众达说两化=程序文件之信息安全

“ 现代社会信息安全越来越重要，数据泄露造成的损失往往难以估算”

信息安全程序文件编写

🔹 一、目的

增强公司全体员工信息安全意识和技能。建立包括信息安全承诺、要求、实施、维持、监视、风险评估和管理的制度体系，建立信息安全事件管理规程，以及有效的信息安全事件应急处理机制，按照规程报告信息安全事件，并及时响应。

🔹 二、适用范围

本程序适用于公司两化融合管理体系及日常工作中与信息安全相关的管理。

🔹 三、职责

3.1 总经理负责重要的信息安全保护措施的审定。

3.2 管理者代表负责对重大信息安全事件的处置工作进行指导、监督。

3.3 信息中心作为信息安全的归口管理部门，负责整体规划、建设实施整改、制度建立、监督考核各部门的信息安全工作；负责公司网络、服务器、计算机等软硬件设备的维护工作。

3.4 各部门负责所属信息资产的识别和风险评估，负责本部门所涉及的信息资产的具体安全管理工作。

🔹 四、工作程序

4.1 公司各部门根据实际业务情况，提出信息安全需求，并报信息中心统一汇总。需求识别包括数据安全的需求，机房、设备等安全风险的需求。信息中心培训中心定期或不定期对公司员工进行信息安全培训教育，确保全员认识到信息安全的重要性和紧迫性，增强信息安全意识。

4.2 管理者代表综合考虑公司的信息安全状况，提出信息安全的具体实施范围。确立各部门对于信息安全所承担的责任，完善信息安全管理和防范机制。

4.3 信息中心负责制定公司的信息安全实施规范，并报公司管理者代表和总经理审批通过发布执行。

4.4 各相关部门执行信息中心制定的信息安全实施规范，并将实施过程中出现的问题及时向信息中心部反馈。

4.5 信息安全日常管理

4.5.1 终端安全管理

a）个人终端须安装公司发布的标准软件；

b）个人终端须使用公司邮箱发送公司文件，不得通过公司以外的网络传输公司有关文件；

c）外来人员终端需接入公司内网时，相应部门须提交申请审批。

4.5.2 数据安全管理

a）业务经营数据须定期备份，并确保有详细的访问、审批和操作记录；

b）涉及商业机密和知识产权的信息未经授权不得以任何形式对外发布；

c）未经授权不得访问和传播公司信息；

d）员工不得使用外部应用系统处理公司业务；

e）员工个人通过移动存储介质（如移动硬盘、U 盘等）进行数据交换前，须进行病毒扫描；

4.5.3 帐号权限安全

a）帐号及权限须定期检查清理；

b）员工不得将个人账号共享他人使用；

c）员工异动须所在单位及时提交账号、权限变更申请；

d）多人不得共享同一账号开展业务；

e）外部人员账号须设置有效期，由专人管理，定期检查清理。

4.5.4 网络、服务器及应用系统安全管理

a）未经授权不得将 IT 设备接入公司网络；

b）服务器须安装防病毒产品，定期检查版本漏洞，及时更新安全补丁；

c）业务应用系统未经授权不得直接在互联网上发布，在互联网环境访问公司业务系统须通过安全认证方式连接；

4.5.5 外包服务安全管理

a）外包服务须与服务提供方签订保密协议，明确项目实施过程及项目结项以后的信息安全具体责任与要求；

b）须要求外包商离场前清除所有客户数据；

c）服务合同须遵从本规定的相关要求。

4.6 信息中心定期对公司的信息安全设备设施进行检查，实时监控公司的信息安全状况，信息安全措施主要有网络防火墙、上网行为、病毒预防、数据安全加密、系统权限设置、文件备份等。

4.7 信息中心定期向管理者代表和总经理汇报公司的信息安全状况。

4.8 公司信息安全实施过程文档由信息中心统一保存。

🔹 五、相关文件

《信息安全管理制度》

《数据备份与恢复管理制度》

《机房管理制度》

《云服务器管理制度》（如企业上云，需要做类似制度文件）

《计算机网络管理制度》

《信息化应急预案》

《信息安全风险评估与处置表》

🔹 六、相关记录

机房（云服务器）巡检记录

机房人员出入登记表

信息化应急演习记录

数据备份记录表

---

对应标准7.6信息安全　 

组织应：

a）采取适当措施，确保全员认识到信息安全的重要性和紧迫性，增强信息安全意识；

b）确立信息安全责任制，完善管理和防范机制；

c）提供必要的技术条件和设备设施保障；

d）识别可能存在的信息安全风险，进行持续性管理，确保信息安全事件得到有效处理。

---

信息安全是企业的保障，是企业信息系统运作的重要部分，利用计算机网络技术与各重要业务系统相结合，可以实现无纸办公。有效地提高了工作效率，如外部门户网站系统、内部网站系统、办公自动化系统、营销管理系统、配网管理系统、财务管理系统、生产管理系统等。然而信息化技术给我们带来便利的同事，各种网络与信息系统安全问题也主见暴露出来，其安全的重要性不言而喻，一旦出现安全问题，所有的工作等于零。

两化融合贯标合作交流

公司主要为企业提供两化融合管理体系咨询服务、企业信息化咨询服务。公司坚持“集众智力、成人达己”为宗旨，公司成立四年以来，注重人才培养，公司两化融合咨询师均参加联盟培训辅导并获得证书。通过内部项目管理系统及时跟进两化融合进度，确保两化融合贯标项目按时保质保量完成。公司辅导两化融合贯标企业目前全部获得证书，下图为部分获证企业证书

同时公司注重知识的传递，推出了免费版贯标基础教程以及付费版贯标全程操作教程