信息安全管理制度.docx

信息安全管理制度目的:为建立安全及可信赖之信息作业环境,阐明公司信息安全管理的范围和工作内容,以计划、实施、监控、改善的持续不断的信息安全改善流程,确保公司相关信息、系统、设备及网络安全,保护公司信息资产的机密性、完整性、可用性及适法性,特制订本管理办法。适用范围:本文件适用于深圳市景创科技电子有限公司(以下简称“景创科技”)经营活动中的信息安全管理。定义:信息安全:是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到非法入侵、篡改、泄露,窃取、破坏、不当使用等,以确保系统可靠正常地运行,最终实现业务的连续性。信息安全主要包括但不限于以下几个方面的内容,即需保证信息的保密性、真实性、完整性;管理对象:指组成计算机信息系统的系统、设备和数据等信息资产和人员的安全。主要范围包括:人员安全、物理环境安全、资产识别和分类、风险管理、物理和逻辑访问控制、系统操作与运行安全、网络通讯安全、信息加密与解密、应急与灾难恢复、软件研发与应用安全、机密资源管理、法律和标准的符合性、安全检查与审计等。职责:信息安全负责人:负责全公司信息安全管理、检查指引、牵头组织全公司安全管理培训;为相关部门开展的培训工作提供技术支持;负责对公司信息化体系执行结果的监督和考核权、公司内外部信息资源的开发权、信息系统建设及整体规划权、应急处理权;负责公司信息安全管理办法的制定、档案处理;负责各类安全策略的日常使用、维护、升级和管理,定期对重要业务数据及系统的部署、备份、优化,同时对各部门保密信息的保护、使用和管理进行监督检查;负责根据各部门的需要,协助他们对各类报表及各类数据的查询;负责参与新软件、新系统的前期商议和后期实施,制订计算机管理的各种规章制度及必要的操作规程,上报领导审批后贯彻实施;负责全公司网络环境安全(包括病毒防护、木马防护、入侵防护);负责公司网络资源的分配和权限设置,对新入职员工办公电脑设备的安装及调试;离职员工电脑收回、账号注销、其它操作权限收回;完成上级交办的其他任务。各部门负责人:部门负责人为本部门主管保密的第一责任人;确定本部门保密信息的密级确和可公开范围,并在部门范围内宣导保密信息保护办法;负责本管理办法及公司其他信息安全规定在本部门的推行和有效落实;对超出保密范围之外的保密信息使用进行审批;对本部门的员工使用保密信息进行监督管理行政部:负责对信息安全奖励与处罚进行最终的认定和措施执行。负责公司各部门信息安全工作执行情况的检查、审计与问题处理结果跟踪。管理要求本公司硬件设备包括:网络所连接的服务器、交换机、电脑、网络打印机、网络模块以及未连入网络的电脑、打印机等设备;软件设备包括:各设备上安装的操作系统、办公软件以及办公室安装的其它软件;网络信息包括:服务器、防火墙、杀毒软件、路由器、交换机等设备的配置信息,ERP系统的账号密码。信息设备安全保管:机房采取防火、防盗、防潮、防停电(UPS)等安全措施,确保机房的服务器及其他网络设备的不间断运行。机房管理人员定期巡查网络线路、交换设备,一旦发现问题应及时处理,以确保传输线路、交换设备及路由器设备的安全运行;严禁带外单位人员或无关人员进入机房,除运维工程师以外的人员不准擅自进入公司中心机房,除特殊情况需要,如:系统故障诊断和处理,设备维修维护、系统或设备安装等进入机