1、信息安全管理程序1目的为了引导企业充分利用计算机及信息系统规范交易行为,提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性,降低人为因素导致内部控制失效的可能性,形成良好的信息传递渠道,根据国家有关法律法规和企业内部控制规范,制定本规范。2 范围适用公司所有职能部门。职责3 信息中心:负责公司网络及计算机信息安全的管理与维护。.2 各部门:负责配合信息中心对计算机信息安全进行管理。 定义: 计算机信息系统:是指利用计算机技术对业务和信息进行集成处理的程序、数据和文档等的总称,计算机包括个人电脑、服务器及防火墙等硬件设备。5 工作程序流程要求使用表单相关部门岗位分工与授权审批l 信息系统
2、及信息安全岗位包括: 网络及计算机管理:负责公司的网络安装及维护、计算机硬件维护及软件维护,应当注意对邮件及其他重要信息数据的保护。 系统分析:系统分析员与相关业务部门分析需开发的信息系统需求,并得到业务部门负责人确认。 开发及维护:软件工程师负责开发得到确认的业务系统或对外包开发的信息系统进行维护,同时负责相关报表的开发。 数据库管理:维护组织数据资源的安全性及完整性,对数据库做好日备份及转移。 信息系统库管理:在单独的信息系统库中存储暂时不用的程序和文件,并保留所有版本的数据和程序 信息系统管理:负责管理邮件系统、EP系统、内网系统等信息系统的后台配置及管理 数据控制:确保原始数据经过正确
3、授权,监控信息系统工作流程,协调输入和输出,将输入的错误数据反馈到输入部门并跟踪监控其纠正过程,将输出信息分发给经过授权的用户。 终端:终端用户负责记录交易内容,授权处理数据,并利用系统输出的结果。 系统开发和变更过程中不相容岗位(或职责)一般应包括:开发(或变更)审批、开发、系统上线、监控。 系统访问过程中不相容岗位(或职责)一般应包括:申请、审批、操作、监控。l 企业计算机信息系统战略规划、重要信息系统政策等重大事项应当经由董事会审批通过后,方可实施。l 信息系统战略规划应当与企业业务目标保持一致。信息系统使用部门应该参与信息系统战略规划、重要信息系统政策等的制定。l 信息中心对计算机及信
4、息系统实施归口管理,负责信息系统开发、变更、运行、维护等工作。l 财务部负责信息系统中各项业务账务处理的准确性和及时性;财务电算化制度的制定;计划价格的确定和修改;财务操作规定等。l 生产、销售、仓储及其他部门(下称用户部门)应当根据本部门在信息系统中的职能定位,参与信息系统建设和管理,按照信息中心制定的管理标准、规范、规章来操作、管理和运用信息系统。 信息系统开发、变更与维护控制l 计算机信息系统开发包括自行设计、外购调试和外包合作开发。企业在开发信息系统时,充分考虑业务和信息的集成性,优化流程,并将相应的处理规则(交易权限)嵌入到系统程序中,以预防、检查、纠正错误和舞弊行为,确保企业业务活
5、动的真实性、合法性和效益性。l 信息系统开发必须经过正式授权,企业应当进行详细备案。具体程序包括:用户部门提出需求;归口管理部门审核;企业负责人授权批准;系统分析人员设计方案;程序员编写代码或外包等。l 对于外包合作开发的项目,企业应当加强对外包第三方的监控。l 外购调试或外包合作开发等需要进行招投标的信息系统开发项目,企业应当成立招投标小组,并保证招投标小组的独立性。l 在新系统上线前需要制定详细的信息系统上线计划。对涉及新旧系统切换之情形,企业应当在上线计划中明确系统回退计划,保证新系统一旦失效,能够顺利回退到原来的系统状态。l 新旧系统切换时,如涉及数据迁移,企业应当制定详细的数据迁移计
6、划。l 用户部门应当积极参与数据迁移过程,对数据迁移结果进行测试,并签署测试报告。l 信息系统在投入使用前应当至少完成整体测试和用户验收测试,以确保系统的正常运转。数据控制小组应当用测试数据来证明程序工作正常并确认就绪,开发完成后交操作人员并由信息系统库管理员备份留存。l 信息系统原设计功能未能正常实现时,相关操作人员负责详细记录,并及时报告信息中心,由其负责系统程序修正和软件参数调整,尽快解决存在的问题。l 信息中心积极采用日常检测、设立容错冗余、编制意外计划等预防性措施,确保计算机信息系统的持续运行,使系统意外停工时间最小化。 信息系统访问安全l 信息中心负责制定信息系统工作程序、信息管理
7、制度以及各模块子系统的具体操作规范。 l 计算机信息系统操作人员不得擅自进行系统软件的删除、拷贝、修改等操作,不得擅自升级、改变系统软件版本或更换系统软件,不得擅自改变软件系统环境配置。l 严禁信息系统操作人员使用空密码或系统默认密码,规范信息系统的权限,普通操作人员只有职责范围内的权限也只能操作职责范围内的数据,查询用户只有只读权限。l 未经上机培训的人员不得作为操作人员l 对于发生岗位变化或离岗的用户,企业应当及时调整其在系统中的访问权限。 信息中心每月对系统中的账号进行审阅,避免有授权不当或冗余账号存在。 对于特权用户,信息中心应该对其在系统中的操作进行监控,并定期审阅监控日志。l 企业
8、应当充分利用操作系统、数据库、应用系统自身提供的安全性能,在系统中设置安全参数,以加强系统访问安全。禁止未经授权人员擅自调整、删除或修改系统中设置的各项参数。l 信息中心加强对防火墙、路由器等网络安全方面的管理,对员工上网行为进行控制。l 信息中心每周检测信息系统运行情况,及时进行计算机病毒的预防、检查工作,禁止用户私自安装非法软件和卸载企业要求安装的防病毒软件。一经发现潜在危险,应当及时通知操作人员隔离受病毒侵袭的系统部分,尽快处理。如有必要,可以暂时终止系统运行。l 信息系统操作人员应当在权限范围内进行操作,不得利用他人的口令和密码进入软件系统。更换操作人员或密码泄密后,必须及时更改密码。
9、操作人员如果离开工作现场,必须在离开前锁定或退出已经运行的程序,防止其他人员越权操作或散发不当信息。l 信息中心负责公司内网的建设和完善,建立公司的知识管理平台,在知识管理平台上规范信息的使用和传递,提高经营管理的效率和效果。l 企业应当对所有的重要信息进行密级划分,包括书面形式和电子媒介形式保存的信息。 企业可以根据信息的重要性程度和泄密风险损失等划分标准,将信息分为机密类、秘密类和重要类等,并建立不同类别信息的授权使用制度。 对于在知识管理平台上存放的企业信息,根据公司的密级划分,设定是否公开及用户查询权限;所有邮件用户的电子邮件均在邮件服务器上备份。l 企业应当利用计算机信息系统,生成生
10、产、销售、存储等子系统,及时反映和记录交易。交易责任部门在其授权范围内对子系统录入信息的及时性、准确性和完整性负责,并定期检查、核对所录信息。l 企业财会部门应当认真审核采购、生产、销售、仓库等部门与财务相关的关键业务数据,及时进行账务处理,保证会计信息与业务流程在时间、数量和价值上的统一,并做好电子财务数据保密和安全工作。l 一经发现已输入数据信息有误,必须按照信息系统操作规定加以修正,不得使用非软件系统提供的方法处理信息数据。l 对于财务软件、RP软件、邮件系统等除了数据库系统自动日备份外,至少应当在远离计算机设备和操作的地方保存一套备份和交易日志,以备丢失或损坏时重建。l 信息中心应当编
11、制完整、具体的灾难恢复计划,以备意外事件发生后恢复系统之需。 硬件管理l 信息中心对计算机及其它信息设备的新增、报废、流转等情况建档登记,统一管理。l 计算机硬件设备放置在临时机房或机房中,由专人负责管理和检查,其他任何人未经授权不得接触计算机信息系统硬件设备。l 硬件设备的更新、扩充、修复等工作应当由相关人员提出申请,报上级主管负责人审批。未经允许,不得擅自拆装硬件设备。l 信息中心应当加强计算机机房的物理安全管理,配备适当的防盗报警装置。机房内应当配备空调必要的环境设施,温度及湿度保持在适当的范围,对于防火墙、路由器及邮件服务器等主要系统服务器应当配备不中断电源供给设备。l 企业操作人员应
12、当严格遵守用电安全,不得在计算机专用线路上使用其他用电设备。l 信息中心应当完善计算机信息系统硬件设备异常状况处理制度。一经发生异常现象(如冒烟、打火、异常声响等),应当立即断电并通知信息中心,不得擅自处理。 6相关文件 7 附件IO27001信息安全管理标准理解及内审员培训 培训热线:0755-293663、296264 李小姐客服Q:1843445、659735 ISO2700信息安全管理标准理解及内审员培训 下载报名表 内训调查表 【课程描述】ISO/IEC27001:200信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施,保障组织的信息安全。本课程将详述IS 01:200
13、5 270:00标准的每一个要求,指导如何管理信息安全风险,并附以大量的审核实战案例以作说明。内部审核部分将以ISO19011:0为基础,教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准,并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。 【课程帮助】如果你想对本课程有更深入的了解,请参考 德信诚I7001内审员相关资料手册【课程对象】信息安全管理人员,欲将SO27001导入组织的人员,在ISO27001实施过程中承担内部审核工作的人员,有志于从事T信息安全管理工作的人员。【课程大纲】第一部分:IS20:2005信息安全概述、标准条款讲解信息安全概述:
14、信息及信息安全,CIA目标,信息安全需求来源,信息安全管理。 风险评估与管理:风险管理要素,过程,定量与定性风险评估方法,风险消减。 ISOIC 27001简介:O01标准发展历史、现状和主要内容,ISO7001标准认证。 信息安全管理实施细则:从十个方面介绍ISO0的各项控制目标和控制措施。 信息安全管理体系规范:IO/IEC70005标准要求内容,PDA管理模型,ISM建设方法和过程。第二部分:IS2701:005信息安全管理体系文件建立(ISO2701与IS9001、IS140管理体系如何整合) ISO27001与ISO9001、ISO1401的异同 IO00与IO900、ISO100可以共用的程序文件和三级文件如何将三体系整合降低公司的体系运行成本 ISO90、SO4001、SO200体系三合一整合案例分析第三部分:信息安全管理体系内部审核技巧和认证应对案例分析 I71:205标准对内审员的新要求 信息安全管理体系认证现场审核的流程、技巧及沟通方法 如何应对认证公司的认证审核、监督审核、案例分析 考试 考试合格者颁发“IS2700信息安全管理体系内部审核员培训合格证书”