it信息安全管理制度

it信息安全管理制度（精选6篇）

it信息安全管理制度 第1篇

富世康公司IT信息安全管理制度

第一条 总则

通过加强公司计算机系统、办公网络、服务器系统的管理，保证网络系统安全运行，保证公司机密文件的安全，保障服务器、数据库的安全运行。加强计算机使用人员的安全意识，确保计算机系统正常运转。

第二条 范围

1、计算机网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。

2、软件包括：服务器操作系统、SQL数据库、金蝶财务软件、浩龙餐饮管理软件、思迅商业管理软件、今目标办公自动化系统、微励系统及其它办公软件。

3、客户机的网络系统配置包括客户机在网络上的名称，IP地址分配，用户登陆名称、用户密码、及Internet的配置等。

4、系统软件是指：操作系统（如WINDOWS XP、SERVER2008、WINDOWS7等）软件。

第三条 职责

1、信息部为网络安全运行的管理部门，负责公司计算机网络系统、计算机系统、数据库系统的日常维护和管理。

2、负责系统软件的调研、采购定型、安装、升级、保管工作。

3、网络管理人员负责计算机网络系统、办公自动化系统、平台系统的安全运行；服务器安全运行和数据备份；Internet对外接口安全以及计算机系统防病毒管理；各种软件的用户密码及权限管理协助各部门进行数据备份和数据归档。

4、网络管理人员执行公司保密制度，严守公司商业机密。

5、员工执行计算机安全管理制度，遵守公司保密制度。

6、系统管理员的密码必须由网络管理部门相关人员掌握。

第三条 管理办法

I、公司计算机使用管理制度

1、从事计算机网络信息活动时，必须遵守《计算机信息网络国际联网安全保护管理办法》的规定，应遵守国家法律、法规，加强信息安全教育。

2、计算机等硬件设备由公司统一配置并定位，任何部门和个人不得允许私自挪1 用调换、外借和移动电脑。

3、电脑硬件及其配件添置应列出清单报审计部，在征得公司领导同意后，由信息部负责进行添置。

4、电脑操作应按规定的程序进行。

（1）电脑的开、关机应按按正常程序操作，因非法操作而使电脑不能正常使用的，修理费用由该部门负责；

（2）电脑软件的安装与删除应在业务部门负责人的许可下进行，任何部门和个人不允许擅自增添或删除电脑硬盘内的数据程序；

（3）电脑操作员应在每周及时进行杀毒软件的升级, 每月打好系统补丁；

（4）不允许随意使用外来U盘，确需使用的，应先进行病毒监测；

（5）禁止工作时间内在电脑上做与工作无关的事，如玩游戏、听音乐等。

5、任何人不得利用网络制作、复制、查阅和传播宣传封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的内容。

6、电脑发生故障应尽快通知信息部及时解决，不允许私自打开电脑主机箱操作。

7、电脑操作员要爱护电脑并注意保持电脑清洁卫生，并在正确关机并完全关掉电源后，方可下班离开。

8、因操作人员疏忽或操作失误给工作带来影响但经努力可以挽回的，对其批评教育；因操作人员故意违反上述规定并使工作或财产蒙受损失的，要追究当事人责任，并给予经济处罚。

9、为文件资料安全起见，勿将重要文件保存在系统活动分区内如：C盘、我的文档、桌面等；请将本人的重要文件存放在硬盘其它非活动分区（如：D、E、F）。（保存前用杀毒软件检察无病毒警告后才可）。并定期清理本人相关文件目录，及时把一些过期的、无用的文件删除，以免占用硬盘空间。

10、所有电脑必须设置登陆密码，一般不要使用默认的administrator作为登陆用户名，密码必须自身保管，严禁告诉他人，计算机名与登陆名不能一致,一般不要使用含有和个人、单位相关信息的名称。

II、网络系统维护

1、信息部每周定时对网络服务器进行巡视，并对公司局域网内部服务器进行检查，如：金蝶服务器、原k3帐套服务器。

2、对于系统和网络出现的异常现象信息部应及时组织相关人员进行分析，制定处理方案，采取积极措施。针对当时没有解决的问题或重要的问题应将问题描述、分析原因、处理方案、处理结果、及时制定出解决方案。

3、定时对服务器数据进行备份。

4、维护服务器，监控外来访问和对外访问情况，如有安全问题，及时处理。

5、制定服务器的防病毒措施，及时更新杀毒软件病毒库，防止服务器受病毒的侵害。

III、用户帐号申请/注销

1、新员工（或外借人员）需使用计算机向部门主管提出申请经批准由信息部负责分配计算机、和登入公司网络的用户名及密码。如需使用财务软件需向财务主管申请，由信息部门人员负责软件客户端的安装调试。

2、员工离职应将本人所使用的计算机名、IP地址、用户名、登录密码、平台软件信息以书面形式记录，经网络管理人员将该记录登记备案。信息部工作人员对离职人员计算机中的公司资料信息备份，方可对该离职人员保存在公司服务器中所有的资料删除。

IV、数据备份管理

服务器数据备份，每周六中午十二点对数据库进行自动实时备份，并在备份服务器中进行逻辑备份的验证工作，经过验证的逻辑备份存放在不同的物理设备中。一般为移动硬盘及360云盘各保留一份。

个人计算机，推荐申请云账号，如百度云、360云、阿里云等公众云，定期上传自身重要文档。

第四条 计算机/电脑维修

1、计算机出现重大故障，须填写《计算机维修单》，并交信息部进行维修。

2、IT管理员对《计算机维修单》存档，便于查询各电脑使用情况。

3、信息部如需外出维修，需报分管领导审批。

第五条

公司信息系统管理（暂定）

1、对于服务器数据（包括财务软件系统）由管理员每月定期异地备份一次，并设置服务器自动每周备份一次数据库；异地备份数据由财务部安排存放在异地。

2、系统后台数据只能由服务器系统管理员级信息部人员进行维护，若需外援时，必须在信息部工作人员的陪同下进行操作，其他终端用户不得设置权限进入数据管理后台。

3、终端用户的开通及变更需以书面形式提交给相关部门领导签字确认，其中包括用户的权限变更、账号密码变更、终端软件更新。

4、当遇到服务器需要变更时，管理员应该做好详细的变更记录。如：程序变更、紧急变更、配置/ 参数变更、基础架构变更、数据库修改等。

第六条

违规操作赔偿标准

1、违规操作者：没有造成经济损失的，当事人和责任人赔偿工作时间误工费50-100元。

2、违规操作者：造成经济损失的，除造价赔偿外，另外当事人与责任人赔偿误工费100元。第六条

附则

1、本制度由信息部负责解释，自公布之日起实施。

2、本制度有不妥之处在运行中修改并公布。

it信息安全管理制度 第2篇

【编者按】2011年至今，广东银监局共组织实施信息科技现场检查17次，发现辖内机构IT风险点120处，提出整改建议83条，通过督促整改，消除了一批风险隐患，降低了风险水平。辖内16家接受评级的法人机构2011信息科技风险评估结果显示，三级以上的机构增至14家，机构IT风险管理能力已有改观。但从今年的IT风险现场检查情况看，在风险水平总体下降的同时，辖内银行业金融机构信息安全风险管控状况不尽理想，仍需进一步改善。

一、银行业机构信息安全管理力度不足、风险隐患突出 2012年7月份以来，广东银监局组织了9场次信息科技风险现场检查，从检查情况看，辖内机构在信息安全管理方面存在的问题不容忽视：

（一）对核心信息的管控强度不足、控制结构混乱。检查发现：被查机构对应用系统源代码审核基本都不落实，显然“招行成都分行网银案”(代码漏洞)风险警示未被足够重视;多家机构对重要系统备份介质保管未实施双重控制，甚至有机构将电子银行系统关键密钥交由单人保管；网上银行客户端安全性保护未能达到《网上银行系统信息安全通用规范》（国标）要求;核心网络设备、运行管理系统等重要部件由多人共同使用超级用户；部分机构核心系统中，uucp、nfs等敏感闲臵用户未作删除，理论上有被利用于非法入侵可能；在对某机构测试环境检查时发现测试数据库中的海量生产数据未完全脱敏，且客户机可下载数据表，说明机构对敏感信息的控制强度不足。

（二）对银行终端设备管理较为松懈。中资机构对桌面系统、客户机的安全管理较松懈，基本没有效实施简约客户机模式。如工行、农行近年在改造桌面系统、限制移动接口等方面做过一些尝试，但从高层到普通员工的认同度都不高，至今难于推行，而内网客户机功能过强是很明显的风险点；在银行桌面系统中允许使用移动存储介质是普遍现状，而屏幕摄录日志并未覆盖所有内网机器；另外，大部分机构对内外网交叉连接也未实施有效限制。

（三）信息安全管理制度不全或执行不到位。今年7月，我局检查组在对某城商行现场检查中抽查了银行卡制卡机、后台权限管理客户机各一台，发现：（1）制卡机中存放有2000余条完整的客户制卡明码信息，如果外泄，有可能造成该行银行卡被批量克隆的严重后果，而监管部门之前的风险提示与整改建议未被认真对待；（2）后台管理客户机中有约20张账号、户名、印章齐全的高清支票照片，存在客户机中已超过一年，如外流，将直接威胁客户的账户安全。查阅该行数据管理制度未见有对上述类型信息作存期、获取、使用、销毁等限制性规定内容。

（四）信息安全控制措施的有效性存在疑问。某小型银行虽对内网机器作了移动接口监视，但未对移动存储介质带离银行进行严格管束，也未见该行有定期检查移动介质内容的记录或制定相关审核管控制度，管控方式存在漏洞，易于造成涉密信息外流。如：通过更改客户机、移动介质中的信息变动痕迹，即可使内网监视软件对信息流向的追踪失去目标、形同虚设。此外，对多家中小银行的检查显示，机构对客户机系统软件的安全控制一般只做到黑名单管理层面，未发现有采用更有效的白名单管理模式。

（五）外包流程可能产生信息安全风险隐患。小型机构对外包依赖性较强，但对外包的风险控制措施不到位。广东省局对多家中小型机构的现场检查发现，项目建设期间，外包方人员几乎掌握应用项目的所有信息，并被赋予很高的系统权限，外包协议规定外包商拥有项目建设的关键文档、参数、应用代码等核心信息，并可随时利用开发设备等完整带离机构。这种合作方式有形成“韩国农协行式信息科技风险”隐患可能。

（六）高管层对信息安全风险管控的认知不足。从访谈信息看，辖内银行业机构大部分CIO在信息安全风险识别、监测、控制等方面自我感觉良好，认为本机构信息安全不存在较大问题。但将现场检查、巡查、调查发现的信息对照《广东省银行业金融机构信息科技风险管理指导意见》要求的比较结果表明，当前在任CIO在知识背景、战略意识、对IT风险的认识深度、对监管法规的了解、所主持建立的IT风险防范措施有效性以及与监管部门的沟通能力等方面均存在差距，管理层的引领能力不尽理想。

二、信息安全管理风险突出的原因

（一）高层对信息科技风险管理定位不明确，导致资源配备错位。表现为：认为信息安全管理是科技部门的工作，将科技部门视为信息安全风险的主要管理者，既负责制度制定也负责执行、监督，信息安全风险责任由IT部门兜底；在部分设臵了CIO的机构，也因各种原因未能充分体现其作用。被查机构IT人力资源相对缺乏的现象普遍存在，IT员工比例基本都在5%以下，部分机构甚至不能确保基本的岗位配备需要，致使信息安

全岗位、人员的安排被忽视。

（二）内控系统不完善是引发信息安全问题的重要原因。机构高层对信息安全风险认识程度不够，没有采取恰当的风险管理战略，鲜有通过充分宣传、教育引导全员提高信息安全意识，形成健康的信息安全环境的行为，以致员工不清楚、不了解信息安全的含义，息安全意识淡薄，缺乏对信息安全风险的敏感性（客户机长期大量存放涉密信息可能导致其外泄等事实说明这一现象严重）；另外，内部管理制度、控制措施不完善或不适当，不能充分识别信息安全风险或及时发现、消除、有效控制风险点；内部信息交流不充分，监督纠偏制度不落实，信息安全责任不明确等也是较普遍的现象。

（三）过度依赖外包商导致银行机构未能主动控制外包风险。部分机构认为出现设备、系统故障时可由外包商解决，而对外包商是否能及时、恰当解决问题或最大程度避免安全问题的出现认识不足，导致了对外包商选择、设备选型方面出现缺乏充分论证，流程不规范、对信息安全保护考虑不周的行为；此外，中小机构内部人员对核心系统的掌控能力不足，不得不向外包单位开放更高的系统控制权限，这也可能招致信息安全风险问题。当前，外包监管法规主要作粗线条规定，机构不易直接参照，致其内部制度难以清晰界定如何识别外包风险程度、范围是外包流程管理中风险控制被动的另一原因。

（四）法规支撑力度较弱，影响信息科技监管的有效性。首先，因当前信息科技风险监管因素基本不影响其考核、评级，银行业机构往往将IT监管行为视为“免费体检”，消极应付。对监管意见的执行较随意，不利于IT风险管理环境的改善和整

体风险水平的降低，使信息科技风险监管的作用大打折扣；其次，对信息安全设施、控制措施的审查未予以足够重视，深层次的银行核心信息系统安全与风险控制能力审核、评估过程更未出现在准入流程之列。

三、对策建议

（一）督促机构管理层正视信息科技风险管理。一是建议监管部门定期剖析、通报典型案例，必要时要求机构针对案例进行专项对照自查并提交报告；二是由监管部门负责人对发生信息科技风险事件的、在现场检查中被发现存在重大风险隐患的机构进行点名、警示，对机构管理层形成一定压力，促使其正视信息科技风险的防范；三是将信息科技风险管理评级结果作为机构高管履职评价的参考要素，务使管理层负起IT风险管理第一责任；四是对信息安全内部管理多次出现问题的机构，可考虑调降其内部控制评价等级，提高对其IT风险现场检查的频度；五是可考虑提升监管法规层次，加强监管约束，对IT风险相关内部控制结构混乱，制度无效或有章不循的现象以违规论处。

（二）强化内部控制，管控信息安全内部风险。信息系统已成为银行业重要生产平台，IT风险是很明确的新型风险，机构内部控制系统必需能对其充分识别与控制，防范信息安全风险应作为IT风险相关内控制度建设的基础。一是管理层应走出将信息安全管理认为是科技部门工作的误区，厘清信息安全风险管理边界，通过宣传、教育引导全员提高信息安全意识，形成健康的信息安全环境，使所有员工都了解信息安全的重要性，强化信息安全意识，提高对信息安全问题的敏感性；二是健全

内部管理制度与措施，充分识别并控制信息安全风险，明确信息安全管理责任，通过适当的内部控制结构、管理行为及时发现、有效控制、消除信息安全风险点；三是疏通内部信息交流渠道，加强部门交流、上下层级交流、内部审计与纵向、横向监督，确保管理层及时了解信息安全风险状况，落实纠偏制度。

it信息安全管理制度 第3篇

关键词：信息安全管理,IT项目,全生命周期

一、前言

业务应用的不断拓展, 信息系统已全面渗透到企业的运营中, 而随着网络和通信技术的快速发展, 网络互联与开放、信息共享带来了日益增长的安全威胁[1];病毒和黑客攻击越来越多, 安全事件爆发越来越频繁, 直接影响企业正常业务运作。特别是对于移动通信运营商而言, 信息安全尤为重要, 为了保障客户利益, 加强对信息系统的信息安全管理工作刻不容缓。

新建项目中容易忽视信息安全问题, 如果安全管理工作不到位, 安全风险就得不到控制, 而对安全风险进行控制所需的成本则随着安全管理工作介入项目的时间越晚而越高 (如图1所示) ;因此, 为降本增效, 在IT项目的建设过程中, 越早引入信息安全管理, 安全风险控制的成本就越低, 达到的安全水平也越高。对IT项目进行全生命周期的安全管理, 满足集团安全管理“三同步”的要求, 即在系统的设计、建设和运行过程中, 做到同步规划、同步建设、同步运行[1]。

二、IT项目全生命周期安全管理要求

对IT项目进行安全管理, 一方面是要求项目能应达到与其承载业务相符的安全特性, 如认证、账户管理、操作审计等功能;另一方面, 对项目进行全生命周期的安全管理, 在项目的不同阶段进行评审和验证, 确保项目满足规定的安全方案。结合ISO27000标准体系、国家信息安全标准以及萨班斯法案 (SOX) 的要求, 制定IT项目建设全生命周期的项目安全管理工作流程。

在项目全生命周期各阶段加入安全管控点 (如图2所示) , 制定各阶段安全管控点的安全控制措施和人员职责, 充分考虑信息安全方面的要求, 确保开发出来的系统可以满足公司的安全方针、国家法律法规及萨班斯法案 (SOX) 的要求。

安全要求是通过对安全风险的系统评估予以识别的[2], 因所承载的业务的差异, 每个系统的安全要求有所不同, 每个系统都必须根据其业务流程评估安全风险, 确定其对信息完整性、安全性、可用性的要求, 从而采取适当的安全控制措施。如涉及客户资料、经营信息的系统安全级别较高, 而用于辅助办公的系统安全级别则较低, 需要采取不同的安全控制措施, 才能将信息安全落到实处;不恰当的安全级别划分, 会导致敏感数据的访问控制不严, 甚至敏感数据在防护之外。

三、IT项目建设各阶段安全管理实施方法

3.1项目规划阶段安全管理

项目规划阶段, 定义业务需求, 并进行可行性研究;在定义业务需求时, 应注重对信息安全方面的需求制定。在业务需求书中, 应明确对系统安全的详细要求, 并由项目各相关方 (含信息安全人员) 进行评审, 评审通过才能进行项目立项。业务需求制定完成, 任何对系统安全需求的修改, 也应视为对业务需求书的修改, 需经过正式的系统变更流程。

3.2项目设计阶段安全管理

通过对业务流程的分析, 对系统进行整体设计和详细设计, 考虑数据传输、处理、存储等各个过程中的安全要求, 确保实现所有过程中对数据的全面保护, 特别是对关键业务的敏感数据的保护, 如客户资料、经营数据等, 对重要数据的存储和传输设置权限和校验, 并进行加密。

在系统应用安全层面应至少进行以下安全控制设计:

(1) 身份认证。对用户进行身份识别, 并根据安全策略配置相关参数, 如限制非法登录次数、超时自动退出等, 确保系统不被非法用户进入。

(2) 访问控制。遵循最小权限原则控制用户对文件、数据库表等客体的访问。

(3) 日志与审计。对应用程序中的重要事件进行日志记录, 并进行审计, 以便对系统的重要操作和安全事件进行追踪审查。

(4) 通信安全。对通信过程中的敏感信息字段进行加密, 确保重要的业务数据和敏感的系统信息 (如口令) 的传输不能被窃取和篡改。

对于支撑公司业务运营的系统, 必须设计与公司4A系统的接口。4A系统是融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素的安全管理平台解决方案, 与萨班斯法案 (SOX) 内控需求一致。支撑公司业务运营的系统必须接入4A系统进行统一管理, 以保证认证、授权和审计安全策略的一致实施。

3.3项目实施阶段安全管理

开发人员应参照规范编写代码;严禁不安全的实施方法, 如将用户名或密码编写在程序中、使用未经安全评估的第三方产品等。对源代码的访问和修改必须严格控制, 建议使用配置管理工具进行代码访问及代码版本控制。

开发平台上如需使用来自生产环境的敏感数据, 必须是过期并经过模糊化处理后的数据, 并保留数据导入的处理记录。

3.4项目验收阶段安全管理

验收测试前, 需要制定相应的安全验收标准, 验收要求和标准应定义清楚, 并经信息安全人员评审通过。在测试过程中, 需通过技术手段, 如漏洞扫描等, 对系统的安全性进行测试, 并验证达到要求的管理水平。安全验收测试的结果应由信息安全人员进行评审, 以确认测试结果符合系统设计及公司整体的信息安全需要, 或已经授权采取了充分、恰当的补偿性措施。对于测试中产生的信息和结果应注意保密, 以免泄漏影响系统安全性。

3.5系统上线部署阶段安全管理

系统上线部署前, 通过开展安全漏洞检查、安全防护配套设施检查、基线配置检查等核查手段, 确认安全方面的缺陷已被充分确认及记录, 所有与系统相关的补丁或更新已经实施, 所有测试数据已清理, 软/硬件符合集团安全基线配置规范。此外, 系统如需对互联网开放, 在系统上线前应经过对互联网开放的审批, 并对提供WEB服务的网站部署网站页面防篡改系统。

系统上线后, 系统运行一段时间后对系统进行评估, 评价系统对信息安全要求的符合情况、信息安全控制措施的运行效果和效率, 以及潜在的需要改进的信息安全措施。

3.6系统运营阶段安全管理

(1) 操作管理和控制。制定不相容职责矩阵, 对用户最小化授权, 并制定操作规程。

(2) 变更管理和控制。实施变更前, 详细的变更方案必须获得审批, 确保变更不会对系统的安全性和完整性造成不良影响;开发测试人员不能访问生产系统, 以防止未经测试或未经审批的变更上线到生产系统。

(3) 安全状态监控。对系统的安全运行状态进行监控, 确保系统运行安全。

(4) 业务连续性管理。制定安全事件应急处置预案, 应急预案应明确组织机构及工作职责, 并定期进行应急演练。

(5) 安全测评与改进。定期进行漏洞扫描、渗透测试等安全评估手段, 挖掘系统存在的安全漏洞并进行改进。

3.7系统下线阶段安全管理

系统由于生命周期管理需要退出服务, 进入系统消亡环节, 应对受到保护的数据信息进行妥善转移、转存、销毁, 确保不发生信息安全事件;涉及到信息转移、暂存和清除、设备迁移或废弃、介质清除或销毁, 以及相应资产清单的更新。

四、结语

通过在IT项目生命周期的各个阶段中实施信息安全管理, 确保安全需求在IT项目中进行了充分实施, 项目满足公司整体安全策略的要求;建立以管理手段为抓手, 以技术手段为支撑的IT项目安全管理体系。

参考文献

[1]中国移动网络与信息安全总纲

聚焦IT服务外包的信息安全管控 第4篇

IT服务外包井喷式发展

在强调企业核心竞争力的今天，越来越多的公司将IT服务外包作为企业长期战略成本管理的新兴工具。服务外包的实质是企业和服务商之间的“委托—代理”关系。企业需要对自己重新进行定位，截取价值链中较短的部分，缩小经营范围，在此基础上重新配置企业的各种资源，将资源集中到最能反映企业优势的领域，从而更好地构筑竞争优势，以此获得可持续发展的能力。

随着企业业务发展过程中信息系统所涉及的内容越来越多、结构越来越庞大，企业信息化再也不仅仅是IT部门自己的事情。企业市场竞争压力越来越大，在信息化建设和管理期间迎来了严峻的考验。一方面是IT部门人员少、系统多、任务重，另一方面是公司要求IT部门削减成本、并消除由于缺乏内部控制和运作准则导致的混乱状态，以更高效地服务业务部门。

在多重压力之下，许多企业认为IT部门最重要的工作是确保信息和流程的顺畅，而服务器、存储系统、网络或者交换机等设备并不是最重要。因此，许多企业倾向于将某些应用系统、基础设施和部分非核心系统外包给服务商负责维护。

IT服务外包的风险

企业借外部力量提供专业化服务、将部分非核心业务进行离岸资源外包的过程中，面临着管控、运营等一系列风险，其中最重要的是信息安全风险的威胁。

从表面上看，采用IT外包策略不但可以节约成本，还能提高效率。但事实上，许多企业对IT外包都有许多道不尽的爱恨情仇。外包是一柄双刃剑，其好处是可以向企业灌输技术与人才，帮助企业摆脱繁琐的IT业务——有效的外包能让公司更好的专注于核心业务。

但是进行IT外包并不是一件轻松的事情，如果处理不好，不仅不会带来预期的效益，反而会变成一场噩梦和致命的灾难。所以对于企业IT主管部门而言，必须具有很强的经验和管理技能，才能谈“外包” 二字。

IT外包服务要成为一种商品，就必须形成一套规范和标准，以约束买卖双方。但目前国内IT外包服务领域既无统一规范也无公认标准。概念模糊的用户，面对同样概念模糊的IT厂商，如何评估、签合同、质量控制和定价等都是潜在的“风险”。

此外，IT外包还面临着 IT管理的复杂性、软件缺失、知识产权以及IT外包服务提供商自身能否健康成长等风险。因此企业需要在风险、成本与效果、效率之间找到平衡点。

同时，由于委托方和代理方之间可能存在信息不对称和信息扭曲等问题，加之市场及宏观环境的不确定性，导致委托方在实施外包过程中承担着种种风险。

外包服务关键词：信息安全

企业在IT服务外包过程中面临的最大挑战，就是如何确保企业信息和数据的安全，如何建立起有效的信息安全管控框架，以符合企业信息安全要求。

首先，确认企业内部信息安全管控过程是否可持续监管和优化。在信息防泄漏的“战争”中，相比于躲在暗处的泄密者和安全威胁，站在明处的企业显然略失先机。但如果企业能够做到预先防御，在对手出招之前采取针对性的保护措施，就能从根本上“转被动为主动”，做好内部数据安全防护。

因此，良好的信息防泄体系的前提就是要时刻掌握企业动态，做到要有的放矢。很重要的一点是要实现内部操作的“可视化”，以随时监测整个信息系统的安全状况，做到迅速反应，甚至还能预测到潜在的风险，化被动防御为积极防御。

其次，企业信息安全体系设计需进行全局评估和建设，规避疏漏和风险。安全领域中的木桶理论和马其顿防线的故事相信大家都了解——无论怎么豪华的防线，一个漏洞就可以毁灭所有一切。在企业中，有时候可能是一个小小的系统漏洞就可能毁灭了几百万投资的努力，或者一个无意的非法补丁行为就让企业蒙受损失。

因此，在解决安全问题之时，不能仅仅依赖透明加密等技术手段，“头痛医头，脚痛医脚”地堆砌不同安全产品及封堵安全漏洞，而是需要站在一个更高的战略角度来通盘考虑。如果缺乏整体的分析视角，企业可能会忽视或者低估某个安全攻击的真正威胁，采取的安全措施也可能无法解决真正的问题。

所以，在实际的防泄漏建设中，必须从整体上来评估企业的信息安全状况，运用统一平台来进行风险和安全管理，检测出内部问题，从而描绘出整个企业当前安全情况的更清晰和更准确的图景，采取针对性的防护措施，最大限度降低企业的安全风险。

另外，要有安全和防护等级措施。企业在构建立体化、全方位的整体信息防泄体系时并不是一刀切，不分轻重地在全公司范围内采取相同的策略，这样虽然看似达到了最为安全的效果，但对业务造成的巨大影响，以及因此产生的高额成本，对企业来说，都是巨大的负担。

对信息安全来说，威胁和风险往往和高价值的信息资产联系在一起，安全保护工作也就应该轻重有别，将重点放在高价值的信息资产上。在安全建设过程中，对涉密程度高的部门或岗位进行力度大的防御，对涉密程度低的部门采取相应的安全防御。同时衡量提升安全性可能带来的业务操作上的麻烦、企业安全成本等问题，是企业必须要做的事情。

在企业实施安全防护等级风险评估过程中，往往需要结合企业的实际情况，对三种技术手段整合运用：首先，在全公司范围内进行安全审计，掌握企业操作，发现安全隐患；其次，对特殊岗位和部门，进行严格管控，限制信息的带出；最后，在核心部门内部，对机密信息进行透明加密。这样既可保证公司的正常业务运作，又能有的放矢地实现最优化的信息防泄漏管理，还大大节约了投资成本。

此外，利用科学可行的安全策略和必要的技术手段实现动态性防护。动态性的信息泄露防护，对于目前泄密方式日益增多的企业来说，非常重要。某些企业往往在安全事件发生之后才对现在的策略进行被动的调整。这种“吃一堑、长一智”的防护模式，对于企业而言，有可能是致命的。一旦出了安全事故，恐怕亡羊补牢，为时已晚。

企业需要建立一个动态性的安全防护，前瞻性地发现安全威胁，并通过对技术或管理上的策略进行及时调整更新，防范潜在的安全风险。

最后要强调的是，信息安全体系必须便于使用和维护。如今，市场上五花八门的信息防泄漏产品让企业眼花缭乱，企业期望这种“强强组合”能给企业套上万无一失的金钟罩。殊不知这种做法往往意味着企业必须付出较高的成本，并增加了技术的复杂性，还容易导致产品软件冲突等问题，企业虽然“装”了安全产品，但根本“用”不了。

目前，能够提供整体解决方案的单一安全产品可谓不错的选择，它能够帮助企业建立统一的安全管理平台，无论企业安全边界防护、还是内部使用，都做了整体全面的考虑，同时简化了日常的操作与管理、降低了系统的资源占用、避免了软件冲突等多种问题，使用维护亦非常方便，大大节约了IT人员的时间和精力。

综上所述，如企业信息防泄漏建设符合以上检测标准，说明该企业已经建立了一个完善的整体信息防泄漏体系，机密信息也得到了最大化的保护，实现了“成本、效率、安全”三者的最佳平衡，这也是近年来被大家认可的“整体信息防泄漏”理念的核心。

实际上，信息防泄本身就是一种博弈，是企业和人的博弈。它是一场思维的交锋，企业只有掌握了内部的行为操作，同时针对内部安全威胁建立全面、立体化的安全防护，信息防泄才会立于不败之地。

天玑外包信息安全管控体系

天玑科技提供的IT外包（IT Outsourcing）服务，即“承接企业IT系统维护与管理，按双方服务协议内容完成相关服务”的业务模式。

随着客户对信息安全管理的要求越来越高，天玑科技把IT外包的信息安全管理放在首位，积极贯彻基于风险的管理方法，针对IT服务外包中的安全管理进行了系统思考和有益的尝试。

外包基础和简单重复的服务：考虑到信息安全管理问题，天玑科技初期外包服务范围主要以基础服务外包为主，即将IT系统日常的硬件与软件维护、Helpdesk呼叫中心、信息系统的编码等活动外包，而对于IT系统的规划与管理、核心应用系统（如ERP、CRM）的设计与维护仍然由企业IT部门承担。这样避免了IT服务人员接触组织的核心系统信息，降低了IT服务外包对IT系统敏感部分带来的安全风险。

具备信息安全管理资质：由于IT外包服务过程中，IT服务人员必然会接触到企业的系统设备甚至是内容，如何成为一家可靠安全的IT服务外包供应商也是在进行IT服务外包前必须考虑的重要方面。天玑科技是一家已经建立起完善的信息安全管理体系，并通过了BSI安全认证审核的IT服务外包供应商，专门从事IT服务外，拥有很多有影响的大客户。天玑科技会根据服务内容签订责任明确的服务合同，在服务合同中详细阐明双方在服务提供过程中对信息安全的责任十分关键。

强化日常服务的安全管理：信息安全管理的要求应该体现在IT服务日常管理的各个方面，主要包括：日常活动规范的建立；服务变更控制；服务人员管理；安全事件处理；业务持续管理；知识产权保护和监控与审核等内容。

日常活动规范的建立：针对服务协议中明确的服务内容，建立规范的服务流程是开展IT服务活动的基础。企业信息化主管部门根据双方签订的服务协议，与供应商IT服务主管人员一起建立一套完整的服务规范。服务规范中对服务过程中的安全风险均采取了适当的控制措施，确保了服务活动满足企业信息安全管理策略的要求。

服务变更控制：天玑科技遵从在调整其服务流程和变更服务技术前必须事前进行沟通，在企业评估变更的影响并确认采取了响应控制措施后才能进行服务过程的变更。

服务人员管理：服务人员是IT服务活动的直接执行者。为确保服务人员能够满足要求，天玑科技明确规定了IT服务人员的能力要求和标准，确保只有技术能力强、认真负责的服务人员才能进入服务项目组。同时，对服务人员筛选、培训和变动也提出了具体要求。

安全事件管理：发生安全事件后，双方人员的协调和互动将直接影响对事件处理的结果。在服务过程中发生和发现的信息安全事件必须第一时间上报企业主管部门，在企业主管部门的组织下完成对安全事件的处理。

业务持续管理：由于企业将核心网络和系统硬件均托管给了IT服务供应商进行日常维护。IT服务供应商是否具备满足组织业务需求的业务持续管理能力，成为保证企业信息系统业务持续的关键。在企业整个业务持续管理的框架下，对IT服务供应商的业务持续管理能力提出了明确的要求，在服务协议中进行了明确的定义。同时，针对具体服务系统双方共同制定了相应的灾难恢复计划。

知识产权保护：桌面服务中如何保护组织以及相关方的知识智力产权，是需要在进行IT服务外包过程中管理和控制的重要内容。天玑科技在软件安装和服务过程中工具的使用过程都明确规定了对软件许可证的跟踪与管理要求，确保服务活动满足对知识产权保护的要求。

监控与审核：为确保IT服务供应商能够履行相关责任，企业需以双方签订的服务协议为依据，服务方接受服务活动的监控与审核方法，包括工程师现场服务行为、人员与事件管理等各个环节。通过日常监控检查发现存在的问题并及时解决。同时，建立了与服务供应商每周例会制度，及时沟通和解决服务过程中双方发现的问题。

it信息安全管理制度 第5篇

IT外包服务人员信息安全考核办法

为加强对公司IT外包人员信息安全的管理，考核IT外包人员信息安全实施情况，保障公司业务连续性、可靠性发展，特制定本办法。

一、信息安全管理细则

（一）外包工程师须严格遵守开行总分行的安全管理规范。

（二）公司IT外包工程师须与分行签订保密协议。

（三）对需要保密的技术资料、数据应加强保管，避免无关人员接触。

（四）不得擅自向外传播和介绍客户和项目情况。

（五）明确职责，对于非本人工作职权范围内的机密，做到不打听、不猜测，不参与小道消息的传播。

（六）非经发放部门或文件管理部门允许，外包人员不得私自复印和拷贝有关文件。

（七）树立保密意识，涉及开行秘密的书籍、资料、信息和成果，应妥善保管，若有遗失或失窃，应立即向公司主管领导汇报。

（八）发现其他员工有泄密行为或非本公司人员有窃取机密行为和动机，应及时阻止并向公司主管领导汇报。

（九）不在非工作计算机设备中存放涉及公司秘密的文件。

二、信息安全事件的定义

（一）一般事件：较为严重的安全违规情况，造成10万元以内的直接/间接经济损失，但未对公司核心等关键业务/对外服务造成直接影响的安全事件；

（二）严重事件：对公司部分核心等关键业务开展造成影响，直接/间接经济损失10万元以上、50万元以内的，在行内进行通报的，但能够及时控制范围，尚未在外界造成负面影响的事件；

（三）重大事件：对公司业务开展造成严重影响，直接/间接经济损失50万元以上的；社会影响恶劣，损害公司声誉乃至国家形象的；违反国家信息安全相关法律、法规，受到外部监管机构通报的事件。

三、信息安全考核办法

云易信息IT设备管理制度 第6篇

第一章、总则

第一条、为加强公司的IT设备软硬件及网络管理工作规范IT设备的软件拷贝、硬件维护、网络安全、信息发布、系统维护和数据维护行为确保IT设备的有效利用、信息资源的有效收集、共享及维护利用提高信息化管理工作效率保障信息安全特制定本管理制度。

第二条、本制度中所指的IT设备包括服务器、计算机、打印机含带打印功能传真一体机、交换机、路由器、防火墙、打印服务器等。

第三条、本制度适用范围指产权归属公司含分公司基地、销售办事处、外派机构IT设备个人电脑因工作需求在公司使用并享受补助的应该在行政部备案并遵守本制度。

第四条、根据职责权限行政部为IT职能管理部门具体由IT管理专员从事公司IT管理和维护业务。

第二章资产管理

第五条、加强IT资产管理行政部IT管理员应建立IT资产管理帐表详细记录IT资产的名称、品牌、型号、购入时间、使用人及部门等信息并负责对公司IT资产的申购、分配、报废、处理等进行跟踪和登记。

第六条、IT管理员在对各部门申报的《计算机及其外部设备审批表》中的设备进行资产档案核对确保其上报数据的真实、有效对不符合事实的数据提出异议并上报。

第七条、计算机及其外部设备配备申请的程序为部门申请—部门总经理审核---IT复核—行政部总经理审批价值3000元以下--总裁审批价值3000元以上。

第八条、计算机及其外部设备的配备条件如下

1、台式电脑属xx正式管理员工确因工作业务需要

2、笔记本电脑公司配备需总经理或主持部门工作的副总经理级别以上个人申购用于工作并享受补助需经理或主持部门工作的副经理级别以上特殊岗位需总裁特批

3、打印机除总裁、财务总经理办公室可单独配备打印机外不允许单独配备打印机根据业务性质和办公分布状况由部门共用或几个部门共用打印机。

第九条、自购手提电脑补贴按财务制度执行行政部IT管理专员每年初进行一次清查盘点将享受补贴情况汇总报财务部杜绝超年份享受补贴情况发生。

第十条、对IT报废设备各部门应按规定填写《IT设备处理申请单》按表单流程逐级审批。对已批复的IT处理设备由IT接收人签完字后方可在财务帐中进行处理。对IT报废资

产的接收时应严格按《IT设备报废接收表》的分录进行核对接收并对其负有保管责任。

第十一条、任何部门对借出的IT设备须填写《IT设备借入申请单》并上报行政部批准后方可借取所借设备应妥善保管按时归还。如在使用期间损坏应照价赔偿。

第十二条、各部门对维修或是设备备件的更换应填写《IT设备维护及配件更换申请表》批复后按相关流程进行操作。完成维修或备件更换完成后需使用人验收并签字IT室留存。

第十三条、公司IT管理专员应定期或不定期的进行IT设备的盘点上报并与各基地IT管理员配合进行设备的抽查做到帐帐相符、帐实相符。

第十四条、对已报废IT设备IT管理专员应定期协调相关部门人员对其进行鉴定、处理并填写好相关记录。

第十五条、IT管理专员应与采购部门及时沟通对下发到各基地、部门的统购IT设备进行跟踪、及时反馈保障设备的正常运行。

第三章日常管理

第十六条、为保护知识产权避免法律风险IT设备所安装软件必须为取得授权的正版软件由公司档案室进行软件实物保管IT管理员进行统一归口安装。

第十七条、如工作需要安装《通用软件列表》之外的其他软件必须填写《软件安装申请单》报所在部门总经理初审、行政部复审后后由公司IT管理员执行禁止IT设备使用人员违规擅自安装软件或更改软件配置。

第十八条、IT室对公司每台IT设备建立“IT设备软件硬件清单表”详细记录其设备编号、软硬件配置、设备状态、使用部门、责任人等相关信息有变动时及时更新文档存案备查。

第十九条、IT设备使用环境必须符合设备厂家要求及时、定期每月一次按正确方法清洁和保养设备上的污垢保证设备正常使用。

第二十条、为防止出现雷击事故打雷闪电时应暂时关闭电脑系统及周边设备并将电源线、网线等与外界联接介质与IT设备离断。

第二十一条、任何人不得私自拆卸、调换设备或增加、减少IT设备配件不得损毁IT设备封条。如有违反按配件价格给予赔偿。

第二十二条、电脑出现故障时由IT管理员安排进行处理。如发现IT设备硬件损坏需填写《IT设备维护及配件更换申请表》由IT室负责到厂家指定售后维修站进行维修。如无维修价值需要报废、申购的按照本制度第六条、第七条执行。

第二十三条、为节约能源提高设备使用寿命减少安全隐患下班后必须关闭电脑系统及其

外设电源并将电源线、网线等与外界联接介质与IT设备离断。

第二十四条、未经IT设备使用责任人同意其他员工不得擅自使用其电脑。

第二十五条、需要向IT室临时借用IT设备需填写《IT设备借入申请单》由借用人所在部门审核行政部审批后执行。

第二十六条、使用公司所有IT系统必须遵守各系统的使用管理制度。各系统用户帐号的申请人必须是公司正式员工各系统用户在进行工作调动或离职时相关部门应及时填写《用户维护申请单》知会IT管理专员进行调整。

第四章数据安全管理

第二十七条、各系统用户账号开通后用户必须接到账号通知即登录系统更改初始密码并自行保管好密码禁止将密码泄漏给他人严禁盗用他人密码。

第二十八条、各系统用户账号开通后禁止违规查看、修改、删除系统或他人信息禁止将帐号外借或转让如因违规泄露账号密码而造成的一切后果由账号责任人承担。

第二十九条、邮件、传真等系统用户未经授权禁止向公司所有用户发送个人通讯信息变更等邮件、传真。

第三十条、为保证公司信息安全邮件、传真系统等与外界关联系统用户所有操作必须确保发送准确。未经公司授权严禁使用磁盘、光盘和移动存储设备等传输介质拷贝或通过邮件、传真系统发送公司受控电子文档。如因特殊情况确需拷贝、发送必须报所在部门总经理签字后在公司行政部的监督下进行。

第三十一条、公司所有资料存入FTP网络硬盘不再批准移动存贮的申购特殊情况需经总裁批准。

第三十二条、企业防病毒软件服务器升级后所有IT设备应该自动升级。IT管理员要随时监控杀毒软件升级情况如有异常及时报告。

第三十三条、所有重要文档、数据不得存放在系统分区中并定期进行备份否则因此造成损失由用户自行承担。如有重要数据可向IT室申请网络硬盘实现异地存储等备份方式。

第三十四条、所有电脑都应由IT室统一安装公司所规定的网络杀毒软件任何人不得私自更改。经常出差人员使用的笔记本可以根据实际情况单独申请安装公司购买版权的其它杀毒软件。

第三十五条、所有电脑在使用时都必须保证杀毒软件处于病毒防护状态并定期每周一次以上对所有分区进行全面杀毒。

第五章网络及网络应用管理

第三十六条、公司员工在使用网络时必须遵守国家法律任何人不得浏览、发布含有下列内容之一的信息

1)反对《中华人民共和国宪法》等基本法的

2)危害国家安全泄露国家秘密颠覆国家政权破坏国家统一的 3)损害国家荣誉和利益的

4)煽动民族仇恨、民族歧视破坏民族团结的 5)破坏国家宗教政策宣扬邪教和封建迷信的 6)散布谣言扰乱社会秩序破坏社会稳定的

7)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的 8)侮辱或者诽谤他人侵害他人合法权益的 9)含有法律、行政法规禁止的其他内容的。

第三十七条、严禁员工利用任何软件、工具、介质、手段对任何设备、系统等进行攻击、破坏查看、修改、删除、窃取、泄露任何公司、他人数据。一经发现从严处理严重者移送公安机关处理。

第三十八条、为保证公司经营管理活动所必须的网络宽带和公司IT设备、系统等信息安全在公司的IT环境下未经授权禁止任何下载、上传操作严禁上班时间操作任何游戏严禁上班时间使用QQ等工具从事工作无关的聊天。如有QQ等特殊工作需求的上报所在部门总经理审核经行政部批准后由IT管理专员执行开通并备案。严禁利用公司IT设备、网络环境等进行任何与工作无关的活动任何情况下都严禁使用BT等严重影响公司网络带宽的P2P软件。

第三十九条、为保证公司IT设备、系统稳定性和信息安全公司网络必须通过专用防火墙设备接入互联网严禁利用电话拨号、ADSL拨号等其它没任何防护功能、措施的方式接入互联网对工作内容与互联网无关的岗位IT设备进行互联网屏蔽。

第四十条、为保证公司内部网络稳定性IT管理专员需对网络地址等内部网络资源统一分配严禁违规查看、修改、删除任何公司规定的网络配置信息。

第四十一条、未经IT室允许任何人不得对服务器、UPS、防火墙、防病毒服务器、交换机、路由器等设备进行启动、关机、重新启动或进行其它操作。

第四十二条、公司各部门、基地、销售办事处的互联网接入方式和局域网络工程建设由

公司行政部IT室负责技术方案确认基地、销售办事处需提前填写《网建方案审批表》由基地总经理或省级销售经理同公司行政部共同审批后执行。生产基地的网络建设必须提前提供相应基建图纸由基建负责人和IT管理专员指定人员共同确认网络设计方案。所有网络工程建设验收必须由公司行政部IT室指定人员参与并进行技术确认。

第四十三条、RTX使用规范如下

1、为了大家沟通方便xx管理员工统一设置RTX信息交流平台新进管理员工凭人资部入职通知单到IT室申请加入RTX离职或工作调动时统一由IT管理员进行删除或调整。

2、由个人在姓名、办公电话、移动电话、邮件等栏内填入真实资料以方便联系和沟通

3、在离开座位或外出时设置RTX为相对应的离开状态。

4、使用企业即时通信系统不能作为行政效用、法律效用不作为公司的要约或承诺。

5、企业即时通信系统限于公司工作业务使用禁止为达员工个人目的或与公司业务无关的工作而使用禁止发送与工作无关的短信。

6、在未授权的情况下任何员工不得故意截取、偷看、记录、阅读、更改或接收他人的信息滥用者将根据公司规章制度或其他适用的法律法规进行处罚。

7、禁止使用别人的账号上线。

第四十四条、公司网站建设实行分工协作市场部负责版面设计行政部IT负责技术支持行政部办公室负责内容审核及修订人资、研发、销售、生产、质管等相关部门配合提供相关资料。

第六章相关奖罚规定

第四十五条、如无特殊说明处罚措施均针对责任人。

第四十六条、员工违反本规定按照公司人力资源管理制度严肃处理并保留送交公安机关的权利。

第四十七条、人为原因导致IT设备物理损坏摔坏、压坏等的由IT上报财务部向相关责任人按原价索赔。

第七章附则

第四十八条、本制度由公司行政部授权负责解释、修订。

第四十九条、本制度自发布之日起实行以往颁发的相关制度与之有抵触以本制度为准。

苏州云易信息技术有限公司