公司依据ISO/IEC27001:2013信息安全管理体系标准的要求编制《信息安全管理手册》,并包括了风险评估及处置的要求。规定了公司的信息安全方针及管理目标,引用了信息安全管理体系的内容。
1.1规范性引用文件
下列参考文件的部分或整体在本文档中属于标准化引用,对于本文件的应用必不可少。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。
ISO/IEC 27000,信息技术—-安全技术——信息安全管理体系—-概述和词汇. 1。2术语和定义
ISO/IEC 27000中的术语和定义适用于本文件. 1。3公司环境
1.3.1理解公司及其环境
公司确定与公司业务目标相关并影响实现信息安全管理体系预期结果的能力的外部和内部问题,需考虑:
明确外部状况:
✓ 社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境,无论国际、
国内、区域,还是本地的; ✓ 影响组织目标的主要动力和趋势;
✓ 与外部利益相关方的关系,外部利益相关方的观点和价值观。 明确内部状况:
✓ 治理、组织结构、作用和责任;
✓ 方针、目标,为实现方针和目标制定的战略;
✓ 基于资源和知识理解的能力(如:资金、时间、人员、过程、系统和技术); ✓ 与内部利益相关方的关系,内部利益相关方的观点和价值观; ✓ 组织的文化;
✓ 信息系统、信息流和决策过程(正式与非正式); ✓ 组织所采用的标准、指南和模式; ✓ 合同关系的形式与范围. 明确风险管理过程状况: ✓ 确定风险管理活动的目标; ✓ 确定风险管理过程的职责;
✓ 确定所要开展的风险管理活动的范围以及深度、广度,包括具体的内涵和外延; ✓ 以时间和地点,界定活动、过程、职能、项目、产品、服务或资产; ✓ 界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系; ✓ 确定风险评价的方法;
✓ 确定评价风险管理的绩效和有效性的方法; ✓ 识别和规定所必须要做出的决策;
✓ 确定所需的范围或框架性研究,它们的程度和目标,以及此种研究所需资源. 确定风险准则:
✓ 可以出现的致因和后果的性质和类别,以及如何予以测量; ✓ 可能性如何确定;
✓ 可能性和(或)后果的时间范围; ✓ 风险程度如何确定; ✓ 利益相关方的观点; ✓ 风险可接受或可容许的程度;
✓ 多种风险的组合是否予以考虑,如果是,如何考虑及哪种风险组合宜予以考虑。 1.3。2理解相关方的需求和期望
信息安全管理小组应确定信息安全管理体系的相关方及其信息安全要求,相关的信息安全要求。对于利益相关方,可作为信息资产识别,并根据风险评估的结果,制定相应的控制措施,实施必要的管理。相关方的要求可包括法律法规要求和合同义务。 1。3。3确定信息安全管理体系范围
本公司ISMS的范围包括 a) 物理范围:
b) 业务范围:计算机软件开发,计算机系统集成相关信息安全管理活动。 c) 内部管理结构:办公室、财务部、研发部、商务部、工程部、运维部. d) 外部接口:向公司提供各种服务的第三方 1。3.4信息安全管理体系
本公司按照ISO/IEC27001:2013标准的要求建立一个文件化的信息安全管理体系.同时考虑该体系的实施、维持、持续改善,确保其有效性。ISMS体系所涉及的过程基于PDCA模式.
1.4领导力
总经理应通过以下方式证明信息安全管理体系的领导力和承诺:
a) 确保信息安全方针和信息安全目标已建立,并与公司战略方向一致; b) 确保将信息安全管理体系要求融合到日常管理过程中; c) 确保信息安全管理体系所需资源可用;
d) 向公司内部传达有效的信息安全管理及符合信息安全管理体系要求的重要性; e) 确保信息安全管理体系达到预期结果; f)
指导并支持相关人员为信息安全管理体系有效性做出贡献;
g) 促进持续改进;
h) 支持信息安全管理小组及各部门的负责人,在其职责范围内展现领导力。 1。5规划
1.5。1应对风险和机会的措施 1。5。1.1总则
公司针对公司内部和公司外部的实际情况,和相关方的要求,确定公司所需应对的信息安全方面的风险。在已确定的ISMS范围内,针对业务全过程所涉及的所有信息资产进行列表识别。信息资产包括软件/系统、数据/文档、硬件/设施、人力资源及外包服务。对每一项信息资产,根据信息资产判断依据确定信息资产的重要性等级并对其重要度赋值。
信息安全管理小组制定信息安全风险评估管理程序,经信息安全管理小组组长批准后组织实施.风险评估管理程序包括可接受风险准则和可接受水平.该程序的详细内容见《信息安全风险评估管理程序》。 1.5。1。1.1信息安全风险评估 1.5。1。1。1。1风险评估的系统方法
信息安全管理小组制定信息安全风险评估管理程序,经管理者代表审核,总经理批准后组织实施。风险评估管理程序包括可接受风险准则和可接受水平。该程序的详细内容适用于《信息安全风险评估管理程序》.
1。5。1。1。1。2资产识别
在已确定的ISMS范围内,对所有的信息资产进行列表识别。信息资产包括软件/系统、数据/文档、硬件/设施及人力资源、服务等.对每一项信息资产,根据信息资产判断依据确定信息资产的重要性等级并对其重要度赋值。 1。5。1.1。1。3评估风险
a) 针对每一项信息资产、记录、信息资产所处的环境等因素,识别出所有信息资产所
面临的威胁;
b) 针对每一项威胁,识别出被该威胁可能利用的薄弱点;
c) 针对每一项薄弱点,列出现有的控制措施,并对控制措施有效性赋值;同时考虑威
胁利用脆弱性的容易程度,并对容易度赋值;
d) 判断一个威胁发生后可能对信息资产在保密性(C)、完整性(I)和可用性(A)方面
的损害,进而对公司业务造成的影响,计算信息资产的安全事件的可能性和损失程度。
e) 考虑安全事件的可能性和损失程度两者的结合,计算信息资产的风险值。 f)
根据《信息安全风险评估管理程序》的要求确定资产的风险等级.
g) 对于信息安全风险,在考虑控制措施与费用平衡的原则下制定风险接受准则,按照
该准则确定何种等级的风险为不可接受风险,该准则在《信息安全风险评估管理程序》有详细规定,并在《风险评估报告》中进行系统汇报并针对结果处理意见获得最高管理者批准.
h) 获得最高管理者对建议的残余风险的批准,残余风险应该在《残余风险评价报告》
上留下记录,并记录残余风险处置批示报告。 i)
获得管理者对实施和运行ISMS的授权。ISMS管理者代表的任命和授权、ISMS文档的签署可以作为实施和运作ISMS的授权证据。
1。5.1.1。2信息安全风险处置
1。5.1。1。2。1风险处理方法的识别与评价
信息安全管理小组应组织有关部门根据风险评估的结果,形成《风险处理计划》,该计划应明确风险处理责任部门、方法及时间。
对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施: a) 采用适当的内部控制措施;
b) 接受某些风险(不可能将所有风险降低为零); c) 回避某些风险(如物理隔离);
d) 转移某些风险(如将风险转移给保险者、供方、分包商).
1。5。1。1。2。2选择控制目标与控制措施
信息安全管理小组根据信息安全方针、业务发展要求及风险评估的结果,组织有关部门制定信息安全目标.信息安全目标应获得总裁的批准。
控制目标及控制措施的选择原则来源于附录A.本公司根据信息安全管理的需要,可以选择标准之外的其他控制措施。
1.5。1.1。2.3适用性声明SoA
信息安全管理小组编制《信息安全适用性声明》(SoA).该声明包括以下方面的内容: a) 所选择控制目标与控制措施的概要描述;
b) 对ISO/IEC 27001:2013附录A中未选用的控制目标及控制措施理由的说明。
1。5.1。1。2。3残余风险
对风险处理后的残余风险应形成《残余风险评估报告》并得到信息安全最高责任人的批准。信息安全管理小组应保留信息安全风险处置过程的文件化信息. 1.5。2信息安全目标和实现规划
根据公司的信息安全方针,经过最高管理者确认,公司的信息安全管理目标为: 顾客保密性抱怨/投诉的次数不超过1起/年。
受控信息泄露的事态发生不超过3起/年 秘密信息泄露的事态不得发生。
信息安全管理小组根据《适用性声明》、《信息资产风险评估表》中风险处理计划所选择的控制措施,明确控制措施改进时间表。对于各部门信息安全目标的完成情况,按照《信息安全目标及有效性测量程序》的要求,周期性在主责部门对各控制措施的目标进行测量,并记录测量的结果。通过定期的内审、控制措施目标测量及管理评审活动评价公司信息安全目标的完成情况.
1.6支持 1。6。1资源
总经理负责确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源。 1.6.2能力
办公室应:
a) 确定公司全体员工影响公司信息安全绩效的必要能力;
b) 确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作; c) 适用时,采取措施以获得必要的能力,并评估所采取措施的有效性; d) 保留适当的文件化信息作为能力的证据。
注:适用的措施可包括,对新入职员工进行的信息安全意识教育;定期对公司员工进行的业务实施过程中的信息安全管理相关的培训等。 1。6。3意识
公司全体员工应了解: a) 公司的信息安全方针;
b) 个人其对公司信息安全管理体系有效性的贡献,包括改进信息安全绩效带来的益处; c) 不符合信息安全管理体系要求带来的影响。
1。6.4沟通
信息安全管理小组负责确定与信息安全管理体系相关的内部和外部的沟通需求,包括: a) 沟通内容; b) 沟通时间; c) 沟通对象; d) 谁应负责沟通; e) 影响沟通的过程。 1.6。5文件化信息 1.6。5。1总则
公司的信息安全管理体系应包括: a) 本标准要求的文件化信息;
b) 信息安全管理小组确保信息安全管理体系的有效运行,需编制《文件控制程序》用
以管理公司信息安全管理体系的相关文件。
1。6。5。2创建和更新
创建和更新文件化信息时,信息安全管理小组应确保适当的: a) 标识和描述(例如标题、日期、作者或编号);
b) 格式(例如语言、软件版本、图表)和介质(例如纸质、电子介质); c) 对适宜性和充分性的评审和批准。 1.6.5。3文件化信息的控制
信息安全管理体系及本标准所要求的文件化信息应予以控制,以确保: a) 在需要的地点和时间,是可用和适宜的;
b) 得到充分的保护(如避免保密性损失、不恰当使用、完整性损失等).
c) 为控制文件化信息,适用时,科技规划部应开展以下活动: d) 分发,访问,检索和使用; e) 存储和保护,包括保持可读性; f)
控制变更(例如版本控制);
g) 保留和处置。
信息安全管理小组需在《文件控制程序》中规划和运行信息安全管理体系所必需的外来的文件化信息,应得到适当的识别,并予以控制.
1.7运行
1。7。1运行规划和控制
为确保ISMS有效实施,对已识别的风险进行有效处理,本公司开展以下活动: a) 形成《信息安全风险处理计划》,以确定适当的管理措施、职责及安全保密控制措
施的优先级,应特别注意公司外包过程的确定和控制;对于系统集成和IT外包运维服务项目,项目经理应在项目策划阶段识别所面临的信息安全风险,并在项目全过程中对信息安全风险进行监控和更新.
b) 为实现已确定的安全保密目标、实施风险处理计划,明确各岗位的信息安全职责; c) 实施所选择的控制措施,以实现控制目标的要求; d) 进行信息安全培训,提高全员信息安全意识和能力;
e) 对信息安全体系的运作进行管理,控制计划了的变更,评审非预期变更的后果,必
要时采取措施减缓负面影响; f)
对信息安全所需资源进行管理;
g) 实施控制程序,对信息安全事故(或事件)进行迅速反应. 总经理为本公司信息安全最高责任者。
办公室制定全公司的组织机构和各部门的职责(包括信息安全职责),并形成文件。 信息安全管理小组成员负责完成信息安全管理体系运行时必须的任务;对信息安全管理体系的运行情况和必要的改善措施向信息安全最高责任者报告.
各部门负责人作为本部门信息安全的主要责任人,信息安全内审员负责指导和监督本部门信息安全管理体系的运行与实施,并形成文件;全体员工都应按保密承诺的要求自觉履行信息安全义务。
各部门应按照《信息安全适用性声明》中规定的安全保密目标、控制措施(包括安全保密运行的各种控制程序)的要求实施信息安全控制措施.
信息安全管理小组应对满足信息安全要求及实施6.1中确定的措施所需的过程予以规划、实施和控制,同时应实施计划以实现6.2中确定的信息安全目标.
信息安全管理小组应保持文件化信息达到必要的程度,以确信过程按计划得到执行。 信息安全管理小组应控制计划内的变更并评审非预期变更的后果,必要时采取措施减轻负面影响。
各部门确定本部门业务过程中的外包活动,并对外包过程进行必要的控制. 1。7。2信息安全风险评估
公司按照组织《信息安全风险评估管理程序》的要求,每年定期或当重大变更提出或发生时,执行信息安全风险评估。每次风险评估的过程均需形成记录,并由信息安全管理小组保留每次风险评估的记录,如:风险评估报告、风险处理计划等。 1。7。3信息安全风险处置
为确保ISMS有效实施,对已识别的风险进行有效处理,本公司开展以下活动: a) 形成《风险处理计划》,以确定适当的管理措施、职责及安全保密控制措施的优先
级;
b) 为实现已确定的安全保密目标、实施风险处理计划,明确各岗位的信息安全职责; c) 实施所选择的控制措施,以实现控制目标的要求;
d) 进行信息安全培训,提高全员信息安全意识和能力; e) 对信息安全体系的运作进行管理; f)
对信息安全所需资源进行管理;
信息安全管理小组负责组织相关人员,定期检查风险处理计划的执行情况,并保留信息安全风险处置结果的文件化信息。
1。8绩效评价
1。8.1监视、测量、分析和评价
本公司通过实施定期的控制措施实施有效性检查、事故报告调查处理、电子监控、技术检查等检查方式检查信息安全管理体系运行的情况,并报告结果以实现:
a) 及时发现信息安全体系的事故和隐患; b) 及时了解信息处理系统遭受的各类攻击;
c) 使管理者掌握信息安全活动是否有效,并根据优先级别确定所要采取的措施; d) 积累信息安全方面的经验.
按照计划的时间间隔(不超过一年)进行ISMS内部审核,内部审核的具体要求。 根据控制措施有效性检查和内审检查的结果以及来自相关方的建议和反馈,由最高责任者主持,每年对ISMS的有效性进行评审,其中包括信息安全范围、方针、目标及控制措施有效性的评审。
管理者代表应组织有关部门按照《信息安全风险评估管理程序》的要求对风险处理后的残余风险进行定期评审,以验证残余风险是否达到可接受的水平,对以下方面变更情况应及时进行风险评估:
a) 组织机构发生重大变更; b) 信息处理技术发生重大变更;
c) 公司业务目标及流程发生重大变更; d) 发现信息资产面临重大威胁;
e) 外部环境,如法律法规或信息安全标准发生重大变更。 保持上述活动和措施的记录。
以上活动的详细程序规定于以下文件中: ✓ 《控制措施有效性的测量程序》 ✓ 《信息安全职责权限划分对照表》 ✓ 《信息安全风险评估管理程序》 ✓ 《内部审核控制程序》 1。8。2内部审核
内部信息安全审核主要指内部信息安全管理体系审核,其目的是验证公司信息安全管理体系运行的符合性和有效性并不断改进和完善公司的信息安全管理体系. 1.8。2。1组织审核
a) 公司统一组织、管理内部信息安全审核工作,信息安全管理小组负责制定《内部审
核控制程序》并贯彻执行;
b) 管理者代表负责领导和策划内部审核工作,批准年度内审计划和追加审核计划,批
准审核组成员,批准审核实施计划,审批年度内审报告;
c) 信息安全管理小组负责对审核组长及成员提名,编制年度审核计划和追加审核计
划,报管理者代表批准后执行。
d) 审核组长组织和管理内部审核工作,根据实际情况和重要性安排审核顺序实施审
核。
e) 审核员不应审核自己的工作。
1。8。2.2实施审核
a) 审核组长编制的审核计划,经管理者代表批准后,负责在实施审核前5天向被审核
方发出书面审核通知;
b) 审核小组按《内部审核控制程序》实施审核;
c) 审核员收集客观证据,通过分析整理做出公正判断,填写《内审不合格报告》提交审
核组长,并请被审核部门经理在报告上签字认可。
1.8。2。3审核报告
审核组长应在完成全部审核后,按规定格式编写《内部管理体系审核报告》提交信息安全管理小组,经其审阅后报管理者代表,《内部管理体系审核报告》作为管理评审的输入证据。
1.8。2.4纠正措施和跟踪验证
a) 被审核部门经理制定纠正措施,填写在《内审不合格报告》中。
b) 纠正措施完成后后,应将纠正措施完成情况填写到《内审不合格报告》相应栏内,
然后将《内审不合格报告》交到审核组长。
c) 审核组长视具体情况通知审核组复查,跟踪验证纠正措施实施情况,并将验证结果
填写在《内审不合格报告》中.
1.8。2.5审核记录
审核组长应收集所有内部信息安全审核中发生的计划通知、内部审核检查表、记录、审核报告、总结等原始资料,整理后由信息安全管理小组负责保管内审相关记录。 1.8.3ISMS管理评审 1。8.3.1总则
信息安全最高责任者为确认信息安全管理体系的适宜性、充分性和有效性,每年对信息安全管理体系进行一次全面评审。该管理评审应包括对信息安全管理体系是否需改进或变更的评价,以及对信息安全方针和信息安全管理目标的评价。管理评审的结果应形成书面记录,
并至少保存3年,按照《文件控制程序》的要求进行受控访问。 1.8。3.2管理评审的输入
在管理评审时,信息安全管理小组应组织相关部门提供以下资料,供信息安全管理最高责任者和各部门负责人进行评审:
a) ISMS体系内、外部审核的结果; b) 相关方的反馈(投诉、抱怨、建议);
c) 可以用来改进ISMS业绩和有效性的新技术、产品或程序; d) 信息安全目标达成情况,纠正和预防措施的实施情况;
e) 信息安全事故或征兆,以往风险评估时未充分考虑到的薄弱点或威胁; f)
上次管理评审时决定事项的实施情况;
g) 可能影响信息安全管理体系变更的事项(标准、法律法规、相关方要求); h) 对信息安全管理体系改善的建议; i)
有效性测量结果。
1.8。3.3管理评审的输出
信息安全管理最高责任者对以下事项做出必要的指示: a) 信息安全管理体系有效性的改善事项; b) 信息安全方针适宜性的评价;
c) 必要时,对影响信息安全的控制流程进行变更,以应对包括以下变化的内外部事件
对信息安全体系的影响: ✓ 业务发展要求; ✓ 信息安全要求; ✓ 业务流程;
✓ 法律法规要求;
✓ 风险水平/可接受风险水平. d) 对资源的需求.
以上内容的详细规定见《管理评审控制程序》。
1。9改进
1。9。1不符合和纠正措施
发生不符合事项的责任部门在查明原因的基础上制定并实施相应的纠正措施,以消除不符和的原因,防止不符合事项再次发生.
信息安全管理小组负责制定《纠正措施控制程序》并组织问题发生部门针对发现的不符合现象分析原因、制定纠正措施,以消除不符合,并防止不符合的再次发生。
对纠正措施的实施和验证规定以下步骤: a) 识别不符合; b) 确定不符合的原因;
c) 评价确保不符合不再发生的措施要求; d) 确定和实施所需的纠正措施; e) 记录所采取措施的结果; f)
评审所采取的纠正措施,将重大纠正措施提交管理评审讨论。
1.9。2持续改进
公司的持续改进是信息安全管理体系得以持续保持其有效性的保证,公司在其信息管理体系安全方针、安全目标、安全审核、监视事态的分析、纠正措施以及管理评审方面都要持续改进信息安全管理体系的有效性。
本公司开展以下活动,以确保ISMS的持续改进:
a) 实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目;
b) 按照《内部审核管理程序》、《纠正措施管理程序》的要求采取适当的纠正和预防措
施;
c) 吸取其他组织及本公司安全事故的经验教训,不断改进安全措施的有效性; d) 对信息安全目标及分解进行适当的管理,确保改进达到预期的效果;
为了确保信息安全管理体系的持续有效,各级管理者应通过适当的手段保持在公司内部对信息安全措施的执行情况与结果进行有效的沟通。包括获取外部信息安全专家的建议、信息安全政府行政主管部门、电信运营商等组织的联系及识别顾客对信息安全的要求等。如:管理评审会议、内部审核报告、公司内文件体系、内部网络和邮件系统、法律法规评估报告等.
1.10信息安全管理方针方针 公司的信息安全管理方针:
安全第一,预防为主;全员参与,综治风险; 遵纪守法,提高绩效;成本可控,持续发展.
对于信息安全方针的解释:
a) 满足客户要求:满足顾客的要求是企业运营的必然选择。 b) 保障信息安全:信息安全是企业管理的重中之重.
c) 遵守法律法规:遵守法律法规是企业生存之前提,满足法律法规及相关行业标准/技
术规范的要求也是本公司必须承担的社会责任。
d) 持续改进管理:控制风险是前提,风险自身是动态的过程.通过各种方式提升公司员工
的信息安全意识,提高公司的信息安全管理过程.
本公司承诺提供一切可能的资源与先进的技术,保证信息的保密性、可用性和完整性,有针对性地采取一切必要的安全措施.使用有效的风险评估的工具和方法,严格控制风险事故在可接受风险范围之内.制订周密可靠的应急方案并定期进行演练,关键信息数据异地备份,制订业务连续性计划,以确保业务的持续进行。
为了满足适用法律法规及相关方要求,维持计算机系统集成及服务、计算机应用软件的设计开发及服务活动的正常进行,本公司依据ISO/IEC27001:2013标准,建立信息安全管理体系,以保证与公司经营管理相关信息的保密性、完整性、可用性和可追溯性,实现业务可持续发展的目的.本公司将:
a) 在公司内各层次建立完整的信息安全管理组织机构,确定信息安全方针、安全保密
目标和控制措施,明确信息安全的管理职责; b) 识别并满足适用法律、法规和相关方信息安全要求;
c) 定期进行信息安全风险评估,ISMS评审,采取纠正预防措施,保证体系的持续有效
性;
d) 采用先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享; e) 对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能
力; f)
制定并保持完善的业务连续性计划,实现可持续发展。
上述方针的批准、发布及修订由公司信息安全最高责任者负责;通过培训、宣贯等方式使得本公司员工知晓并执行相关内容;通过有效途径告知服务相关方及客户,以提高安全保密意识及服务水平;并定期通过《管理评审控制程序》评审其适用性、充分性,必要时予以修订.
组织的角色,职责和权限
公司经营管理层决定全公司的组织机构和各部门的职责(包括信息安全职责),并形成文件。
各部门的信息安全管理职责决定本部门组织形式和业务分担,并形成文件。
总经理为本公司信息安全最高责任者。各部门/项目组负责人为本部门/项目组信息安全管理责任者,全体员工都应按保密承诺的要求自觉履行信息安全保密义务;
各部门应按照《信息安全适用性声明》中规定的安全目标、控制措施(包括安全运行的各种控制程序)的要求实施信息安全控制措施。
2、制度与规范、业务流程
2。1信息安全与保密管理制度
2。1。1为了保证项目网络数据的安全保密,维持安全可靠的计算机应用环境,特制定本规定。
2。1.2凡项目组从事项目管理工作的员工都必须执行本规定.
2。1.3项目的合同、需求说明、设计变更、工作联系单、工程洽商单、经济签证单、公司内部资料等必须由各部门信息管理员妥善管理,严禁外借,严禁非相关人员传阅、查看。
2.1.4对接入计算机及设备,必须符合一下规定:
2。1。4.1在未经许可的情况下,不得擅自对处计算机及其相关设备的硬件部分进行修改、改装或拆卸配置,包括添加光驱、软驱,挂接硬盘等读写设备,以及增加串口或并口外围设备,如扫描仪、打印机等.
2。1。4。2非我项目的计算机及任何外设,不得接入网络系统。 2.1。4.3严禁私自开启计算机机箱封条或机箱锁。
2。1。5凡使用项目配备计算机网络系统的员工,必须遵守以下规定; 2.1。5。1未经批准,严禁非本项目工作人员使用除计算机及任何相关设备. 2.1.5.2对新上网使用办公网络系统的员工,由办公室负责上岗前的计算机网络设备系统安全及信息保密的技术培训工作。
2.1.5.3未经批准,任何人严禁将其以任何形式(如数据形式:Internet、软盘、光盘、硬磁盘等;硬拷贝形式:图纸打印、复印、照片等)复制、传输或对外提供。
2.1。5。4任何员工均不得超越权限侵入网络中未开放的信息,不得擅自修改入库数据资料和修改他人数据资料。
2。1.6严格执行国家、有关保密、安全及办公自动化系统的有关法律、法规的规定和要求。各部门应自觉按照有关规定和要求配合做好保密和信息安全工作.
2。1。7任何经由我公司外网接入互联网的员工,必须严格遵守国家有关法律、法规。 2.1。8凡使用公司网络系统的员工,必须配合网络管理员做好防病毒工作。
2.1.8。1由办公室负责网络防病毒工作。信息维护员负责实施防病毒的日常管理工作。 2。1。8.2凡装有可与外界进行数据传输的设备的计算机,必须安装防病毒程序,办公室定期对防病毒程序进行升级,增强对病毒的查杀能力。
2.1。8。3凡需入网传输数据的盘片,由网络管理员负责检查、清查计算机病毒,确保没有病毒后方可传输数据.
2。1。8。4员工在使用过程中如发现计算机病毒,应立即停止进行任何程序并报告网络管理员,如遇到现有防病毒程序无法清杀的病毒,网络管理员必须先将受感染的计算机从网络上隔开,协助员工做好数据备份工作,并为用户恢复系统.
2。1.9分公司办公室定期对有关部门进行计算机网络系统安全和数据保密检查,并将检查结果向处保密工作小组汇报.
2。1。10涉及项目信息安全与保密的管理人员均需要对本制度相关具体要求,进行保密工作承诺.
2。2文件加密管理制度 2。2.1目的
为规范公司重要文件的安全管理级别,通过文件外发控制以及加密管理,防止公司机密文件外泄,保障公司信息安全. 2。2.2范围
本管理制度适用于所有安装加密软件用户. 2.2.3重要文件定义
需要保护的公司重要电子文档包含:公司财务数据,公司人员信息总表,各部门培训课件,采购部商品分析表,薪资表,工程图纸,市场部合同信息,公司vip信息汇总表。 2.2.4职责与权限
所有安装加密软件用户必须按照本制度规定进行执行;网管负责人负责加密软件的日常维护,安装管理,以及加密软件权限分配;综合部负责监管. 2。2。5规定描述:
2.2.5。1文件加密类型 目前对所有安装加密软件的用户电脑的重要文件进行加密处理。
2.2。5。2文件传播方式控制
2.2.5。3禁止通过复制/剪贴方式进行外发信息;
2。2.5.4重要文件在创建或编辑时必须在指定机器上操作并进行加密。所有通过U盘、E—mail、QQ、MSN等工具传送的重要文件,都必须经过部门主管许可才允许。
2.2。5.5公司部提倡远程工作及登录服务器,如有必要需进行申请,开放端口,并通过加密的方式进行通讯。
2。2。5。6文件外发控制管理
重要文件需要传递到没有安装加密软件用户或者外发到公司外部,必须由各部门制定人员经过加密处理后才允许外发..
2。2。6对违反本规定者按照《员工手册》的有关规定处理.
2.2.7。本制度由网管员编撰、修改、执行,自总经理批准之日起开始执行。 2。3信息安全奖惩管理办法 2.3.1目的
明确信息安全奖励与违规行为处罚的操作原则,强化执行,促进员工信息安全意识提升。 2。3。2适用范围
本规范适用于我公司内部信息安全事件的奖惩. 2.3.3定义
序号 001 角色 信息安全事件 职责 指识别出的发生的系统、服务或网络事件表明可能违反信息安全策略或防护措施失效;或以前未知的与安全相关的情况;其中一、二级信息安全事件称为重大信息安全事件。 002 信息安全活动 为培养员工信息安全意识,提高公司整体安全水平而举办的活动,形式包括但不限于:考试、培训、宣传和自查。 2。3.4职责与权限 序号 001 002 角色 员工 各部门信息安全接口人 003 部门主管 职责 遵守公司信息安全管理制度,积极配合、参与信息安全活动。 协助公司信息安全管理制度、产品的宣传与培训工作;负责对部门信息安全问题进行汇总与反馈。 是部门信息安全的直接责任人,负责监督和管理本部门员工的信息安全行为,并对潜在的信息安全风险进行预警,预防信息安全事件. 004 部门经理 作为部门信息安全的间接责任人,熟悉公司信息安全战略,并积极推动信息安全策略的落地执行。 005 006 007 008 部门副总 IT部信息安全组 总经理 总经理 对所负责部门的信息安全事件负相应的管理责任. 对信息安全事件进行跟踪处理,并确定事件责任人. 最终审批信息安全事件处罚申请。 最终审批信息安全事件处罚申请. 2.3。5内容
2.3。5.1奖励、违规行为处罚原则 及时激励原则
对长期妥善保护公司信息资产,有效避免信息资产的遗失、滥用、盗用等,或对于促进信息安全合理共享表现突出的个人或者集体,将及时奖励。 举报保密原则
对于举报信息安全违规行为的人员,将对其进行奖励并严格保护其个人资料不公开。
违规行为处罚原则 ➢ 法律追究原则
公司所有保密信息均为公司合法资产,受国家法律法规保护。任何损害公司保密信息的行为,公司均有权追究行为人法律责任。 ➢ 违规分级原则
根据违规行为的性质、造成的损失和影响的严重程度、违规人员是否有意对违规行为分级。涉及关键信息资产的,违规等级要升级;一次违反多条信息安全规定的人员按最高违规等级从重处罚;对多次违反信息安全规定的人员再次违规时要从重处罚。 ➢ 主动从宽原则
产生违规行为后主动报告,积极采取补救措施以减少影响和损失的人员,可减轻处罚;对问题隐瞒不报或者不及时上报而导致违规影响扩大的人员,加重处罚。 ➢ 过度防卫处罚原则
对阻碍信息合理流动与共享的人员要给予处罚. ➢ 及时处理原则
对重大信息安全违规事件,要及时处理。任何拖延、推诿不处理的责任人,要给予问责。 2.3。5.2奖励等级与责任部门 奖励等级与措施 奖励事迹 举报或者制止泄密、窃密或者其他严重损害公司利益事件的集体或者个人 奖励等级 一级 奖励措施 根据具体情况给予8000元集体奖励或者5000元个人奖励;通报表扬(遵循“举报保密原则“淡化事迹并隐藏人员信息)。 制止他人违规行为或者即时反映可能造成泄密、窃密或者其他重大安全隐患的个人,以及在信息安全方面做二级 根据具体情况集体奖5000元或者3000个人奖励;通报表扬(遵循“举报保密出表率或者突出贡献的集体 在信息安全管理中做出贡献,反映信息安全隐患或者过度防卫被核实、提出信息安全合理化建议并被采纳的个人,以及在信息安全方面做出贡献的集体 奖励责任部门
三级 原则“淡化事迹并隐藏人员信息). 根据具体情况给予3000元集体奖励或者1000元个人奖励。 1)对于满足信息安全奖励标准的集体或者个人,IT部信息安全组可根据具体事迹定期进行申报,审批通过后由综合部根据公司财务制度进行发放奖金;
2) 各部门信息安全接口人可自行组织对本部门优秀信息安全集体或者个人进行奖励. 违规等级与措施 违规事件 盗窃、故意泄露公司保密信息的,或故意违反信息安全管理规定,性质严重造成重大影响或者风险 违规等级 一级 处罚措施 1. 直接开除,永不录用; 2. 如违反法律法规由公司法务部移送公安机关处理;如给公司造成相关损失,须赔偿公司损失。 3. 全公司范围内通报处罚决定. 故意违反信息安全规定,性质严重;或者造成较大影响或较大风险 二级 1. 如给公司造成相关损失,须赔偿公司损失; 2. 担任公司管理岗位的人员,进行降职或者降薪处理;非公司管理岗位的人员,进行降薪处理; 3. 全公司范围内通报处罚决定. 过失违反信息安全管理规定,造成一定影响或者风险三级 1. 记入关键事件考评结果减10分或罚款500元; 的;或者故意违反信息安全管理规定,但性质不严重且没有造成严重影响或风险 过失违反信息安全管理规定,性质较轻,且造成轻微影响或者风险 四级 2. 12个月内2次三级违规升级为1次二级违规。 3.部门内部通报处罚决定。 1。记入关键事件考评结果减5分或罚款300元; 2.12个月内2次四级违规升级为1次三级违规; 3。部门内部通报处罚决定。 说明:
1) 信息安全管理规定包括公司各部门正式发布的信息安全管理制度;
2) 上表中“违规事件“的描述是定性的描述,是违规事件定级的参考原则。常见违规行为
所适用违规等级具体参考附件1:《常见违规行为及其适用处罚等级举例》,其他违规行为所使用等级可参考举例进行认定. 责任判定
1)发生一、二级重大信息安全事件违规时,违规者直接上级和部门经理承担直接和间接责任,部门副总须承担连带管理责任,并按照《常见违规行为及其适用处罚等级举例V1。0》适用条款进行处罚;
2)对于三、四级信息安全违规,根据以下条件判断责任人直接上级是否连带处罚: ➢ 员工无意违规,且责任人领导未进行审批授权的,不进行连带处罚;
➢ 员工无意违规,但责任人领导进行包庇的,在事实确认的基础上,进行连带处罚; ➢ 若所管理部门一个月内发生2次(含)以上故意违规或者4次(含)以上无意违规事件,
对直接上级进行连带处罚。 处罚责任部门 处罚等级 一级 处罚责任人 总经理 批准 / 申诉 综合部 二级 三级 四级 说明:
总经理 部门分管副总 部门分管副总 / IT部信息安全组 IT部信息安全组 综合部 综合部 综合部 1)对于各类违规行为处罚应当慎重,应建立在客观事实的基础上给出处罚意见.根据违规行为性质、造成的损失和影响的大小,IT部信息安全组有权要求对当事人加重或者减轻处罚;
2)发现可疑事件的组织作为事件调查和处理的责任部门.为了加快一级违规行为的处理进度,沟通时限和批准期限都是2天;
3)在违规事件处理过程中,IT部信息安全组协助与监督处罚责任人完成处罚执行工作。处罚责任人或其授权人员要做好与违规员工的沟通工作.对违规处罚过程中出现的拖延、推诿行为,IT部信息安全组可以行使否决权。 维护与解释
1)本规定发布之日起生效;
2)本规定由信息安全组至少每两年审视一次,根据审核结果修订标准并颁布执行; 3)本规定解释权归信息安全组。
2。4计算机数据备份管理规定
为保证本公司计算机所保存的数据和信息安全,加强和规范公司计算机数据和信息管理,特制定本规定。
本办法适用于公司所有使用计算机进行日常办公、信息化系统操作、自动化控制系统操作的部门与员工,本规定自下发之日起执行。 2。4。1职责
2。4.1。1 计算机使用者负责所使用计算机的数据备份操作,涉及到信息监控系统、自动化
控制系统用计算机,有关单位和部门要指定专人负责.
2。4。1。2 各单位、部门的负责人是本部门数据备份管理、信息安全管理的第一责任人。各部门负责人要了解本部门需要备份的数据内容与类型,落实备份要求,防范可能出现的数据风险,对本部门数据备份情况要进行不定期抽查,对不按规定备份要立即予以纠正。 2。4。1.3 研发部网络管理员负责公司各部门数据备份技术支持、培训、监督核查工作。 2.4。2数据备份管理 2。4.2。1 备份方法及要求
2。4.2。1.1 数据备份采用人工备份的方式,备份分重要数据备份、重要文档资料备份、信息监控系统数据库原始数据备份、计算机操作系统备份、应用软件备份.所有备份工作必须由操作人员做详细记录,要求记录备份的内容、时间及次数。
2。4.2.1.2 计算机需要备份的数据、文档资料要随时归档备份并异地存放, 每周至少备份一次,日新增数据量大、财务、销售、经营调度等部门的数据必须每天备份一次,每月整理一次,备份方法实行三重备份方式,即本地硬盘、移动存储设备(网络硬盘)、光盘刻录保存并进行异地存储。备份介质由各部门自行准备,并妥善保管.计算机操作系统应使用正版软件,每周打一次补丁,每季度用Ghost做镜像备份.应用软件更新后,及时用光盘刻录方式转存.
2。4.2。1.3 每年元月,各部门将上一年的所有数据分类,完整、真实、准确地以刻录光盘的形式存档,然后交由部门负责人保管.
2.4。2。1。4 应定期检查备份介质的可用性,若发现介质已经不能使用,应及时更换新介质并对重要数据进行转存处理.
2.4.2。1。5 备份数据资料保管地点必须满足防火、防热、防潮、防尘、防盗等条件,并指定专人保存。
2。4.2。1。6 计算机需要重装操作系统时,必须自行确认其系统所在硬盘所有盘符中重要数据有异地备份,以防止意外发生(有少数计算机会因病毒、硬盘损坏或是磁盘分区问题,存在重装系统后若干磁盘打不开提示格式化现象)。
2。4。2.1。7 研发部软件开发代码及文档备份必须同时满足本地及云端要求。 2。4。2。2 关于数据丢失
2.4.2.2。1 网络管理员在对各部门备份数据核查的过程中,发现数据未备份或是备份不及时、不完整的情况,应及时指出,并向全公司通报。
2。4.2。2.2 因可控的人为原因造成重要数据(例如行政办公、技术、销售、人事及财务等)遗失的,公司根据损失情况将对责任人进行严厉处罚,涉及到企业安全的,依法追究刑事责任。
2。4。2.2.3 如因违反计算机数据备份管理规定,造成备份数据不完整或丢失,由此造成的损失及数据恢复费用由各部门自己承担.
2。4。2。2。4 各部门统一由研发部安装正版网络杀毒软件,并定期更新病毒数据库和定期查杀毒,如果因杀毒软件误操作破坏数据,各部门应保持原始状态,由研发部联系杀毒软件服务商进行数据恢复。 2。4。3 数据保密
2。4。3.1 根据公司保密要求,严禁外泄备份的数据,否则以故意泄露公司商业机密论处。 2。4.3。2 除公司数据备份管理人员外,任何人无权询问、刺探、破解其他部门数据备份的信息内容。
2。4.3.3 员工离职时,必须将重要数据与本部门相关人员交接清楚.
2.4.3。4 外请计算机维护人员进行系统维护时,本部门人员必须全程陪同并监督,严禁维护人员以任何形式拷贝任何资料。
2。5服务器安全管理办法 2。5。1总则
为本公司业务正常运行,特制定本管理办法。 2.5。2日常管理
第二条 服务器由维护组人员进行管理并授权与建站服务相关的人员使用,明确各自服务器的用途、应用范围及使用对象,并对整个系统资源进行合理的规划。
第三条 服务器管理员和服务器使用人员应遵守服务器安装工作流程,从系统划分、安全设置等方面规范管理工作.
第四条 系统管理员负责各自服务器的日常管理和维护,主要有:用户帐户的管理、网络管理、数据库管理、服务器系统运行状态的监控、以及各应用系统使用资源情况统计,并合理地分配系统资源.
第五条 服务器使用员负责对自己上传的网站或文件进行日常的管理和维护,主要有文件的更新,修改,网站及网站相关的文件和代码安全和漏洞的检查和管理,病毒和木马的清除。 第六条 为确保系统安全性、可靠性及文件、数据的一致性和完整性,必须对系统进行备份工作。管理员根据各自服务器的情况,制定出相应的备份及恢复策略,定期进行备份. 第七条 系统管理员要深入了解系统的工作原理,不断提高系统的管理水平。在系统出现一般性的故障或错误时,能及时予以排除;而出现重大问题时,可通过系统的恢复等手段加以解决.
第八条 系统管理员对负责的服务器应提供详细的文档,包括系统安装、各种软件的安装、开关机步骤及安全的设置等信息。
研发部对软件在作业系统的执行进行严格控制,在新软件安装或软件升级之前,应经主管部门负责人审核同意后方可进行.计算机终端用户除非授权,否则严禁私自安装任何软件。. 第十条 系统管理员和相关使用人员建立系统维护管理手册,对自己所做的各项工作要有详细的记录。如:
1。系统问题的发现,原因分析,解决方案,管理的改进; 2.建立“任务申请表”制度,使管理工作有案可查、有章可寻; 3。系统的备份日期、内容、类别、操作者等;
4.系统及软件的安装或版本升级,要有时间和内容的详细记录;
4.网站的新增、修改、删除,数据库的各种操作.
第十一条 系统管理员必须定期更改服务器帐号,特别是超级用户的管理密码,建议每月的1—5日将各自管理的服务器帐号进行更新. 2。5。3工作权责
服务器上的维护内容有如下几点:
操作系统安装与配置,服务器安全设置,补丁更新,系统安全检测
WEB服务(IIS)安装与配置,ASP/ASPX网站配置,数据库(MSSQL)安装与配置 主站网站维护(网站)
网站服务器维护(所有建站服务器及正在运行VPS) 虚拟空间网站维护 服务器代码备份,数据备份
服务器软件检测(FTP、虚拟网卡、网站所需组件) 服务器用户账号管理 DNS的搭建与配置
服务器盘符目录设定及约束 2。5。4权责明细 2。5。4.1权限范围: 服务器的安全检测
保证服务器上各软件的运行情况 DNS服务器的正常运行
服务器安全设置、系统补丁的更新。
服务器所需组件的安装及添加 监控服务器中各网站的运行情况 保证邮件服务器的正常运行 服务器盘符目录设定及约束 对VPS的监控及分配 服务器数据库备份 网站网站程序备份
本网站所有网站程序和数据库备份 节假日服务器运行情况监控 FTP帐号管理,上传网站程序.
对网站代码及目录进行检测,随时发现可能出现的木马. 2.5。4。2约定
第一条 严禁对服务器中每个盘符所设定的目录进行更改或者随意添加。 第二条 管理人不得将服务器管理账号转借他人。 管理人未经总经理签字许可不得将数据库内容导出给他人。
只允许服务器管理人通过FTP上传数据到服务器上(已经告知FTP的网站用户除外)。 第五条 管理人不得在服务器上安装任何与系统安全和网站运行无关的软件和应用程序。 第六条 管理人不得开服务器上开设除网站本网站以外的站点和空间. 第七条 管理人不得为其他工作人员开放职权范围外的权限. 2。5.5数据备份
第一条 正常工作日每天登录服务器,查看服务运行状态是否正常。
第二条 管理人每周对服务器数据库备份至少一次,保存于服务器中。
第三条 管理人每次大假前必须将数据库以及网站所有程序及资料备份交下载到本地进行保存。
3、对应的管理架构
3。1职能分配表
部门 管理职责 4。1 景 4 组织背景 了解组织和它的背管理层信息安全小组商务部财务部研发部办公室运维部工程部★ ○ ○ ○ ○ ○ ○ ○ 4.2 理解相关方的需求和期望 4。3 范围 确定 ISMS 的★ ○ ○ ○ ○ ○ ○ ○ ★ ○ ○ ○ ○ ○ ○ ○ 4.4 ISMS 5.1 领导力和承诺 5。2 方针 ★ ★ ★ ○ ○ ○ ○ ★ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 5 领导力 5.3组织的角色、职责和权限 ★ 6。1 处理风险和机○ 6 计划 遇的行动 6。2 可实现的信息安全目标和计划 7。1 资源 ○ ★ ○ ○ ★ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ★ ★ ○ ○ ○ ○ ○ ○ ○ ○ 7 7.2 能力 支持 7。3 意识 部门 管理职责 7。4 沟通 管理层信息安全小组商务部财务部研发部办公室运维部工程部★ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ★ ★ ★ ★ ★ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 7.5 文档化的信息 8。1 制 8 运行计划及控8.2 信息安全风险评估 ○ 运行 8。3 处置 9。1 9 绩效评价 和评价 9.2 内部审核 9。3 10 改进 管理评审 ○ ★ ○ ○ 信息安全风险○ 监视、测量、分析○ ★ ○ ○ ○ ★ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ★ ○ ★ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 10.1不符合及纠正措施 10.2 持续改进 控制目标与控制要求 A.5.1信息安全方针 A.6。1内部组织 A。6。2移动设备和远程办公 A。7。1任用前 A。7。2任用中 A.7。3任用终止和变更 A。8。1资产的责任 A。8。2信息分类 A。8.3介质处理 ★ ★ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ★ ○ ○ ○ ○ ○ ○ ○ ○ ★ ★ ○ ○ ○ ★ ○ ○ ○ ○ ○ ★ ○ ○ ○ ★ ○ ○ ○ ○ ★ ○ ○ ○ ★ ○ ★ ○ ★ ○ ★ ○ ★ ★ ★ ○ ★ ★ ○ 部门 管理职责 A.9.1访问控制的业务需求 A。9。2用户访问管理 A。9。3用户责任 A.9。4系统和应用访问控制 A.10.1密码控制 A.11。1安全区域 A。11。2设备安全 A。12。1操作程序及职责 A.12。2防范恶意软件 A。12。3备份 A。12。4日志记录和监控 A.12。5操作软件控制 A。12。6技术漏洞管理 A。12.7信息系统审计的考虑因素 A。13。1网络安全管理 A。13.2信息传输 A。14。1信息系统安全需求 A。14。2开发和支持过程的安全 A。14。3测试数据 A。15。1供应商关系的信息安全 管理层信息安全小组商务部财务部研发部办公室运维部工程部○ ○ ○ ○ ○ ○ ○ ○ ★ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ★ ★ ★ ★ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ★ ○ ○ ○ ○ ○ ★ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ★ ○ ○ ○ ○ ○ ★ ★ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ★ ★ ★ ★ ★ ○ ○ ○ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ○ ○ ★ ○ ○ ○ ○ ○ ★ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ★ ○ ○ ○ ○ ○ ★ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ★ ○ ○ ○ ○ ○ ★ ★ ○ ○ ○ ○ ○ ○ ○ ○ ○ ★ ★ ★ 部门 管理职责 管理层信息安全小组商务部财务部研发部办公室运维部工程部A。15。2供应商服务交付管理 ○ A.16.1信息安全事件的管理和改进 A.17。1信息安全的连续性 A.17。2冗余 A。18。1法律和合同规定的符合性 A.18。2信息安全评审 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ★ ★ ★ ★ ○ ★ ○ ○ ○ ○ ★ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 备注:★主责部门 ☆配合部门
3。2部门职责 3。2。1通用职责
本通用职责是公司体系覆盖下所有部门都要履行的职责. a) 贯彻执行公司的管理方针,实施公司的信息安全管理目标;
b) 识别并贯彻执行公司适用的国家、政府和上级有关信息安全法律、法规及其他要求,并
进行合规性评价;
c) 参与管理体系策划,配合做好内、外审和管理评审工作; d) 负责本部门文件和记录的控制工作;
e) 负责本部门体系运行中所需监视和测量活动的识别、控制,以及监视和测量装置的配置
和管理工作; f)
负责本部门的数据分析;
g) 实施与本部门有关的内外部交流、沟通;
h) 负责本部门的体系运行控制,检查体系运行有效性,并实施监视和测量,予以记录和总
结。评价控制效果,需要时进行改进。 i)
对发生的不合格/不符合、出现的事件,要及时纠正和制定纠正措施和预防措施并予以完成。 3.2.2特殊职责 3.2.2.1最高管理者
a. 制定公司的管理体系方针,对管理体系的建立、实施及保持做出决策; b. 确保管理体系目标的制定,并在相关职能和层次上展开; c. 任命管理者代表,批准管理手册; d. 全面负责管理评审工作;
e. 贯彻国家及政府制定的法律、法规及政策,向公司全体员工传达满足顾客要求和法律、
法规要求的重要性; f.
规定公司管理体系的组织结构及各部门的职责和权限,并使其得到有效沟通;
g. 提供适当的人、财、物资源,满足管理体系运行的需求。 管理者代表
a. 确保管理体系得到建立、实施和保持;
b. 领导编制管理体系文件,负责《管理手册》的审核,程序文件的批准;
c. 协助最高管理者开展管理评审工作,向最高管理者汇报体系运行情况及取得的业绩,提
出管理体系改进的机会; d. 负责公司内审的领导工作; e. 审核管理体系总目标并批准; f.
批准通用性的法律、法规和其他要求的清单;
g. 审批公司信息资产清单,风险评估文件;
h. 确保在公司内提高满足顾客要求、遵守法律法规和其它要求的意识; i.
负责管理体系有关事宜与外部进行联络.
3.2.2.2信息安全管理小组
a. 负责公司信息安全管理手册和程序文件的编制、修订、维护和管理;
b. 负责对信息安全管理体系运行过程进行监视和测量,组织监控信息安全方针、目标的落
实;
c. 负责各部门各个岗位信息安全管理职责、权限的制定和落实;
d. 定期组织相关人员对公司的信息资产进行风险评估,并根据风险评估的结果制定处理措
施;
e. 策划公司的年度内审方案,并组织相关人员实施内审,保持内审记录; f.
对日常检查、内审、管理评审、外审发现的不合格,跟踪整改措施的制定及落实情况。
3。2。2。3办公室
a. 负责公司人力资源管理、行政管理、法务管理、三会管理、办事处及分公司管理、党群
工会归口管理等工作.负责制定和完善公司人事行政等管理制度: 1) 负责制定、实施公司年度培训计划,保存培训记录; 2) 了解人力资源需求,有效配置公司人力资源;
3) 了解各部门重要岗位、特种作业、职业病及工伤人员情况,并做好相应的登记工作; 4) 负责实施公司信息安全的培训工作; 5) 监督、检查各部门培训工作的实施。 b. 负责公司有关法务事务:
1) 负责拟定公司本部开展经营活动所需的标准合同样本,并负责合同文本的审核; 2) 负责收集信息安全所需的通用性的法律、法规和其他要求,确认其适用性; 3) 负责组织对执行的法律、法规和其他要求的合规性评价; 4) 按照管理职责,对各部门进行指导、监督检查。
c. 负责公司有关的业务持续性计划等工作,组织各部门对业务持续性计划进行测试; d. 负责同各部门对本部门的信息资产进行识别,并对其风险进行评价,确定其中的重要信
息资产和高风险资产并对其进行控制; e. 负责对公司物理资产进行管理; f.
负责对信息安全事件组织人员进行调查,并根据情况对人员进行奖惩;
3。2。2。4财务部
a. 负责公司全面预决算管理、会计核算、税务筹划、资金费用及财务数据统计等,同时承
担对分公司业务指导工作。
b. 制定公司的年度财务预算报最高管理者批准,确保公司管理体系运行的资金来源。 3。2。2.5研发部
负责公司自主产品立项、研发及相关技术支持,集成项目方案设计、技术支持及相关软件开发;培育智慧城市重点方向,参与方案设计、集成及研发组织;为业务部门提供方案、研发及技术支持,协助公司战略规划制定、项目申报与售后服务等工作。
负责公司信息安全网络管理,机房的管理工作,负责对研发过程中的密码应用技术进行管理;负责对信息系统的授权管理。 3。2.2.6商务部
负责公司自有的软件产品销售行业及其他应用领域内的产品规划、市场开拓、技术支持、项目实施与售后支持等工作。 a. 负责落实部门分解的管理目标; b. 负责产品实现过程的实施和控制;
c. 负责产品的监视和测量工作,以及不合格品的调查、处置工作。 d. 负责对项目实施过程中的风险进行控制。
4、信息安全管理组织结构图
总经理 管理者代表 信息安全管理小组 办公室 工程部 财务部 运维部 研发部 商务部
因篇幅问题不能全部显示,请点此查看更多更全内容