信息安全控制程序1、目的 增强公司全体员工信息安全意识和技能。建立包括信息安全承诺、要求、实施、监视、风险评估和管理的制度体系,建立信息安全事件管理规程,以及有效的信息安全事件应急处理机制,根据规程报告信息安全事件,并及时响应。2、适用范围适用于公司各信息系统所连接的各种设备设施、运行的各种软件系统、采集的各种数据与信息、相关用户的各种操作行为等。3 职责3.1 董事长负责重要的信息安全保护措施的审定。3.2 管理者代表完善公司信息安全管理和防范机制,审核信息安全管理制度并对重大信息安全事件的处置工作进行指导与监督。3。3 信息中心作为信息安全的主要管理部门,负责整体规划、建设实施整改、制度建立、监督考核各部门的信息安全工作;负责公司网络、服务器、计算机等软硬件设备的维护及升级工作。3。4 各部门负责提出信息安全需求,及本部门所涉及的信息安全管理工作。4 工作程序4.1 管理者代表综合考虑公司的信息安全状况,提出信息安全的具体实施范围。确立各部门对于信息安全所承担的责任,完善信息安全管理和防范机制。4.2 公司各部门根据实际业务情况,提出信息安全需求,并报信息中心统一汇总.需求识别包括数据安全的需求,机房、设备等安全风险的需求。信息中心定期对公司员工进行信息安全培训教育,确保全员认识到信息安全的重要性和紧迫性,增强信息安全意识。4.3 信息中心组织相关部门及人员对汇总的信息安全进行评审确定优先级,并相应提出信息安全解决方案.最终形成文件上报,审批后立即执行。4.4 信息中心负责制定公司的信息安全实施法律规范,并报公司管理者代表和董事长审批通过发布执行。4。5 各部门在执行信息安全法律规范过程中出现的问题及时向信息中心反馈。5 信息安全日常管理5.1 终端安全管理 5。1.1 个人办公终端须根据公司的要求安装相应的办公软件。 5.1.2 办公电脑仅限处理公司业务。 5.1.3 外来人员终端需接入公司内网时,相应部门须提交申请。通过后方可接入。5。2 数据安全管理 5.2。1 业务数据必须定期备份和异地备份,并由专人负责. 5。2。2 涉及商业机密和知识产权的信息未经授权不得以任何形式对外发布。5。2.3 未经授权不得传播公司信息。5。2。4 员工在使用移动存储介质如移动硬盘、U 盘等进行数据存储前,必须先进行杀毒处理方可使用。5。3 账号权限安全5.3。1 员工所使用的账号及权限定期检查清理。5。3.2 个人账号不得泄露或提供给他人使用。5.3。3...
