文档介绍:XXX信息安全管理Version:、公司信息安全管理体系信息是一个组织的血液,它的存在方式各异。可以是打印,手写,也可以是电子,演示和口述的。当今商业竞争日趋激烈,来源于不同渠道的威胁,威胁到信息的安全性。这些威胁可能来自内部,外部,意外的,还可能是恶意的。随着信息存储、发送新技术的广泛使用,信息安全面临的威胁也越来越严重了。信息安全不是有一个终端防火墙,或者找一个24小时提供信息安全服务的公司就可以达到的,它需要全面的综合管理。信息安全管理体系的引入,可以协调各个方面的信息管理,使信息管理更为有效。信息安全管理体系是系统地对组织敏感信息进行管理,涉及到人,程序和信息科技系统。改善信息安全水平的主要手段有:1)安全方针:为信息安全提供管理指导和支持。2)安全组织:在公司内管理信息安全。3)资产分类与管理:对公司的信息资产采取适当的保护措施。4)人员安全:减少人为错误、偷窃、欺诈或滥用信息及处理设施的风险。5)实体和环境安全:防止对商业场所及信息未授权的访问、损坏及干扰。6)通讯与运作管理:确保信息处理设施正确和安全运行。7)访问控制:妥善管理对信息的访问权限。8)系统的获得、开发和维护:确保将安全纳入信息系统的整个生命周期。9)安全事件管理:确保安全事件发生后有正确的处理流程与报告方式。10)商业活动连续性管理:防止商业活动的中断,并保护关键的业务过程免受重大故障或灾害的影响。11)符合法律:避免违反任何刑法和民法、法律法规或者合同义务以及任何安全要求。、信息安全建设的原则1)领导重视,全员参与信息安全不仅仅是IT部门的工作,它需要公司全体员工的共同参与。2)技术不是绝对的信息安全管理遵循“七分管理,三分技术”的管理原则。3)信息安全事件符合“二、八”原则20%的安全事件来自外部网络攻击,80%的安全事件发生在公司内部。4)管理原则管理为主,技术为辅,内外兼防,发现漏洞,消除隐患,确保安全。、信息安全管理体系建设的目的1)保障ERP系统的安全运行,控制公司信息泄密风险;2)提高企业员工对安全的认识和对安全管理的参与;3)提高企业用户及合作伙伴对企业的信心、信任、满意程度;4)提高企业信息安全管理的质量和水平;5)使企业更有效地管理和处理信息安全事件;6)遵守和通过相关法律法规的要求;7)为将来企业充份利用电子商务打下重要的基础。、范围本标准规定了公司员工必须遵循的个人计算机和其他方面的安全要求,规定了员工保护公司涉密信息的责任,并列出了大量可能遇到的情况下的安全要求。本标准适用于公司所有员工,包括子公司的员工,以及其他经授权使用公司内部资源的人员。、计算机安全要求1)计算机信息登记与使用维护:每台由公司购买的计算机的领用、使用人变更、配置变更、报废等环节必须经过IT部的登记,严禁私自变更使用人和增减配置;每位员工有责任保护公司的计算机资源和设备,以及包含的信息。每位员工必须把自己的计算机名字设置成固定的格式,一律采用部门名称的汉语拼音简写加自己姓名的汉语拼音简写组成。2)必须在所有个人计算机上激活下列安全控制:所有计算机(包括便携电脑与台式机)必须设有系统密码;系统密码应当符合一定程度的复杂性要求,并不定期更换密码;存储在个人计算机中的包含有公司涉密信息的文件,需要加密存放。3)当员工离开办公室或工作区域时:必须立即锁定计算机或者激活带密码保护的屏幕保护程序;如果办公室或者工作区域能上锁,最后一个离开的员工请锁上办公室或工作区域;妥善保管所有包含公司涉密内容的文件,如锁进文件柜;4)防范计算机病毒和其他有害代码:每位员工由公司配备的计算机上都必须安装和运行公司授权使用的防病毒软件;员工必须开启防病毒软件实时扫描保护功能,至少每周进行一次全硬盘扫描,在网络条件许可的情况下每天进行一次病毒库文件的更新;如果员工发现未能处理的病毒,应立即断开局域网连接,以免病毒在局域网内部交叉感染,并及时向公司IT部门汇报;5)软件的使用:员工的不得私自在计算机上安装公司禁止的软件,公司禁止安装的软件包括但不限于:BT等P2P软件Sniffer等流量监控软件及***P2P终结者,网络执法官之类的网络管理软件工作用计算机禁止安装盗版杀毒软件和盗版防火墙软件公司员工的机器上必须安装并开启功能的软件有:卡巴斯基或其他正版防病毒软件如果由于使用未经公司授权的且没有许可的软件造成公司损失,员工需要承担全部责任;6)文件的共享:员工在使用文件共享时,必须将其设置为受限共享;禁止使用基于互联网的P2P软件和共享服务,如:BT、eMule等。不得在计算机上配置匿名FTP、TFTP、HTTP,或其他无需验证的服务。例如:员工不得在公司的计算机上私自架设匿名FTP。未经IT部门许可,不得在使