企业信息安全管理办法.docx
《企业信息安全管理办法.docx》由会员分享,可在线阅读,更多相关《企业信息安全管理办法.docx(30页珍藏版)》请在冰点文库上搜索。
企业信息安全管理办法
企业信息安全管理办法
信息安全管理办法
第一章总则
第一条为加强公司信息安全管理,推进信息安全体系建设,保障信息系统安全稳定运行,根据国家有关法律、法规和《公司信息化工作管理规定》,制定本办法。
第二条本办法所指的信息安全管理,是指计算机网络及信息系统,以下简称信息系统,的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。
第三条公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则,各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。
第四条信息安全管理,包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。
第五条本办法适用于公司总部、各企事业单位及其全体员工。
第二章信息安全管理组织与职责
第六条公司信息化工作领导小组是信息安全工作的最高决策机构,负责信息安全政策、制度和体系建设规划的审批,部署并协调信息安全体系建设,领导信息系统等级保护工作。
第七条公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成,协调一致、密切配合的信息安全组织和责任体系。
各级信息安全组织均要明确主管领导,确定相关责任,设置相应岗位,配备必要人员。
第八条信息管理部是公司信息安全的归口管理部门,负责落实信息化工作领导小组的决策,实施公司信息安全建设与管理,确保重要信息系统的有效保护和安全运行。
具体职责包括,组织制定和实施公司信息安全政策标准、管理制度和体系建设规划,组织实施信息安全项目和培训,组织信息安全工作的监督和检查。
第九条公司保密部门负责信息安全工作中有关保密工作的监督、检查和指导。
第十条企事业单位信息部门负责本单位信息安全的管理,具体职责包括,在本单位宣传和贯彻执行信息安全政
策与标准,确保本单位信息系统的安全运行,实施本单位信息安全项目和培训,追踪和查处本单位信息安全违规行为,组织本单位信息安全工作检查,完成公司部署的信息安全工作。
第十一条技术支持单位在信息管理部的领导下,承担所负责的信息系统和所在区域的信息安全管理任务,主要包括,在所维护系统和本区域内宣传和贯彻信息安全政策与标准,确保所负责信息系统的安全运行。
第十二条各级信息管理部门设立信息安全管理和技术岗位,包括信息安全、应用系统、数据库、操作系统、网络负责人和管理员,重要岗位可设置两个员工互为备份。
第十三条信息安全岗位的设立应遵循职责分离的要求,包括,制度监督者与执行者分离,信息系统授权者与操作者分离,应用系统管理员与数据库管理员分离,程序开发人员不应具备对生产环境的访问权限。
第十四条公司员工必须严格遵守公司信息安全政策、管理制度、技术标准和信息系统控制要求,承担相关安全义务和责任,并及时报告信息安全事件。
第三章信息安全目标与工作原则
第十五条信息安全工作的总体目标是,实施信息系统安全等级保护,建立和健全先进实用、完整可靠的信息安全体系,保证系统和信息的完整性、真实性、可用性、保密性和可控性,保障信息化建设和应用,支撑公司业务持续、稳定、健康发展。
第十六条信息安全体系建设必须坚持以下原则,
坚持统一。
信息安全体系必须统一规划、统一标准、统一设计、统一投资、统一建设、统一管理。
保障应用。
保障网络和信息系统,特别是全局网络和重要业务信息系统不间断稳定运行及其信息的安全,实现以应用促安全,以安全保应用。
符合法规。
信息安全体系要满足法律法规要求,包括国家对信息系统等级保护、企业内部控制要求,积极采用法律法规允许的、成熟的先进技术和专业安全服务。
综合防范。
管理与技术并重,相互补充。
从组织与流程、制度与人员、场地与环境、网络与系统、数据与应用等多方面着手,在系统设计、建设和运维的多环节进行综合防范。
集中共享。
建立集中、统一的信息安全技术服务平台和
集中专业化的信息安全队伍。
第四章信息安全工作基本要求
第十七条根据公司信息安全专项规划和总体方案,分层次建立以安全组织体系为核心、安全管理体系为保障、安全技术体系为支撑的全面信息安全体系,并保持三个体系稳定、均衡发展。
第十八条建立全面的信息安全管理体系,
制定并实施统一的信息安全策略、管理制度和技术标准。
实行信息系统资产管理责任制,保护信息系统,特别是核心信息系统的设备、软件、数据和技术文档的安全。
建立信息系统物理环境、网络、系统、应用、数据等各层面的安全管理流程,实现对信息系统全生命周期的安全管理。
实现对信息系统的安全风险管理,及时发现和防范安全隐患。
第十九条建立有效的信息安全技术体系,
强化网络、桌面和应用系统安全防护体系,按照自主定级、自主保护的原则,评估确定各信息系统保护等级并实施
相应的保护措施。
建立统一的网络安全信任体系,加强网络实体身份管理与认证,为网络和信息系统安全运行提供信任基础。
建立完善有效的安全监控和预警体系,监控重要网络和核心业务系统,及时发现安全隐患。
建立全面有效的应急响应体系,制定并落实完整、规范的应急处理和响应流程,完善信息安全报告、处理机制。
建立包括同城和异地容灾备份中心的信息系统灾难恢复体系,定期进行灾难恢复的测试和演练,确保灾难发生后能够充分发挥备份的效能,降低造成的影响和损失。
第五章信息安全监控
第二十条信息安全监控的目的是对威胁系统、数据库及网络安全的因素进行有效控制,防止由于技术或人为因素导致的异常和损失,同时为其他安全措施的设计和实施提供可靠依据。
安全监控的结果要保存一年以上。
第二十一条信息系统的运行和维护单位,在国家法律和公司有关规定许可的范围内,具体进行规范、合理、有效的信息安全监控。
使用公司网络及应用系统的用户有义务接受
必要的监控。
监控不能影响、泄漏不涉及安全问题的网上行为和个人隐私的内容。
第二十二条各级信息部门负责制定和实施信息安全监控计划,包括日常监控、应急处理和定期汇报。
第二十三条日常监控分为实时监控和定期检查,包括应用系统、数据库、操作系统、网络、物理环境以及外部人员对信息系统访问的实时监控与定期检查。
监控及检查结果要存档备查,异常情况须及时向有关负责人汇报。
第二十四条各级信息部门应对网络及重要信息系统制定详细的应急处理预案。
应急处理按照预案进行,并至少每年组织一次相关岗位人员进行应急预案演练。
第二十五条各级信息部门编制、上报信息安全月报和年报,及时向主管领导和上级部门汇报重大信息安全风险和事件。
第六章信息安全风险评估
第二十六条信息管理部负责组织建立风险评估规范及实施团队,定期或在重大、特殊事件发生时进行风险评估。
第二十七条风险评估包括范围确定、风险识别、风险分析和控制措施,确保信息安全,满足应用和业务需要。
评估范围可包括管理组织、流程、政策与标准、应用系统、数据库、操作系统、网络、物理环境,应涵盖公司内部关键控制点。
风险识别包括识别风险类型和风险事件,形成风险列表,更新信息风险数据库。
风险分析包括信息资产分类、风险发生概率和影响程度分析,并确定风险等级,形成风险评估报告。
控制措施包括安全管理策略和风险控制措施,形成风险控制报告。
第二十八条信息管理部将风险评估和控制报告上报信息主管领导审批。
根据领导审批意见,落实控制措施。
第七章信息安全培训
第二十九条信息管理部负责制定公司信息安全培训计划,组织、实施信息安全管理和技术培训。
各级信息部门负责相应层级的信息安全培训,培训计划报信息管理部备案。
第三十条信息管理部及各企事业单位信息部门对应用系统、数据库、操作系统和网络管理员、开发人员进行信息安全技术培训,提高信息安全管理和维护水平。
第三十一条信息管理部及各企事业单位信息部门分层次、分类型对员工进行信息安全培训,包括针对业务和技术管理人员进行管理层面的信息安全管理培训,针对从事日常业务处理人员进行操作层面基本安全知识培训。
第三十二条员工上岗前,应进行岗位信息安全培训,并签署信息安全保密协议。
在岗位发生变动时,及时调整信息系统操作权限。
第三十三条信息安全政策与标准发生重大调整、新建和升级的信息系统投入使用前,开展必要的安全培训,明确相关调整和变更所带来的信息安全权限和责任的变化。
第八章信息安全检查与考核
第三十四条信息管理部定期进行信息安全检查与考核,包括信息安全政策与标准的培训与执行情况、重大信息安全事件及整改措施落实情况、现有信息安全措施的有效性、信息安全技术指标完成情况。
第三十五条各企事业单位信息部门按照本办法和《公司信息系统运行维护管理办法》进行信息安全自我考核,信息管理部进行综合评价,形成年度考核报告,报信息主管领导。
第三十六条对于不执行本办法造成严重后果的,应追究相关部门和个人责任。
第九章附则
第三十七条各企事业单位可参照本管理办法制定相应的实施细则。
第三十八条本办法由公司信息管理部负责解释。
第三十九条本办法自印发之日起施行。
各位尊敬的读友,谢谢大家观看本文,如有需要请下载编辑使用,谢谢大家,本人将继续为大家分享跟多的文档资料,谢谢~
以下为附加文档,如果不需要请下载后编辑删除
二、管理规定和制度
公司资质、法人委托书的管理制度
1、公司的各种资质证书、样本、ISO9001质量证书、ISO14001环境证书、ISO18001
安全证书由工程管理部统一进行管理。
2、各工程处对外洽谈工程前,应填写资质领取申请表,提供工程名称、建设单位、工
程详细地址和工程具体情况后方可登记领取公司资质复印件壹套。
工程信息由公司
统一编号,统一发资质文件。
该资质所加盖公司证件章上注明工程名称、有效期、
编号。
此资质复印无效。
无具体工程名称者不得领取资质。
3、领取资质文件须与公司签订合作协议和缴纳管理费。
否则,公司拒绝出据任何资料。
4、工程项目登记以谁先登记,谁为主的原则。
5、资质应由各工程处负责人到工程管理部领取。
若负责人确实无法亲自领取资质的,
由负责人委托1,2人办理领取资质事宜。
委托应注明被委托人的姓名、职务、详
细联系方式。
被委托人对登记的项目应跟踪落实,及时了解详细项目进展情况。
6、对工程情况不详细的,公司有权不办理资质登记手续。
如登记项目名称相似,以甲
方正确名称和详细工程地址为准。
7、各分公司应设立信息员,每天及时将本区域的项目信息电话及传真报公司登记。
8、资质有效期为三个月,三个月内,工程处对所跟踪项目应主动续领资质,如不申报
将视为自动放弃,公司不再进行核实,其他工程处有权直接登记和领取资质。
9、各工程处领取资质后应积极主动跟踪项目进展情况,如遇到两个工程处相遇且不让
出项目,又不报名参加投标,对此公司将作出处罚,同时取消该工程处项目登记优
先权。
10、工程处在工程管理部领取公司样本及承接工程的加盖证件章的公司资质文件,须交
纳工本费。
11、公司要求工程处施工现场使用统一制度牌,统一着装,统一佩带胸卡。
由公司统一
制作,工程处到工程管理部付费领取。
12、项目登记后,招标文件下发之前,可由公司开据介绍信进行工程洽谈。
13、公司的法人委托书由工程管理部登记签发,招标文件获取后,各工程处在领取资质
的基础上,填写法人委托书申请表,内容包括:
被委托人姓名、联系电话、身份证
号码、项目名称、对应的资质编号、项目名称、被委托事宜。
经法人或公司主管领
导批准后,方可办理。
14、委托代理人应为各工程处负责人。
若确实需要第二代理人时,由工程处负责人出据
委托书,并将第二代理人的身份证复印件、工作简历、具体地址及联系电话留工程
管理部备案,否则有权不予办理。
公司资质证书管理规定
一、公司的营业执照、施工资质、IC投标卡、三个认证及公司的各项获奖证书等资质
原件均由工程管理部统一进行管理。
二、各工程处对外洽谈工程,需使用资质原件,应事先向工程管理部提供工程名称及
相关招标文件或邀请函登记使用。
三、凡是借用公司资质,工程管理部须派人员同去,以缩短资质使用的周转时间。
四、各工程处如需在外地投标、施工或办理相关手续,须出示有关证明提前通知工程
管理部。
工程管理部指派专人陪同前去,由此所发生的费用均由使用单位承担。
五、各工程处建造师证书和岗位证书及获奖证书,统一由工程管理部进行保管。
六、异地IC卡的使用规定执行公司《关于省级施工许可证和省级以下备案证的管理
办法》
七、凡是需要公证公司资质,须经公司主管领导审批后,由工程管理部陪同办理手续,
并在工程管理部登记备案,使用完毕及时交回工程管理部保存。
八、公司资质扫描件由公司工程管理部统一管理,根据招标文件或预审文件要求提
供,并登记备案。
九、为保证公司各种资质证书完好,凡使用证书均需爱护,保证资质证书干净、整洁、
不损坏。
十、凡未在公司登记备案和登记内容不符,对外所发生的一切事宜均与公司无关,由责任方自负。
公章使用管理规定
一、公司印签及法人印签、设计专用章由办公室统一管理。
各工程处因工程等需
盖公司章,应到工程管理部登记备案,由工程管理部负责联系到办公室盖章
登记。
二、凡是需要盖设计专用章,应到办公室登记备案,由办公室负责办理。
三、各工程处如需盖安全、消防等章,应到公司工程管理部登记备案,由工程管
理部负责办理。
四、公司的合同章归工程管理部管理,各工程处签订工程合同时,按照公司《合
同管理规定》执行。
五、工程竣工后,需盖竣工图专用章和决算章,各工程处应按照公司《关于工程
资料管理规定》执行,将竣工资料交公司后,由工程管理部登记并签订汇签
单,方可盖章。
六、负责管理印签人员严格按相关要求审核和批准,详细做好登记工作。
特殊情
况工程处负责人书面提出申请和说明,公司主管领导签字,方可盖章。
七、各分公司、工程处必须严格执行公司公章使用管理规定,不准私刻公章,否
则,公司将追究其责任人刑事责任和法律责任。
八、以下各类情况之一均须到公司盖章,具体情况如下:
1、投标书及资格预审文件盖章,由工程管理部(经营部)审核后,根据具体
情况加盖公司章或投标专用章及封标专用章。
2、凡是以公司名誉对外发布的公函、往来文件等经公司负责人审核登记后,
盖公司公章。
3、工程预算书盖章,工程管理部需留存复印件一份备案后,盖预算专用章。
4、工程结算盖章,工程管理部留存经甲方确认后的原件备案。
5、工程管理部盖章,一般工程性往来文件、信函、洽商等文件的使用范围,
需盖工程管理部印章。
项目部印章管理使用暂行办法
依据公司印章使用管理暂行办法,特制定本办法。
1、凡是施工合同在100万元以上的工程,该工程项目部可向工程管理部申请刻制“公
司某工程项目部”印章壹枚,并办理相关手续。
2、项目部印鉴由工程管理部资信部负责联系,指定刻章单位统一刻制,项目部无权自
行刻制印鉴。
3、项目部印章只可使用于该项目在施工过程中与甲方的洽商等文件往来。
4、项目部印章须由指定专人保管、使用,并在使用过程中详细登记其用途。
5、项目部不得使用于任何形式的合同签订、对甲方的结算,对供货商的付款承诺及欠
款文书。
(特殊情况需主管领导批示,所对外盖章的资料原件须报工程管理部备案)6、凡是违反第五项规定私自使用项目部印章的,公司均不予以承认;所产生的经济责
任全部由项目部自行承担。
7、各工程处因工程项目需要刻项目章,应由工程处负责人向工程管理部提出书面申
请,并注明工程名称、使用时间、使用范围、保管人员等事宜,经公司主管领导批
准后,由公司(资信部)办理、备案后方可使用,工程竣工后一个月内(特殊情况
另行说明)将项目部章和盖章登记薄交工程管理部备案,待该项目保修期满后,经
公司核定后,集中销毁。
未按公司规定执行的,公司将对其进行严肃处理。
承诺书
北京业之峰诺创建筑装饰工程有限公司:
我处因工程需要,特申请刻制工程项目印章一枚。
,做到以下承诺:
一、项目名称:
二、使用范围:
1、与甲方项目洽商、设计变更、往来文件。
2、向公司申报有关资料。
三、使用时间:
依据合同开、竣工日期,限定该项目章的有效使用日期
自至止。
四、印章管理负责人:
五、严格执行公司项目章使用登记管理制度,不准对外签订各项合同、协商和付款承
诺及欠款文书。
六、项目章交回公司的同时,一并将印章使用登记记录交回公司存档。
七、该项目章由此发生的一切经济责任和法律纠纷,均由我工程处自行承担和处理相
关事宜,公司不负任何连带责任。
承诺人:
工程处
年月日
公司建造师、职称、上岗证等证书
管理规定
为了整合公司人力资源,充分发挥各工程处资源优势,达到优势互补、资源共享目的,使各分公司、工程处在对外洽谈项目过程中,能够充分利用人力资源,进一步提高市场竞争力,扩大市场占有率,现特制定如下管理办法:
1、公司的建造师证书、职称证及各种上岗证书的原件,由工程管理部统一管理。
2、各工程处凡是以公司名称办理的各种证书,原件留存在工程管理部。
3、工程管理部对所有证书原件进行统一建档、保存,并输入计算机管理,留存所有
扫描件。
4、各工程处如需借用建造师证书,须出示相关文件(资格预审文件或招标文件),
并在工程管理部登记备案,由工程管理部统一调配使用,用完后保证按时返回工
程管理部。
5、工程管理部负责证书的年检、联系培训学习及办理新增证书的工作。
6、各种证书的使用包括复印件,统一由工程管理部调配,凡使用本处各种证书原件、
复印件,均不收取任何费用,如使用其它处证书原件、复印件,均须收取一定费
用,使用范围包括:
预审文件、投标文件以上收取的费用由工程管理部代收,公
司财务负责管理,此费用专款专用。
范围:
证书年检、专业培训、学习资料等。
7、投标单位如需建造师或各岗位人员出现场,工程管理部负责与其它工程处协调联
系,其费用由使用单位和被使用单位协商解决。
8、各工程处使用证书原件,应保证证书原件干净、整洁、完璧归赵。
9、凡使用公司一级建造师证书投标或资格预审的工程处(本工程处建造师除外),
应提前向公司申报,避免发生工程项目重复使用建造师或废标等现象。
10、凡是公司提供建造师证书或岗位证书复印件均需加盖红章,并写明用于×××工
程字样,如果在投标文件或资格预审文件中没有公司加盖工程名称红章,公司不
予盖章。
工程合同管理规定
为了建立健全公司合同管理制度,规范企业管理,使公司合同管理制度更加规范化、制度化、科学化,根据《合同法》、《建筑法》、《招投标法》及有关法律、法规,结合我公司实际情况,特制定如下规定。
1、合同的签订,须遵守国家的法律、法规和国家计划,遵循平等互利,协商一致的原
则。
2、公司工程施工合同由工程管理部管理,设计合同由办公室管理。
3、签订合同之前,必须取得公司法定代表人的授权委托书。
4、签订合同人员必须是经过公司任命的各工程处负责人,特殊情况第二签订人须由第
一签订人开据授权委托书报工程管理部备案。
5、签定工程合同必须提前2天,将合同文本交工程管理部进行审核对合同内容不严谨
或不利于公司及工程处方面的条款内容进行协商变更。
、签订工程合同前须经法律事务部、财务处、工程管理部审核后填写“合同签订前汇6
签单”,汇签单一式三份,领导、财务处、工程管理部各一份,作为合同的基本内
容参考,汇签单各项内容均填写真实有效,以便对工程进行跟踪。
7、工程合同签定公司留存合同文本一正三副,财务处留存正本原件,工程管理部留存
副本两份,信用管理处留存副本一份。
8、工程管理部对所签订的工程合同进行登记,建档并建立明细表,同时对合同内容进
行跟踪。
9、合同文本中须填写建造师,如此建造师不是本公司在册人员,应由工程处负责人写
书面委托并将其建造师原件、复印件保留公司,直至工程竣工完成。
10、工程合同需变更或合同终止,应及时通知工程管理部,否则,出现法律纠纷及其他
事宜,均由责任方承担。
11、未生效合同,需在一个月内全部交回公司,各工程处负责人监督执行交回情况,对
未按规定执行且没有说明情况的工程处,公司将对其停办一切事宜。
12、凡需携带工程合同章出京的工程,应事先提出申请及核定合同内容,提请主管领导
批准,由工程管理部派专人保管及盖章。
13、对于未签订合同已施工的项目,须及时将实际情况以书面的形式上报公司,并经主
管副总经理批准后,方可进行施工,工程管理部负责将工程基本情况写明,并转财
务处和信用管理处备案。
14、凡在原有合同基础上再次施工的工程,须签订新的工程合同或提报公司备案。
15、没有按照公司规定擅自施工的,公司将按照相关规定和制度对其进行严肃处理。
16、合同签定须写明公司开户银行:
17、工程合同1000万以下由各部门审定汇签,大型合同(造价在1000万元以上)应由
主管领导审定,2000万以上由公司总经理审定。
18、合同履行完毕并已竣工,应向公司上交完整的竣工资料及施工图,工程照片等资料。
转发关于进一步加强建设工程
施工劳务分包和用工管理的通知
为贯彻国务院《关于切实解决建设领域拖欠工程款问题的通知》(国办发[2003]94号)要求,规范建筑市场秩序,完善信用体系,标本兼治,综合治理,解决我市建设领域拖欠农民工工资问题,进—步加强建设工程施工劳务分包和用工管理,根据有关法律法规,结合我市实际,现通知如下:
一、加强施工劳务分包管理
1、施工总承包企业、专业承包企业分包劳务必须使用有资质的劳务企业,禁止使用无资质企业。
凡违反规定使用无资质企业的,依法给予行政处罚;造成拖欠农民工工资的,发包单位必须先行支付工资。
2、外地建筑劳务企业来京施工,必须按照《关于外地建筑业企业进京施工实行档案管理的通知》(京建管[2001]595号)的规定建立企业管理档案。
没有建立企业管理档案的外地建筑企业,不得在北京承揽建设工程。
3、外地建筑劳务企业在京施工应办理项目管理备案。
未办理项目管理备案的,记入市建设行业信用系统,情节严重的,取消在京承包工程资格。
二、加强企业用工管理
1、劳务企业需录用人员从事施工劳务的,必须与录用人员依法签订劳动合同,明确规定双方的权利和义务,特别应列明保障劳动者合法权益的条款,切实保证劳动者合法权益。
2、未依法与劳动者签订劳动合同而使用的人员视同零散工,按《北京市人民政府
关于外地建筑企业来京施工管理暂行规定》关于不得使用零散工的规定予以处罚,并记入市建设行业信用系统。
3、使用零散工的用工单位,应按规定结算工资,并清退零散人员。
拒不执行上述规定,致使发生极端、群体事件的,取消在京承包工程资格。
4、外省市建设行政主管部门设立的驻京管理机构,要加强对本省在京劳务分包企业和人员的管理(督促企业依法用工。
三、切实解决劳务工资兑付
1、施工总承包企业应建立健全劳务分包管理制度,设立管理机构,配备与施工劳务作业规模相适应的管理人员。
按照实施“阳光工程”的有关规定,制定劳务分包款支付制度和措施。
2、各施工企业必须严格执行《关于解决建设领域拖欠工程款和拖欠农民工工资问题的通知》(京建经[2003]185号)等有关规定,清理拖欠的农民工工资。
3、对拖欠农民工工资的施工总承包企业、专
升级会员 