信息安全管理制度.doc

信息安全管理制度
信息安全管理
1目的与范围
为加强企业信息化过程中的信息安全，保证在管理手段提高的情况下信息的
保密管理，保
证企业信息资产的完整性，特制定本标准。
本标准规定了公司信息安全管理的范围、内容、要求和措施等事项的要求与
方法
本标准适用于股份公司。
2引用标准
一 QG／ZTD01 07—2003通讯与计算机应用管理(试行)
3职责
3．1信息中心职责
3．1．1信息中心是信息安全的归口管理部门。
3．I．2负责提供信息发布、存储、使用和控制环境的规划和实现。 。 3．i．3负责信息应用系统、网络、IT设备的安全管理。
3．I．4负责鉴别信息管理的不安全因素并提供有效的防范措施? 、
一 3．i．5负责企业范围内信息存储和使用的安全审计和监控。
3．1．6负责向当地公安机关汇报重大信息安全事故。
3．1．7负责企业网络内不安全因素的监控、预防和日常检查。
3．2各单位职责
3．2．1负责网络资源使用权限的审批。
3．2．2负责信息安全管理不安拿因素的拉制和防范措施的落实执行。 一 3．2．3负责对危及企业信息安全行为责任人的处置。 ‘4管理内容与方法
一_‘4．i范围
信息安全的内容包括：系统安全、设备安全和信息的发布、存储、访问与使
用安全等?
4．2安全要求
．4．2．1系统安全
4．2．1．1系统安全一般是指操作系统的安全性、网络环境的安全性和用
户帐号的安全性。
．4．2．1．2为提高操作系统安全性，应注意必须及时进行升级，同时采
用可信的安全策略，防止
二般用户登录服务器本机。
4．2．1．3定期检查服务器日志和系统状态，及时发现问题并解决问题；
在条件许可下尽可能采
‘ 用专机专用，保障系统服务的健壮性和可用性。
4．2．1．4定期做好系统的备份，防止系统灾难性事故的发生。
4．2．1．5为保障网络的安全性，应采用网络版防病毒软件进行防毒，同
时要在用户终端部署防
正泰电器股份公司2003—06—09批准
2 003-07-01实施
=1=
QG／ZTD0111—2 00 3
4．2．4．5信息中心应建立统一的非结构化信息存储管理系统，以便进行
版本和权限的控制。
4．2．4．6信息中心应定期对数据中心(包括子公司服务器数据)进行数据
备份，在必要时进行
数据恢复．数据备份介质应有专人保管，并保存5年以上。
4．2．5信息访问安全
4．2．5．1企业任何信息的访问都必须经过授权。
4．2．5．2羌论系统的或用户的信息共享都必须设置访问权限，严禁设置
全球共享权限。
4．2．5．3信息部门应定期检查企业网络中存在的全球共享连接并纠正，
避免无意的信息泄漏。
4．2．5．4各单位应加强对电子邮件和网络浏览使用权限的审批和管理，
避免非业务必需的用户
， 直接连接到互联网．
4．2．5．5各单位应根据业务需要认真审批和分配信息应用系统中的权限，
保证用户只能获得其
业务所需的信息，并在其职能发生变化时及时进行授权的调整。
4．2．5．6各单位应督促员工保证其帐号及网络地址只供本人使用，以防
止非法借用给他人造成