第三方人员数据安全管理制度
第三方人员数据安全管理制度
第一节保密协议
1、第三方人员参与我公司信息系统建设、开发、测试、运行、维护环节的工作,应签订保密协议及安全责任书。以下简称协议。
2、协议中应根据具体项目特点和工作内容等,就涉及核心数据访问、操作使用、传播加以限定,原则上任何信息只在双方公司范围内使用,未经书面授权不得扩散。
3、协议中应明确违约责任。
第二节安全要求
1、第三方人员使用的终端,应统一安装我公司域管理、防病毒软件等安全防护措施。以下简称终端。
2、应对通过终端向服务器网段发起的操作,应加以审计,审计记录包括操作时间、账号、数据内容。
3、终端网络接入有我公司统一指定网段。
4、第三方人员到岗、离岗时应重点做好帐号创建及回收环节的管理工作、必要的网络及防火墙设置调整、数据清理和审核等管理规范。
5、第三方人员接触客户资料、账户信息、消费记录(话单等)等核心数据,须经授权,未经授权不得访问、保留、转发。授权方式由相关系统负责人发起申请,由部门主管领导审批后生效。申请流程可以采用书面作业,也可采用电子化流程。
6、第三方人员入场前应就上述安全要求进行培训,并在整
个工作期间每半年重复一次。培训必须包含保密协议、终端安全、网络接入、核心数据访问使用与传播、行为审计、账户权限管理等内容。应保留培训记录,反馈培训效果。培训应有配套考试。
信息安全管理制度19215
信息安全管理制度 目录 1.安全管理制度要求 1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度; b)系统操作权限管理; c)安全培训制度; d)用户管理制度; e)新服务、新功能安全评估; f)用户投诉举报处理; g)信息发布审核、合法资质查验和公共信息巡查; h)个人电子信息安全保护; i)安全事件的监测、报告和应急处置制度; j)现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1 法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1 安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2 关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查: 2.个人履历的核查: 3.学历、学位、专业资质证明: 4.从事关键岗位所必须的能力 3.2.2 应与关键岗位人员签订保密协议。 3.3 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括: 1.上岗前的培训; 2.安全制度及其修订后的培训; 3.法律、法规的发展保持同步的继续培训。 应严格规范人员离岗过程: a)及时终止离岗员工的所有访问权限; b)关键岗位人员须承诺调离后的保密义务后方可离开; c)配合公安机关工作的人员变动应通报公安机关。
第三方服务管理制度
第三方服务管理制度 第一节总则 第一条为规范第三方服务商的服务行为,提高服务质量,降低服务成本,完善信息技术服务体系,特制订本制度。 第二条第三方服务商是指参与信息化系统建设的软硬件提供商、网络服务提供商以及为委厅及下属事业单位提供咨询服务、运 行维护服务、技术培训及其它相关信息化建设服务的厂商。第二节第三方服务商服务范围 第三条第三方服务商提供的服务主要包含咨询服务、运行维护服务、技术培训等。 第四条咨询服务: 一. 根据委厅信息系统建设总体部署,协助制定切实可行的 技术实施方案; 二. 对委厅现有的信息技术基础架构、设备运行状态和应用 情况进行诊断和评估,提出合理化建议; 三. 根据委厅的实际情况提出备份方案和应急方案; 四. 其它信息技术咨询服务。 第五条运行维护服务: 一. 软硬件设备安装服务; 二. 硬件设备的维修和保养; 三. 软件系统的升级及故障处理;
四. 系统定期巡检和整体性能评估; 五. 其它运行维护服务。 第六条技术培训:根据委厅的实际情况,参照国际国内先进的技术和管理经验或标准提供相关的技术培训。 第六条网络与信息管理中心负责第三方服务商的资质认证工作。第七条第三方服务商的资质认证内容,包括但不限于第三方的技术能力、经济和财务能力以及对服务的报价。 第八条资质认证过程如下: 一. 收集第三方服务商的资质材料,并根据制定的评分办法 和标准对第三方服务商资质资料进行验证、初审、评分,汇 总后按得分从高到低的顺序排列; 二. 对经过初审的第三方服务商,就其公司整体情况、技术 队伍构成、服务机构的组织、完成的实际项目、考核情况等 方面进行评价; 三. 对评审结果形成书面评审报告,提出推荐意见,报信息 中心负责人审定。 第九条资质认证报告必须提交委厅分管领导核实审批。 第十一条网络与信息管理中心应及时收集并更新第三方服务商资料(包括企业重组或法人代表变更等重要信息)。 第三节第三方服务商协议签订 第十二条所有第三方服务商提供的服务必须签订服务协议或合同,只有信息技术部才能和第三方签订服务合同。
网络信息安全管理制度
网络信息安全管理制度 网络与信息的安全不仅关系到公司正常业务的开展,还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。 一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置经公安部认证的防火墙,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等. 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。 5、网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源、高灵敏度的烟雾探测系统和消防系统,定期进行电力、防火、防潮、防磁和防鼠检查。 二、信息安全保密管理制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保
三级等保,安全管理制度,信息安全管理策略
* 主办部门:系统运维部 执笔人: 审核人: XXXXX 信息安全管理策略V0.1 XXX-XXX-XX-01001 2014年3月17日
[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXXXX所有,受到有关产权及版权法保护。任何个人、机构未经XXXXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。] 文件版本信息 文件版本信息说明 记录本文件提交时当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时,表示该版本文件为草案,仅可作为参照资料之目的。 阅送范围 内部发送部门:综合部、系统运维部
目录 第一章总则 (1) 第二章信息安全方针 (1) 第三章信息安全策略 (2) 第四章附则 (13)
第一章总则 第一条为规范XXXXX信息安全系统,确保业务系统安全、稳定和可靠的运行,提升服务质量,不断推动信息安全工作的健康发展。根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护基本要求》 (GB/T22239-2008)、《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071—2012)、《金融行业信息系统信息安全等级保护测评指南》(JR/T 0072—2012),并结合XXXXX实际情况,特制定本策略。 第二条本策略为XXXXX信息安全管理的纲领性文件,明确提出XXXXX在信息安全管理方面的工作要求,指导信息安全管理工作。为信息安全管理制度文件提供指引,其它信息安全相关文件在制定时不得违背本策略中的规定。 第三条网络与信息安全工作领导小组负责制定信息安全 管理策略。 第二章信息安全方针 第四条 XXXXX的信息安全方针为:安全第一、综合防范、预防为主、持续改进。 (一)安全第一:信息安全为业务的可靠开展提供基础保障。把信息安全作为信息系统建设和业务经营的首要任务;
医疗器械网络交易服务第三方平台系统数据管理和使用制度
系统数据管理和使用制度 一、制定目的:全面准确掌控平台信息数据。 二、制定依据:《中华人民共和国药品管理法》、《医疗器械经营监督管理办法》、《医疗器械使用质量监督管理办法》、《医疗器械召回管理办法》、《医疗器械网络销售监督管理办法》、《医疗器械不良事件监测和再评价管理办法》等法律法规。 三、适用范围:系统维护及使用,平台数据管理。 四、职责:数据管理部和运营维护部对本制度的实施进行负责。 五、内容: 5.1 机房所有人员必须严格遵守公司各项安全保密制度,高度重视信息系统的安全保密工作,积极参加各种形式的安全保密工作的学习培训活动,接受安全检查。机房信息系统涉及全公司的管理、业务等企业核心信息,维护人员不得窥探、抄录、复制;不得转告与工作无关的人员;不得随意向外界透露。操作人员未经财务审批不得私自动用、开设、查看、变更营业软件。 5.2 机房所有人员未经允许不得访问信息系统中用户信息、公文、报表、邮件等属于授权访问数据信息或私人信息。 5.3 机房所有人员未经授权,不得私自修改、查阅系统的有关信息。 5.4 严格遵守帐号口令管理制度和安全操作条例,根据访问数据级别使用相应权限的口令进入系统;不得窃取、破译他人权限密码。 5.5 机房所有人员未经允许不得擅自抄录、复制设备图纸、电路组织资料、内部文件、系统软件、技术档案、用户资料,也不得擅自带离机房,使用后归还原处。 5.6 各种涉及密级的图纸、资料、文件等应严格管理,认真履行使用登记手续。IP地址及密码等涉密信息不得让无关人员轻易获取。 5.7 机房内重要保密文件、数据的销毁,应使用碎纸机进行销毁,不得任意丢弃。 5.8 机房内部的废弃设备、测试数据由仓管部门统一保存和处理。 5.9 定期备份制度。系统应当对重要文件、数据、操作系统及应用系统作定期备份,以便应急恢复。特别重要的部门还应当对重要文件和数据进行异地备份。 5.9.1 拥有重要系统或重要数据的处室应该及时对数据进行备份,防止系统、数据的丢失;涉及数据备份和恢复的处室要由专人负责数据备份工作,并认真填写备份日志。 5.9.2 网络服务器数据备份工作,由数据管理部负责,增量备份每日做,系统备份每周做一次。系统管理员在每周最后一个工作日,将应用服务器的数据库文件做一次异机备份,数据保存一个季度。 5.9.3 备份数据应该严格管理,妥善保存;备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。 5.9.4 数据的备份、恢复、转出、转入的权限都应严格控制。严禁未经授权将数据备份出系统,转给无关的人员或单位;严禁未经授权进行数据恢复或转入操作。
第三方安全管理办法
第三方安全管理办法 第一章总则 第一条为了规范XXX的外部第三方用户在共享科技公司内部信息、或访问科技公司内部信息系统时的行为,保护科技公司网络与信息系统安全,特制 定本管理办法,用于内部管理机构对第三方机构和人员进行安全管理。 第二章适用范围 第二条本管理办法适用的第三方包括科技公司的产品供应商、代维服务商、合作厂商等,制度的执行和责任由与第三方接触的科技公司相关部门承担。第三条第三方合作伙伴在涉及到共享科技公司内部信息、或访问企业内部信息系统时,必须遵守本管理办法。 第四条在科技公司网络与信息安全工作中,本管理办法是指导第三方安全管理的基本依据,相关组织和人员必须认真执行本管理办法,并根据工作实 际情况,制定并遵守相应的实施细则和操作流程,做好第三方安全管理 工作。 第三章来访出入管理 第五条第三方人员进入科技公司所属单位及其建筑物,应遵守科技公司相关安保制度。 第六条接待部门应当建立第三方来访预约制度和接待记录制度。对第三方人员的访问,科技公司前台应进行登记,详细登记来访原因、工作单位、出 入时间、会见人、目的、有效证件。 第七条第三方人员访问科技公司过程中,必须由接待部门安排专人陪同,不得任其自行走动。第三方人员在科技公司内活动应当佩戴来宾卡或访问登 记单。 第八条对于需要长时间访问科技公司的外部人员应该建立档案,档案应与通行
证对应,并签订安全保密协议。 第九条未经科技公司特别许可,第三方人员不得在科技公司内摄影、拍照。 第十条科技公司员工要遵守相关安全保密规定,禁止与第三方人员谈论与其工作无关的内容,对共享给第三方人员的信息应登记。 第十一条如因业务需要须向第三方提供含有科技公司保密信息的文件、资料或实物的,接待人应当在获得相应的批准或授权,并与第三方签订保密协议后再行提供,提供时应开具清单请第三方签收。 第十二条访问活动结束后,应陪送第三方人员离开科技公司,并到前台处注销访问登记并归还来宾卡或访问登记单。 第十三条同科技公司合作的第三方如有人员变动应及时通知科技公司相关部门。 第四章机房出入管理 第十四条除以下情况外,不得引领和允许第三方人员访问机房等重要区域: 1.科技公司领导批准的参观活动; 2.必要的仪器设备现场安装、维修、调测; 3.第三方因业务需要进入上述区域的其它情形。 第十五条第三方人员访问机房须遵守机房管理相关规定。 第十六条第三方人员进入计算机房或进行上机操作,须经信息化部门领导或安全负责人批准,并进行相应登记,记录原因、目的及操作内容,指定专人全程陪同。 第五章网络访问管理 第十七条科技公司员工有义务向第三方人员说明网络接入安全要求。 第十八条第三方人员不允许私自连接企业网络。如果必要,必须提出申请,征得信息化管理部门允许后方可接入。第三方人员连接网络要进行相应登记备案,并签订网络使用安全协议。 第十九条长期使用内部网络的第三方人员的计算机必须接受科技公司的统一客户端管理,包括客户端管理软件的安装、安全策略的配置等。
信息数据安全管理制度
信息数据安全管理制度 随着医院信息化的发展,医院在用数据库不断增大,数据库内部关系也变的更加复杂,为保证医院数据库内部数据的完整性和严谨性,以及保证与财务报表的统一性,特制定《信息数据安全管理制度》。 1.医院信息数据是指在医院现有信息系统运行过程中产生的各类医嘱、药品、材料、价格、费用等信息的数字化表现形式。 2.医院信息数据的安全性直接关系到医院决策和患者的利益,任何人在未经授权的情况下不得擅自改动和查询医院的信息数据。 3.信息数据故障原因主要有两种: ⑴系统升级、变更、数据库死锁、软件设计缺陷等系统原因引起的信息数据丢失、关联错误。对于以上原因引起的信息错误,经临床科室反映后,医学工程信息部人员及时做出调整和修改,以保证信息系统的正常运行。 ⑵人为的错记、漏记等原因引起的信息数据错误。对于以上原因引起的信息错误,经当事科室要求,确实需要修改数据,根据不同情况,按照以下规定进行修改: 患者性质属于自费、参考医保:请当事科室护士或者医生(建议由经手人)来医学工程信息部信息管理办公室详细
填写信息数据修改审批记录单,做好各项审批工作,并配合信息数据维护人员完成该项数据的修改工作。 ①患者性质属于医保、农保或惠民:在院病人参照①所示规定进行修改;出院病人则按照医保、农保、惠民政策的规定,经该病人所属辖管机构审批后方可进行修改,否则不予以修改,在取得审批同意书后再参照①所示规定执行。 ②如涉及跨月数据(所有病人),则必须先上报财务核算部,经过财务核算部审核同意后,方可遵照①、②所示规定进行修改;修改完成后,医学工程信息部应对修改结果形成书面报告,经医学工程信息部主任(副主任)签字确认后,再由当事科室将修改报告送至财务核算部,财务核算部收到报告后及时对该月报表进行调整。 ③医学工程信息部信息管理部门每月出具数据修改报表,交由各管理部门,方便各管理部门对我院的信息系统运行情况进行监管。 4.信息数据查询统计规定 ⑴因单位内部工作以及迎接检查等情况的需要,确实需要查询(统计)数据的,医学工程信息部人员可由相关部门提交申请单后,由医学工程信息部主任、副主任签字确认后对相关信息数据进行查询、统计以及调整。 ⑵公安、司法机关等公检法系统需查阅信息数据时,应出具采集证据的法定证明。
第三方服务管理制度
版本页 标题:China Advanced Construction Materials Group信息技术管理制度主题:第三方服务管理制度
China Advanced Construction Materials Group 第三方服务管理制度 第一节总则 第一条为规范第三方服务商的服务行为,提高服务质量,降低服务成本,完善信息技术服务体系,特制订本制度。 第二条第三方服务商是指参与信息化系统建设的软硬件提供商、网络服务提供商以及为公司提供咨询服务、运行维护服务、技术培训及其它相关信息化建 设服务的厂商。 第二节第三方服务商服务范围 第三条第三方服务商提供的服务主要包含咨询服务、运行维护服务、技术培训等。 第四条咨询服务: 一.根据公司信息系统建设总体部署,协助公司制定切实可行的技术实施 方案; 二.对公司现有的信息技术基础架构、设备运行状态和应用情况进行诊断 和评估,提出合理化建议; 三.根据公司的实际情况提出备份方案和应急方案; 四.其它信息技术咨询服务。 第五条运行维护服务: 一.软硬件设备安装服务; 二.硬件设备的维修和保养; 三.软件系统的升级及故障处理; 四.系统定期巡检和整体性能评估; 五.其它运行维护服务。 第六条技术培训:根据公司的实际情况,参照国际国内先进的技术和管理经验或标准提供相关的技术培训。
第三节第三方服务商资质认证 第七条公司信息技术部负责组织第三方服务商的资质认证工作,资质验证的工作由不参与合同签订的人员根据公司规定进行。 第八条第三方服务商的资质认证内容,包括但不限于第三方的技术能力、经济和财务能力以及对服务的报价。 第九条资质认证过程如下: 一.收集第三方服务商的资质材料,并根据制定的评分办法和标准对第三 方服务商资质资料进行验证、初审、评分,汇总后按得分从高到低的 顺序排列; 二.对经过初审的第三方服务商,就其公司整体情况、技术队伍构成、服 务机构的组织、完成的实际项目、考核情况等方面进行评价; 三.对评审结果形成书面评审报告,提出推荐意见,报信息部负责人审 定。 第十条资质认证报告必须提交不参与合同签订的监管部门(比如招投标管理部门)核实审批。 第十一条公司信息技术部应及时收集并更新第三方服务商资料(包括企业重组或法人代表变更等重要信息)。 第四节第三方服务商协议签订 第十二条所有第三方服务商提供的服务必须签订服务协议或合同,只有信息技术部才能和第三方签订服务合同。 第十三条第三方服务商必须经过资质认证才有签订服务协议或合同的资格。 第十四条在与第三方服务商签订的服务协议或合同中应明确规定: 一.符合公司内部控制、内部安全管理及其它相关制度的要求; 二.规定对第三方服务商服务持续性的要求; 三.符合知识产权保护法,不得侵权,不得丧失公司的知识产权或版本 权; 四.与第三方服务商签订服务规范及保密协议;
信息安全管理制度
信息安全管理制度 为加强公司各信息系统管理,保证信息系统安全,据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门相关规定和要求,结合公司实际,制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理,应当保障网络系统设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动: 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。 3、未经允许,对信息网络功能进行删除、修改或增加。 4、未经允许,对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。
6、利用公司网络,访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作,对本单位单位所属计算机网络的运行进行巡检,发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件,一经发现个人计算机由感染病毒等原因影响到整体网络安全,信息中心将立即停止该用户使用公司网络,待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务,一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全子网,信息中心对其提供指导,必要时可以中断其与骨干网连接,待子网恢复正常后再恢复连接。
X第三方服务管理制度
版本页标题:信息部管理制度 主题:第三方服务管理制度 文档编号: 版本说明:
第三方服务管理制度 第一节总则 第一条为规范第三方服务商的服务行为,提高服务质量,降低服务成本,完善信息技术服务体系,特制订本制度。 第二条第三方服务商是指参与信息化系统建设的软硬件提供商、网络服务提供商以及为公司提供咨询服务、运行维护服务、技术培训及其它相关信息化建 设服务的厂商。 第二节第三方服务商服务范围 第三条第三方服务商提供的服务主要包含咨询服务、运行维护服务、技术培训等。 第四条咨询服务: 一. 根据公司信息系统建设总体部署,协助公司制定切实可行的技术实施 方案; 二. 对公司现有的信息技术基础架构、设备运行状态和应用情况进行诊断 和评估,提出合理化建议; 三. 根据公司的实际情况提出备份方案和应急方案; 四. 其它信息技术咨询服务。 第五条运行维护服务: 一. 软硬件设备安装服务; 二. 硬件设备的维修和保养; 三. 软件系统的升级及故障处理; 四. 系统定期巡检和整体性能评估; 五. 其它运行维护服务。 第六条技术培训:根据公司的实际情况,参照国际国内先进的技术和管理经验或标准提供相关的技术培训。
第三节第三方服务商资质认证 第七条公司信息部负责组织第三方服务商的资质认证工作,资质验证的工作由不参与合同签订的人员根据公司规定进行。 第八条第三方服务商的资质认证内容,包括但不限于第三方的技术能力、经济和财务能力以及对服务的报价。 第九条资质认证过程如下: 一. 收集第三方服务商的资质材料,并根据制定的评分办法和标准对第三 方服务商资质资料进行验证、初审、评分,汇总后按得分从高到低的 顺序排列; 二. 对经过初审的第三方服务商,就其公司整体情况、技术队伍构成、服 务机构的组织、完成的实际项目、考核情况等方面进行评价; 三. 对评审结果形成书面评审报告,提出推荐意见,报信息部负责人审 定。 第十条资质认证报告必须提交不参与合同签订的监管部门(比如总经办)核实审批。 第十一条公司信息部应及时收集并更新第三方服务商资料(包括企业重组或法人代表变更等重要信息)。 第四节第三方服务商协议签订 第十二条所有第三方服务商提供的服务必须签订服务协议或合同,只有信息部才能和第三方签订服务合同。 第十三条第三方服务商必须经过资质认证才有签订服务协议或合同的资格。 第十四条在与第三方服务商签订的服务协议或合同中应明确规定: 一. 符合公司内部控制、内部安全管理及其它相关制度的要求; 二. 规定对第三方服务商服务持续性的要求; 三. 符合知识产权保护法,不得侵权,不得丧失公司的知识产权或版本 权; 四. 与第三方服务商签订服务规范及保密协议;
第三方施工管理制度
第三方施工管理制度 第一条目的 (一)为进一步加强公司管道的交叉、并行、占压工程管理,防范第三方破坏,确保管道安全运行,结合公司实际,特制定本办法。 (二)第三方施工的管理应本着“早发现、早联系、早介入、早管理”的“四早原则”,严格执行审批程序,落实QHSE管理要求,杜绝违章行为,确保交叉、并行、占压工程实施过程中管道的安全。 第二条适用范围 本制度适用于管理处所辖长输管道的交叉、并行、占压工程管理工作。第三条第三方施工定义 第三方:是指管道运营单位及管道运营单位有合同关系的承包商之外的个人或组织。 第三方施工:是指第三方在输气管道沿线进行相关工程或与管道交叉的工程施工。 相关工程:新建和改扩建公路、铁路、河流、电(光)缆、管道、工矿企业、输电线路等与公司所辖管道在法定管道保护距离以内施工的情况。泛指取土、挖塘、修渠、修建养殖水场,排放腐蚀性物质,堆放大宗物资,采石、盖房、建温室、垒家畜棚圈、修筑其他建筑物、构筑物或者种植深根植物,修建铁路、高速公路、油气管道、高架电缆、通信光缆,爆破、开山和修筑大型建筑物、构筑物等工程。
相关工程包括周边工程(是指管道中心线两侧各10 米-100 米范围施工)和近距离工程(是指管道中心线两侧各10 米之内的施工,主要包括与在役管道交叉穿(跨)越、10 米内伴行,还包括管道中心线两侧各50-500 米及更近距离内爆破施工)。 第四条相关法律标准规定 1、《中华人民共和国石油天然气管道保护法》,中华人民共和国主席令(2010)第30 号 2、《关于规范公路桥梁与石油天然气交叉工程管理的通知》,交通运输部、国家能源局、国家安全监管总局交公路发(2015)36 号 3、《山西省石油天然气管道建设和保护办法》,山西省人民政府令第242 号 4、《输气管道工程设计规范》,GB 50251-2015 5、《油气输送管道穿越工程设计规范》GB 50423-2013 6、《油气输送管道跨越工程设计规范》GB 50459-2009 7、《油气长输管道工程施工及验收规范》GB50369-2014 注:包括 但不仅限于以上7 条第五条部门职责 1、负责与第三方业主单位、施工单位及相关政府职能部门的沟通协调工作; 2、组织管理处生产科、安全科进行现场联合勘察,以确定合理正确的技术方案及施工方案; 3、负责对第三方施工方案的初审,初审合格后报管道管理部,由管
数据安全管理制度及流程
数据安全管理制度及流程 数据安全管理制度: 1、在安装成功MySQL之后立即删除https://www.wendangku.net/doc/2515854974.html,er表中除本地主机root帐户之外的全部帐户。 2、为服务器本地root账户设置一个复杂的密码,应同时包含字母和数字,并定期更换。开发用于连接数据库的账户必须单独建立,密码由运维主管掌握。 3、定期更新的数据库root账户密码会告知技术总监、数据库主管,其他人员需要了解root账户密码时,需要书面向技术总监提出申请,批准后可以获得密码。 4、每天定时为数据库做全局备份,并保存在非系统盘中。每天定时为数据库做异地备份,固定保存在局域网中其他安全的计算机中。 5、进行数据恢复前,需要由数据库管理员登记正式的、书面的数据恢复报告,并提交技术总监与数据主管批准。每次的数据恢复都应记录备案。数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。 6、进行数据物理删除前,需要由数据库管理员登记正式的、书面的数据清理报告,并提交技术总监与数据主管批准。每次的数据清理都应记录备案。 7、数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。 数据库修改流程: 1、对数据库结构、数据库表或表字段进行修改前,由申请人向技术经理提交申
请,技术经理确认可以修改后,通过邮件向数据库主管提出申请。双方协商无误后,进行数据库修改。修改结束后,数据库主管通过邮件向技术经理说明处理细节及处理结果。 2、针对数据库图录数据的修改,均需通过产品经理向数据库主管提出邮件申请。双方确认申请无误后,进行数据库修改。修改结束后,数据库主管通过邮件向产品经理说明处理细节及处理结果。 3、业务部门提出的数据查询、统计、分析请求,需统一提交给产品经理,由产品经理确认可以提供后,向数据库主管发出邮件请求。数据库主管在数据库中处理后,将所需数据通过邮件发送给产品经理(如数据文件过大,将通过移动存储拷贝)。
数据安全管理规定
XXX 数据安全管理规定 编制:____________________ 审核:____________________ 批准:____________________ [本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有 特别注明,版权均属XXX所有,受到有关产权及版权法保护。任何个人、机构未经XXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。]
1.分发控制 分发对象文档权限说明 XXX内部员工只读 2.文件版本信息 版本日期拟稿和修改说明 3.文件版本信息说明 文件版本信息记录本文件提交时的当前有效的版本控制信息,当前版 本文件有效期将在新版本文档生效时自动结束。文件版本小于 1.0 时,表示该版本文件为草案,仅可作为参照资料之目的。
第一章总则 第一条为保证XXX信息系统核心数据安全,维护数据所有者权利,明确利益相关者的责任与义务,按照分类管理、分级保护、授权使用的原则,根据《XXX信息系统安全管理规定》及国家信息系统安全等级保护等 有关要求,特制订本规定。 第二条本规定所管理的数据均为非涉密的数据,XXX系统已标识密级的文件或已声明密级的数据不纳入本规定管理范畴。 第三条本规定适用于全国XXX信息系统环境中的数据安全管理工作。XXX各单位、部门均应按本规定开展数据安全管理工作。 第二章术语定义 第四条本规定所称数据所有者是指,对所管理业务领域内的信息或 信息系统,有权获取、创建、维护和授权的业务主管。 第五条本规定所称利益相关者包括数据创建者、数据所有者、数据 管理者、数据使用者及信息安全管理人员。 第六条本规定所管理的数据涵盖以纸质、电子等形式存在的文件和 非文件形式的信息及其衍生物。其中,非文件形式的数据包括数据库及配 置文件中的数据、配置信息等。
网络安全管理制度
******公司网络安全管理制度 1、机房管理规定 1.1、机房环境 1.1.1、机房环境实施集中监控和巡检登记制度。环境监控应包括:烟雾、温湿度、防盗系统。 1.1.2、机房应保持整齐、清洁。进入机房应更换专用工作服和工作鞋。 1.1.3、机房应满足温湿度的要求,配有监视温湿度的仪表或装置。温度:低于28°C 湿度:小于80% 1.1.4、机房的照明及直流应急备用照明电源切换正常,照明亮度应满足运行维护的要求,照明设备设专人管理,定期检修。 1.1.5、门窗应密封,防止尘埃、蚊虫及小动物侵入。 1.1.6、楼顶及门窗防雨水渗漏措施完善;一楼机房地面要进行防潮处理,在满足净空高度的原则下,离室外地面高度不得小于15CM。 1.2、机房安全 1.2.1、机房内用电要注意安全,防止明火的发生,严禁使用电焊和气焊。 1.2.2、机房内消防系统及消防设备应定期按规定的检查周期及项目进行检查,消防系统自动喷淋装置应处于自动状态。 1.2.3、机房内消防系统及消防设备应设专人管理,摆放位置适当,任何人不得擅自挪用和毁坏;严禁在消防系统及消防设备周围堆放杂物,维护值班人员要掌握灭火器的使用方法。 1.2.4、机房内严禁堆放汽油、酒精等易燃易爆物品。机房楼层间的电缆槽道要用防火泥进行封堵隔离。严禁在机房内大面积使用化学溶剂。 1.2.5、无人值守机房的安全防范措施要更加严格,重要机房应安装视像监视系统。 1.3、设备安全 1.3.1、每年雷雨季节到来之前的要做好雷电伤害的预防工作,主要检查机房设备与接地系统与连接处是否紧固、接触是否良好、接地引下线有无锈蚀、
接地体附近地面有无异常,必要时挖开地面抽查地下掩蔽部分锈蚀情况,如发现问题应及时处理。 1.3.2、接地网的接地电阻宜每年测量一次,测量方法按DL548—94标准附录B,接地电阻符合该标准附录A的表1所列接地电阻的要求,要防止设备地电位升高,击穿电器绝缘,引发通信事故。 1.3.3、每年雷雨季节到来之前应对运行中的防雷元器件进行一次检测,雷雨季节中要加强外观巡视,发现异常应及时处理。 1.3.4、房设备应有适当的防震措施。 1.4、接地要求 1.4.1、独立的数据网络机房必须有完善的接地系统,靠近建筑物或变电站的数据网络机房接地系统必须在本接地系统满足DL548—94标准附录A的表1所列接地电阻的要求后才可与附近建筑物或变电站的接地系统连接,连接点不得少于两点。 1.4.2、机房内接地体必须成环,与接地系统的连接点不得少于两点,机房内设备应就近可靠接地。 1.5、人身安全 1.5.1、检修及值班人员要严格遵守安全制度,树立安全第一的思想,确保设备和人身的安全。 1.5.2、通信站保卫值班人员不得在通信设备与电器设备上作业。通信站内高压设备出现故障应立即通知高压检修人员抢修,保卫值班、通信检修人员不得进入高压场地安全区内。 2、帐户管理规定 帐户是用户访问网络资源的入口,它控制哪些用户能够登录到网络并获取对那些网络资源有何种级别的访问权限。帐户作为网络访问的第一层访问控制,其安全管理策略在全网占有至关重要的地位。 在日常运维中发生的许多安全问题很大程度上是由于内部的安全防范及安全管理的强度不够。帐户管理混乱、弱口令、授权不严格、口令不及时更新、旧帐号及默认帐号不及时清除等都是引起安全问题的重要原因。 对于账户的管理可从三个方面进行:用户名的管理、用户口令的管理、用
08第三方人员访问控制管理制度
好收益(北京)金融信息服务有限公司 第三方人员访问控制管理制度 第一章总则 第一条为加强对外部人员在好收益(北京)金融信息服务有限公司(以下简称“公司”)的信息安全管理,防范外部人员带来的信息安全风险,规范外部人员在公司各项与信息系统相关的活动所要遵守的行为准则,特制定本办法。 第二条本办法所述的外部人员是指非公司内部员工,包括产品供应商、设备维护商、服务提供商、业务合作单位、临时雇工、实习生等外来人员,外部人员分为临时外部人员和非临时外部人员。 (一)临时外部人员指因业务洽谈、技术交流、提供短期和不频繁的 技术支持服务而临时来访的外部人员; (二)非临时外部人员指因从事合作开发、参与项目工程、提供技术 支持或顾问服务,必须在相关单位办公的外部人员。 第三条本办法适用于公司。 第二章外部人员风险识别 第四条各部门在与第三方进行接触过程中,应防范外部人员对于公司可能带来的各类信息安全风险,这些风险包括但不限于如下内容: (一)外部人员的物理访问带来的设备、资料盗窃; (二)外部人员的误操作导致各种软硬件故障; (三)外部人员对资料、信息管理不当导致泄密; 1
(四)外部人员对计算机系统的滥用和越权访问; (五)外部人员给计算机系统、软件留下后门; (六)外部人员对计算机系统的恶意攻击。 第五条接待部门应对外部人员进出接待区域的物理和信息风险进行识别和防范;关键区域的进出应填写《好收益(北京)金融信息服务有限公司外部人员访问申请表》,经部门负责人签字确认后,由内部人员的全程陪同,方可进入。 第六条涉及公司业务合作的外部人员风险识别由各业务合作部门负责管理,各部门应正确、合理识别各类业务信息的关键程度和保密程度,根据外部人员或项目保密协议严格控制,依照“按需访问”的原则对公司信息进行安全管理。 第三章基本安全管理 第七条在未经公司相关部门负责人的审核审批的情况下,禁止外部人员了解和查阅公司的敏感、重要和商业秘密信息。 第八条外部人员如因业务需要查阅公司敏感资料或访问公司网络和信息系统资源,必须经过相关部门负责人批准并详细登记,须与公司签署有效的《好收益(北京)金融信息服务有限公司外部人员保密协议》。 第九条未经相关部门负责人的许可,外部人员不得在办公区域、设备间、机房等关键区域摄影、拍照。 第四章外部人员物理访问控制 第十条外部人员进出公司时,遵守信息安全工作组相关管理规定《公司办公环境信息安全管理办法》,接待人必须全程陪同临时外部人员,告知有关 2
等保测评之-信息安全管理制度
等保测评之-信息安全管理制度
信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。
1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括:
安全管理制度
附件1:安全管理制度 (一)人工审核 1、明确对发布的文本,图片,音视频的多级人工审核流程。2审以上发现问题如何更改清楚 2、明确识别违法和不良信息并及时停止的技术措施,明确对违法和不良信息处理时限。 3、建立与业务规模相匹配的人员管理制度,明确后台审核、前台巡查、技术保障专业人员数量。 (二)内容检测 1、明确对发布的文本、图片、音视频进行违法和不良信息的自动检测流程,如不能实现自动检测,说明原因。 2、明确识别违法和不良信息并及时停止的技术措施,明确对违法和不良信息处理时限。 (三)信息源(稿源)管理保障 建立白名单库等级分类管理措施、技术手段。 (四)敏感信息样本库管理 1、明确建立敏感信息样本库,明确更新方式以及更新周期。敏感字词依据什么建立多久更新时间写清楚检测手段根据技术水平 (五)开放接口管理 1.明确是否存在第三方提供的API接口: (1)如果存在,明确接口服务形式,服务方法,权限
管理和安全审计内容。 (2)提供第三方数据获得方式,以及用户隐私保护方式。 (3)明确对第三方合作对象的审核方式,以及合作安全管理责任划分的细则。 (六)举报机制 1、明确举报处置流程,应包含举报途径和具体举报方式。 2、建立与业务规模相匹配的人员管理制度,包括受理举报专业人员数量。 3、明确处理举报时限,明确举报日志的留存时限。 三个应用对应举报机制途径举报电话举报邮箱链接举报中心管理网站专人负责受理时限举报记录受理时长 (七)应急处置机制 1、建立违法和不良信息及时管控机制,包括提供7×24小时应急联系人,及处置时限。 2、明确专职人员负责应急工作技术保障,明确具体人员数量。 3、建立应急处置预案,包括网络安全事件的分级管理内容,每个安全等级的管理处置办法。 4、明确与主管部门的沟通流程,包括接收上级主管部
数据安全管理制度
数据安全管理规定 一.目的 1.1为了提高公司网络系统的安全性,最大限度的防止资料流失。特制定本制度 二.范围 2.1电子文档向外发送时遵循此规定。 三.定义 3.1 向外发送的数据:包括对外光盘的刻录,因工作需要向外发送的电子文件及通过其它途径传递的资料。 3.2有效数据:指工作所需的和各种文档,不包括音乐、影视、生活图片或其它与工作无关的文件。 四.权责 4.1 计算机使用:各部门经(副)理指定人员; 4.3 数据安全监管:人力资源部指定之人员; 五.作业内容 5.1 所有申请使用电脑办公的同事需经过人力资源部网络中心的相关培训,培训日期按年度培训计划执行。考核合格后,网络中心分配相应的电脑使用权限,准许使用电脑办公。 5.2 人力资源部根据办公系统的使用情况,将不定期的组织临时性的专项培训。 5.3公司对外的电子文档输出由人力资源部负责。包括刻录光盘,向外发送文件等。所有部门如有上述需要,请填写统一的<<申请单>>,经部门经理或直接上级审批后,由人力资源部相关岗位处理。 5.4 电子邮件的使用由操作员自己负责。网络中心在总经理同意后,有权在不发布公告时对电子邮件系统进行监控。 5.5除总经理批准或有特殊用途的电脑外,锁定所有电脑的USB接口,拆除或禁用软驱、光驱。 5.6除人力资源部指定岗位外,所有电脑禁止安装刻录机或相关设备。
5.7 除签订<<资料保密协议>>的同事外,未经事业部总经理同意,不得使用U盘、移动硬盘等设备,一经发现,立即没收。并记小过一次。 5.8 未经允许,员工不应将不属于公司的电脑整机或配件带入公司使用,也不允许接入公司网络系统。违者记大过一次。并对其设备进行检查,确认后归还给当事人。 5.9 所有的电脑操作员最多每6天向服务器备份一次有效数据。人力资源部指定岗位每月3日前必须将所有数据备份到光盘存档。具体备份方式另行通知。 5.10 在公司办公场所内需上网的同事请按正常程序申请,在学习公司的 <