第一篇：公司的信息安全管理體系

公司的信息安全管理體系

信息安全通過人員安全、文檔與數(shù)據(jù)安全，軟件與系統(tǒng)安全、硬件與網(wǎng)絡(luò)安全，區(qū)域安全實(shí)現(xiàn)對(duì)信心機(jī)密性，完整性，可用性的保護(hù)。信息安全管理體系的引入，可以協(xié)調(diào)各個(gè)方面信息管理，管理更為有效。信心安全管理體系是對(duì)系統(tǒng)地組織敏感信息進(jìn)行管理，涉及到人，程序和信息技術(shù)（IT）系統(tǒng)。

Iso27001:2005是一套國際公認(rèn)的信息安全管理體系標(biāo)準(zhǔn)，按照標(biāo)準(zhǔn)實(shí)施，可以幫助公司識(shí)別，管理和減少信息通常所面臨的各種威脅。11個(gè)角度：

1． 安全方針：為信息安全提供管理指導(dǎo)和支持

2． 安全組織：在公司內(nèi)管理信息安全

3． 資產(chǎn)分類與管理：對(duì)公司的信息資產(chǎn)采取適當(dāng)?shù)谋Ｗo(hù)措施

4． 人員安全：減少人為錯(cuò)誤，偷竊，欺詐或?yàn)E用信息及處理設(shè)施的風(fēng)險(xiǎn)

5． 實(shí)體和環(huán)境安全：防止對(duì)商業(yè)場(chǎng)所及信息未經(jīng)授權(quán)的訪問，損壞及干擾

6． 通訊與運(yùn)作管理：確保信息處理設(shè)施正確和安全運(yùn)行

7． 訪問控制：管理對(duì)信息的訪問

8． 系統(tǒng)的獲得、開發(fā)和維護(hù)：確保將安全納入信息系統(tǒng)的整個(gè)生命周期

9． 安全事件管理：確保安全事件發(fā)生后有正確的處理流程和報(bào)告方式

10． 商業(yè)活動(dòng)的連續(xù)性管理：防止商業(yè)活動(dòng)的中斷，并保護(hù)關(guān)鍵的業(yè)務(wù)過程免收重大故

障或?yàn)?zāi)難的影響

11． 符合法律：避免違反任何刑法和民法，法律法規(guī)或合同義務(wù)以及任何安全要求。

信息安全建設(shè)的原則

領(lǐng)導(dǎo)重視，全民參與：信息安全不僅僅是發(fā)務(wù)部和IT中心的工作，需要各事業(yè)部，中心以及公司全體員工的共同參與

管理與技術(shù)結(jié)合：技術(shù)不是絕對(duì)的，信息安全管理遵循“七分管理，三分技術(shù)”管理原則。

“二八”原則：20%的信息安事件來自外部攻擊，80%的信息安全事件發(fā)生在公司內(nèi)部

管理原則：管理為主，技術(shù)為輔，內(nèi)外兼防，發(fā)現(xiàn)漏洞，消除隱患，確保安全。

信息安全管理體系建設(shè)的目的1管理理解企業(yè)所擁有的信息資產(chǎn)的價(jià)值

2提高企業(yè)員工對(duì)安全的認(rèn)識(shí)和對(duì)安全管理的參與

3提好企業(yè)用戶及合作伙伴對(duì)企業(yè)的信心，信任，滿意程度

4提高企業(yè)信息安全管理的只連年感和水平

5遵守相關(guān)法律法規(guī)的要求

6使企業(yè)更有效的管理和處理安全事件

7通過制定和實(shí)施符合國標(biāo)標(biāo)準(zhǔn)的安全管理制度來提高企業(yè)的競(jìng)爭(zhēng)優(yōu)勢(shì)和聲譽(yù)

8為將來企業(yè)全面發(fā)展電子商務(wù)打下最重要的基礎(chǔ)

計(jì)算機(jī)安全

1計(jì)算機(jī)密碼設(shè)置要求

至少6位

包含下面4類字符組中的3類，數(shù)字，英文大小寫字母和非字母數(shù)字字符

不包含用戶名的全部或大部分

至少90天更換一次密碼

新密碼不能與舊密碼相同

2開機(jī)密碼

計(jì)算機(jī)必須設(shè)置開機(jī)密碼，不設(shè)開機(jī)密碼，那么他人可隨意操作你的計(jì)算機(jī)

3登入密碼

計(jì)算機(jī)必須設(shè)置登錄密碼，不設(shè)置登錄密碼，黑客將會(huì)很輕松的攻破你的計(jì)算機(jī) 操作系統(tǒng)，并且竊取重要資料，其他人也可以輕易的使用你的計(jì)算機(jī)

4屏幕保護(hù)密碼

計(jì)算機(jī)必須設(shè)置屏幕保護(hù)密碼，當(dāng)你離開座位最少10分鐘請(qǐng)及時(shí)激活屏幕保護(hù)，防止他人乘機(jī)使用你的電腦

4文件夾共巷享密碼

計(jì)算機(jī)必須設(shè)置文件夾共享密碼，禁止不帶密碼的共享方式

6硬盤加密密碼

筆記本電腦必須要設(shè)置硬盤加密密碼，7磁盤消磁

當(dāng)計(jì)算機(jī)硬盤需要換廠更換或者報(bào)廢時(shí)，必須通過硬盤消磁盤處理，消除存儲(chǔ)數(shù)據(jù)，維護(hù)信息安全

8計(jì)算機(jī)軟件安裝

公司禁止員工私自安裝有版權(quán)爭(zhēng)議的軟件

9usb監(jiān)控

公司目前實(shí)施的usb安全策略分為兩種：usb封閉和監(jiān)控。

網(wǎng)絡(luò)，郵件系統(tǒng)，文件安全

1公司內(nèi)部網(wǎng)絡(luò)安全注意事項(xiàng)：

禁止通過公司網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)，從事與工作無關(guān)的事情

禁止在網(wǎng)絡(luò)上偽裝為他人

禁止在公司網(wǎng)絡(luò)上運(yùn)行黑客工具

禁止在公司網(wǎng)絡(luò)上使用非公司的電子郵件

禁止員工私自撥號(hào)上網(wǎng)

禁止未經(jīng)批準(zhǔn)增加網(wǎng)絡(luò)設(shè)備到公司的網(wǎng)絡(luò)架構(gòu)中

2ip地址獲得

公司的內(nèi)部的ip地址設(shè)置為自動(dòng)獲取方式，禁止私自固定ip地址 禁止私自架設(shè)代理服務(wù)器上網(wǎng)

第二篇：信息安全及信息技術(shù)服務(wù)管理體系

信息安全及信息技術(shù)服務(wù)管理體系

保

密

協(xié)

議

甲方：

乙方：

新紀(jì)源認(rèn)證有限公司

依據(jù)工信部聯(lián)協(xié)[2010]394號(hào)文《關(guān)于加強(qiáng)信息安全管理體系認(rèn)證安全管理的通知》及各地方和有關(guān)主管部門/監(jiān)管部門，認(rèn)證認(rèn)可相關(guān)規(guī)定對(duì)信息安全，信息技術(shù)服務(wù)管理體系認(rèn)證的要求，為保證申請(qǐng)認(rèn)證組織信息資產(chǎn)的安全，雙方簽訂此保密協(xié)議。具體條款如下：

1、甲方應(yīng)填寫“保密和敏感信息資產(chǎn)和區(qū)域聲明表”，明確甲方的重要敏感信息和區(qū)域，并明確乙方的接觸要求；

2、乙方審核組將嚴(yán)格遵守保密承諾。審核組在現(xiàn)場(chǎng)審核過程中不以任何形式記錄甲方的保密或敏感信息。審核組在離開審核現(xiàn)場(chǎng)前，接受甲方的檢查和確認(rèn)審核組攜帶的文件、資料和設(shè)備中未夾帶甲方的任何保密或敏感信息；

3、未經(jīng)甲方的書面授權(quán)，乙方及其審核組不得將甲方在經(jīng)營、生產(chǎn)、技術(shù)、管理等方面的非公開信息以任何方式泄密給第三方但下列情況除外：

?甲方已公開的信息，或在提供時(shí)已為公眾所知的信息，或雖不為公眾所知但已不再是秘密的信息；

?得到甲方的書面同意；

?應(yīng)法律要求時(shí)，但發(fā)生該等情形時(shí)應(yīng)及時(shí)通知甲方。

4、乙方所有保密義務(wù)及于乙方內(nèi)部人員及為乙方工作的外部人員，上述人員已經(jīng)與乙方簽署了保密協(xié)議或具有保密條款的法律文件。如甲方要求，我方直接接觸客戶組織信息的認(rèn)證人員（如審核組成員）可按照甲方的保密要求與甲方簽署保密協(xié)議。

5、本協(xié)議作為認(rèn)證合同的附件，與認(rèn)證合同具有同等法律效力；

6、本協(xié)議一式兩份，雙方各執(zhí)一份，經(jīng)雙方簽章后生效，且不因認(rèn)證協(xié)議的解除而失效。

甲方（名稱加蓋單位公章）：

甲方 法定代表人 或授權(quán)人：

日

期 ：

****年**月**日

乙方（名稱加蓋單位公章）：新紀(jì)源認(rèn)證有限公司 乙方 法定代表人或 授權(quán)人：

日

期：

****年**月**日

第三篇：信息安全管理體系記錄控制程序

信息安全管理體系記錄控制程序 1.適用

本程序適用于本公司產(chǎn)生的記錄的管理。

2.目的為支持信息安全體系的運(yùn)作而明確記錄的管理。

3.管理方法

3-1保管方法

（1）記錄由各保管部門在可快速檢索的條件下，決定保管場(chǎng)所，放在箱子、柜子等適當(dāng) 容器中保管。

（2）對(duì)保管場(chǎng)所的環(huán)境，本程序沒有特別指定。由各保管部門考慮記錄媒體的特性做適 當(dāng)處理。

（3）以電子媒體保管的場(chǎng)合，為預(yù)防意外，需做適當(dāng)?shù)膫浞?。備份的安全要求?zhí)行《信息備份管理程序》。

（4）記錄保管部門應(yīng)建立《記錄清單》，明確規(guī)定保管記錄類別、記錄保存期限等。記錄的保存應(yīng)符合有關(guān)法律法規(guī)的要求，保存期限參考本規(guī)格書第 4 條款。

（5）因工作需要，借閱其他部門的秘密記錄，應(yīng)獲得記錄保管部門負(fù)責(zé)人授權(quán)后方可借 閱，并留下授權(quán)記錄和借閱記錄。借閱者在借閱期內(nèi)應(yīng)妥善保管記錄，并按期歸還；機(jī) 密記錄只準(zhǔn)在現(xiàn)場(chǎng)查閱。

（6）記錄的字跡應(yīng)清晰、真實(shí)、文字表達(dá)準(zhǔn)確、簡練，記錄不得隨意修改。確需修改時(shí)，必須在修改處作標(biāo)識(shí)，并由修改人簽名確認(rèn)。

3-2廢棄 超過保管期限的記錄，由保管部門作為秘密文件處理廢棄。廢棄應(yīng)采用安全可靠的處置 方法（如書面記錄采用粉碎方法、電子媒體采用格式化方法等)，處置記錄應(yīng)予以保存。但若保管部門認(rèn)為必要時(shí)，仍可繼續(xù)保管超出保管期限的記錄。

4.記錄的分類和保存年限

記錄類型 測(cè)試報(bào)告

關(guān)于合同內(nèi)容確認(rèn)的記錄 購買管理

保管期限（年)3 年 合同

保管部門 技術(shù)部 行政部 集成部

行政部 集成部

質(zhì)量保證書 定單

供應(yīng)商變更申請(qǐng)書 供應(yīng)商清單 購買需求單 購買合同

購買質(zhì)量保證書 供應(yīng)商評(píng)價(jià)表 供應(yīng)商檢查表 5 年

合同結(jié)束后 3 年

文件管理 內(nèi)部審核 員工教育履歷

信息安全管理評(píng)審會(huì)議記錄以及糾正措施記錄 信息安全目標(biāo)以及分解 預(yù)防措施 影響分析報(bào)告業(yè)務(wù)持續(xù)性計(jì)劃業(yè)務(wù)持續(xù)性計(jì)劃測(cè)試報(bào) 業(yè)務(wù)持續(xù)管理 告

業(yè)務(wù)持續(xù)性計(jì)劃評(píng)審報(bào) 告

信息資產(chǎn)識(shí)別表

重要信息資產(chǎn)清單重要信息資產(chǎn)評(píng)估表風(fēng)險(xiǎn)評(píng)估報(bào)告 資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)處理計(jì)劃

調(diào)查報(bào)告

信息事故、異常處理記糾正措施 錄 信息設(shè)備更改申請(qǐng)書 變更管理 軟件安裝/升級(jí)申請(qǐng)書

采購記錄

維護(hù)記錄 授權(quán)記錄 訪問記錄 訪問保密協(xié)議 用戶訪問授權(quán)記錄 用戶訪問權(quán)限評(píng)審記錄

審核日志（電子媒體)參見檔案 管理規(guī)程年 5 年 2 年 3 年 1 年 2 年 10 年 10 年 行政部 行政部 行政部 行政部 行政部 各部門 集成部 集成部年 集成部年 3 年 3 年 3 年 3 年 3 年 3 年 3 年 3 年年 3 年

設(shè)備使用期間保 管 2 年 2 年 3 年

保持至員工 離職 3 年 1 年 參見檔案 管理規(guī)程 5 年

信息處理設(shè)備相關(guān)記錄

集成部 行政部 集成部 集成部 集成部 集成部 行政部 集成部

集成部或技術(shù)部 集成部 集成部 集成部 技術(shù)部

系統(tǒng)開發(fā)相關(guān)記錄

用戶邏輯訪問相關(guān)記錄

技術(shù)部

技術(shù)部 集成部 集成部 行政部 行政部

人事相關(guān)記錄 財(cái)務(wù)相關(guān)記錄

第四篇：信息安全管理體系作業(yè)文件

信息安全管理體系作業(yè)文件 Token管理規(guī)定

產(chǎn)品運(yùn)輸保密方法管理規(guī)定 介質(zhì)銷毀辦法

保安業(yè)務(wù)管理規(guī)定

信息中心主機(jī)房管理制度 信息中心信息安全處罰規(guī)定 信息中心密碼管理規(guī)定

信息安全人員考察與保密規(guī)定 信息開發(fā)崗位工作標(biāo)準(zhǔn) 信息系統(tǒng)訪問權(quán)限說明 信息銷毀制度(檔案室）

可移動(dòng)媒體使用與處置管理規(guī)定 各部門微機(jī)專責(zé)人工作標(biāo)準(zhǔn) 復(fù)印室管理規(guī)定

工程師室和電子間管理規(guī)定 數(shù)據(jù)加密管理規(guī)定

文件審批表

機(jī)房安全管理規(guī)定

檔案室信息安全職責(zé)

法律法規(guī)與符合性評(píng)估規(guī)定 生產(chǎn)經(jīng)營持續(xù)性管理戰(zhàn)略計(jì)劃 監(jiān)視系統(tǒng)管理規(guī)定

系統(tǒng)分析員崗位工作標(biāo)準(zhǔn) 經(jīng)營部信息事故處理規(guī)定 經(jīng)營部信息安全崗位職責(zé)規(guī)定 經(jīng)營部計(jì)算機(jī)機(jī)房管理規(guī)定 經(jīng)營部訪問權(quán)限說明 網(wǎng)站信息發(fā)布管理規(guī)定

網(wǎng)絡(luò)中間設(shè)備安全配置管理規(guī)定 網(wǎng)絡(luò)通信崗位工作標(biāo)準(zhǔn) 計(jì)算機(jī)硬件管理維護(hù)規(guī)定 財(cái)務(wù)管理系統(tǒng)訪問權(quán)限說明 遠(yuǎn)程工作控制規(guī)定

第五篇：地鐵信息管理體系

沈陽地鐵與上海地鐵信息管理體系分析

一． 沈陽地鐵公司信息管理體系

1.財(cái)務(wù)管理

核算管理：總賬管理 應(yīng)收賬款 固定資產(chǎn) 應(yīng)付資產(chǎn) 預(yù)算管理：目標(biāo)設(shè)定 預(yù)算編制 預(yù)算監(jiān)控 預(yù)算報(bào)告 資金管理：資金計(jì)劃 資金預(yù)測(cè) 現(xiàn)金管理 賬戶管理 2.人力資源管理

員工發(fā)展管理：員工發(fā)展計(jì)劃 員工發(fā)展評(píng)估 員工發(fā)展反饋 人事信息管理：員工基礎(chǔ)信息 員工檔案信息 人事組織信息 教育培訓(xùn)管理：培訓(xùn)計(jì)劃 培訓(xùn)執(zhí)行 培訓(xùn)評(píng)估 組織與崗位管理：崗位設(shè)計(jì) 工作說明書 指標(biāo)設(shè)計(jì) 3.物資管理 需求計(jì)劃管理：需求預(yù)測(cè) 補(bǔ)貨計(jì)劃 采購計(jì)劃 需求平衡 采購申請(qǐng)審批與分配

采購管理：詢報(bào)價(jià)管理 合同管理 采購預(yù)算控制 采購單交付 采購支付和發(fā)票校驗(yàn)

供應(yīng)商管理:供應(yīng)商信息管理 供應(yīng)商評(píng)估和分析 供應(yīng)商協(xié)同管理 庫存管理：入庫 出庫 轉(zhuǎn)庫 退庫管理 庫存盤點(diǎn) 庫存報(bào)廢 庫存報(bào)表 4.設(shè)備設(shè)施管理 設(shè)備臺(tái)賬管理：存儲(chǔ)各類設(shè)備的靜態(tài)臺(tái)賬信息和動(dòng)態(tài)臺(tái)賬信息，各種設(shè)備的查詢 工單管理：根據(jù)各類設(shè)備屬性和地理位置創(chuàng)建各類工具，控制各類工單的執(zhí)行并與財(cái)務(wù)‘物質(zhì)等進(jìn)行集成

維修計(jì)劃管理：根據(jù)不同類型的設(shè)備制定基于時(shí)間‘性能或者狀態(tài)的維修計(jì)劃，并發(fā)布工單

設(shè)備狀態(tài)分析：支持設(shè)備缺陷和故障‘設(shè)備對(duì)象的狀態(tài)和趨勢(shì)，技術(shù)參數(shù)歷史與設(shè)備成本分析。5.資源租賃管理

租賃單元管理：租賃申請(qǐng)‘租賃要約‘租賃合同’租入業(yè)務(wù)

租賃合約管理：出租資源管理‘出租單元管理’租戶及合作伙伴管理 租賃結(jié)算管理：租金管理‘租賃會(huì)計(jì)’服務(wù)費(fèi)用結(jié)算 6.文檔管理

包括條目管理 電子文件管理檔案業(yè)務(wù)管理 流程管理 報(bào)表統(tǒng)計(jì)管理 安全管理 7.客戶關(guān)系管理

市場(chǎng)管理：市場(chǎng)計(jì)劃和預(yù)算 市場(chǎng)活動(dòng)管理，品牌管理，渠道促銷管理，市場(chǎng)分析

服務(wù)管理;投訴管理，事件管理。服務(wù)分析

銷售管理：客戶和聯(lián)系人管理，線索和商機(jī)管理，合同管理，報(bào)價(jià)和訂單管理，合作伙伴管理，銷售分析 8.辦公自動(dòng)化

企業(yè)文化：企業(yè)形象，信息發(fā)布，規(guī)章制度，電子期刊，技術(shù)交流，電子論壇，員工建議

個(gè)人事務(wù)：今日工作，個(gè)人文檔，通訊錄，日程安排，電子郵件，個(gè)人設(shè)置，短信提醒

辦公管理：收文管理，發(fā)文管理，傳真服務(wù)，呈批件，會(huì)議審批，公告與通知，催辦，業(yè)務(wù)聯(lián)系單，人員動(dòng)態(tài)，目錄管理，檔案管理，電子報(bào)銷，報(bào)表傳遞，辦公車輛管理 9.客運(yùn)管理

票務(wù)管理：儲(chǔ)值票管理，單程票管理，計(jì)次票管理，往返票管理 行車管理：行車計(jì)劃管理，施工計(jì)劃申報(bào)、審批 10.決策支持系統(tǒng)

客流量查詢：各站客流量，日客流量，周客流量，高峰小時(shí)最大客流量 收入查詢：票務(wù)收入，資源租賃收入查詢，其他收入查詢等

二、上海地鐵公司信息管理體系

上海地鐵信息系統(tǒng)分為隱患控制、安全責(zé)任、安全統(tǒng)計(jì)分析、事故管理和安全檔案5個(gè)子系統(tǒng)

1、隱患子系統(tǒng)是整個(gè)信息管理系統(tǒng)中的核心部分，其他子系統(tǒng)從某種意義上說都是為該子系統(tǒng)服務(wù)的，其主要功能是收集各種固有隱患情況和確定事故類型，進(jìn)行分析、分級(jí)、歸類、制定風(fēng)險(xiǎn)控制策略，實(shí)現(xiàn)對(duì)安全生產(chǎn)的預(yù)先防范和動(dòng)態(tài)控制，并將控制的結(jié)果及時(shí)歸納總結(jié)。

2、安全責(zé)任子系統(tǒng)負(fù)責(zé)建立各級(jí)管理責(zé)任和考核指標(biāo)，記錄措施落實(shí)情況和考核結(jié)果，對(duì)安全員反饋的各種信息的數(shù)量和質(zhì)量進(jìn)行統(tǒng)計(jì)和評(píng)價(jià)。

3、安全統(tǒng)計(jì)分析子系統(tǒng)負(fù)責(zé)建立安全作業(yè)計(jì)劃安排表，收集日常安全生產(chǎn)報(bào)表。

4、事故管理子系統(tǒng)對(duì)事故處理過程中需要描述事故的大量數(shù)據(jù)、文字、圖像進(jìn)行輸入、歸納和整理，并要隨時(shí)調(diào)閱各類圖紙、法令、法規(guī)、技術(shù)規(guī)范等信息。在此基礎(chǔ)上形成對(duì)事故的總結(jié)與分析報(bào)告。

5、安全檔案子系統(tǒng)負(fù)責(zé)建立各級(jí)安全組織、安全管理人員、安全教育集訓(xùn)和勞動(dòng)保護(hù)情況的檔案等。

09交運(yùn)七班 20092878 秦偉杰