文档介绍:信息系统安全管理
范围
合用于信息技术部实施网络安全管理和信息实时监控,以及拟订全企业计算机使用安全的技术规定
控制目标
保证企业网络系统、计算机以及计算机有关设施的高
信息系统安全管理
范围
合用于信息技术部实施网络安全管理和信息实时监控,以及拟订全企业计算机使用安全的技术规定
控制目标
保证企业网络系统、计算机以及计算机有关设施的高效、安全使用
保证数据库、日志文件和重要商业信息的安全
主要控制点
信息技术部经理和企业主管副总经理分别审批信息系统接见权限设置方案、数据备份及突发事件办理政策和其余信息系统安全政策的合理性和可行性
对终端用户进行网络使用情况的监测
特定政策
每年更新企业的信息系统安全政策
每年信息技术部应配合企业人力资源部及其余各部门,审定各岗位的信息设施配置,并拟订企业的计算机及网络使用规定
当职工岗位发生改动,需要更改职工的邮件帐号属性、服务器存储空间大小和文件读写权限时,信息技术部必须在一天内达成并发送邮件或电话通知用户
关于信息系统(主要为服务器)的安全管理,应有两名技术人员可以达成平时故障办理以及设置、安装操作,但仅有一名技术人员掌握系统密码,若该名技术人员出门,须将密码转告此外一名技术人员,过后应改正密码,两人不能同时出门,交接时应做好记录
普通事件警示是指未对信息系统安全组成危害、而仅对终端系统或局部网络安全造成危害,或许危害已经产生但没有持续扩散的事件,如对使用的终端和网络设施未经同意擅自设置权限等;严重事件警示是指对信息系统安全组成威胁的事件,如试图使病毒(木马、后门程序等)在网络中扩散、攻击服务器、改变网络设施设置场所的设置状态、编制非法软件在网络系统中试运行等;特殊事件是指来自企业网络外部的恶意攻击,如由外部人员使用不当造成或其余自然突发事件惹起。事件判定小组由有关的网络工程师、终端设施维护工程师和应用系统程序员等有关人员组成
5 信息系统安全管理流程 C-14-04-001
步骤 波及部门
信息技术部网络
工程师、终端设
备维护工程师
信息技术部经理
企业主管副总
人力资源部劳动
用工管理员
信息技术部网络
工程师、终端设
备维护工程师
信息技术部网络
工程师、终端设
备维护工程师
信息技术部网络
工程师、终端设
备维护工程师
信息技术部网络
工程师、终端设
备维护工程师
信息技术部经
理
信息技术部经
理
信息技术部经
理
�
步骤说明
根据国际和国家书息系统安全的有关法律、法例的规定及信息技术行业的行业安全标准,并联合企业有关商业保密的规定,拟订企业的信息系统安全政策,包括信