全管理人员配备情况及相应资质请按照下表内容在系统管理人员配备情上填写相关文字信息: 况及相应资质网络与信息安全管理人员配备情况表 责任人 第一责任人( 公司法人 /总经理)姓名身份联系归属工作全职/资质证号方式部门内容兼职情况 (手 机)
公司IT信息安全管理制度.doc
公司IT信息安全管理制度4 富世康公司IT信息安全管理制度 第一条总则通过加强公司计算机系统、办公网络、服务器系统的管理,保证网络系统安全运行,保证公司机密文件的安全,保障服务器、数据库的安全运行。加强计算机使用人员的安全意识,确保计算机系统正常运转。 第二条范围 1、计算机网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2、软件包括:服务器操作系统、SQL数据库、金蝶财务软件、浩龙餐饮管理软件、思迅商业管理软件、今目标办公自动化系统、微励系统及其它办公软件。 3、客户机的网络系统配置包括客户机在网络上的名称,IP 地址分配,用户登陆名称、用户密码、及Internet的配置等。 4、系统软件是指:操作系统(如WINDOWS XP、SERVER2008、WINDOWS7等)软件。 第三条职责 1、信息部为网络安全运行的管理部门,负责公司计算机网络系统、计算机系统、数据库系统的日常维护和管理。 2、负责系统软件的调研、采购定型、安装、升级、保管工作。
3、网络管理人员负责计算机网络系统、办公自动化系统、平台系统的安全运行;服务器安全运行和数据备份;Internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理协助各部门进行数据备份和数据归档。 4、网络管理人员执行公司保密制度,严守公司商业机密。 5、员工执行计算机安全管理制度,遵守公司保密制度。 6、系统管理员的密码必须由网络管理部门相关人员掌握。 第三条管理办法 I、公司计算机使用管理制度 1、从事计算机网络信息活动时,必须遵守《计算机信息网络国际联网安全保护管理办法》的规定,应遵守国家法律、法规,加强信息安全教育。 2、计算机等硬件设备由公司统一配置并定位,任何部门和个人不得允许私自挪 用调换、外借和移动电脑。 3、电脑硬件及其配件添置应列出清单报审计部,在征得公司领导同意后,由信息部负责进行添置。 4、电脑操作应按规定的程序进行。 (1)电脑的开、关机应按按正常程序操作,因非法操作而使电脑不能正常使用的,修理费用由该部门负责;
信息安全管理机构及岗位设置
信息安全管理机构及岗位设置
1 总则 1.1 目的 为加强医院信息安全管理工作,保障网络与信息系统的正常运行,依据有关法律、法规及信息安全标准,特制定本制度。 1.2 适用范围 本制度适用于本院的信息安全组织机构和人员职责管理。 2 信息安全领导小组 2.1 本院成立信息安全领导小组,领导小组组长由分管本院信息工作的院长担任。领导小组是信息安全的最高决策机构。 2.2 信息安全领导小组下设信息安全工作组。 2.3 信息安全领导小组的职责主要包括: 1)根据国家和行业有关信息安全的政策、法律和法规,批准医本院信息安全总体决策规划、管理规范和技术标准; 2)确定本院信息安全各有关部门工作职责,指导、监督信息安全工作; 3)审定本院网络与信息系统的安全应急策略及应急预案; 4)决定相应应急预案的启动,负责现场指挥。 3 信息安全工作组 3.1 信息安全工作组组长由医院信息科负责人担任。
3.2信息安全工作组的主要职责包括: 1)贯彻执行医院信息安全领导小组的决议,协调和规范医院信息安全工作; 2)根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 3)组织对信息安全工作制度和技术操作策略的制定,拟订信息安全总体规划,制定近期和远期的安全建设工作计划并监督执行; 4)负责协调、督促各职能部门的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; 5)组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策; 6)采取相应应急措施,组织协调相关人员排除系统故障,恢复系统; 7)负责医院的紧急信息安全事件报告,组织事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 8)及时向信息安全工作领导小组和上级有关部门报告信息安全事件。 9)组织信息安全知识的培训和宣传工作。 10)每年组织对信息安全应急预案进行测试和演练。 4 信息安全人员基本要求 4.1 信息安全管理人员和专(兼)职信息安全技术人员应当政治
信息安全培训及教育管理办法(含安全教育和培训记录表技能考核表)
信息安全培训及教育管理办法
第一章总则 第一条为了加强公司信息安全保障能力,建立健全公司的安全管理体系,提高整体的信息安全水平,保证网络通信畅通和业务系统的正常运营,提高网络服务质量,在公司安全体系框架下,本策略主要明确公司信息安全培训及教育工作的内容及相关人员的职责。对公司人员进行有关信息安全管理的理论培训、安全管理制度教育、安全防范意识宣传和专门安全技术训练;确保公司信息安全策略、规章制度和技术规范的顺利执行,从而最大限度地降低和消除安全风险。 第二条本策略适用于公司所有部门和人员。 第二章信息安全培训的要求 第三条信息安全培训工作需要分层次、分阶段、循序渐进地进行,而且必须是能够覆盖全员的培训。 第四条分层次培训是指对不同层次的人员,如对管理层(包括决策层)、信息安全管理人员,系统管理员和公司人员开展有针对性和不同侧重点的培训。 第五条分阶段是指在信息安全管理体系的建立、实施和保持的不同阶段,培训工作要有计划地分步实施;信息安全培训要采用内部和外部结合的方式进行。 一、管理层(决策层) 第六条管理层培训目标是明确建立公司信息安全体系的迫切性和重要性,获得公司管理层(决策层)有形的支持和承诺。
第七条管理层培训方式可以采用聘请外部信息安全培训、专业公司的技术专家和咨询顾问以专题讲座、研讨会等形式。 二、信息安全管理人员 第八条信息安全管理人员培训目标是理解及掌握信息安全原理和相关技术、强化信息安全意识、支撑公司信息安全体系的建立、实施和保持。 第九条信息安全管理人员培训方式可以采用聘请外部信息安全专业资格授证培训、参加信息安全专业培训、自学信息安全管理理论及技术和公司内部学习研讨的方式。 三、公司系统管理员 第十条公司系统管理员培训目标是掌握各系统相关专业安全技术,协助公司和各部门信息安全管理人员维护和保障系统正常、安全运行。 第十一条公司系统管理员培训方式可以采用外部和内部相结合的培训以及自学的方式。 四、公司人员 第十二条公司人员培训目标是了解公司相关信息安全制度和技术规范,有安全意识,并安全、高效地使用公司信息系统。 第十三条公司人员培训方式应主要采取内部培训的方式。
互联网企业网站信息安全管理制度全套
互联网企业网站信息安全管理制度全套 目录 信息发布登记制度 (1) 信息内容审核制度 (2) 信息监视、保存、清除和备份制度 (3) 病毒检测和网络安全漏洞检测制度 (5) 违法案件报告和协助查处制度 (6) 安全管理人员岗位工作职责 (7) 安全教育和培训制度 (8) 信息发布登记制度 1. 在信源接入时要落实安全保护技术措施,保障本网络的运行安全和信息安全; 2. 对以虚拟主机方式接入的单位,系统要做好用户权限设定工作,不能开放其信息目录以外的其他目录的操作
权限。 3. 对委托发布信息的单位和个人进行登记并存档。 4. 对信源单位提供的信息进行审核,不得有违犯《计算机信息网络国际联网安全保护管理办法》的内容出现。 5. 发现有违犯《计算机信息网络国际联网安全保护管理办法》情形的,应当保留有关原始记录,并在二十四小时内向当地公安机关报告。 信息内容审核制度 1、必须认真执行信息发布审核管理工作,杜绝违犯《计算机信息网络国际联网安全保护管理办法》的情形出现。 2、对在本网站发布信息的信源单位提供的信息进行认真检查,不得有危害国家安全、泄露国家秘密,侵犯国家的、社会的、集体的利益和公民的合法权益的内容出现。 3、对在BBS 公告板等发布公共言论的栏目建立完善的审核检查制度,并定时检查,防止违犯《计算机信息网络国际联网安全保护管理办法》的言论出现。 4、一旦在本信息港发现用户制作、复制、查阅和传
播下列信息的:( 1 ). 煽动抗拒、破坏宪法和法律、行政法规实施( 2 ) . 煽动颠覆国家政权,推翻社会主义制度(3). 煽动分裂国家、破坏国家统一(4). 煽动民族仇恨、民族歧视、破坏民族团结( 5) . 捏造或者歪曲事实、散布谣言,扰乱社会秩序( 6 ). 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪( 7 ). 公然侮辱他人或者捏造事实诽谤他人( 8 ). 损害国家机关信誉( 9 ) . 其他违反宪法和法律、行政法规( 10) . 按照国家有关规定,删除本网络中含有上述内容的地址、目录或者关闭服务器。并保留原始记录,在二十四小时之内向当地公安机关报告。 信息监视、保存、清除和备份制度 为促进公司网站健康、安全,高效的应用和发展,维护国家和社会的稳定,杜绝各类违法、
信息安全管理政策和业务培训制度(最新版)
( 安全管理 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 信息安全管理政策和业务培训 制度(最新版) Safety management is an important part of production management. Safety and production are in the implementation process
信息安全管理政策和业务培训制度(最新 版) 第一章信息安全政策 一、计算机设备管理制度 1.计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2.非我司技术人员对我司的设备、系统等进行维修、维护时,必须由我司相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。 3.严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非
我司技术人员进行维修及操作。 二、操作员安全管理制度 1.操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置. 2.系统管理操作代码的设置与管理: (1)、系统管理操作代码必须经过经营管理者授权取得; (2)、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护; (3)、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权; (4)、系统管理员不得使用他人操作代码进行业务操作; (5)、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; 3.一般操作代码的设置与管理 (1)、一般操作码由系统管理员根据各类应用系统操作要求生
公司网络信息安全工作计划
公司网络信息安全工作计划 公司网络信息安全工作计划(3篇) 公司网络信息安全工作计划1 为加强本单位网络与信息安全保障工作,经局领导班子研究,制定**县工业 商务和信息化局20**年网络与信息安全工作计划。 一、加强考核,落实责任 结合质量管理体系建设,建立健全信息化管理和考核制度,进一步优化流程,明确责任,与各部门重点涉密岗位签订《网络与信息安全及保密责任书》。加大考核力度,将计算机应用及运维情况列入年度考核中,通过考核寻找信息安全工作 存在的问题和不足,认真分析原因,制定切实可行的预防和纠正措施,严格落实 各项措施,持续改进信息安全工作。 二、做好信息安全保障体系建设 进一步完善信息安全管理制度,重点加强用户管理、变更管理、网络安全检查等运行控制制度和数据安全管理、病责防护管理等日常网络应用制度;加强入 侵检测系统应用,通过桌管系统、瑞星控制台密切关注各移动存储介质(移动硬盘、U盘、CD光驱)等设备运行情况;在业务分析需求的基础上,合理设置安全策略,充分利用局域网优势,进一步发挥技术防范措施的作用,从源头上杜绝木马、病 毒的感染和传播,提高信息网络安全管理实效; 进一步完善应急预案,通过应急预案演练检验预案的'科学性、有效性,提 高应对突发事件的应变能力。
三、加强各应用系统管理 进一步作好政府信息公开网站后台管理系统、OA等业务系统应用管理。加强与各部门勾通,收集使用过程中存在的问题,定期检查系统内各模块使用情况及时反馈给相关部门,充分发挥系统功能;完善系统基础资料,加大操作人员指导力度,确保系统有效运行,切实提高信息安全水平。 四、加强信息安全宣传教育培训 利用局域网、OA系统,通过宣传栏等形式,加大信息安全宣传力度,不断提高员工对信息安全重要性的认识,努力形成“广泛宣传动员、人人积极参与”的良好气氛;着力加强信息化工作人员的责任意识,切实增强做好信息化工作的责任感和使命感,不断提高服务的有效性和服务效率。 公司网络信息安全工作计划2 一、建立健全网络和信息安全管理制度 各单位要按照网络与信息安全的有关法律、法规规定和工作要求,制定并组织实施本单位网络与信息安全管理规章制度。要明确网络与信息安全工作中的各种责任,规范计算机信息网络系统内部控制及管理制度,切实做好本单位网络与信息安全保障工作。 二、切实加强网络和信息安全管理 各单位要设立计算机信息网络系统应用管理领导小组,负责对计算机信息网络系统建设及应用、管理、维护等工作进行指导、协调、检查、监督。要建立本单位计算机信息网络系统应用管理岗位责任制,明确主管领导,落实责任部门,各尽其职,常抓不懈,并按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实履行好信息安全保障职责。
信息安全管理组织机构及岗位职责
一.组织机构 1.公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室, 负责信息安全领导小组的日常事务。 2.信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。 职责主要包括:根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。 3.信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。 组长均由公司负责人担任。 4.信息安全工作组的主要职责包括: 1)贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作; 2)根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落 实; 3)组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安 全总体策略规划,并监督执行; 4)负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统 工程建设中的安全规划,监督安全措施的执行; 5)组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全 风险的防范对策; 6)负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原 因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 7)及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 8)跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。 5.应急处理工作组的主要职责包括: 1)审定公司网络与信息系统的安全应急策略及应急预案; 2)决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障, 恢复系统;
3)每年组织对信息安全应急策略和应急预案进行测试和演练。 6.公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全 技术人员,有条件的应设置信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。 二.关键岗位 1.设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、 应用开发管理员、安全审计员、安全保密管理员,要求五人各自独立。 要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。 2.系统管理员主要职责有: 1)负责系统的运行管理,实施系统安全运行细则; 2)严格用户权限管理,维护系统安全正常运行; 3)认真记录系统安全事项,及时向信息安全人员报告安全事件; 4)对进行系统操作的其他人员予以安全监督。 3.网络管理员主要职责有: 1)负责网络的运行管理,实施网络安全策略和安全运行细则; 2)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运 行; 3)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向 信息安全人员报告安全事件; 4)对操作网络管理功能的其他人员进行安全监督。 4.应用开发管理员主要职责有: 1)负责在系统开发建设中,严格执行系统安全策略,保证系统安全功能的 准确实现; 2)系统投产运行前,完整移交系统相关的安全策略等资料; 3)不得对系统设置“后门”; 4)对系统核心技术保密等。 5.安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计 和监督,主要职能包括:
公司网络信息安全管理办法(修改)1.doc
公司网络信息安全管理办法(修改)1 公司网络信息安全管理办法 1.总则 为规范公司计算机与网络的管理,确保计算机与网络资源的高效性与安全性,特制订本办法。 1.1网络信息安全是指保护网络系统中的软件、硬件及信息资源,使之免受偶然或恶意的破坏、篡改和泄露,保证网络系统的正常运行、网络服务不中断。 1.2本规定涉及的管理范围,包括各类软、硬件设备。其中,软件设备包含:办公系统(OA、CRM、现金流系统)、邮件系统、局域网、操作系统以及网络上提供的相关服务;硬件设备包含计算机及与计算机相连接的打印机、扫描仪、路由器、服务器、U 盘、移动硬盘等设备。 1.3本办法适用于公司本部、各分公司及直属各单位。 2.网络安全管理 2.1全公司计算机与网络管理的责任部门为电子商务运营部,并由其指定责任人负责计算机与网络管理的各项工作。该部门与责任人有权对公司的所有计算机进行操作并查看。同时,其负有对所有计算机信息保密的义务。若发现该部门或责任人泄漏计算机内信息秘密,将视情节轻重,对该部门或责任人处以200-5000元的经济处罚。
2.2公司员工必须定期对其重要文件进行备份,不建议将文件数据单一存储在某一设备介质中,应在多种设备介质(移动硬盘或U盘)中建立多个备份。一旦数据丢失且无法恢复,将视数据损失情况及重要程度,对当事人处以200-5000元的经济处罚。 2.3公司各部门的重要数据,应每季度由其部门特定人员进行备份,同时应将数据备份到多种设备介质中,包括移动硬盘,光盘等。一旦数据丢失,将视数据损失情况及重要程度,对当事人处以200-5000元的经济处罚。 2.4公司服务器系统的数据备份,由电子商务运营部统一进行。电子商务运营部需每天对服务器的数据文件进行备份,并将备份文件转移到指定存储介质中。每周一次对数据文件进行完整备份,并将备份文件转移到指定存储介质中。未按要求进行备份,并导致服务器数据丢失,将视数据损失情况及重要程度,对当事人处以200-5000经济处罚。 2.5公司员工不得使用各种手段破解、攻击公司计算机网络系统与各种服务平台。一经发现,将对当事人处以5000元的经济处罚并给予开除处理。 2.6 电子商务运营部需定期对全公司电脑进行统一杀毒、清理垃圾文件、升级补丁,保 持计算机系统清洁。未按规定执行,对电子商务运营部第一负责人及经办人员分别处以200元和100元的经济处罚。 2.7电子商务运营部需定期对服务器进行杀毒、清理垃圾文
信息安全管理机构及岗位设置
1 总则 1.1 目的 为加强医院信息安全管理工作,保障网络与信息系统的正常运行,依据有关法律、法规及信息安全标准,特制定本制度。 1.2 适用范围 本制度适用于本院的信息安全组织机构和人员职责管理。 2 信息安全领导小组 2.1 本院成立信息安全领导小组,领导小组组长由分管本院信息工作的院长担任。领导小组是信息安全的最高决策机构。 2.2 信息安全领导小组下设信息安全工作组。 2.3 信息安全领导小组的职责主要包括: 1)根据国家和行业有关信息安全的政策、法律和法规,批准医本院信息安全总体决策规划、管理规范和技术标准; 2)确定本院信息安全各有关部门工作职责,指导、监督信息安全工作; 3)审定本院网络与信息系统的安全应急策略及应急预案; 4)决定相应应急预案的启动,负责现场指挥。 3 信息安全工作组 3.1 信息安全工作组组长由医院信息科负责人担任。 3.2信息安全工作组的主要职责包括: 1)贯彻执行医院信息安全领导小组的决议,协调和规范医院信息安全工作;
2)根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 3)组织对信息安全工作制度和技术操作策略的制定,拟订信息安全总体规划,制定近期和远期的安全建设工作计划并监督执行; 4)负责协调、督促各职能部门的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; 5)组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策; 6)采取相应应急措施,组织协调相关人员排除系统故障,恢复系统; 7)负责医院的紧急信息安全事件报告,组织事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 8)及时向信息安全工作领导小组和上级有关部门报告信息安全事件。 9)组织信息安全知识的培训和宣传工作。 10)每年组织对信息安全应急预案进行测试和演练。 4 信息安全人员基本要求 4.1 信息安全管理人员和专(兼)职信息安全技术人员应当政治可靠、业务素质高、遵纪守法、恪尽职守。 4.2信息安全管理人应有计算机专业工作三年以上经历,具备专科以上学历。 4.3违反国家法律、法规和行业规章受到处罚的人员,不得从事信息安全管理与技术工作。 5 信息安全人员管理 5.1 信息安全人员的配备和变更情况,应向分管院长报告、备案。
- 信息安全管理组织机构及岗位职责
- 网络与信息安全管理组织机构设置及工作职责
- 信息安全管理组织机构及岗位职责
- 信息安全管理组织结构设置及工作职责修正版
- -网络与信息安全管理组织机构设置及工作职责
- 网络与信息安全管理组织机构设置及工作职责
- 信息安全管理组织机构及岗位职责模板
- 信息安全管理组织机构设置及工作职责
- 信息安全组织机构管理制度
- 网络及信息安全管理组织机构设置及工作职责.docx
- ISO27001信息安全组织机构与部门职能分配表
- 信息安全管理机构
- 信息安全管理组织机构设置及工作职责
- 1.信息安全管理组织机构设置及工作职责
- 信息安全管理机构
- 信息安全管理组织机构设置及工作职责
- 网络与信息安全管理组织机构设置及工作职责
- XX公司网络与信息安全管理组织机构
- 医院信息安全管理组织机构及岗位职责
- 企业网络与信息安全管理组织架构