008-信息系統(tǒng)安全管理流程

1、神馬集團有限責任公司第十四章信息技術(shù)管理索引號 信息技術(shù)管理008第四節(jié)信息管理14141 PAGE 4神馬集團有限責任公司第十四章信息技術(shù)管理索引號 信息技術(shù)管理008第四節(jié)信息管理主題版本號生效日期修改日期編制單位核準者12002/4/1信息系統(tǒng)安全管理作廢日期作廢執(zhí)行人141411 PAGE 1信息系統(tǒng)安全管理范圍月度采購計劃包含適用于信息技術(shù)部實施網(wǎng)絡(luò)安全管理和信息實時監(jiān)控，以及制定全公司計算機使用安全的技術(shù)規(guī)定控制目標確保公司司網(wǎng)絡(luò)系系統(tǒng)、計計算機以以及計算算機相關(guān)關(guān)設(shè)備的的高效、安全使使用確保數(shù)據(jù)據(jù)庫、日日志文件件和重要要商業(yè)信信息的安安全主要控制制點信息技術(shù)術(shù)部經(jīng)理理和公司司主管

2、副副總經(jīng)理理分別審審批信息息系統(tǒng)訪訪問權(quán)限限設(shè)置方方案、數(shù)數(shù)據(jù)備份份及突發(fā)發(fā)事件處處理政策策和其它它信息系系統(tǒng)安全全政策的的合理性性和可行行性對終端用用戶進行行網(wǎng)絡(luò)使使用情況況的監(jiān)測測特定政策策每年更新新公司的的信息系系統(tǒng)安全全政策每年信息息技術(shù)部部應(yīng)配合合公司人人力資源源部及其其它各部部門，核核定各崗崗位的信信息設(shè)備備配置，并制定定公司的的計算機機及網(wǎng)絡(luò)絡(luò)使用規(guī)規(guī)定當員工崗崗位發(fā)生生變動，需要更更改員工工的郵件件帳號屬屬性、服服務(wù)器存存儲空間間大小和和文件讀讀寫權(quán)限限時，信信息技術(shù)術(shù)部必須須在一天天內(nèi)完成成并發(fā)送送郵件或或電話通通知用戶戶對于信息息系統(tǒng)（主要為為服務(wù)器器）的安安全管理理，應(yīng)有

3、有兩名技技術(shù)人員員能夠完完成日常常故障處處理以及及設(shè)置、安裝操操作，但但僅有一一名技術(shù)術(shù)人員掌掌握系統(tǒng)統(tǒng)密碼，若該名名技術(shù)人人員外出出，須將將密碼轉(zhuǎn)轉(zhuǎn)告另外外一名技技術(shù)人員員，事后后應(yīng)修改改密碼，兩人不不能同時時外出，交接時時應(yīng)做好好記錄普通事件件警告是是指未對對信息系系統(tǒng)安全全構(gòu)成危危害、而而僅對終終端系統(tǒng)統(tǒng)或局部部網(wǎng)絡(luò)安安全造成成危害，或者危危害已經(jīng)經(jīng)產(chǎn)生但但沒有繼繼續(xù)擴散散的事件件，如對對使用的的終端和和網(wǎng)絡(luò)設(shè)設(shè)備未經(jīng)經(jīng)同意私私自設(shè)置置權(quán)限等等；嚴重重事件警警告是指指對信息息系統(tǒng)安安全構(gòu)成成威脅的的事件，如試圖圖使病毒毒（木馬馬、后門門程序等等）在網(wǎng)網(wǎng)絡(luò)中擴擴散、攻攻擊服務(wù)務(wù)器、改改變網(wǎng)

4、絡(luò)絡(luò)設(shè)備設(shè)設(shè)置場所所的設(shè)置置狀態(tài)、編制非非法軟件件在網(wǎng)絡(luò)絡(luò)系統(tǒng)中中試運行行等；特特殊事件件是指來來自公司司網(wǎng)絡(luò)外外部的惡惡意攻擊擊，如由由外部人人員使用用不當造造成或其其它自然然突發(fā)事事件引起起。事件件鑒定小小組由相相關(guān)的網(wǎng)網(wǎng)絡(luò)工程程師、終終端設(shè)備備維護工工程師和和應(yīng)用系系統(tǒng)程序序員等相相關(guān)人員員組成信息系統(tǒng)統(tǒng)安全管管理流程程C-114-004-0001步驟涉及部門門步驟說明明信息技術(shù)術(shù)部網(wǎng)絡(luò)絡(luò)工程師師、終端端設(shè)備維維護工程程師根據(jù)國際際和國家家信息系系統(tǒng)安全全的有關(guān)關(guān)法律、法規(guī)的的規(guī)定及及信息技技術(shù)行業(yè)業(yè)的行業(yè)業(yè)安全標標準，并并結(jié)合公公司有關(guān)關(guān)商業(yè)保保密的規(guī)規(guī)定，制制定公司司的信息息系統(tǒng)安安

5、全政策策，包括括信息系系統(tǒng)訪問問權(quán)限設(shè)設(shè)置方案案、數(shù)據(jù)據(jù)備份及及突發(fā)事事件處理理政策、病毒防防治等信信息系統(tǒng)統(tǒng)安全政政策信息技術(shù)術(shù)部經(jīng)理理審核公司司信息系系統(tǒng)的各各種安全全政策規(guī)規(guī)定，保保證符合合公司信信息管理理的安全全要求和和商業(yè)機機密信息息的管理理要求，若通過過，上報報主管副副總審批批，若不不通過，指出修修改意見見，責成成相關(guān)人人員進行行修改公司主管管副總審核公司司信息系系統(tǒng)的各各種安全全政策規(guī)規(guī)定，若若通過，下發(fā)具具體執(zhí)行行，若不不通過，指出修修改意見見，責成成相關(guān)人人員進行行修改人力資源源部勞動動用工管管理員根據(jù)公司司計算機機及網(wǎng)絡(luò)絡(luò)設(shè)備使使用的有有關(guān)規(guī)定定，在公公司發(fā)生生新員工工入廠

6、、員工調(diào)調(diào)動和崗崗位變動動等情況況時，編編制新員員工或員員工變動動狀況一一覽表信息技術(shù)術(shù)部網(wǎng)絡(luò)絡(luò)工程師師、終端端設(shè)備維維護工程程師根據(jù)人力力資源部部提供的的一覽表表，結(jié)合合公司計計算機及及網(wǎng)絡(luò)設(shè)設(shè)備的使使用規(guī)定定，確定定各崗位位的計算算機資源源的配置置和系統(tǒng)統(tǒng)訪問權(quán)權(quán)限信息技術(shù)術(shù)部網(wǎng)絡(luò)絡(luò)工程師師、終端端設(shè)備維維護工程程師對各個網(wǎng)網(wǎng)絡(luò)用戶戶及計算算機設(shè)備備的使用用過程進進行監(jiān)測測，同時時督促各各個終端端用戶定定時對關(guān)關(guān)鍵數(shù)據(jù)據(jù)進行備備份信息技術(shù)術(shù)部網(wǎng)絡(luò)絡(luò)工程師師、終端端設(shè)備維維護工程程師根據(jù)公司司的信息息系統(tǒng)安安全政策策，選擇擇建立各各項軟硬硬件的安安全措施施，包括括病毒防防治軟件件、防火火墻技術(shù)術(shù)等，并并在網(wǎng)絡(luò)絡(luò)上安置置必要的的預(yù)警裝裝置；定定期在公公司范圍圍內(nèi)發(fā)布布病毒防防治的數(shù)數(shù)據(jù)資料料，并提提供病毒毒庫升級級下載文文檔信息技術(shù)術(shù)部網(wǎng)絡(luò)絡(luò)工程師師、終端端設(shè)備維維護工程程師當發(fā)生安安全預(yù)警警時，根根據(jù)警報報的性質(zhì)質(zhì)，按照照突發(fā)事事件的處處理規(guī)程程采取必必要的處處理措施施，并在在1小時時內(nèi)將情情況匯報報至信息息技術(shù)部部經(jīng)理信息技術(shù)術(shù)部經(jīng)理理根據(jù)警報報的性質(zhì)質(zhì)判斷緊緊急級別別，視情情況上報報公司主主管副總總，采取取