信息安全漏洞管理流程
信息安全漏洞管理规定
主导部门: IT 部 支持部门: N/A 审 批: IT 部 文档编号: IT-V01 生效日期:
信息安全漏洞管理规定
1. 目的
建立信息安全漏洞管理流程的目的是为了加强公司信息安全保障能力,建立健全公司的安全管理体系,提高整体的网络与信息安全水平,保证业务系统的正常运营,提高网络服务质量,在公司安全体系框架下,本策略为规范公司信息资产的漏洞管理(主要包含IT设备的弱点评估及安全加固),将公司信息资产的风险置于可控环境之下。
2. 范围
本策略适用于公司所有在生产环境和办公环境中使用的网络系统、服务器、应用系统以及安全设备。
3. 定义
3.1 ISMS
基于业务风险方法,建立、实施、运行、监控、评审、保持和改进信息安全的体系,是公司整个管理体系的一部分。
3.2 安全弱点
安全弱点是由于系统硬件、软件在设计实现时或者是在安全策略的制定配置上的错误而引起的缺陷,是违背安全策略的软件或硬件特征。有恶意企图的用户能够利用安全弱点非法访问系统或者破坏系统的正常使用。
3.3 弱点评估
弱点评估是通过风险调查,获取与系统硬件、软件在设计实现时或者是在安全策略的制定配置的威胁和弱点相关的信息,并对收集到的信息进行相应分析,在此基础上,识别、分析、评估风险,综合评判给出安全弱点被利用造成不良事件发生的可能性及损失/影响程度的观点,最终形成弱点
评估报告。
4. 职责和权限
阐述本制度/流程涉及的部门(角色)职责与权限。
4.1 安全管理员的职责和权限
1、制定安全弱点评估方案,报信息安全经理和IT相关经理进行审批;
2、进行信息系统的安全弱点评估;
3、生成弱点分析报告并提交给信息安全经理和IT相关经理备案;
4、根据安全弱点分析报告提供安全加固建议。
4.2 系统管理员的职责和权限
1、依据安全弱点分析报告及加固建议制定详细的安全加固方案(包括回退方案),报信息安全经
理和IT相关经理进行审批;
2、实施信息系统安全加固测试;
3、实施信息系统的安全加固;
4、在完成安全加固后编制加固报告并提交给信息安全经理和IT相关经理备案;
5、向信息安全审核员报告业务系统的安全加固情况。
4.3 信息安全经理、IT相关经理的职责和权限
1、信息安全经理和IT相关经理负责审核安全弱点评估方案、弱点分析报告、安全加固方案以及
加固报告。
4.4 安全审计员的职责和权限
1、安全审计员负责安全加固后的检查和验证,以及定期的审核和汇报。
5. 内容
5.1 弱点管理要求
通过定期的信息资产(主要是IT设备和系统)弱点评估可以及时知道公司安全威胁状况,这对及时掌握公司主要IT设备和系统弱点的状况是极为有重要的;通过评估后的安全加固,可以及时弥补发现的安全弱点,降低公司的信息安全风险。
5.1.1 评估及加固对象
a)公司各类信息资产应定期进行弱点评估及相应加固工作。
b)弱点评估和加固的信息资产可以分为如下几类:
i.网络设备:路由器、交换机、及其他网络设备的操作系统及配置安全性。
ii.服务器:操作系统的安全补丁、账号号口令、安全配置、网络服务、权限设置等。
iii.应用系统:数据库及通用应用软件(如:WEB、Mail、DNS等)的安全补丁及安全配置,需应用部门在测试环境测试通过后方可在正式环境中进行安全补丁加载。
iv.安全设备:VPN网关、防火墙、各类安全管理系统等设备或软件的操作系统及配置安全性。
5.1.2 评估及加固过程中的安全要求
a)在对信息资产进行弱点评估前应制定详细的弱点评估方案,充分考虑评估中出现的风
险,同时制定对应的详细回退方案。
b)在对信息资产进行安全加固前应制定详细的安全加固方案,明确实施对象和实施步骤,
如涉及到其他系统,应分析可能存在的风险以及应对措施,并与关联部门和厂商沟通。
c)对于重要信息资产的弱点评估及安全加固,在操作前要进行测试。需经本部门经理的确
认,同时上报信息安全经理和IT相关经理进行审批。
d)对信息资产进行弱点评估和加固的时间应选择在业务闲时段,并保留充裕的回退时间。
e)对信息资产进行安全加固后,应进行总结并生成报告,进行弱点及加固措施的跟踪。
f)对信息资产进行安全加固完成后,应进行业务测试以确保系统的正常运行。加固实施期
间业务系统支持人员应保证手机开机,确保出现问题时能及时处理。
g)安全加固完成后次日,系统管理员及业务系统支持人员应对加固后的系统进行监控,确
保系统的正常运行。
h)弱点评估由IT相关经理和安全管理员协助进行,安全加固由系统管理员执行。如由供
应商或服务提供商协助实施安全加固,则应由系统管理员确保评估和加固的有效性并提
交信息IT信息安全经理和IT相关经理进行评定。
5.2 安全弱点评估
5.2.1公司每季度进行一次弱点评估工作,信息资产的弱点评估由安全管理员负责。
5.2.2在进行信息资产弱点评估时应采用公司认可的扫描工具及检查列表,弱点评估计划需由
IT信息安全经理和IT相关经理进行确认和审批。
5.2.3信息安全经理和IT相关经理弱点评估完成后,相关IT人员参考弱点评估报告编写安全
加固方案,并进行系统安全加固工作。
5.2.4安全管理员在各系统完成安全加固后,组织弱点评估复查,验证加固后的效果。
5.2.5所有安全弱点评估文档应交付信息安全经理和IT相关经理备案。
5.3 系统安全加固
5.3.1安全加固
a)公司每次完成安全弱点评估后,各系统管理员应根据弱点评估结果确定需要加固的资
产,针对发现的安全弱点制定加固方案。
b)安全加固前,加固人员应制定详细的加固测试方案及加固实施方案(包括回退方案),
并在测试环境中进行加固测试,确认无重大不良影响后才可实施正式加固。
c)在完成安全加固后,加固人员应根据加固过程中弱点的处理情况编制加固报告。安全管
理员应对加固后的信息资产进行弱点评估复查,评估复查结果作为加固的措施验证。
d)所有加固文档应交付信息安全经理及IT相关经理备案。
5.3.2紧急安全加固
a)当安全管理部发现高危漏洞时,提出紧急加固建议,通知相关IT人员进行测试后进行
紧急变更实施加固并事后给出评估报告。
5.4 监督和检查
5.4.1安全审计员负责对信息安全弱点管理的执行情况进行检查,可通过安全漏洞扫描和现场
人工抽查进行审计和检查,检查的内容包括弱点评估和安全加固的执行情况及相关文档记
录。
6. 参考文件
无
7. 更改历史记录
IT-007-V01 新版本发布
8. 附则
本制度由信息技术部每年复审一次,根据复审结果进行修订并颁布执行。本制度的解释权归信息技术部。本规定自签发之日起生效,凡有与该规定冲突的,以此规定为准。
9. 附件
无
信息管理系统流程图
ERP 标准业务流程 上海()有限公司 二〇二〇年六月
一、销售部分: (一)、发出商品销售业务: 编号: PR-SA-003业务编号SA-003业务名称发出商品销售业务 流程适用范 围 无论赊销、现销,当月完成发货后,以后月份结算的销售业务 相关岗位及权限 岗位系统操作权限 销售助理销售管理模块中录入销售订单录入 销售主管销售管理模块中审核销售订单审核 销售助理销售管理模块中录入发货单增加、审核 保管员库存管理模块中仓库调拨单录入、一审录入、一审 发货检验员仓库调拨单二审二审 财务开票员以后期间,开据销售发票录入 材料成本会计根据销售调拨单生成出库单并钩稽发发票,存货核算模 块中记账、制单 记账、制单 应收往来会计应收账款模块中结转收入、应收往来核算审核、核销、制单 相关部门或岗位 客户销售部库房记账员材料成本会计/往来会计
具体工作流程以后结算 钩稽 流程描述1、销售业务员与客户签订销售合同,销售助理依据在【销售管理】模块录入销售订单并销售主管对销售订单进行确认,并在系统中对订单进行审核。 2、产品生产完毕完工入库后,销售助理在【销售管理】模块根据销售订单生成销售发货通知单, 3、保管员根据【销售管理】模块中审核后的销售发货单通知单生成仓库调拨单并进行审核,产品出门。 4、以后期间结算时,销售助理根据客户开票需求,对已审核的提货存根联及开票通知单,并送财务部门进行开票; 5、财务开票员根据销售助理复核后的开票通知单,开具销售发票。 6、材料成本会计在【仓库核算】模块根据仓库调拨单生成销售出库单,材料会计对销售发票进行审核处理并钩稽销售出库单,月底根据根据销售出库单生成销售成本结转凭证。。 7、往来会计收款时在【应收管理】模块中填制收款单并根据收款单生成收款凭证。 合同签定, 或接到订 单。 填制发货通知 收 货 填写销售订单 仓库调拨单 审核销售订单 开据销售 审核调拨单 销售发票 应收账款 现结 审核 收款 填制收款单 销 售 收 结 转 销 售
企业信息化项目管理制度汇编(全)
企业信息化项目管理制度 公司信息化项目管理制度(试行) 第一章总则 第一条为了加强公司信息化项目管理,规范信息化项目实施流程,确保实现信息化项目目标,特制定本制度。 第二条本制度中所称信息化项目是指以计算机、通信技术及其它现代信息技术为主要手段的信息网络、信息安全、信息资源、信息应用系统等新建、扩建或者改建工程项目。 第三条公司信息化项目按照投资估算额分一般信息化项目、大型信息化项目和重大信息化项目,投资估算额小于等于50万元为一般信息化项目;投资估算额大于50万元小于等于1000万的为大型信息化项目;投资估算额大于1000万元的为重大信息化项目。 第四条本制度适用于公司涉及信息化项目管理的有关单位及个人。第二章信息化项目管理职责划分 第五条运营改善部职责 (一)全面负责信息化项目的组织实施工作。 (二)按照信息规划组织项目预算提报以及项目立项工作。 (三)按立项通知书要求开展专业工作,负责编制招标技术文件,组织信息化项目招标工作。 (四)负责信息化项目合同的签订工作。 (五)负责组织建立业务项目组,并指派专人参与项目建设。 (六)负责信息化项目资料的归档。
(七)负责组织项目实施后评价工作。 (八)负责信息化项目管理制度的修订、培训与检查工作。 第六条信息化项目申请单位职责 (一)按立项通知书要求开展专业工作,参与信息化项目招标工作。 (二)指派专人进入业务项目组全程参与项目建设。 (三)参加信息化项目实施过程的管理,协调解决信息化项目实施与生产组织之间的矛盾。 第七条信息化项目其他涉及单位职责。 (一)指派专人进入业务项目组全程参与项目建设。 (二)参加信息化项目实施过程的管理,协调解决信息化项目实施与生产组织之间的矛盾。 第八条计财部职责 (一)负责对信息化项目立项请示中涉及本专业的问题进行审查。 (二)负责按照项目立项的批复意见及精神,下达公司内部项目立项批准通知书。 (三)参与信息化项目招标及合同的审查工作。 (四)负责信息化项目阶段性费用结算及后评价工作。 第九条设备部职责 (一)负责对信息化项目立项请示中涉及本专业的问题进行审查。(二)按立项通知书要求完成相关专业工作;配合、协调完成信息化项目中施工现场各种计量、自动化、通讯网络节点、数据接口的联接工作。
信息安全管理方案计划经过流程
信息安全管理流程说明书 (S-I)
信息安全管理流程说明书 1 信息安全管理 1.1目的 本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动,保证信息安全管理目标的实现,满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 1) 在所有的服务活动中有效地管理信息安全; 2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题,识别并跟 踪组织内任何信息安全授权访问; 3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求; 4) 执行操作级别协议和基础合同范围内的信息安全需求。 1.2范围 本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。 向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定,以及客户自身的相关安全管理规定。 公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。 2术语和定义 2.1相关ISO20000的术语和定义 1) 资产(Asset):任何对组织有价值的事物。 2) 可用性(Availability):需要时,授权实体可以访问和使用的特性。 3) 保密性(Confidentiality):信息不可用或不被泄漏给未授权的个人、实体和流程的 特性。 4) 完整性(Integrity):保护资产的正确和完整的特性。
5) 信息安全(Information security):保护信息的保密性、完整性、可用性及其他属 性,如:真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系(Information security management system ISMS):整体管理 体系的一部分,基于业务风险方法以建立、实施、运行、监视、评审、保持和改 进信息安全。 7) 注:管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资 源。 8) 风险分析(Risk analysis):系统地使用信息以识别来源和估计风险。 9) 风险评价(Risk evaluation):将估计的风险与既定的风险准则进行比较以确定重 要风险的流程。 10) 风险评估(Risk assessment):风险分析和风险评价的全流程。 11) 风险处置(Risk treatment):选择和实施措施以改变风险的流程。 12) 风险管理(Risk management):指导和控制一个组织的风险的协调的活动。 13) 残余风险(Residual risk):实施风险处置后仍旧残留的风险。 2.2其他术语和定义 1) 文件(document):信息和存储信息的媒体; 注1:本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:文件的例子,如策略声明、计划、程序、服务级别协议和合同; 2) 记录(record):描述完成结果的文件或执行活动的证据; 注1:在本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:记录的例子,如审核报告、变更请求、事故响应、人员培训记录; 3) KPI:Key Performance Indicators 即关键绩绩效指标;也作Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、 计算、分析,衡量流程绩效的一种目标式量化管理指标,流程绩效管理的基础。
信息系统管理制度
信息系统管理制度 第一章总则 第一条为明确岗位职责,规范操作流程,保障本中心信息系统安全、有效运行,根据有关法律、法规和政府有关规定,结合信息统计中心实际情况,特制定本制度。 第二条目的:使信息化建设工作规范化进行,做到统一规划、统一标准、统一建设、统一管理。使用范围:适用于本中心信息化建设。 第三条利用信息系统实施内部控制至少应当关注下列风险: (一)信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致中心管理效率低下。 (二)系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。 (三)系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。 第四条职责: (一)信息统计中心负责中心信息化管理总体规划,建立统一的信息化建设标准、规范。负责中心各科(所)信息化项目总体协调及中心办公自动化网络和系统软硬件的维护工作。 (二)各科(所)负责指定专人担任本专业信息化网络工作,并负责本科(所)日常信息管理工作。 第五条工作要求: (一)各科(所)在开展涉及信息化建设及申报信息化建设项目之前,需报主管领导审批后,将业务需求、建设规划等报信息统计中心,信息统计中心应按照中心信息化建设规划及相关要求进行审核。 (二)经信息统计中心审核同意后的信息化建设项目,由信息中心提出信息化技术要求及软硬件需求,同意规划整合后报市卫生局信息中心。 (三)各科(所)申报的信息化项目批准后,信息统计中心技术人员全程参与项目的招标、实施、验收。
第二章信息系统的开发 第六条信息统计中心根据信息系统建设整体规划提出项目建设方案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的流程报批通过后配合相关公司实施。 信息统计中心负责监督开发流程,明确系统设计、安装调试、验收、上线等全过程的管理要求。 第七条信息统计中心需要深入了解各个业务科(所)的业务流程、关键控制点、处理规则、用户范围以及手工环境下难以实现的控制功能等较为核心的信息系统需求点。在系统开发过程中,应当按照不同业务的控制要求,通过信息系统中的权限管理功能控制用户的操作权限,避免将不相容职责的处理权限授予同一用户。 应当针对不同数据的输入方式,考虑对进入系统数据的检查和校验功能。对于必需的后台操作,应当加强管理,建立规范的流程制度,对操作情况进行监控或者审计。 应当在信息系统中设置操作日志功能,确保操作的可审计性。对异常的或者违背内部控制要求的操作,应当设计系统自动报告并设置跟踪处理机制。 第八条信息统计中心需要组织开发单位或开发人员与各科(所)的日常沟通和协调,督促开发单位或开发人员按照建设方案、计划进度和质量要求完成编程工作。 第九条统计中心应根据配备的硬件设备和系统软件的具体情况,组织安排相应的硬件厂家或软件开发商的技术人员入场安装调试。对于关键的软硬件设备,应安排专人负责跟踪、记录整个安装调试过程;在完成软硬件设备的安装调试后,应注意做好有关文档的验收及归档保存工作。 第十条信息系统上线前,需要对信息系统进行等保定级,没有定级的信息系统不能正式上线。另外,信息统计中心都应当切实做好上线的各项准备工作,应查验设备厂商或软件开发商或开发人员提交的有关运行维护资料,包括技术手册、操作手册等,并负责监督设备厂商或软件开发商提供对相关岗位人员的技术培训。制定科学的上线计划和新旧系统转换方案,考虑应急预案,确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的,还应制定详细的数据迁移计划。
信息化项目建设方案
信息化项目建设方案 一、概述 (一)项目名称。 (二)项目性质:新建、扩建、升级改造。 (三)项目承担单位及负责人,包括项目建设单位简况、机构职责等概况。 (四)项目建设方案编制依据,包括项目提出的理由与过程。 (五)项目建设目标、规模、周期。 (六)项目建设内容一览表。 (七)总投资及来源。 (八)经济及社会效益。 二、现状、必要性和需求分析 (一)现状及存在的问题。 目前信息化建设的情况,包括项目承担单位现有的计算机及网络设备的应用情况,以及各主要业务信息化情况。 本单位信息技术硬件与软件资源存量一览表,包括硬件品种数量、系统软件清单、应用系统列表、数据库列表等。 存在的主要问题及解决途径。 (二)项目建设的必要性。 1、可行性分析,说明必要性、紧迫性和技术可行性分析,国内外或相关省市发展概况、水平、发展趋势等。
2、建设依据,提供和说明领导批示、文件要求、纪要规定等情况。 (三)需求分析。 1、说明需要解决的问题,项目的涉及范围和规模,项目的使用者和服务对象等。 2、阐述项目的建设目标、建设原则、主要任务、达到的效果等。 三、项目建设目标与任务 (一)建设目标与思路。 1、总体目标及分期目标。 2、项目建设思路。确定条块结合、资源整合、信息共享、业务协同的建设思路。 3、系统建设与其它系统之间的关系。明确本项目建设目标及与全区信息化总体规划以及本单位信息化总体目标的关系。 (二)项目建设主要任务。 1、项目建设任务、范围和规模。 2、项目本期的建设任务、范围和规模。 四、项目本期的建设原则和技术路线 (一)在“先进性、实用性、标准化、开放性、兼容性、整体性、共享性、安全性、保密性、可靠性、实时性、经济性、可扩展性、可维护性”等十四个方面提出原则性要求。
信息管理与信息安全管理程序
1 目的 明确公司信息化及信息资源管理要求,对外部信息及信息系统进行有效管理,以确保各部门(单位)和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2 适用围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3 术语和定义 3.1 信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、部控制、三基等和生产经营管理中所有信息。 3.2 企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应,其本质是加强企业的“核心竞争力”。 3.3 信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6 LIMS 实验室信息管理系统 3.7 IT 信息技术 4 职责 4.1 信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策,定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况,协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3 信息中心是公司信息化工作的归口管理部门,主要职责: a)负责制定并组织实施本程序及配套规章制度,对各部门(单位)信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施; c)负责统一规划、组织、整合和管理公司信息资源系统,为各部门(单位)信息采集、整理、汇总和发布等环节提供技术支持;对Internet用户、电子进行设置管理;统一管理分公司互联网出口; d)负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算
信息化建设项目管理办法
四川省商业投资集团有限责任公司 信息化建设项目管理暂行办法 第一章总则 第一条为加强信息化建设项目管理,规范信息化建设项目行为,强化信息安全,根据xx责任公司(以下简称“集团”)对信息化建设项目相关管理规定,特制定本办法。 第二条本办法规定信息化建设项目的内容包含以下三类:(一)信息化集成类:信息化软硬件集成、信息工程与弱电工程集成; (二)产品采购类:(1)硬件设备:服务器、存储设备、网络设备、信息安全设备及空调、UPS电源等数据中心机房专用设备和内存、磁带等材料零件供应及安装;(2)软件产品:标准软件产品、软件用户授权。 (三)服务类:(1)软件开发类:按照业务需求完全或部分定制开发并提供后续服务的项目;(2)外包服务类:将信息系统研发全部或部分外包给专业软件公司,自主研发的信息化项目;(3)维保服务类:硬件设备、软件系统、集成工程项目免费维保期结束后的维保服务采购;(4)设计咨询类:信息化规划、数据中心设计、网络设计咨询、安全检测咨询等。 第三条集团及子集团、事业部、各分子公司进行信息化建设 1
均需遵守集团统一规划、统一管理、分步实施、小步快走等原则。 第四条集团及子集团、事业部、各分子公司进行信息化建设均需遵循本管理办法。 第二章管理、实施机构及职责 第五条集团成立信息化领导小组,集团董事长任组长,集团总经理及信息化分管领导任副组长,成员由办公室、财务中心、审计监察部、信息化办公室、招投标办公室等部门负责人组成,负责对信息化建设项目工作的领导、管理、监督、决策和奖惩。 第六条xx集团设立信息化办公室(以下简称“信息办”),负责集团信息化建设总体协调和管理。负责对信息化建设进行立项审批,集团办公室、财务中心、人力资源部、发展策划部、企业管理部、审计监察部、集团招标管理办公室、品牌事业部按职责分工,参与信息化建设管理。 第七条信息办负责牵头建立一体化的管理体系及运行机制,对信息化建设进行规划、备案、立项、报批、建设、考核、运维等管理工作,履行以下等职责: (一)根据企业发展及管理需要,拟定集团信息化建设项目管理相关制度; (二)根据集团战略发展、子集团业务战略发展,拟定集团IT规划、子集团业务IT规划; (三)信息化建设项目备案工作,负责信息化合格供方信息 2
信息安全管理规范完整篇.doc
信息安全管理规范1 1.0目的 为了预防和遏制公司网络各类信息安全事件的发生,及时处理网络出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本规范。 2.0 适用范围 本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。 3.0 信息安全组织机构及职责: 根据集团公司关于信息安全组织的指导意见,为保证信息安全工作的有效组织与指挥,四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组,由公司分管网络的副总经理任组长,网络部分管信息安全副总经理任副组长,由省公司网络部归口进行职能管理,省公司各网络生产维护部门设置信息安全管理及技术人员,负责信息安全管理工作,省监控中心设置安全监控人员,各市州分公司及生产中心设置专职或兼职信息安全管理员,各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 3.1.1网络与信息安全工作管理组组长职责: 负责公司与相关领导之间的联系,跟踪重大网络信息安全事
件的处理过程,并负责与政府相关应急部门联络,汇报情况。 3.1.2网络与信息安全工作管理组副组长职责: 负责牵头制定网络信息安全相关管理规范,负责网络信息安全工作的安排与落实,协调网络信息安全事件的解决。 3.1.3省网络部信息安全职能管理职责: 省公司网络部设置信息安全管理员,负责组织贯彻和落实各项安全管理要求,制定安全工作计划;制订和审核网络与信息安全管理制度、相关工作流程及技术方案;组织检查和考核网络及信息安全工作的实施情况;定期组织对安全管理工作进行审计和评估;组织制定安全应急预案和应急演练,针对重大安全事件,组织实施应急处理 工作及后续的整改工作;汇总和分析安全事件情况和相关安全状况信息;组织安全教育和培训。 3.1.4信息安全技术管理职责: 各分公司、省网络部、省生产中心设置信息安全技术管理员,根据有限公司及省公司制定的技术规范和有关技术要求,制定实施细则。对各类网络、业务系统和支撑系统提出相应安全技术要求,牵头对各类网络和系统实施安全技术评估和工作;发布安全漏洞和安全威胁预警信息,并细化制定相应的技术解决方案;协助制定网络与信息安全的应急预案,参与应急演练;针对重大安全事件,组织实施应急处理,并定期对各类安全事件进行技术分析。
信息系统管理制度流程
信息系统管理制度 为保障我局XX信息系统的操作系统和数据库系统的安全,根据《中华人民共和国计算机信息系统安全保护条例》,结合本单位系统建设实际情况,特制定本制度。 本制度适用于所有系统使用部门和人员。 信息中心是XX信息系统的责任主体,负责具体的管理和维护,我局人员应配合信息中心做好各项工作。 一、工作制度 (一)在分管领导的指导下,配合信息中心做好雅安市XX系统信息网络的正常运行、日常维护工作。 (二)与软件商协作,负责XX信息系统数据的管理、汇总、分析和系统升级,协助做好XX统计数据工作。 (三)按照有关规定,做好信息保密工作。 (四)遵守各项规章制度,尽职尽责做好本职工作,及时完成领导交办的任务。 二、保密原则 (一)严格执行国家保密局《信息系统和信息设备使用保密管理规定》。 (二)遵守信息安全的“五禁止”。 1.禁止将涉密信息系统接入国际互联网及其他公共信息网络。 2.禁止在涉密计算机与非涉密计算机之间交叉使用U盘等移动存储设备。 3.禁止在没有防护措施的情况下将国际互联网等公共信息网络上的数据拷贝到涉密信息系统。
4.禁止涉密计算机、涉密移动存储设备与非涉密计算机、非涉密移动存储设备混用。 5.禁止使用具有无线互联功能的设备接入网路或处理涉密信息。 同时遵守涉密信息不上网,上网信息不涉密。 (三)不将秘密文件、资料和存储介质放在不安全的地方. (四)不擅自翻印、复印、传抄、拷贝秘密文件、资料、数据。 (五)不隐瞒失密、泄密事故;保密检查不敷衍,不马虎。 三、信息安全管理 (一)日常管理 协助信息中心做好XX信息系统的服务器、网络及周边设备管理,保障网络设备完好。 (二)网络安全管理 1.XX信息系统内外网物理隔离,同时做好内外网络防病毒软件安装、升级、管理工作。安装实时病毒防护软件,及时升级病毒代码库,做好病毒防范工作。 2.加强对网络系统的管理工作,并对用户做好安全教育,提高安全意识。局内网严禁外来存储介质直接安装、使用。 3.为确保局外网正常使用,使用者要遵守信息中心及我局关于互联网使用的有关规定。 4.为防止非法用户的侵入和病毒对网络的破坏,严格执行网络中系统用户分级管理规定。 (三)数据安全管理 1.协助信息中心做好XX信息系统数据的备份及应急安全管理工作,确保XX信息系统和网络的通畅运行。
《信息化项目管理制度》.doc
附件: 信息化项目管理制度 1总则 1.1 目的 为规 **** 集团公司新建、扩建、改造信息化项目的建设实施管理,保证项目 质量,顺利交付,提高投资效益,特制定本制度。 1.2 适用围 本制度适用于集团公司所有自行承建或由外部供应商承建的新建、扩建、改 造、升级和优化的信息化项目的管理。 1.3 信息化项目分类 集团公司信息化项目分为信息化基础设施项目和信息化应用系统项目。信息 化基础设施项目包括但不限于支撑信息化应用的网络线路、交换设备、安防 监控、视频会议、调度、行政通信设施等;信息化应用系统项目包括但不限 于以信息技术为主要手段建立的各类业务管理的应用系统。 1.4 承建单位资质 由外部供应商承建的信息化项目,承建单位应为独立法人单位,具备承担信 息化项目的人员、财力、物力等各项基本条件,且具有承担相关项目的优势 条件,非特殊批准,原则上不允许转包分包。 项目负责人须具备下列条件之一: 1.4.1 具有高级专业技术职务; 1.4.2 从事本行业信息化管理工作三年以上。 1.5 职责 1.5.1 信息中心 1.5.1.1 负责集团公司提出的信息化项目的组织实施与管理; 1.5.1.2 协助配合各单位组织建设实施的信息化项目; 1.5.1.3 协助各项目提出单位整理项目技术需求; 1.5.1.4 负责审核信息化项目技术协议或实施方案; 1.5.1.5 负责信息化项目执行过程中涉及技术方案问题的协调解决; 1.5.1.6 参与信息化项目的验收确认工作。
1.5.2 项目提出单位 1.5. 2.1 负责整理信息化项目技术需求; 1.5. 2.2 负责编制信息化项目技术协议或实施方案; 1.5. 2.3 负责组织信息化项目建设实施工作; 1.5. 2.4 负责组织信息化项目的验收确认工作,确认合同完成。 1.5.3 项目承建单位 1.5.3.1 负责编制所承建信息化项目建设实施技术方案; 1.5.3.2 按照确认后的技术方案组织项目的实施; 1.5.3.3 按合同约定开展项目建设工作; 1.5.3.4 按时向项目委托方报告工作进展情况,重大问题随时报告; 1.5.3.5 负责完成验收所需的有关材料。 1.5.4 企管部 1.5.4.1 参与项目工作,为项目提供制度保障,为项目的顺利推进提供相关建议与 制度资源支持; 1.5.4.2 协助解决项目进程中所涉及的组织机构、职责分配及制度流程的优化调整 问题; 1.5.4.3 协调项目实施中各部门的业务流程优化和改进; 1.5.4.4 协助项目小组完善项目管理制度,为公司后续信息化系统建设积累管理和 实施经验; 1.5.4.5 配合信息中心制定和完善项目交付之后的运行管理办法,保障信息化系统 的正常运行使用。 1.5.5 其他相关业务单位 1.5.5.1 积极参与项目实施过程,提出信息化需求,优化和改进本单位的业务流程; 1.5.5.2 积极配合项目组的工作安排,按下达计划任务确保及时完成项目所需工 作; 1.5.5.3 项目交付之后,严格遵守信息化项目运行管理办法,保障信息化系统的正 常运行使用。 2管理容 2.1项目立项
信息安全管理程序
信息安全管理程序 1.目的 为了防止信息和技术的泄密,避免严重灾难的发生,特制定此安全规定。。2.适用范围 包括但不限于电子邮件、音频邮件、电子文件、个人计算机、计算机网络、互联网和其它电子服务等相关设备、设施或资源。 2.1权责 2.1.1人力资源部:负责信息相关政策的规划、制订、推行和监督。 2.2.2 IT部:负责计算机、计算机网络相关设备设施的维护保养以及信息数据的备份相关事务处理。 2.2.3全体员工:按照管理要求进行执行。 3.内容 3.1公司保密资料: 3.1.1公司年度工作总结,财务预算决算报告,缴纳税款、薪资核算、营销报表和各种综合统计报表。 3.1.2公司有关供货商资料,货源情报和供货商调研资料。 3.1.3公司生产、设计数据,技术数据和生产情况。 3.1.4公司所有各部门的公用盘共享数据,按不同权责划分。 3.2公司的信息安全制度 3.2.1 凡涉及公司内部秘密的文件数据的报废处理,必须碎纸后丢弃处理。 3.2.2 公司员工工作所持有的各种文件、数据、电子文件,当本人离开办公室外出时,须存放入文件柜或抽屉,不准随意乱放,更未经批准,不能复制抄录或携带外出。 3.2.3 未经公司领导批准,不得向外界提供公司的任何保密数据和任何客户数据。 3.2.4经理室要运用各种形式经常对所属员工进行信息安全教育,增强保密意识:3.2. 4.1在新员工入职培训中进行信息安全意识的培训,并经人事检测合格后,方可建立其网络账号及使用资格。 3.2. 4.2每年对所有计算机用户至少进行一次计算机安全检查,包括扫病,去除与工作无关的软件等。 3.2.5不要将机密档及可能是受保护档随意存放,文件存放在分类目录下指定位
IT信息安全事件管理程序
IT信息安全事件管理程序 1 目的 为了在尽可能小地影响用户和用户业务的情况下使IT系统尽快恢复,从而维持良好的服务质量和可用性级别,特制定本程序。 2 范围 本程序适用于IT信息对核心系统及总行各部门及各分行、支行相关主机、网络、终端等IT事件处理流程的管理。 3 相关文件 《变更管理控制程序》 4 职责 4.1 网管值班人员负责接收所有事件的报告并记录,根据事件类型决定事件处理; 4.2 事件经理负责事件类型的确定,事件过程的管理; 4.3 支持团队负责针对事件的方案的实施和解决; 4.4 信息总经理负责重大事件的管理,担当重大事件经理的角色。 5 程序 5.1 事件管理目标 对于事件管理过程,应遵循以下目标: a)尽快恢复正常服务。 b)最小化事件对业务的影响。 c)确保一致地处理事件和服务请求而不会有任何遗漏。 d)定向到最需要的支持资源。 e)提供允许优化支持流程、减少事件数量和执行管理计划的信息。
5.2 事件的分类 5.2.1基于两个方面对事件进行分类: a)事件所造成的影响 b)事件的紧急程度 5.2.1.1 事件的影响等级 5.2.1.2 事件的紧急程度等级 5.2.1.3 事件的优先级 事件的优先级是根据事件的影响等级和事件的紧急程度来决定的。影响等级高并且紧急程度高的事件优先级为最高级,影响等级低并且紧急程度低的事件优先级为低级。
下表显示了与这些参数相关事件的分类: 5.3 事件的发现、记录和报告 5.3.1 事件的发现 事件通常由用户、IT团队、供应商或监控系统检测到。对于各类来源所探测到的事件报告,均应由首先接到报告的人员根据事件分类的原则进行判断,属于高等级或最高等级的事件,应立即向信息总经理报告,必要时应继续报告行领导及上级监管机构。 一般事件的处理按照5.4.1要求执行。 5.3.2 事件的记录 所有被报告或主动探测到的事件均应被记录。记录内容应包括: a)唯一参考号 b)记录日期和时间 c)记录事件的人员的身份 d)报告事件的人员的身份(包括姓名、部门、位置和联系详细信息) e)联系方法 f)受影响的配置项 (CI) 的详细信息 g)症状描述和任何错误代码 h)重现该问题所需要的步骤 5.4 事件的处理 5.4.1 一般事件 一般事件根据引起事件的不同原因,按照各类日常维护工作所涉及到的管理程序执行处理过程。
信息管理系统流程图
十、信息处理流程图
ERP
标准业务流程
上海()有限公司 二〇二〇年十二月
.1
十、信息处理流程图
一、销售部分:
(一)、发出商品销售业务:
业务编 号
流程适 用范围
相关岗 位及权限
SA-003
业务名
编号: PR-SA-003
发出商品销售业务
称
无论赊销、现销,当月完成发货后,以后月份结算的销售业务
岗位
销售助理
系统操作
销售管理模块中录入销售订单
权限
录入
销售主管
销售管理模块中审核销售订单
审核
销售助理
销售管理模块中录入发货单
增加、审核
保管员
库存管理模块中仓库调拨单录入、一审
录入、一审
发货检验
仓库调拨单二审
二审
员
财务开票
以后期间,开据销售发票
录入
员
材料成本
根据销售调拨单生成出库单并钩稽发发票,存货核
记账、制单
会计
算模块中记账、制单
应收往来
应收账款模块中结转收入、应收往来核算
审核、核销、
会计
制单
相关部门或岗位 客户
销售部
库房记账员
材料成本会计/往来会计
.2
十、信息处理流程图
收 货
合同
具签定,或接 体 到订单。 工 作 流 程
填写销售 订单
审核销售 订单
填制发货 通知单并审核
审核调 拨单项式单
仓库调 拨单
以后结算 开 据
销售出库 单
钩稽
销售发票
审核
结 转
销 售 成 本
销 售 收 入
现结
应收 账款
填制收款 单
收款
1、销售业务员与客户签订销售合同,销售助理依据在【销售管理】模块录入销售订单 并销售主管对销售订单进行确认,并在系统中对订单进行审核。
2、产品生产完毕完工入库后,销售助理在【销售管理】模块根据销售订单生成销售发 流 货通知单, 程 3、保管员根据【销售管理】模块中审核后的销售发货单通知单生成仓库调拨单并进行 审核,产品出门。 描 4、以后期间结算时,销售助理根据客户开票需求,对已审核的提货存根联及开票通知单, 并送财务部门进行开票; 述 5、财务开票员根据销售助理复核后的开票通知单,开具销售发票。
6、材料成本会计在【仓库核算】模块根据仓库调拨单生成销售出库单,材料会计对销 售发票进行审核处理并钩稽销售出库单,月底根据根据销售出库单生成销售成本结转凭
证。。 7、往来会计收款时在【应收管理】模块中填制收款单并根据收款单生成收款凭证。
.3
公司信息安全管理制度流程1.doc
公司信息安全管理制度流程1 **公司信息安全管理制度 一、信息安全指导方针 保障信息安全,创造用户价值,切实推行安全管理,积极预防风险,完善控制措施,信息安全,人人有责,不断提高顾客满意度。 二、计算机设备管理制度 1 2 3 进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置; (二)系统管理操作代码的设置与管理 1、系统管理操作代码必须经过经营管理者授权取得; 2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作 代码的生成和维护,负责故障恢复等管理及维护; 3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有
其上级授权; 4、系统管理员不得使用他人操作代码进行业务操作; 5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销 1 3 1 码。 重复、顺序、规律数字等容易猜测的数字和字符串; 2、密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人 等内容。 3、服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。
1 2 3 4 失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复 的完整性和可用性。 5、数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保 存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联 机业务运行造成影响。 6、需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存 的数据必须有详细的文档记录。
政府信息化项目管理系统建设方案
政府信息化项目管理系统方案 1、项目概述 本项目为软件开发项目。根据年xxx区政府投资信息化项目管理办法和实施细则的要求,在现有协同办公平台的基础上,对全区信息化项目建设中的项目申报、项目招标、项目实施、项目验收、项目成果的全过程管理,同时对党政信息化建设的相关人员、资产资源、日常维护、事务处理等日常工作进行电子化管理。 项目的具体建设内容如下: ●建设信息化项目管理子系统,实现信息化项目的全过程管理。 ●建设信息化资源管理子系统,实现对全区的信息化资产(包括各种信息 化资源)进行全生命周期管理。 ●建设信息化事务管理子系统,实现信息化运营过程中各种事务的全过程 管理。 ●建设系统运维管理子系统,实现对系统运维过程中的各项业务的全过程 管理。 2、需求分析 2.1业务需求 (1)信息化项目管理 根据《实施细则》文件要求,对全区信息化项目进行全生命周期管理,为信息化项目的建设和服务提供基础信息支持。实现对信息化项目立项、采购、建设过程、验收、维护的全过程文档、技术支持等信息进行维护、管理、查询、统计等,并为技术文档提供模板,从而规范项目操作。具体业务流程如下图:
(2)信息化资源管理 对全区的信息化资源进行全生命周期管理,为信息化资产的合理购置和运行监控提供基础信息支持。实现对网络设备、服务器、基础软件、网络资源、数据
资源等信息化资源进行维护、管理、查询、统计等。 (3)信息化事务管理 对全区信息化日常事务进行管理。系统实现对全区各单位信息化事务(包括系统故障、账号管理、业务应用等)上报、审核、反馈、进度等进行管理。 (4)信息化运维管理 对全区信息化系统的日常运维,包括系统维护单位、配合单位、维护人员的台账、日常运维记录、系统监测、故障提醒等功能的管理。 2.2与已有系统关系分析 xxx区党政信息化项目管理平台是基于xxx区信息化统一基础平台之上的信息系统,和全区其它信息系统有一下关系: ●和xxx区统一用户管理系统集成,实现用户统一认证和单点登录,并且 用统一用户管理系统的用户机构数据作为系统的基础数据; ●和全区短信平台集成,实现短信提醒等功能; ●和全区电子公章系统集成,实现在线文件、表单的格式转换电子盖章; ●和区财政局和区公共交易中心的政府采购系统基础,实现各种数据的交 换。 2.3服务对象和服务范围 xxx区党政信息化项目管理平台是全区公共的应用系统,面向全区各个委办局、事业单位应用。各单位授权用户能浏览、查询和管理本单位的数据和记录,区信息中心作为系统的建设方,负责系统的运营和维护,并具有系统管理权限。服务管理部门包括区信息中心、区财政局、区经信局、区发改局、区公共资源交易中心、质监xxx分局。 3、技术架构和数据设计
信息系统管理业务流程
信息系统管理业务流程①② 一、业务目标 经营目标 满足生产经营管理业务需求,提高管理水平、技术水平和市场应变能力,提高核心竞争力. 达到系统建设预期目标,系统运行安全、稳定,出现系统故障时能够及时恢复,系统具有扩展性、集成性. 合规目标 遵守保护知识产权地有关法律法规,使用合法软件. 信息技术控制符合国家法律、法规、股份公司内部规章制度及上市地证券监管机构有关要求. 二、业务风险 经营风险 信息化管理体系不完善,信息管理部门职责不落实,导致信息化工作受损. 信息系统建设项目不符合股份公司经营战略目标,导致盲目建设、投资低效. ①本流程适用于列入股份公司固定资产投资和科技开发项目计划地信息系统建设、运行和维护,有关科技开发项目地立项和经费管理按《科技开发费管理业务流程》控制. ②信息系统业务,根据其特点执行《信息系统管理业务流程》,但应参见《资本支出业务流程》. 信息安全规划不当,风险评估缺失,信息安全教育不足,员工安全意识薄弱,导致信息系统风险. 技术方案不合理,业务流程不规范,系统功能不健全,
导致系统不能满足业务需求. 基础数据不完整、不准确、不真实,导致系统无法正常投运或计算出错. 项目监管不力,系统建设延误,导致系统不能按期投用或资金流失. 系统运行不稳定,数据失真、丢失,导致日常业务工作无法正常进行. 系统存在网络故障、病毒侵袭等安全问题,导致非法入侵及泄密等,或系统灾难无法及时恢复. 系统运维不落实,功能陈旧,导致不能满足业务需求. 未经审核,变更信息技术合同标准文本中涉及地权利、义务等条款,造成损失. 财务风险 交易不真实,未按约定付款,影响财务报告. 合规风险 侵犯知识产权,导致诉讼及股份公司声誉受到损害. 信息技术控制不符合国家法律、法规、股份公司内部规章制度及上市地证券监管机构有关要求,造成损失. 违反国家和企业会计制度,造成项目资金损失. 三、业务流程步骤与控制点 整体层面管理 股份公司建立完善地信息化管理体系,设立指导委员会,
项目流程八个阶段信息化仅是流程化
项目流程八个阶段信息化仅是流程化 也许,国内企业ERP信息化层面仍然不高的本质原因就在于:企业主是否将它作为企业核心战略落地的工具和途径来看待。 这是一个非常老的话题,自沈阳机床厂1981年引入MRPII以来,30余年过去了,信息化作为中国谋求发展、追求自身生存竞争力的一个快速升级利器,早已被广泛认同。 现今,再提到企业做信息化管理,企业IT经理,项目经理们基本认同一点:“不是为了信息化而信息化,是为了企业长远利益,是为了企业管理水平的提高而信息化。” 摆脱了为了信息化而信息化,这是一个很大的进步和追赶,可是国外的同行们,却在提出为商业模式变革和为客户价值加速创新的信息化战略的时候,我们似乎还在一些基本问题上踯躅。 有人可能会说,我们的信息化就是在磨合阶段,而且国内软件不好使,bug很多。我们的关键用户岗位人员跳槽严重,后续人员又要重新培养,从零开始。等于是递减规则,变动的越多,我们的信息化水平越来越趋于水平发展了。国内的ERP信息化应用,在思维上还在使用层面,而不是商业流程和战略匹配层面。
xx年,和一位美籍华人企业主的沟通,让我深刻认识到两点:美国企业主来我公司进行产品沟通,足以显现对这个事的重视,除去ERP内部整合之外,对于产品项目管理,直接采用目前非常流行的服务模式的在线软件来解决,所有选型、流程梳理,企业主全程参与并制定策略。7年的信息化职业经历,我遇到的近百个项目中,大多数应用多在财务和供应链进销存层面,即使大型企业也不例外。 也许,国内企业在ERP信息化层面仍然不高的本质原因在于:企业主是否将此作为企业的核心战略落地的工具和途径来看待。我们在信息化哪个阶段? 国内大多数企业的ERP或者信息化管理,都将信息化作为提高管理水平的一个载体。换句话说,如果有别的手段能更好的实现这一目的,企业信息化本身无需如此高调。 先看看国内的ERP为代表的信息化不同应用深度阶段。 上线阶段。很多信息化项目停留在第一阶段,但是第一阶段是前提,如果没有第一阶段的成功,后面都是空谈。此阶段需要基本的业务流程的固化过程,并要对原有的作业流程进行或多或少的BPR的过程。但是大多数企业,在此方面,做的并不是很好,这也是信息化过程中成本最高的阶段。
信息安全漏洞管理流程
信息安全漏洞管理流程文档编制序号:[KKIDT-LLE0828-LLETD298-POI08]
信息安 全漏洞管理规定 主导部门: IT 部 支持部门: N/A 审 批: IT 部 文档编号: IT-V01 生效日期:
信息安全漏洞管理规定 1. 目的 建立信息安全漏洞管理流程的目的是为了加强公司信息安全保障能力,建立健全公司的安全管理体系,提高整体的网络与信息安全水平,保证业务系统的正常运营,提高网络服务质量,在公司安全体系框架下,本策略为规范公司信息资产的漏洞管理(主要包含IT设备的弱点评估及安全加固),将公司信息资产的风险置于可控环境之下。 2. 范围 本策略适用于公司所有在生产环境和办公环境中使用的网络系统、服务器、应用系统以及安全设备。 3. 定义 3.1 ISMS 基于业务风险方法,建立、实施、运行、监控、评审、保持和改进信息安全的 体系,是公司整个管理体系的一部分。 3.2 安全弱点 安全弱点是由于系统硬件、软件在时或者是在的制定配置上的错误而引起的缺 陷,是违背安全策略的软件或硬件特征。有恶意企图的用户能够利用安全弱点 非法访问系统或者破坏系统的正常使用。 3.3 弱点评估
弱点评估是通过风险调查,获取与系统硬件、软件在时或者是在的制定配置的 威胁和弱点相关的信息,并对收集到的信息进行相应分析,在此基础上,识 别、分析、评估风险,综合评判给出安全弱点被利用造成不良事件发生的可能 性及损失/影响程度的观点,最终形成弱点评估报告。 4. 职责和权限 阐述本制度/流程涉及的部门(角色)职责与权限。 4.1 安全管理员的职责和权限 1、制定安全弱点评估方案,报信息安全经理和IT相关经理进行审批; 2、进行信息系统的安全弱点评估; 3、生成弱点分析报告并提交给信息安全经理和IT相关经理备案; 4、根据安全弱点分析报告提供安全加固建议。 4.2 系统管理员的职责和权限 1、依据安全弱点分析报告及加固建议制定详细的安全加固方案(包括回退方案),报信息 安全经理和IT相关经理进行审批; 2、实施信息系统安全加固测试; 3、实施信息系统的安全加固; 4、在完成安全加固后编制加固报告并提交给信息安全经理和IT相关经理备案; 5、向信息安全审核员报告业务系统的安全加固情况。 4.3 信息安全经理、IT相关经理的职责和权限 1、信息安全经理和IT相关经理负责审核安全弱点评估方案、弱点分析报告、安全加固方 案以及加固报告。 4.4 安全审计员的职责和权限 1、安全审计员负责安全加固后的检查和验证,以及定期的审核和汇报。 5. 内容 5.1 弱点管理要求 通过定期的信息资产(主要是IT设备和系统)弱点评估可以及时知道公司安 全威胁状况,这对及时掌握公司主要IT设备和系统弱点的状况是极为有重要