008-信息系統(tǒng)安全管理流程

1、神馬集團(tuán)有限責(zé)任公司第十四章信息技術(shù)管理索引號(hào) 信息技術(shù)管理008第四節(jié)信息管理14141 PAGE 4神馬集團(tuán)有限責(zé)任公司第十四章信息技術(shù)管理索引號(hào) 信息技術(shù)管理008第四節(jié)信息管理主題版本號(hào)生效日期修改日期編制單位核準(zhǔn)者12002/4/1信息系統(tǒng)安全管理作廢日期作廢執(zhí)行人141411 PAGE 1信息系統(tǒng)安全管理范圍月度采購(gòu)計(jì)劃包含適用于信息技術(shù)部實(shí)施網(wǎng)絡(luò)安全管理和信息實(shí)時(shí)監(jiān)控，以及制定全公司計(jì)算機(jī)使用安全的技術(shù)規(guī)定控制目標(biāo)確保公司司網(wǎng)絡(luò)系系統(tǒng)、計(jì)計(jì)算機(jī)以以及計(jì)算算機(jī)相關(guān)關(guān)設(shè)備的的高效、安全使使用確保數(shù)據(jù)據(jù)庫(kù)、日日志文件件和重要要商業(yè)信信息的安安全主要控制制點(diǎn)信息技術(shù)術(shù)部經(jīng)理理和公司司主管

2、副副總經(jīng)理理分別審審批信息息系統(tǒng)訪訪問(wèn)權(quán)限限設(shè)置方方案、數(shù)數(shù)據(jù)備份份及突發(fā)發(fā)事件處處理政策策和其它它信息系系統(tǒng)安全全政策的的合理性性和可行行性對(duì)終端用用戶進(jìn)行行網(wǎng)絡(luò)使使用情況況的監(jiān)測(cè)測(cè)特定政策策每年更新新公司的的信息系系統(tǒng)安全全政策每年信息息技術(shù)部部應(yīng)配合合公司人人力資源源部及其其它各部部門，核核定各崗崗位的信信息設(shè)備備配置，并制定定公司的的計(jì)算機(jī)機(jī)及網(wǎng)絡(luò)絡(luò)使用規(guī)規(guī)定當(dāng)員工崗崗位發(fā)生生變動(dòng)，需要更更改員工工的郵件件帳號(hào)屬屬性、服服務(wù)器存存儲(chǔ)空間間大小和和文件讀讀寫權(quán)限限時(shí)，信信息技術(shù)術(shù)部必須須在一天天內(nèi)完成成并發(fā)送送郵件或或電話通通知用戶戶對(duì)于信息息系統(tǒng)（主要為為服務(wù)器器）的安安全管理理，應(yīng)有

3、有兩名技技術(shù)人員員能夠完完成日常常故障處處理以及及設(shè)置、安裝操操作，但但僅有一一名技術(shù)術(shù)人員掌掌握系統(tǒng)統(tǒng)密碼，若該名名技術(shù)人人員外出出，須將將密碼轉(zhuǎn)轉(zhuǎn)告另外外一名技技術(shù)人員員，事后后應(yīng)修改改密碼，兩人不不能同時(shí)時(shí)外出，交接時(shí)時(shí)應(yīng)做好好記錄普通事件件警告是是指未對(duì)對(duì)信息系系統(tǒng)安全全構(gòu)成危危害、而而僅對(duì)終終端系統(tǒng)統(tǒng)或局部部網(wǎng)絡(luò)安安全造成成危害，或者危危害已經(jīng)經(jīng)產(chǎn)生但但沒(méi)有繼繼續(xù)擴(kuò)散散的事件件，如對(duì)對(duì)使用的的終端和和網(wǎng)絡(luò)設(shè)設(shè)備未經(jīng)經(jīng)同意私私自設(shè)置置權(quán)限等等；嚴(yán)重重事件警警告是指指對(duì)信息息系統(tǒng)安安全構(gòu)成成威脅的的事件，如試圖圖使病毒毒（木馬馬、后門門程序等等）在網(wǎng)網(wǎng)絡(luò)中擴(kuò)擴(kuò)散、攻攻擊服務(wù)務(wù)器、改改變網(wǎng)

4、絡(luò)絡(luò)設(shè)備設(shè)設(shè)置場(chǎng)所所的設(shè)置置狀態(tài)、編制非非法軟件件在網(wǎng)絡(luò)絡(luò)系統(tǒng)中中試運(yùn)行行等；特特殊事件件是指來(lái)來(lái)自公司司網(wǎng)絡(luò)外外部的惡惡意攻擊擊，如由由外部人人員使用用不當(dāng)造造成或其其它自然然突發(fā)事事件引起起。事件件鑒定小小組由相相關(guān)的網(wǎng)網(wǎng)絡(luò)工程程師、終終端設(shè)備備維護(hù)工工程師和和應(yīng)用系系統(tǒng)程序序員等相相關(guān)人員員組成信息系統(tǒng)統(tǒng)安全管管理流程程C-114-004-0001步驟涉及部門門步驟說(shuō)明明信息技術(shù)術(shù)部網(wǎng)絡(luò)絡(luò)工程師師、終端端設(shè)備維維護(hù)工程程師根據(jù)國(guó)際際和國(guó)家家信息系系統(tǒng)安全全的有關(guān)關(guān)法律、法規(guī)的的規(guī)定及及信息技技術(shù)行業(yè)業(yè)的行業(yè)業(yè)安全標(biāo)標(biāo)準(zhǔn)，并并結(jié)合公公司有關(guān)關(guān)商業(yè)保保密的規(guī)規(guī)定，制制定公司司的信息息系統(tǒng)安安

5、全政策策，包括括信息系系統(tǒng)訪問(wèn)問(wèn)權(quán)限設(shè)設(shè)置方案案、數(shù)據(jù)據(jù)備份及及突發(fā)事事件處理理政策、病毒防防治等信信息系統(tǒng)統(tǒng)安全政政策信息技術(shù)術(shù)部經(jīng)理理審核公司司信息系系統(tǒng)的各各種安全全政策規(guī)規(guī)定，保保證符合合公司信信息管理理的安全全要求和和商業(yè)機(jī)機(jī)密信息息的管理理要求，若通過(guò)過(guò)，上報(bào)報(bào)主管副副總審批批，若不不通過(guò)，指出修修改意見(jiàn)見(jiàn)，責(zé)成成相關(guān)人人員進(jìn)行行修改公司主管管副總審核公司司信息系系統(tǒng)的各各種安全全政策規(guī)規(guī)定，若若通過(guò)，下發(fā)具具體執(zhí)行行，若不不通過(guò)，指出修修改意見(jiàn)見(jiàn)，責(zé)成成相關(guān)人人員進(jìn)行行修改人力資源源部勞動(dòng)動(dòng)用工管管理員根據(jù)公司司計(jì)算機(jī)機(jī)及網(wǎng)絡(luò)絡(luò)設(shè)備使使用的有有關(guān)規(guī)定定，在公公司發(fā)生生新員工工入廠

6、、員工調(diào)調(diào)動(dòng)和崗崗位變動(dòng)動(dòng)等情況況時(shí)，編編制新員員工或員員工變動(dòng)動(dòng)狀況一一覽表信息技術(shù)術(shù)部網(wǎng)絡(luò)絡(luò)工程師師、終端端設(shè)備維維護(hù)工程程師根據(jù)人力力資源部部提供的的一覽表表，結(jié)合合公司計(jì)計(jì)算機(jī)及及網(wǎng)絡(luò)設(shè)設(shè)備的使使用規(guī)定定，確定定各崗位位的計(jì)算算機(jī)資源源的配置置和系統(tǒng)統(tǒng)訪問(wèn)權(quán)權(quán)限信息技術(shù)術(shù)部網(wǎng)絡(luò)絡(luò)工程師師、終端端設(shè)備維維護(hù)工程程師對(duì)各個(gè)網(wǎng)網(wǎng)絡(luò)用戶戶及計(jì)算算機(jī)設(shè)備備的使用用過(guò)程進(jìn)進(jìn)行監(jiān)測(cè)測(cè)，同時(shí)時(shí)督促各各個(gè)終端端用戶定定時(shí)對(duì)關(guān)關(guān)鍵數(shù)據(jù)據(jù)進(jìn)行備備份信息技術(shù)術(shù)部網(wǎng)絡(luò)絡(luò)工程師師、終端端設(shè)備維維護(hù)工程程師根據(jù)公司司的信息息系統(tǒng)安安全政策策，選擇擇建立各各項(xiàng)軟硬硬件的安安全措施施，包括括病毒防防治軟件件、防火火墻技術(shù)術(shù)等，并并在網(wǎng)絡(luò)絡(luò)上安置置必要的的預(yù)警裝裝置；定定期在公公司范圍圍內(nèi)發(fā)布布病毒防防治的數(shù)數(shù)據(jù)資料料，并提提供病毒毒庫(kù)升級(jí)級(jí)下載文文檔信息技術(shù)術(shù)部網(wǎng)絡(luò)絡(luò)工程師師、終端端設(shè)備維維護(hù)工程程師當(dāng)發(fā)生安安全預(yù)警警時(shí)，根根據(jù)警報(bào)報(bào)的性質(zhì)質(zhì)，按照照突發(fā)事事件的處處理規(guī)程程采取必必要的處處理措施施，并在在1小時(shí)時(shí)內(nèi)將情情況匯報(bào)報(bào)至信息息技術(shù)部部經(jīng)理信息技術(shù)術(shù)部經(jīng)理理根據(jù)警報(bào)報(bào)的性質(zhì)質(zhì)判斷緊緊急級(jí)別別，視情情況上報(bào)報(bào)公司主主管副總總，采取取