<button id="su6us"><xmp id="su6us"><table id="su6us"><button id="su6us"></button></table><td id="su6us"></td><td id="su6us"></td><xmp id="su6us"><li id="su6us"></li>
  • <xmp id="su6us">
  • <table id="su6us"></table>
  • <table id="su6us"></table>
  • <table id="su6us"><li id="su6us"></li></table>
  • <table id="su6us"><li id="su6us"></li></table>
    <td id="su6us"></td>
  • <table id="su6us"></table>
  • <table id="su6us"></table><td id="su6us"><li id="su6us"></li></td>

    在線客服

    在線客服
    工作時間

    周一周六 8:00-17:30

    聯系方式

    0793-6906988

    江西眾光照明科技有限公司 兩化融合信息安全管理程序
    專欄:兩化融合
    發布日期:2018-10-23
    閱讀量:8795
    作者:佚名
    收藏:
    為確保公司信息安全,依據國家信息安全相關規范及其他相關要求,結合公司實際情況,特制定本程序。
    江西眾光照明科技有限公司 
    兩化融合信息安全管理程序 

    江西眾光照明科技有限公司 
    二〇一八年六月 

    目  錄 

    1. 目的 1 
    2. 范圍 1 
    3. 術語與定義 1 
    3.1 信息安全 1 
    3.2 可用性 1 
    3.3 保密性 1 
    3.4 完整性 1 
    3.5 信息安全事件 1 
    3.6 信息安全事故 1 
    4. 管理職責 2 
    4.1 人力行政中心-綜合辦 2 
    4.2各部門 2 
    5. 管理活動的內容與方法 2 
    5.1信息安全風險評估 2 
    5.2信息安全培訓 3 
    5.3網絡安全管理 3 
    5.4服務器安全管理 4 
    5.5桌面終端安全管理 4 
    5.6數據庫安全管理 5 
    5.7網站安全管理 5 
    5.8應用系統訪問管理 6 
    5.9災備管理 6 
    5.10 信息安全事件管理 7 
    6. 相關文件 8 

    前         言 

    本程序由江西眾光照明科技有限公司兩化融合管理體系貫標工作組提出。 

    本程序由江西眾光照明科技有限公司人力行政中心-綜合辦歸口。 

    本程序起草部門:人力行政中心-綜合辦 

    本程序主要起草人: 

    本程序審批人: 

    本程序于2018年06月01日發布。 


    版本記事 
    版本號 修訂日期 修訂部門 修訂人 修訂概要 
    A0 2018/06/01 人力行政中心-綜合辦 賀中華 初次制定 

    兩化融合信息安全管理程序 
    1.目的 
    為確保公司信息安全,依據國家信息安全相關規范及其他相關要求,結合公司實際情況,特制定本程序。 
    2.范圍 
    本程序適用于江西眾光照明科技有限公司兩化融合管理信息安全管理。 
    3.術語與定義 
    3.1 信息安全 
    是指企業的數據、信息、知識等受到保護,不受偶然的或者惡意的破壞、更改、泄密,信息服務和系統連續可靠運行、不中斷。 
    3.2 可用性 
    需要時,被授權的使用者能夠訪問和使用相關資產。 
    3.3 保密性 
    信息不被未授權的個人、實體、流程訪問或泄漏。 
    3.4 完整性 
    保護資產的準確和完整。 
    3.5 信息安全事件 
    識別系統、服務或網絡狀態發生的事件其違背了信息安全策略,或使安全措施失效,或以前未知的與安全相關的情況。 
    3.6 信息安全事故 
    單個或一系列的意外信息安全事件可能嚴重影響業務運作并威脅信息安全。 
    4.管理職責 
    4.1 人力行政中心-綜合辦 
    a)負責信息安全相關政策的規劃、制訂、推行和監督,確保信息安全管理目標的實現; 
    b)統一組織信息安全管理水平評估的實施,識別信息安全管理過程中存在的問題并提出改進措施,負責相關措施執行與監督實施的有效性; 
    c)定期組織進行漏洞掃描,并根據漏洞掃描的結果提出、并落實改進措施; 
    d)配合人力行政中心-綜合辦對信息安全相關知識進行培訓; 
    e)信息安全事件的管理與追蹤。 
    4.2 各部門 
    負責配合人力行政中心-綜合辦對各系統安全及其他信息安全進行管理。 
    5.管理活動的內容與方法 
    5.1信息安全風險評估 
    5.1.1信息管理員應建立風險評估體系或機制每年或當信息安全事件(事故)發生后開展信息安全風險評估,形成或更新《信息安全風險評估表》。 
    5.1.2信息管理員應及時組織相關部門對《信息安全風險評估表》中的風險項目制定控制措施。針對高風險的安全隱患制定應急響應預案,每年6月份進行一次演練,形成《應急預案演練報告》,必要時還需對應急預案進行優化。 
    5.2信息安全培訓 
    5.2.1信息管理員應在日??刂七^程中,監督信息安全的重要性,提升全員的信息安全意識,各部門與信息管理員提出信息安全培訓需求。 
    5.2.2信息管理員對內部安全責任人進行風險管理與事件處理技術培訓,對外部協作方處理事件的能力進行確認,確保人員能力的滿足。 
    5.2.3信息管理員應定期(至少1次/每年)開展信息安全培訓,并納入年度培訓計劃,具體開展依《人才保障管理程序》執行。 
    5.2.4 各部門根據需求實施開展信息安全教育。 
    5.2.5 信息管理員對使用人員進行計算機的基礎知識、基本操作技能培訓;對SAP系統操作員進行系統培訓、考核,保證系統運作安全;培訓成績報人力行政中心-人力資源部存檔備案。 
    5.3網絡安全管理 
    5.3.1用戶在使用Internet 資源時應遵守國家有關法律法規和行政規章制度,用戶不得利用Internet 從事危害國家安全,泄漏國家秘密等犯罪活動,不得查閱、復制和傳播危害國家安全、妨礙社會治安或淫穢色情的信息,用戶應遵守Internet 國際慣例,不得向他人發送惡意的、垃圾性的或挑釁性的文件; 
    5.3.2信息管理員負責網絡安全管理工作,包括:完善網絡結構、網絡設備賬號保密、網絡邊界的安全管理、對網絡安全狀態進行持續監控、保存安全補救措施的記錄; 
    5.3.3對網絡訪問采取嚴格的防范措施,網絡用戶必須對密碼進行保密; 
    5.3.4從互聯網訪問公司內部系統時,必須使用VPN網絡進行網絡連接; 
    5.3.5除XMHL的無線WiFi熱點外,嚴禁非公司配置的電腦、筆記本等相關信息終端設備接入公司內部網絡使用。 
    5.4服務器安全管理 
    5.4.1服務器日常操作維護由操作系統管理員負責,服務器須放置在機房或具備服務器運行相關條件的空間內,需確保防水、防雷、防靜電、防火等環境要求; 
    5.4.2服務器的開關機操作由操作系統管理員負責,除安裝調試或者例行維護外,服務器不得頻繁開關機。服務器維護應安排在非工作時間段進行。服務器在出現嚴重故障非重啟不能解決時,應事先通知服 
    務器用戶; 
    5.4.3應定期檢查和備份服務器日志,服務器日志至少保留半年。 
    5.5桌面終端安全管理 
    5.5.1 用戶必須遵循桌面終端標準化,不得擅自安裝來歷不明的軟件,由此造成的損失由個人承擔; 
    5.5.2用戶不得使用聊天工具、電子郵件、論壇等通訊工具泄漏公司機密、危害公司利益及違反法律的內容; 
    5.5.3任何單位和個人未經信息管理員許可嚴禁安裝任何軟件、更改計算機軟件設置、私自調換電腦或所屬配件; 
    5.5.4 對桌面終端安全事件要及時報告,并由信息管理員及時采取妥 
    善措施; 
    5.5.5 用戶應根據系統自動提示,每3個月定期更新計算機域登錄用戶密碼,超過10分鐘不用電腦時,應將電腦處于鎖屏狀態。 
    5.6數據庫安全管理 
    5.6.1數據庫的管理工作由數據庫管理員負責; 
    5.6.2系統上線前,在用戶賬號管理、密碼管理、訪問權限管理控制、數據庫加密、備份恢復等方面必須進行安全加固; 
    5.6.3信息管理員應制定數據備份計劃,以保證數據備份恢復的有效性。采用雙(和三)重備份:方式有:(1)本地電腦+服務器;(2)本地電腦+移動硬盤;(3)本地電腦+服務器+移動硬盤; 
    5.6.4 信息管理員將數據按業務劃分不同的備份等級及備份周期,對于核心業務平臺如ERP等實現實時備份;對于普通文件及網絡操作系統日志等實現文件完整備份; 
    5.6.5定期檢查備份系統的運行狀態及存儲介質,如有故障應及時排除;對于備份的數據,應模擬實際環境進行恢復測試,保證數據備份的正確性、有效性; 
    5.6.6對存放大量敏感信息和各種機密信息的存儲介質應分類,分檔管理,其復制、使用、發放和銷毀要有審批和登記手續。同時定期對數據庫日志進行分析和審計,發現異常要及時報告并采取有效措施。 
    5.7網站安全管理 
    5.7.1所有在公司網站上公開發布的信息必須經過相關部門審核,以確保符合國家有關法律法規和公司的相關規定; 
    5.7.2必須及時處理和記錄網站運行過程中出現的各種問題; 
    5.7.3應定期對網站進行安全檢查,并對隱患進行及時處理。對網站進行的安全檢查應包括:SQL注入漏洞、弱口令、口令驗證不足、目錄遍歷、文件上傳、HTTP協議追蹤、跨站腳本、后臺漏洞、敏感信 
    息泄漏、網絡漏洞和SSL加密漏洞、下單網頁未使用HTTPS加密機制等。 
    5.8應用系統訪問管理 
    5.8.1員工因工作需要訪問應用系統,必須申請用戶賬號,由系統管理員定義各級用戶口令及權限,員工需妥善保管賬號和密碼,因密碼保管不善導致的損失由個人承擔; 
    5.8.2員工因工作變動,需要對應用系統的訪問權限及時申請變更; 
    5.8.3第三方人員需要訪問應用系統,必須申請用戶賬號,應該安排專人陪同其訪問系統。 
    5.9災備管理 
    5.9.1災備的目的就是確保關鍵業務持續運行以及減少非計劃宕機時 
    間。 
    5.9.2災備的概念: 
    狹義災備:包括災難備份系統(存儲領域)。 
    廣義災備:包括災難備份和災難恢復兩層含義。 
    容災:與廣義災備等價(涵蓋了容錯領域、存儲領域和信息安全領域)。 
    5.9.3 災難的分類: 
    自然災難:水火風雷電、地震等;戰爭、瘟疫等不可控的災難。 
    人為災難:人為失誤、非授權操作等;惡意操作、病毒入侵等。 
    技術災難:設備故障(計算機中心損壞、電力中斷等)、設計故障(軟計算機中心設計故障等)。 
    5.9.4 災備手段: 
    自然災難:避免系統幾乎完全損毀,因此,遠程備份(同城或異地備份)是解決自然災難的有效手段; 
    人為災難:人為災難造成的后果包括丟失或泄露重要數據信息、性能降低乃至系統服務功能、軟件系統崩潰或者信息管理員設備損壞。解決這類災難的有效手段是:信息安全技術和容錯設計技術。 
    技術災難:分為兩種情況: 
    設備故障:主要是以信息管理員器件的損傷為典型特征,采用同構的信息管理員冗余技術可以獲得較為理想的災備效果; 
    設計故障:主要來自人為考慮不周或邏輯錯誤,設計錯誤是其典型特征,采用異性的冗余設計方法才有可能從根本上解決這類問題。 
    5.10 信息安全事件管理 
    5.10.1 信息安全時間發生后,應即時采用電話、傳真、電子郵件等方式向信息管理員報告。信息管理員接到事件通知,按嚴重程度進行相應處理,并填寫《信息安全事件報告》,必要時啟動應急預案; 
    5.10.2由信息管理員組織有關部門應對故障原因進行分析,必要時,采取糾正措施,事件的原因及采取措施的結果予以記錄; 
    5.10.3 對于信息安全事故,在故障排除或采取必要措施后,信息管理員會同事故責任部門,對事故的原因、類型、損失、責任進行鑒定,對于違反公司方針、程序及安全規章所造成的信息安全事故責任者予 以通報。 
    5.10.4 事件責任部門在《信息安全事件報告》上確認簽字,由信息管理員對事件進行處理及跟蹤。 
    5.10.5信息安全事件處理完畢后,系統恢復正常運行后,信息管理員要對整個事故進行分析研究,總結經驗教訓,必要時應對應急預案進行優化。 
    5.10.6信息管理員定期進行安全審計,在進行安全審計的時候,必需整理前一階段所有安全事件的檔案,進行總結和統計。 
    6.相關文件 
    序號 文件名稱 文件編號 
    1 《人才保障管理程序》 ZG-LHCX-AO-05-2018 
    上一頁:關于印發公司兩化融合方針通知
    下一頁:GBT 23020-2013 工業企業信息化和工業化融合評估規范
    在线中文字幕第10页|亚洲成a人片在线观看yau|微拍国产私拍福利88精品视频|在人线香蕉观新在线熊|天线香蕉人线伊看8|中文字幕av一区二区-青春娱视频盛宴