信息安全管理规定
2010 年我公司建立并实行质量、环境、职业健康“三标”整合型管理体系的第一年。作为涵盖研发和生产制造企业,信息安全化建设同等重要,公司领导也高度重视。院四标体系的建设,特别是信息安全体系的建设,是安全管理工作的重要组成部分。按公司的要求工作中信息安全要逐步做到制度化、常态化。在领导的统一指导和推进下,边学习边实践,将信息安全意识贯彻到每一个员工的工作中。 一:通过开展多种形式的信息安全宣传,提高员工安全意识 安全意识是信息安全的第一道防线,信息安全管理要想做好,提高全体员工的安全意识是关键。为此,我认为公司相关部门和责任人要认真策划,在公司内部进行了大量的信息安全相关的宣传工作。这些宣传要达到效果,就不能是枯燥的,喊口号式的宣传,而应该喜闻乐见,生动活泼,结合实际,便于操作。为此,我们可以制作了形象生动的海报在公司内部宣传栏进行张贴;针对广大员工对信息安全应该如何做的困惑,编写 “信息安全实用操作手册”的方式发给公司员工等,让信息安全意识在全体员工中逐步形成。
二、通过组织各类检查,督促员工把自身的信息安全工作做好 为确保切实增强全体员工的安全意识和安全行为习惯,光靠宣传还不够。公司成立信息安全的管理工作组,主要领导担任管理者代表,设置专职安全员和各部门安全责任人和安全员,在公司内部组织信息安全的内部检查工作,检查不拘泥于形式,明确检查的项目内容,比如:首先检查公司内所有内网机。通过检查一方面是摸清公司内网机情况,另一方面就是通过检查对公司所有内网机进行一次安全加固,确保内网机的信息安全。通过检查,所有内网机在帐号、口令、机器补丁、网络和服务、日志审核等方面进行加固等。其次扩大一些范围 检查包括公司所有的内外网终端及服务器等。因为覆盖面广,工作量大,检查可以采取信息安全的检查工具——漏洞扫描仪来进行自动检查。检查之前并未通知各部门,可以说这次检查结果真实的反映了公司当时内外网机的信息安全情况。检查结束后,检查组根据检查结果对问题机器下发了整改通知,并给出具体的整改意见。整改结束后又进行了一次扫描检查,其三是采取自查和抽查相结合的方式。自查时间、自查内容及加固方法通过邮件方式群发给公司员工。在自查期结束后,信息安全工作组再制定了抽查计划,各部门按一定比例抽查内外网机,并对发现问题的机器现场进行加固整改工作。这样通过一次次的检查,让公司的员工开始养成了良好的工作习惯,如设置强登录口令、禁用Guest 帐户、及时升级系统补丁、设置自动屏保、关闭自定义共享等。
三、加强信息安全相关的设施管理 1)安全存储介质的统一管理
根据院移动介质使用管理规定的精神,我们制定了切实可行的安 全移动介质管理方案。安全移动存储介质由信息中心统一制作好后, 由公司负责统一编号并进行登记发放工作。员工在申领安全存储介 质时需要进行申请审批,公司安全员定期对安全存储介质做好查检清点工作,确保每一个发放出去的安全移动介质能够追溯到责任人。员工离职时,安全员负责安全移动介质的收回工作。 2)服务器的统一安全管理
整合后的公司设置了专门的服务器室,要求各部门的服务器进行 统一集中存放管理。为加强管理,公司设置了服务器室管理员,编制 了服务器室管理规定,对出入和内部日常环境安全进行统一管理。建 立了服务器台帐,每台服务器都落实到部门和责任人。另外,对于有时发生的非计划停电,对公司的服务器造成一定冲击,可能造成服务器硬件损坏的情况可采取UPS电源的措施,即使短时间停电,服务器正常工作不受影响。 3)内外网机的统一接入管理
在内外网机管理方面,公司设置了专人负责对内外网机接入进行 管理,包括内外网机的申请、员工离职注销、变更以及内网机的桌面 安装等。对公司的内外网机,建立了完整的内外网机清单,在我们进 行工具设备进行内外网机扫描检查时,能帮助我们很快定位到问题机 器。
以上是我对公司在信息安全管理及体系建设方面开展工作的一些建议,希望我们能摸着石头过河,工作开展具有可行性和实用性,把公司的信息安全防护工作做好。
