一、目的
增强公司全体员工信息安全意识和技能。建立包括信息安全承诺、要求、实施、维持、监视、风险评估和管理的制度体系,建立信息安全事件管理规程,以及有效的信息安全事件应急处理机制,按照规程报告信息安全事件,并及时响应。
二、适用范围
本程序适用于公司两化融合管理体系及日常工作中与信息安全相关的管理。
三、职责
3.1 总经理负责重要的信息安全保护措施的审定。
3.2 管理者代表负责对重大信息安全事件的处置工作进行指导、监督。
3.3 信息中心作为信息安全的归口管理部门,负责整体规划、建设实施整改、制度建立、监督考核各部门的信息安全工作;负责公司网络、服务器、计算机等软硬件设备的维护工作。
3.4 各部门负责所属信息资产的识别和风险评估,负责本部门所涉及的信息资产的具体安全管理工作。
四、工作程序
4.1 公司各部门根据实际业务情况,提出信息安全需求,并报信息中心统一汇总。需求识别包括数据安全的需求,机房、设备等安全风险的需求。信息中心培训中心定期或不定期对公司员工进行信息安全培训教育,确保全员认识到信息安全的重要性和紧迫性,增强信息安全意识。
4.2 管理者代表综合考虑公司的信息安全状况,提出信息安全的具体实施范围。确立各部门对于信息安全所承担的责任,完善信息安全管理和防范机制。
4.3 信息中心负责制定公司的信息安全实施规范,并报公司管理者代表和总经理审批通过发布执行。
4.4 各相关部门执行信息中心制定的信息安全实施规范,并将实施过程中出现的问题及时向信息中心部反馈。
4.5 信息安全日常管理
4.5.1 终端安全管理
a)个人终端须安装公司发布的标准软件;
b)个人终端须使用公司邮箱发送公司文件,不得通过公司以外的网络传输公司有关文件;
c)外来人员终端需接入公司内网时,相应部门须提交申请审批。
4.5.2 数据安全管理
a)业务经营数据须定期备份,并确保有详细的访问、审批和操作记录;
b)涉及商业机密和知识产权的信息未经授权不得以任何形式对外发布;
c)未经授权不得访问和传播公司信息;
d)员工不得使用外部应用系统处理公司业务;
e)员工个人通过移动存储介质(如移动硬盘、U 盘等)进行数据交换前,须进行病毒扫描;
4.5.3 帐号权限安全
a)帐号及权限须定期检查清理;
b)员工不得将个人账号共享他人使用;
c)员工异动须所在单位及时提交账号、权限变更申请;
d)多人不得共享同一账号开展业务;
e)外部人员账号须设置有效期,由专人管理,定期检查清理。
4.5.4 网络、服务器及应用系统安全管理
a)未经授权不得将 IT 设备接入公司网络;
b)服务器须安装防病毒产品,定期检查版本漏洞,及时更新安全补丁;
c)业务应用系统未经授权不得直接在互联网上发布,在互联网环境访问公司业务系统须通过安全认证方式连接;
4.5.5 外包服务安全管理
a)外包服务须与服务提供方签订保密协议,明确项目实施过程及项目结项以后的信息安全具体责任与要求;
b)须要求外包商离场前清除所有客户数据;
c)服务合同须遵从本规定的相关要求。
4.6 信息中心定期对公司的信息安全设备设施进行检查,实时监控公司的信息安全状况,信息安全措施主要有网络防火墙、上网行为、病毒预防、数据安全加密、系统权限设置、文件备份等。
4.7 信息中心定期向管理者代表和总经理汇报公司的信息安全状况。
4.8 公司信息安全实施过程文档由信息中心统一保存。