>
新闻资讯
您现在的位置是:详细信息
江西众光照明科技有限公司 两化融合信息安全管理程序
发布时间:2018-10-23     阅读:105


江西众光照明科技有限公司
两化融合信息安全管理程序

江西众光照明科技有限公司
二〇一八年六月

目  录

1. 目的 1
2. 范围 1
3. 术语与定义 1
3.1 信息安全 1
3.2 可用性 1
3.3 保密性 1
3.4 完整性 1
3.5 信息安全事件 1
3.6 信息安全事故 1
4. 管理职责 2
4.1 人力行政中心-综合办 2
4.2各部门 2
5. 管理活动的内容与方法 2
5.1信息安全风险评估 2
5.2信息安全培训 3
5.3网络安全管理 3
5.4服务器安全管理 4
5.5桌面终端安全管理 4
5.6数据库安全管理 5
5.7网站安全管理 5
5.8应用系统访问管理 6
5.9灾备管理 6
5.10 信息安全事件管理 7
6. 相关文件 8

前         言




本程序由江西众光照明科技有限公司两化融合管理体系贯标工作组
提出。

本程序由江西众光照明科技有限公司人力行政中心-综合办归口。

本程序起草部门:人力行政中心-综合办

本程序主要起草人:

本程序审批人:

本程序于2018年06月01日发布。


版本记事
版本号 修订日期 修订部门 修订人 修订概要
A0 2018/06/01 人力行政中心-综合办 贺中华 初次制定

两化融合信息安全管理程序
1.目的
为确保公司信息安全,依据国家信息安全相关规范及其他相关
要求,结合公司实际情况,特制定本程序。
2.范围
本程序适用于江西众光照明科技有限公司两化融合管理信息安全管理。
3.术语与定义
3.1 信息安全
是指企业的数据、信息、知识等受到保护,不受偶然的或者恶意的破坏、更改、泄密,信息服务和系统连续可靠运行、不中断。
3.2 可用性
需要时,被授权的使用者能够访问和使用相关资产。
3.3 保密性
信息不被未授权的个人、实体、流程访问或泄漏。
3.4 完整性
保护资产的准确和完整。
3.5 信息安全事件
识别系统、服务或网络状态发生的事件其违背了信息安全策略,或使安全措施失效,或以前未知的与安全相关的情况。
3.6 信息安全事故
单个或一系列的意外信息安全事件可能严重影响业务运作并威胁信息安全。
4.管理职责
4.1 人力行政中心-综合办
a)负责信息安全相关政策的规划、制订、推行和监督,确保信息
安全管理目标的实现;
b)统一组织信息安全管理水平评估的实施,识别信息安全管理过
程中存在的问题并提出改进措施,负责相关措施执行与监督实施的有效性;
c)定期组织进行漏洞扫描,并根据漏洞扫描的结果提出、并落实
改进措施;
d)配合人力行政中心-综合办对信息安全相关知识进行培训;
e)信息安全事件的管理与追踪。
4.2 各部门
负责配合人力行政中心-综合办对各系统安全及其他信息安全进行管理。
5.管理活动的内容与方法
5.1信息安全风险评估
5.1.1信息管理员应建立风险评估体系或机制每年或当信息安全事件
(事故)发生后开展信息安全风险评估,形成或更新《信息安全风险
评估表》。
5.1.2信息管理员应及时组织相关部门对《信息安全风险评估表》中
的风险项目制定控制措施。针对高风险的安全隐患制定应急响应预
案,每年6月份进行一次演练,形成《应急预案演练报告》,必要时
还需对应急预案进行优化。
5.2信息安全培训
5.2.1信息管理员应在日常控制过程中,监督信息安全的重要性,提
升全员的信息安全意识,各部门与信息管理员提出信息安全培训需
求。
5.2.2信息管理员对内部安全责任人进行风险管理与事件处理技术培
训,对外部协作方处理事件的能力进行确认,确保人员能力的满足。
5.2.3信息管理员应定期(至少1次/每年)开展信息安全培训,并
纳入年度培训计划,具体开展依《人才保障管理程序》执行。
5.2.4 各部门根据需求实施开展信息安全教育。
5.2.5 信息管理员对使用人员进行计算机的基础知识、基本操作技能
培训;对SAP系统操作员进行系统培训、考核,保证系统运作安全;
培训成绩报人力行政中心-人力资源部存档备案。
5.3网络安全管理
5.3.1用户在使用Internet 资源时应遵守国家有关法律法规和行
政规章制度,用户不得利用Internet 从事危害国家安全,泄漏国家
秘密等犯罪活动,不得查阅、复制和传播危害国家安全、妨碍社会治
安或淫秽色情的信息,用户应遵守Internet 国际惯例,不得向他人
发送恶意的、垃圾性的或挑衅性的文件;
5.3.2信息管理员负责网络安全管理工作,包括:完善网络结构、
网络设备账号保密、网络边界的安全管理、对网络安全状态进行持续
监控、保存安全补救措施的记录;
5.3.3对网络访问采取严格的防范措施,网络用户必须对密码进行
保密;
5.3.4从互联网访问公司内部系统时,必须使用VPN网络进行网络
连接;
5.3.5除XMHL的无线WiFi热点外,严禁非公司配置的电脑、笔记
本等相关信息终端设备接入公司内部网络使用。
5.4服务器安全管理
5.4.1服务器日常操作维护由操作系统管理员负责,服务器须放置在
机房或具备服务器运行相关条件的空间内,需确保防水、防雷、防静
电、防火等环境要求;
5.4.2服务器的开关机操作由操作系统管理员负责,除安装调试或者
例行维护外,服务器不得频繁开关机。服务器维护应安排在非工作时
间段进行。服务器在出现严重故障非重启不能解决时,应事先通知服
务器用户;
5.4.3应定期检查和备份服务器日志,服务器日志至少保留半年。
5.5桌面终端安全管理
5.5.1 用户必须遵循桌面终端标准化,不得擅自安装来历不明的软
件,由此造成的损失由个人承担;
5.5.2用户不得使用聊天工具、电子邮件、论坛等通讯工具泄漏公司
机密、危害公司利益及违反法律的内容;
5.5.3任何单位和个人未经信息管理员许可严禁安装任何软件、更改
计算机软件设置、私自调换电脑或所属配件;
5.5.4 对桌面终端安全事件要及时报告,并由信息管理员及时采取妥
善措施;
5.5.5 用户应根据系统自动提示,每3个月定期更新计算机域登录用
户密码,超过10分钟不用电脑时,应将电脑处于锁屏状态。
5.6数据库安全管理
5.6.1数据库的管理工作由数据库管理员负责;
5.6.2系统上线前,在用户账号管理、密码管理、访问权限管理控制、
数据库加密、备份恢复等方面必须进行安全加固;
5.6.3信息管理员应制定数据备份计划,以保证数据备份恢复的有效
性。采用双(和三)重备份:方式有:(1)本地电脑+服务器;(2)
本地电脑+移动硬盘;(3)本地电脑+服务器+移动硬盘;
5.6.4 信息管理员将数据按业务划分不同的备份等级及备份周期,对
于核心业务平台如ERP等实现实时备份;对于普通文件及网络操作系
统日志等实现文件完整备份;
5.6.5定期检查备份系统的运行状态及存储介质,如有故障应及时排
除;对于备份的数据,应模拟实际环境进行恢复测试,保证数据备份
的正确性、有效性;
5.6.6对存放大量敏感信息和各种机密信息的存储介质应分类,分档
管理,其复制、使用、发放和销毁要有审批和登记手续。同时定期对
数据库日志进行分析和审计,发现异常要及时报告并采取有效措施。
5.7网站安全管理
5.7.1所有在公司网站上公开发布的信息必须经过相关部门审核,以
确保符合国家有关法律法规和公司的相关规定;
5.7.2必须及时处理和记录网站运行过程中出现的各种问题;
5.7.3应定期对网站进行安全检查,并对隐患进行及时处理。对网站
进行的安全检查应包括:SQL注入漏洞、弱口令、口令验证不足、目
录遍历、文件上传、HTTP协议追踪、跨站脚本、后台漏洞、敏感信
息泄漏、网络漏洞和SSL加密漏洞、下单网页未使用HTTPS加密机制
等。
5.8应用系统访问管理
5.8.1员工因工作需要访问应用系统,必须申请用户账号,由系统管
理员定义各级用户口令及权限,员工需妥善保管账号和密码,因密码
保管不善导致的损失由个人承担;
5.8.2员工因工作变动,需要对应用系统的访问权限及时申请变更;
5.8.3第三方人员需要访问应用系统,必须申请用户账号,应该安排
专人陪同其访问系统。
5.9灾备管理
5.9.1灾备的目的就是确保关键业务持续运行以及减少非计划宕机时
间。
5.9.2灾备的概念:
狭义灾备:包括灾难备份系统(存储领域)。
广义灾备:包括灾难备份和灾难恢复两层含义。
容灾:与广义灾备等价(涵盖了容错领域、存储领域和信息安全领域)。
5.9.3 灾难的分类:
自然灾难:水火风雷电、地震等;战争、瘟疫等不可控的灾难。
人为灾难:人为失误、非授权操作等;恶意操作、病毒入侵等。
技术灾难:设备故障(计算机中心损坏、电力中断等)、设计故障(软
计算机中心设计故障等)。
5.9.4 灾备手段:
自然灾难:避免系统几乎完全损毁,因此,远程备份(同城或异地备
份)是解决自然灾难的有效手段;
人为灾难:人为灾难造成的后果包括丢失或泄露重要数据信息、性能
降低乃至系统服务功能、软件系统崩溃或者信息管理员设备损坏。解
决这类灾难的有效手段是:信息安全技术和容错设计技术。
技术灾难:分为两种情况:
设备故障:主要是以信息管理员器件的损伤为典型特征,采用同构的
信息管理员冗余技术可以获得较为理想的灾备效果;
设计故障:主要来自人为考虑不周或逻辑错误,设计错误是其典型特
征,采用异性的冗余设计方法才有可能从根本上解决这类问题。
5.10 信息安全事件管理
5.10.1 信息安全时间发生后,应即时采用电话、传真、电子邮件等
方式向信息管理员报告。信息管理员接到事件通知,按严重程度进行
相应处理,并填写《信息安全事件报告》,必要时启动应急预案;
5.10.2由信息管理员组织有关部门应对故障原因进行分析,必要时,
采取纠正措施,事件的原因及采取措施的结果予以记录;
5.10.3 对于信息安全事故,在故障排除或采取必要措施后,信息管
理员会同事故责任部门,对事故的原因、类型、损失、责任进行鉴定,
对于违反公司方针、程序及安全规章所造成的信息安全事故责任者予
以通报。
5.10.4 事件责任部门在《信息安全事件报告》上确认签字,由信息
管理员对事件进行处理及跟踪。
5.10.5信息安全事件处理完毕后,系统恢复正常运行后,信息管理
员要对整个事故进行分析研究,总结经验教训,必要时应对应急预案
进行优化。
5.10.6信息管理员定期进行安全审计,在进行安全审计的时候,必
需整理前一阶段所有安全事件的档案,进行总结和统计。
6.相关文件
序号 文件名称 文件编号
1 《人才保障管理程序》 ZG-LHCX-AO-05-2018


上一篇:关于印发公司两化融合方针通知

下一篇:信息化和工业化融合管理体系标准解读培训

产品与应用
服务与保障
联系我们
江西众光照明科技有限公司
电话:0793-6906947 6906988

今科科技 今科云计算 中国灯饰商贸网 人才招聘网 商务易中国 网购指南