《信息安全管理制度汇编bpws.docx》由会员分享,可在线阅读,更多相关《信息安全管理制度汇编bpws.docx(140页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、内部资料注意保存XXXXXXXXXXXX信息安全制制度汇编编XXXXXXXXXXXX二一六年年一月目录一、总则6二、安全管管理制度度7第一章章 管理制制度71.安全组组织结构构71.1信息息安全领领导小组组职责71.2 信信息安全全工作组组职责81.3信息息安全岗岗位92.安全管管理制度度112.1安全全管理制制度体系系112.2安全全方针和和主策略略122.3安全全管理制制度和规规范122.4安全全流程和和操作规规程142.5安全全记录单单14第二章 制制定和发发布15第三章 评评审和修修订16三、安全管管理机构构17第一章 岗岗位设置置171.组织机机构172.关键岗岗位19第二章 人人员
2、配备备21第三章 授授权和审审批22第四章 沟沟通和合合作24第五章章 审核和和检查26四、人员安安全管理理28第一章 人人员录用用281.组织编编制282.招聘原原则283.招聘时时机284.录用人人员基本本要求295.招聘人人员岗位位要求296.招聘种种类296.1 外外招296.22 内招招307.招聘程程序307.1 人人事需求求申请307.2 甄甄选307.3 录录用32第二章 保保密协议议33第三章 人人员离岗岗35第三章章 人员考考核371制定安安全管理理目标372.目标考考核383.奖惩措措施38第四章 安安全意识识教育和和培训391.安全教教育培训训制度39第一章 总总 则3
3、9第二章 安安全教育育的含义义和方式式39第三章 安安全教育育制度实实施39第四章 三三级安全全教育及及其他教教育内容容41第五章 附附则43第五章 外外部人员员访问管管理制度度441.总 则442.来访访登记控控制443.进出门门禁系统统控制454.携带物物品控制制46五、系统建建设管理理47第一章 安安全方案案设计471.概述472设计要要求和分分析482.1安全全计算环环境设计计482.2安全全区域边边界设计计492.3安全全通信网网络设计计502.44安全管管理中心心设计503针对本本单位的的具体实实践513.1安全全计算环环境建设设513.2安全全区域边边界建设设523.3安全全通信
4、网网络建设设523.4安全全管理中中心建设设533.5安全全管理规规范制定定543.6系统统整体分分析54第二章 产产品采购购和使用用55第三章 自自行软件件开发581.申报582.安全性性论证和和审批583.复议584.项目安安全立项项585.项目管管理595.1 概概要595.2正文文60第四章 工工程实施施621.信息化化项目实实施阶段段622.概要设设计子阶阶段的安安全要求求623.详细细设计子子阶段的的安全要要求634.项目实实施子阶阶段的安安全要求求63第五章 测测试验收收651.文文档准备备652.确认签签字653.专人负负责654.测试方方案65第六章 系系统交付付681.试运
5、行行682.组织验验收68第七章章 系统备备案701.系统备备案702.设备管管理703.投产后后的监控控与跟踪踪72第八章 安安全服务务商选择择74六、系统运运维管理理75第一章 环环境管理理751.机房环环境、设设备752.办公环环境管理理76第二章 资资产管理理8111.总则则812.资产产管理制制度81第三章 介介质管理理851.介质安安全管理理制度851.1计算算机及软软件备案案管理制制度851.2计算算机安全全使用与与保密管管理制度度851.3用户户密码安安全保密密管理制制度861.4涉密密移动存存储设备备的使用用管理制制度861.5数据据复制操操作管理理制度871.6计算算机、存
6、存储介质质、及相相关设备备维修、维维护、报报废、销销毁管理理制度87第四章 设设备管理理891.主机、存存储系统统运维管管理892.应用服服务系统统运维管管理893.数据系系统运维维管理904.信息保保密管理理915.日常维维护916.附件件:安全全检查表表92第五章 监监控管理理和安全全管理中中心941.监控管管理942.安全管管理中心心95第六章 网网络安全全管理96第七章 系系统安全全管理981.总则982.系统安安全策略略983.系统日日志管理理994.个人操操作管理理10005.惩处处1000第八章 恶恶意代码码防范管管理10111.恶意代代码三级级防范机机制10111.1恶意意代码
7、初初级安全全设置与与防范10111.2.恶恶意代码码中级安安全设置置与防范范10111.3恶意意代码高高级安全全设置与与防范10222.防御恶恶意代码码技术管管理人员员职责10223.防御恶恶意代码码员工日日常行为为规范1033第九章 密密码管理理1044第十章 变变更管理理10661.变更10662.变更程程序10662.1变更更申请10662.2变更更审批10662.3 变变更实施施10662.4变更更验收1066附件一变更更申请表表1077附件二变更更验收表表1088第十一章 备份与与恢复管管理10991.总则10992.设备备备份11003.应用系系统、程程序和数数据备份份11114.
8、备份介介质和介介质库管管理11445.系统恢恢复11556.人员备备份1166第十二章 安全事事件处置置11771.工作作原则11772.组织指指挥机构构与职责责11773.先期处处置11884.应急处处置11994.1应急急指挥11994.2应急急支援11994.3信息息处理11994.4应急急结束12005后期处置置12005.1善后后处置12005.2调查查和评估估1211第十三章 应急预预案管理理12221.应急处处理和灾灾难恢复复12222.应急计计划12333.应急计计划的实实施保障障12444.应急演演练1255一、总则为规范XXXXXXXXXXXXX信信息安全全工作,确确保全体
9、体员工理理解信息息安全工工作与职职责,并并落实到到日常工工作中,推推动信息息安全保保障工作作的顺利利进行,结结合XXXXXXXXXXXXX的的实际情情况,特特制定本本制度。本管理制度度所称信信息系统统安全,包包括计算算机网络络和应用用系统(以以下简称称信息系系统)的的硬件、软软件、数数据及环环境受到到有效保保护,信信息系统统的连续续、稳定定、安全全运行得得到可靠靠保障。信息系统安安全管理理坚持“谁主管管谁负责责”的原则则,公司司的所有有部门和和员工都都应各自自履行相相关的信信息系统统安全建建设和管管理的义义务与责责任。信息系统安安全工作作的总体体目标是是:实施施信息系系统安全全等级保保护,建建
10、立健全全先进实实用、完完整可靠靠的信息息系统安安全体系系,保证证系统和和信息的的完整性性、真实实性、可可用性、保保密性和和可控性性,保障障信息化化建设和和应用,支支撑公司司业务持持续、稳稳定、健健康发展展。信息系统安安全体系系建设必必须坚持持“统一标标准、保保障应用用、符合合法规、综综合防范范、集成成共享”的原则则。本制度适用用于公司司所有部部门和个个人。二、安全管管理制度度第一章 管管理制度度1.安全组组织结构构XXXXXXXXXXXX安安全管理理组织应应形成由由主管领领导牵头头的信息息安全领领导小组组、具体体信息安安全职能能部门负负责日常常工作的的组织模模式,组组织结构构图如下下所示:组织
11、机构图1.1信息息安全领领导小组组职责信息安全领领导小组组是由XXXXXXXXXXXXX主管管领导牵牵头,各各部门的的负责人人为组成成成员的的组织机机构,主主要负责责批准XXXXXXXXXXXXXX安全策策略、分分配安全全责任并并协调安安全策略略能够实实施,确确保安全全管理工工作有一一个明确确的方向向,从管管理和决决策层角角度对信信息安全全管理提提供支持持。信息息安全领领导小组组的主要要责任如如下:(一) 确确定网络络与信息息安全工工作的总总体方向向、目标标、总体体原则和和安全工工作方法法; (二) 审审查并批批准政府府的信息息安全策策略和安安全责任任; (三) 分分配和指指导安全全管理总总体
12、职责责与工作作; (四) 在在网络与与信息面面临重大大安全风风险时,监监督控制制可能发发生的重重大变化化; (五) 对对安全管管理的重重大更改改事项(例例如:组组织机构构调整、关关键人事事变动、信信 息系系统更改改等)进进行决策策; (六) 指指挥、协协调、督督促并审审查重大大安全事事件的处处理,并并协调改改进措施施; (七) 审审核网络络安全建建设和管管理的重重要活动动,如重重要安全全项目建建设、重重要的安安 全管管理措施施出台等等; (八) 定定期组织织相关部部门和相相关人员员对安全全管理制制度体系系的合理理性和适适用性进进 行审审定。1.2 信信息安全全工作组组职责信息安全工工作组是是信
13、息安安全工作作的日常常执行机机构,内内设专职职的安全全管理组组织和岗岗位,负负责日常常具体安安全工作作的落实实、组织织和协调调。信息息安全工工作组的的主要职职责如下下:(一) 贯贯彻执行行和解释释信息安安全领导导小组的的决议;(二) 贯贯彻执行行和解释释国家主主管机构构下发的的信息安安全策略略;(三) 负负责组织织和协调调各类信信息安全全规划、方方案、实实施、测测试和验验收评审审会议;(四) 负负责落实实和执行行各类信信息安全全具体工工作,并并对具体体落实情情况进行行总 结结和汇报报;(五) 负负责内外外部组织织和机构构的沟通通、协调调和合作作工作; (六) 负负责制定定所有信信息安全全相关的
14、的管理制制度和规规范; (七) 负负责针对对信息安安全相关关的管理理制度和和规范具具体落实实工作进进行监督督、 检检查、考考核、指指导及审审批,例例如现有有安全技技术措施施的有效效性、安安全配置置与安全全策略的的一致性性、安全全管理制制度的执执行情况况等。 以上组织结结构和职职责通过过信息息安全组组织职责责体系加加以说明明。1.3信息息安全岗岗位为了有效落落实信息息安全各各项工作作,XXXXXXXXXXXXX应应设立以以下专职职的安全全岗位,负负责安全全工作的的落实和和执行: 1.3.11信息安安全工作作组主管管1) 负责责网络与与信息安安全的日日常整体体协调、管管理工作作; 2) 负责责组织
15、人人员制定定信息安安全管理理制度,并并对管理理制度进进行推广广、培训训和 指指导;3) 负责责重大安安全事件件的具体体协调和和沟通工工作。 1.3.22安全管管理员岗岗位1) 负责责执行网网络与信信息安全全工作的的日常协协调、管管理工作作;2) 负责责日常的的安全监监控管理理,并对对上报和和发现的的各类安安全事件件进行响响应; 3) 负责责系统、网网络和应应用安全全管理的的协调和和技术指指导; 4) 负责责安全管管理平台台安全策策略制定定,访问问控制策策略审核核; 5) 负责责组织安安全管理理制度的的推广和和培训工工作; 6) 负责责定期进进行安全全检查,检检查内容容包括系系统日常常运行、系系
16、统漏洞洞和数据据 备份份等情况况。1.3.33安全审审计员岗岗位1) 负责责安全管管理制度度落实情情况的检检查、监监督和指指导; 2) 负责责安全策策略执行行情况的的审核。 1.3.44系统管管理员1) 负责责系统安安全稳定定运行的的日常管管理工作作; 2) 负责责保持系系统的防防病毒系系统、补补丁等保保持最新新,定期期对系统统进行安安全加 固,保保持系统统漏洞最最小化。 1.3.55网络管管理员1) 负责责网络设设备安全全稳定运运行的日日常管理理工作;2) 负责责保持网网络设备备的漏洞洞最小化化,定期期对系统统进行安安全加固固; 3) 负责责保持网网络路由由和交换换策略与与业务需需求保护护一
17、致。4)XXXXXXXXXXXXX应根根据日常常的运行行维护和和管理工工作,设设置物理理环境管管理 、数数据库管管理、应应用管理理以及资资产管理理等岗位位,这些些岗位也也应当包包括安全全职责,这些安安全职责责的具体体内容通通过信信息安全全管理岗岗位说明明书落落实。2.安全管管理制度度2.1安全全管理制制度体系系XXXXXXXXXXXX安安全管理理制度应应建立信信息安全全方针、安安全策略略、安全全管理制制度、安安全技术术规范以以及流程程的一套套信息安安全管理理制度体体系。2.2安全全方针和和主策略略最高方针,纲纲领性的的安全策策略主文文档,陈陈述本策策略的目目的、适适用范围围、信息息安全的的管理
18、意意图、支支持目标标以及指指导原则则,信息息安全各各个方面面所应遵遵守的原原则方法法和指导导性策略略。 2.3安全全管理制制度和规规范各类管理规规定、管管理办法法和暂行行规定。从从安全策策略主文文档中规规定的安安全各个个方面所所应遵守守的原则则方法和和指导性性策略引引出的具具体管理理规定、管管理办法法和实施施办法,是是必须具具有可操操作性,而而且必须须得到有有效推行行和实施施的。 技术标准和和规范,包包括各个个安全等等级区域域网络设设备、主主机操作作系统和和主要应应用程序序的应遵遵守的安安全配置置和管理理的技术术标准和和规范。技技术标准准和规范范将作为为各个网网络设备备、主机机操作系系统和应应
19、用程序序的安装装、配置置、采购购、项目目评审、日日常安全全管理和和维护时时必须遵遵照的标标准,不不允许发发生违背背和冲突突。本项项目将为为XXXXXXXXXXXXX编制制如下安安全管理理制度和和规范:安全方针安全策略安全管理组组织体系系职责内部人员安安全管理理规定外部人员安安全管理理规定等级保护安安全管理理规范风险评估管管理规范范软件开发管管理规定定IT外包管管理规定定工程安全管管理规定定产品采购安安全管理理规定服务商安全全管理规规定机房管理制制度办公环境安安全管理理规定 资产安全管管理制度度设备安全管管理规定定介质安全管管理规定定运行维护安安全管理理规范网络安全管管理规定定系统安全管管理规定
20、定防病毒安全全管理规规定密码使用管管理制度度变更管理制制度备份与恢复复管理规规定安全事件管管理制度度应急预案安全流程和和操作规规程,详详细规定定主要业业务应用用和事件件处理的的流程、步步骤和相相关注意意事项。作作为具体体工作时时的具体体依照,此此部分必必须具有有可操作作性,而而且必须须得到有有效推行行和实施施的。2.4安全全流程和和操作规规程安全流程和和操作规规程,详详细规定定主要业业务应用用和事件件处理的的流程和和步骤,和和相关注注意事项项。作为为具体工工作时的的具体依依照,此此部分必必须具有有可操作作性,而而且必须须得到有有效推行行和实施施的。2.5安全全记录单单安全记录单单,落实实安全流
21、流程和操操作规程程的具体体表单,根根据不同同等级信信息系统统的要求求可以通通过不同同方式的的安全记记录单落落实并在在日常工工作中具具体执行行。主要要包括日日常操作作的记录录、工作作记录、流流转记录录以及审审批记录录等。第二章 制制定和发发布安全策略系系列文档档制定后后,必须须有效发发布和执执行。发发布和执执行过程程中除了了要得到到管理层层的大力力支持和和推动外外,还必必须要有有合适的的、可行行的发布布和推动动手段,同同时在发发布和执执行前对对每个人人员都要要做与其其相关部部分的充充分培训训,保证证每个人人员都知知道和了了解与其其相关部部分的内内容。安全策略在在制定和和发布过过程中,应应当实施施
22、以下安安全管理理:(一) 安安全管理理制度应应具有统统一的格格式,并并进行版版本控制制;(二) 由由信息安安全工作作小组负责安安全管理理制度的的制定(三) 安安全管理理职能部部门应组组织相关关人员对对制定的的安全管管理制度度进行论论证和审审定;(四) 安安全管理理制度应应通过文文件形式式下发通通知;(五) 安安全管理理制度应应注明发发布范围围,并对对收发文文进行登登记。必必须要注注意到这这是一个个长期、艰艰苦的工工作,需需要付出出艰苦的的努力,而而且由于于牵扯到到许多部部门和绝绝大多数数员工,可可能需要要改变工工作方式式和流程程,所以以推行起起来的阻阻力会相相当大;同时安安全策略略本身存存在的
23、缺缺陷,包包括不切切实可行行,太过过复杂和和繁琐,部部分规定定有缺欠欠等,都都会导致致整体策策略难以以落实。第三章 评评审和修修订信息安全领领导小组组应组织织相关人人员对于于信息安安全策略略体系文文件进行行评审,并并确定其其有效执执行期限限。同时时应指定定信息安安全职能能部门每每年审视视安全策策略系列列文档,具具体检查查内容包包括: (一) 信信息安全全策略中中的主要要更新; (二) 信信息安全全标准中中的主要要更新。信信息安全全标准不不需要全全部更新新,可以以仅对 因变更更而受影影响的部部分进行行更新;如果必必要,可可以使用用年度审审视更更新流程程对信息息安全标标准做一一次全面面更新。 (三
24、) 安安全管理理组织机机构和人人员的安安全职责责的主要要更新; (四) 操操作流程程的主要要更新; (五) 各各类管理理规定、管管理办法法和暂行行规定的的主要更更新; (六) 用用户协议议的主要要更新;等等。 通过过信息息安全策策略管理理规定落落实以上上相关内内容。三、安全管管理机构构第一章 岗岗位设置置健全的岗位位设置、职职责分配配及技能能要求等等是安全全组织建建设的重重点内容容,对于于以后安安全管理理工作的的顺利开开展具有有巨大的的意义。缺乏健全的的岗位设设置、职职责分配配及技能能要求将将导致无无人负责责、难以以落实责责权利,难难以胜任任安全管管理工作作等严重重问题。1.组织机机构1) X
25、XXXXXXXXXXX成成立信息息安全领领导小组组,是信信息安全全的最高高决策机机构,下下设办公公室,负负责信息息安全领领导小组组的日常常事务。2) 信息安全工工作领导导小组,其其最高领领导由单单位主管管领导委委任或授授权。3) 信息安全领领导小组组负责研研究重大大事件,落落实方针针政策和和制定总总体策略略等。职职责主要要包括:a) 根据国家和和行业有有关信息息安全的的政策、法法律和法法规,批批准公司司信息安安全总体体策略规规划、管管理规范范和技术术标准;b) 确定公司信信息安全全各有关关部门工工作职责责,指导导、监督督信息安安全工作作。c) 信息安全领领导小组组下设两两个工作作组:信信息安全
26、全工作组组、应急急处理工工作组。组组长均由由公司负负责人担担任。4) 信息安全工工作组的的主要职职责包括括:a) 贯彻执行公公司信息息安全领领导小组组的决议议,协调调和规范范公司信信息安全全工作;b) 根据信息安安全领导导小组的的工作部部署,对对信息安安全工作作进行具具体安排排、落实实;c) 组织对重大大的信息息安全工工作制度度和技术术操作策策略进行行审查,拟拟订信息息安全总总体策略略规划,并并监督执执行;d) 负责协调、督督促各职职能部门门和有关关单位的的信息安安全工作作,参与与信息系系统工程程建设中中的安全全规划,监监督安全全措施的的执行;e) 组织信息安安全工作作检查,分分析信息息安全总
27、总体状况况,提出出分析报报告和安安全风险险的防范范对策;f) 负责接受各各单位的的紧急信信息安全全事件报报告,组组织进行行事件调调查,分分析原因因、涉及及范围,并并评估安安全事件件的严重重程度,提提出信息息安全事事件防范范措施;g) 及时向信息息安全工工作领导导小组和和上级有有关部门门、单位位报告信信息安全全事件。h) 跟踪先进的的信息安安全技术术,组织织信息安安全知识识的培训训和宣传传工作。5) 应急处理工工作组的的主要职职责包括括:a) 审定公司网网络与信信息系统统的安全全应急策策略及应应急预案案;b) 决定相应应应急预案案的启动动,负责责现场指指挥,并并组织相相关人员员排除故故障,恢恢复
28、系统统;c) 每年组织对对信息安安全应急急策略和和应急预预案进行行测试和和演练。6) 公司应指定定分管信信息的领领导负责责本单位位信息安安全管理理,并配配备信息息安全技技术人员员,有条条件的 应设置置信息安安全工作作小组或或办公室室,对公公司信息息安全领领导小组组和工作作小组负负责,落落实本单单位信息息安全工工作和应应急处理理工作。2.关键岗岗位设置信息系系统的关关键岗位位并加强强管理,配配备系统统管理员员、网络络管理员员、应用用开发管管理员、安安全审计计员、安安全保密密管理员员,要求求五人各各自独立立。要害害岗位人人员必须须严格遵遵守保密密法规和和有关信信息安全全管理规规定。1) 系统管理员
29、员主要职职责有:a) 负责系统的的运行管管理,实实施系统统安全运运行细则则;b) 严格用户权权限管理理,维护护系统安安全正常常运行;c) 认真记录系系统安全全事项,及及时向信信息安全全人员报报告安全全事件;d) 对进行系统统操作的的其他人人员予以以安全监监督。2) 网络管理员员主要职职责有:a) 负责网络的的运行管管理,实实施网络络安全策策略和安安全运行行细则;b) 安全配置网网络参数数,严格格控制网网络用户户访问权权限,维维护网络络安全正正常运行行;c) 监控网络关关键设备备、网络络端口、网网络物理理线路,防防范黑客客入侵,及及时向信信息安全全人员报报告安全全事件;d) 对操作网络络管理功功
30、能的其其他人员员进行安安全监督督。3) 应用开发管管理员主主要职责责有:a) 负责在系统统开发建建设中,严严格执行行系统安安全策略略,保证证系统安安全功能能的准确确实现;b) 系统投产运运行前,完完整移交交系统相相关的安安全策略略等资料料;c) 不得对系统统设置“后后门”;d) 对系统核心心技术保保密等。4) 安全审计员员负责对对涉及系系统安全全的事件件和各类类操作人人员的行行为进行行审计和和监督,主主要职能能包括:a) 按操作员证证书号进进行审计计;b) 按操作时间间审计;c) 按操作类型型审计;d) 事件类型进进行审计计;e) 日志管理等等。5) 安全保密管管理员负负责日常常安全保保密管理
31、理活动,主主要职责责有:a) 监视全网运运行和安安全告警警信息b) 网络审计信信息的常常规分析析c) 安全设备的的常规设设置和维维护d) 执行应急中中心制定定的具体体安全策策略e) 向应急管理理机构和和领导机机构报告告重大的的网络安安全事件件等。第二章 人人员配备备配备足够数数量的系系统管理理员、网网络管理理员、安安全管理理员对顺顺利完成成安全管管理工作作是非常常重要的的,可以以有效避避免人力力不足带带来的问问题。配配备专职职的安全全管理员员可以让让管理工工作落实实到专人人上,可可以更高高效的开开展安全全管理工工作。关关键事务务岗位配配备多人人进行共共同管理理可以防防止出现现疏忽,并并且有利利
32、于互相相约束和和监督机机制的建建立。如果没有配配备足够够数量的的系统管管理员、网网络管理理员、安安全管理理员,则则可能由由于工作作过度繁繁忙而出出现安全全事件。如如果安全全管理人人员都是是兼职,则则很可能能出现只只顾其他他业务而而忽视安安全的情情况。关关键事务务岗位人人员不足足会导致致疏忽大大意。1.按照实实际工作作需要配配备足够够数量的的系统管管理员、网网络管理理员、安安全管理理员;2.在安全全管理部部配备专专职的安安全管理理员;3.识别出出关键事事务岗位位,对这这些关键键岗位配配备多人人进行共共同管理理,以防防止疏忽忽,并且且建立起起约束和和监督机机制。岗位名称人员数量人员名称系统管理员员
33、网络管理员员应用开发管管理员安全审计员员安全保密管管理员第三章 授授权和审审批授权和审批批可以保保证安全全有关工工作得到到认可和和控制,排排除盲目目性和不不一致性性,使安安全工作作更加权权威和科科学,有有利于增增强责任任感。如果授权和和审批工工作做得得不够完完善,可可能会带带来执行行难等问问题,安安全工作作得不到到控制,因因安全带带来的问问题长期期得不到到解决,安安全问题题日积月月累,最最终导致致严重安安全事件件的发生生。应按照以下下规范进进行授权权和审批批流程建建设:1.明确审审批授权权事项、审审批授权权部门;2. 建立系统变变更、重重要操作作、物理理访问和和系统接接入等事事项的审审批程序序
34、, 对对重要活活动实施施逐级审审批;3.按照审审批程序序执行审审批过程程,记入入文档并并进行审审计;4. 定期审查审审批事项项,及时时更新需需授权和和审批的的项目、审审批部门门和审批批人等信信息;制度名称信息系统管管理授权权审批制制度受控状态文件编号执行部门监督部门考证部门第1条 为了提提高企业业信息系系统的可可靠性、稳稳定性、安安全性,特特制定本本制度。第2条 本制度度适用于于信息部部与各用用户部门门使用企企业信息息系统的的相关人人员。第3条 企业中中涉及到到信息系系统方面面的工作作统一由由信息部部负责。第4条 信息系系统管理理授权的的方式。企业信息系系统的授授权以职职位说明明书和授授权书为
35、为基准,逐逐级授权权,其他他授权方方式或越越级授权权视为无无效。第5条 企业信信息系统统管理授授权程序序。1总裁授授权运营营总监全全面负责责企业信信息系统统的开发发、管理理、修改改等工作作。2运营总总裁授权权信息部部经理负负责信息息系统的的开发、管管理、修修改等具具体工作作。3信息部部经理授授权给下下属员工工,完成成相应工工作。第6条 企业信信息系统统管理中中的文件件审批程程序,如如下图所所示。信息部员工最高领导信息部经理运营总监信息系统管管理的文文件审批批程序示示意图第7条 企业中中的各用用户部门门对信息息系统只只有根据据其职级级的使用用权与建建议权,而而无修改改权,否否则造成成的全部部后果
36、由由当事人人承担。第8条 本制度度由信息息部制定定,解释释权、修修改权归归属信息息部。第9条 本制度度自总裁裁审批之之日起实实施,修修订时亦亦同。编制日期审核日期批准日期修改标记修改处数修改日期第四章 沟沟通和合合作安全管理问问题涉及及到各个个层次的的人员及及技术,需需要大家家密切配配合才能能做好,任任何一方方出现问问题都会会影响整整个安全全管理工工作的顺顺利开展展,因此此对各种种安全问问题进行行定期沟沟通和合合作是非非常必要要的。如果与安全全管理有有关的沟沟通和合合作推进进不顺利利,出现现的安全全问题得得不到反反馈和支支持,则则安全问问题会变变得越来来越严重重,直到到出现严严重安全全事件。应
37、按照以下下规范进进行沟通通与合作作:1. 由安全管理理部提出出,每半半年召开开一次安安全协调调专题会会议,为为期一天天,各有有关部门门包括外外部顾问问机构及及人员都都要参加加,及时时提出问问题和解解决问题题;会议记录时间地点主持人记录员时间调度参加人员:会议议题发言人会议内容执行人监督人完成时间2. 每年与与兄兄弟单位位、公安安机关、电电信公司司等召开开一次安安全总结结会,平平时则通通过邮件件等及时时合作与与沟通;3. 通过邮件、电电话等与与供应商商、业界界专家、专专业的安安全公司司、安全全组织进进行及时时合作与与沟通;4. 建立外联单单位联系系列表,包包括外联联单位名名称、合合作内容容、联系
38、系人和联联系方式式等信息息;5. 聘请信息安安全专家家作为常常年的安安全顾问问,指导导信息安安全建设设,参与与安全规规划和安安全评审审等。第五章 审审核和检检查对安全工作作的开展展情况进进行定级级审核和和检查可可以及时时、有效效的督促促安全制制度和安安全技术术的执行行、运作作情况,减减少安全全疏忽,及及时发现现并解决决问题,使使安全工工作日常常化、制制度化。安全工作如如果不能能保证及及时的审审核和检检查,则则容易导导致各项项工作大大打折扣扣,并且且由此带带来的问问题会积积累起来来最终导导致严重重安全事事件发生生,如补补丁长期期得不到到更新使使系统长长期暴露露于黑客客攻击威威胁之下下。1.由安全
39、全管理员员每周进进行安全全检查,检检查内容容包括系系统日常常运行、系系统漏洞洞和数据据备份等等情况;2.由内部部人员或或上级单单位每季季度进行行全面安安全检查查,检查查内容包包括现有有安全技技术措施施的有效效性、安安全配置置与安全全策略的的一致性性、安全全管理制制度的执执行情况况等;3.每次检检查都要要制定安安全检查查表格实实施安全全检查,汇汇总安全全检查数数据,形形成安全全检查报报告,并并对安全全检查结结果进行行通报;4.将上述述工作要要求写入入安全全审核和和检查管管理制度度,用用以规范范安全审审核和安安全检查查工作的的频率等等重要内内容。安全检查记记录表检查类型:定期安安全检查查单位名称X
40、XXXXXXXXXXX工程名称检查时间检查单位检查项目或或部位参见检察人人员检查记录检查结论及及意见填表人:四、人员安安全管理理第一章 人人员录用用1.组织编编制各部门根据据实际工工作之需需,进行行工作分分析,设设定工作作岗位,明明确各岗岗位职责责,任职职条件、需需要人数数等。根据权责分分工及不不同职位位的相互互关系,建建立组织织架构,并并根据各各职位人人员配备备数,确确定组织织编制, 各部门门负责制制订本部部门组织织编制,人人事行政政部汇总总制订全全公司组组织编制制。每年年11月月份制订订下年编编制,如如因公司司经营决决策有重重大调整整或重大大形势变变化,经经总经理理同意可可在需要要时修订订
41、。2.招聘原原则人员招聘根根据人事事编制安安排,一一般不得得超出批批准的编编制(确确须超出出原编制制招员的的,应先先按规定定修订编编制)人员招聘应应遵循公公开、公公平、公公正原则则,平等等竞争,择择优录取取。3.招聘时时机原有人员异异动或离离职,需需补缺。工作业务量量扩大,现现有人力力不能满满足工作作需求,需需扩招。4.录用人人员基本本要求 4.1 具具备应聘聘岗位所所需的文文化和技技能要求求,并通通过考试试或考核核合格。4.2具备备应聘岗岗位所要要求的年年龄和身身体条件件。4.3 身身份正当当,具有有有效身身份证及及国家规规定的其其它证明明。4.4 思思想品德德好,认认同公司司的文化化,能够
42、够自觉遵遵守公司司的规章章制度、自自觉维护护公司的的权益和和形象并并愿意 为公司司服务。4.5服从从公司的的工作安安排,努努力做好好本职工工作。4.6 患患有精神神性、传传染性及及其它有有可能影影响正常常工作、危危害公众众健康的的疾病的的人员不不得录用用。4.7 隐隐瞒、伪伪造、冒冒用个人人证件、履履历的人人员不得得录用。4.8 受受过刑罚罚或正被被追究刑刑事责任任的人员员不得录录用。4.9 被被公司辞辞退、开开除或自自动离职职的原公公司员工工不得再再行录用用。5.招聘人人员岗位位要求各部门应根根据不同同职位要要求,对对性别、年年龄、教教育程度度、相关关工作年年限、专专业知识识、技能能及其它它
43、适职 条件做做出明确确说明;便于人人事行政政部遴选选初试。 6.招聘种种类 6.1 外外招外招适用于于公司现现有人力力不能满满足实际际工作需需要时(数量不不足、任任职资格格不足)。 6.2 内内招 6.2.11 内招招适用于于选拔同同一职级级但不同同职位或或更高职职级之职职位人员员,在公公司现有有人力资资源可以以满足 的情况况下,应应优先采采用内招招形式。 6.2.22 内招招报名人人员需填填写好内内招人员员报名表表,经经部门主主管人员员批准后后,送交交人事行行政部。 7.招聘程程序 7.1 人人事需求求申请 7.1.11 需求求部门根根据生产产经营和和发展需需要至人人事行政政部处领领取人人员
44、需求求申请表表提出出人事需需求申请请,注明明是内招招还是外外招,由由部门主主管人员员审核,人人事行政政部根据据各部门门的定编编定岗情情况确认认后,呈呈总经理理核准。 7.1.2 需需求部门门应于实实际需求求日前提提出人事事需求申申请,生生产作业业人员提提前7天天申请,办办公室普普通职员员 提前前15天天申请,部部门主管管(含)及以上上中层管管理人员员提前330天申申请,以以便于人人事行政政部统筹筹安排招招聘。7.1.33 人事事行政部部应按部部门需求求及时组组织招聘聘,如到到需求时时间未招招到合适适人员,人人事行政政部应向向需求 部门说说明原因因,并与与需求部部门协调调,再行行确认预预计时间间
45、,并视视需要重重新确认认需求条条件。7.2 甄甄选 7.2.11 人事事行政部部根据经经批准的的需求申申请制订订招聘计计划,组组织招聘聘,选择择招聘渠渠道,主主要形式式有: a)、厂区区门口就就地招聘聘、职介介机构、劳劳务所推推介(主主要用于于招聘生生产作业业人员)。b)、参加加人才招招聘会、网网络招聘聘(主要要用于招招聘办公公室普通通职员和和中层管管理人员员)。 c)、与院院校合作作,由校校方推介介(主要要用于招招聘实习习生)。d)、猎头头公司推推荐。(主主要用于于招聘高高层管理理人员)。7.2.22人事行行政部对对应聘资资料进行行收集、分分类、归归档,按按照所需需岗位的的职位描描述做初初步筛选选。 7.2.33拟选人人员一般般需经