信息系统每安全如管理流程.docVIP

信息系统安全管理 范围 适用于信息技术部实施网络安全管理和信息实时监控，以及制定全公司计算机使用安全的技术规定 控制目标 确保公司网络系统、计算机以及计算机相关设备的高效、安全使用 确保数据库、日志文件和重要商业信息的安全 主要控制点 信息技术部经理和公司主管副总经理分别审批信息系统访问权限设置方案、数据备份及突发事件处理政策和其它信息系统安全政策的合理性和可行性 对终端用户进行网络使用情况的监测 特定政策 每年更新公司的信息系统安全政策 每年信息技术部应配合公司人力资源部及其它各部门，核定各岗位的信息设备配置，并制定公司的计算机及网络使用规定 当员工岗位发生变动，需要更改员工的邮件帐号属性、服务器存储空间大小和文件读写权限时，信息技术部必须在一天内完成并发送邮件或电话通知用户 对于信息系统（主要为服务器）的安全管理，应有两名技术人员能够完成日常故障处理以及设置、安装操作，但仅有一名技术人员掌握系统密码，若该名技术人员外出，须将密码转告另外一名技术人员，事后应修改密码，两人不能同时外出，交接时应做好记录 普通事件警告是指未对信息系统安全构成危害、而仅对终端系统或局部网络安全造成危害，或者危害已经产生但没有继续扩散的事件，如对使用的终端和网络设备未经同意私自设置权限等；严重事件警告是指对信息系统安全构成威胁的事件，如试图使病毒（木马、后门程序等）在网络中扩散、攻击服务器、改变网络设备