为确保信息安全管理体系(ISMS)的有效实施,根据公司信息安全方针制定信息安全总目标,将保证公司客户信息安全和公司内部信息安全的整体目标分解为信息安全的保密性(C)目标、完整性目标(I)、可用性目标(A),并规定这些信息安全目标C、I、A的计算方法,以便于目标达成情况的考核。
1.1. 信息保密性目标(C)
保证各种需要保密的资料(包括电子文档、磁带等)不被泄密,确保绝密、机密信息不泄漏给非授权人员。公司通过各种控制方式,确保数据不泄密,机密性总目标为公司可接受程度。保密性指标在整体信息安全中的权重为60%;
1.2. 信息完整性目标(I)
信息系统完整性总目标为可接受程度。完整性指标在整体信息安全中的权重为10%;
1.3. 业务系统可用性(A)
保证业务系统正常运行,避免各种非故意的错误与损坏,业务系统可用性总目标为公司可接受程度。可用性指标在整体信息安全中的权重为30%;
1. 下达任务
在明确责任部门后,信息安全工作小组给相关责任部门下达《审核、检查发现事项通知单》。
2. 纠正措施的实施
不符合项的责任部门根据《审核、检查发现事项通知单》的要求,在规定的期限内组织相关人员进行实施。对于需要跨部门协调解决纠正和预防措施由体系负责人组织召开工作会议讨论并明确相关改进责任部门及改进职责,确保按期完成。
3. 监督和效果验证
1) 纠正措施完成后,责任部门通知信息安全工作小组对纠正措施进行验证,信息安全工作小组组织有关人员进行验证,并记录在《体系改进记录表》上,并提报给信息安全会;
2) 信息安全工作小组对纠正措施的实施结果和效果作终的确认。
安全保卫管理
⑴公司各部门及全体员工都应提高安全防范意识,重视防火、防盗和安全保卫工作,使防火、防盗和安全保卫工作落到实处。
⑵行政部为公司安全保卫工作的主管部门,全面负责公司安全保卫工作的贯彻和检查;其他部门配合行政部并负责各自部门相关的安全保卫工作。
⑶行政部具体负责落实保卫工作事宜,加强对保卫的管理,负责与物业、公安、消防等相关部门的联系。
⑷关于安全用电
①严禁擅自接驳电源、乱接乱拉电线、安装或拆除电器、开关等;
②严禁在公司使用未经批准的电器;
③配电室、机房、库房等重地严禁吸烟和使用明火,非专业管理人员不得随意进入;
④下班时,员工有义务完全关闭各自的电脑、电器设备。
⑸落实防盗措施
①进出公共办公区域时,员工应确认关好门禁设施。对于有门禁和视频监控系统的物理环境,系统应保证24小时运作,视频保存至少3个月以上。
②办公场所内如发现可疑人员或情形时,员工应立即通知行政部,并协助其采取相关措施。
③员工的办公电脑应设置密码保护,并设置定时锁屏,时间不**过5分钟,离开工位前,应手动锁定电脑屏幕,移动存储介质(移动硬盘、U盘等)以及重要文件不能放置在其他无关人员的可视范围内。
④所有办公电脑及应用系统不允许使用简单密码,密码位数不低于8位,且包括数字、字母、特殊字符的组合;另建议将密码的自动记忆功能取消。
⑤下班及节假日休假前,员工应关闭办公电脑(如因工作需要无法关闭办公电脑,必须要锁屏),有个人办公柜的员工务必将移动办公设备(笔记本电脑、移动介质等)以及重要文件妥善锁放在个人办公柜里。
⑥打印机处不要有积存的打印文档,打印后应及时取走。废弃的文件,根据重要程度进行销毁。
⑦通过U盘等移动存储介质给其他员工或者第三方人员拷贝文件时,清空其它无关内容。
⑧通过邮件或者即时通讯软件发送敏感信息时需对敏感信息进行压缩加密,密码通过其他渠道告知。
⑨员工办公电脑里的重要文件不宜暴露在电脑桌面上,且重要文件建议压缩加密。
-/gbacfji/-
http://lsjsqd.b2b168.com
