当前位置：文档库 › 信息管理与信息安全管理程序DOC

信息管理与信息安全管理程序DOC

金陵石化公司一体化管理体系

信息管理与信息安全管理程序

文件编号JLSH-T20.32.00.027.2011 版本/修改A/0 第 1 页共16页1 目的

明确公司信息化及信息资源管理要求，对内外部信息及信息系统进行有效管理，以确保各部门(单位)和岗位能及时、安全地识别、获取并有效运用、保存所需信息。

2 适用范围

适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。

3 术语和定义

3.1 信息

有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、内部控制、三基等和生产经营管理中所有信息。

3.2 企业信息化

建立先进的管理理念，应用先进的计算机网络技术，整合、提升企业现有的生产、经营、设计、制造、管理方式，及时为企业各级人员的决策提供准确而有效的数据信息，以便对需求做出迅速的反应，其本质是加强企业的“核心竞争力”。

3.3 信息披露

指公司以报告、报道、网络等形式，向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。

3.4 ERP

企业资源规划

3.5 MES

制造执行系统

3.6 LIMS

实验室信息管理系统

3.7 IT

信息技术

4 职责

4.1 信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查，对重大问题进行决策，定期听取有关信息化管理的工作汇报，协调解决信息化过程中存在的有关问题。

4.2 ERP支持中心负责公司ERP系统运行、维护管理，每月召开ERP例会，分析总结系统运行情况，协调处理有关问题，及时向总部支持中心上报月报、年报。

4.3 信息中心是公司信息化工作的归口管理部门，主要职责：

a)负责制定并组织实施本程序及配套规章制度，对各部门(单位)信息化工作进行业务指导和督促；

b)负责信息化建设管理，组织进行信息技术项目前期管理，编制信息建设专业发展规划并组织实施；

c)负责统一规划、组织、整合和管理公司信息资源系统，为各部门(单位)信息采集、整理、汇总和发布等环节提供技术支持；对Internet用户、电子邮箱进行设置管理；统一管理分公司互联网出口；

d)负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算机设备检维修管理；

e)负责ERP等支持中心日常管理工作；

f)负责通信管理。

4.4 发展项目处负责将信息化项目列入公司投资建议计划，提交信息化工作领导小组讨论通过后，上报总部。

4.5 技术质量处负责对列入科技开发计划的信息管理项目按《科技开发控制程序》执行。

4.6 财务部门负责信息化、通信系统维护专项费核算、管理。

4.7 机动处负责对计算机、网络、机房等基础设施安排检维修计划并组织实施。

4.8 教培中心协助组织进行员工的信息化应用和现代信息技术基本知识的培训。

4.9 人力资源处负责信息系统关键岗位的设定和管理。

4.10 企业管理处负责组织对各部门(单位)的信息化工作进行专项考核；负责审定公司各项信息化管理规章制度。

4.11 物资装备中心负责信息技术项目设备、材料和计算机设备配件、耗材的物资供应。

4.12 总经理(外事)办公室负责公司信息门户和信息披露的管理，负责公司计算机及配件的维修管理。

4.13 宣传处负责公司宣传思想网的日常管理，负责对外宣传报道稿件的审核。党委办公室负责公司党群工作信息系统的日常管理。

4.14 计量管理中心、质量检验中心、安全环保处负责涉及产品质量、环境质量和测量的相关技术程序[包括测试程序、方法、（产品和测量方法）标准等相关文件]、软件、记录和标识的所有信息管理。4.15情报档案室负责公司内部归档档案信息管理、外部文献信息、生产技术、经营课题调研信息等信息资源的采集、管理。

4.16 各部门(单位)职责：

a)负责提出信息资源需求，及时录入和维护有关数据，有效利用和管理信息资源；负责公司信息门户中本部门(单位)信息的发布及维护；

b)负责本部门(单位)计算机及通讯设备、网络系统和信息系统的安全运行管理；

c)提出本部门(单位)的信息技术项目立项和系统故障维修的申请报告，组织信息技术项目在本部门(单位)的实施、推广和应用,负责及时录入和维护有关数据，协调处理有关业务问题；

d)负责建立和完善技术档案和基础技术资料。

5 工作程序

5.1 工作机构

5.1.1 公司成立由总经理为组长、分管副总经理为副组长、有关部门(单位)主要负责人为组员的信息化工作领导小组，其主要职责见4.1。

5.1.2 公司设立由信息中心及有关部门(单位)关键用户组成的ERP等系统支持中心，其主要职责见

4.2。

5.2 信息化建设管理

5.2.1 信息化计划

5.2.1.1 在总部信息化建设规划指导下，信息中心编制公司信息建设专业发展计划，征求各部门(单位)意见并组织专家组进行评审，报信息化工作领导小组审核，经公司总经理批准后，报总部信息系统管理部备案，并纳入公司生产发展总体规划，在执行过程中滚动调整和完善。

5.2.1.2 各部门(单位)根据公司生产发展总体规划和生产经营管理的需要，每年6月份前向信息中心申报下一年度的信息化项目建议书，信息中心组织审核并汇总编制公司年度信息技术项目建议计划，报发展项目处纳入公司年度投资建议计划统筹平衡，经公司信息化工作领导小组讨论批准后，由发展项目处上报总部，由信息中心报信息系统管理部备案。

5.2.1.3 信息中心负责编制年度公司信息系统运行维护费用预算，经财务部门综合平衡后，报公司全面预算管理委员会审定后执行。

5.2.2 项目立项

5.2.2.1 信息化项目的立项权限、限额划分及相关工作的管理，按《固定资产投资控制程序》和内部控制的有关规定执行。

5.2.2.2 信息化项目申请立项，必须符合公司发展总体规划中的目标和任务，依据公司信息技术项目年度建议计划，进行信息技术项目立项工作。

5.2.2.3 申请股份公司立项的信息技术项目按《金陵石化信息技术项目管理规定》执行。

5.2.2.4 申请公司立项的信息技术项目按《固定资产投资控制程序》和《科技开发控制程序》执行。

5.2.2.5 信息中心按照《固定资产投资控制程序》、《科技开发控制程序》的规定，组织信息技术项目的招投标。

5.2.2.6 凡属信息技术项目，须经信息中心审核，未经信息化工作领导小组批准，不予立项，不予拨付资金，项目不得实施。

5.2.3 项目实施

5.2.3.1 项目责任单位按照《金陵石化信息技术项目管理规定》的要求，参与制定项目实施计划，提出项目实施计划要求和建设质量要求；配合系统开发，负责项目进度和质量管理，组织人员培训、试运行、单轨运行。制定配套的系统运行管理制度、提出项目竣工验收申请并进行其它的相关工作。

5.2.3.2 信息中心组织项目实施例会、中间交接、系统测试、项目竣工验收等工作，并协助项目责任单位完成总部组织的项目的后评价、制定配套的系统运行管理制度。

5.2.3.3 物资装备中心负责组织进行信息技术项目建设的设备及材料供应，信息中心按《一般物资采购程序》执行。

5.3 系统运行维护

5.3.1 信息系统的运行维护包括对计算机、网络、数据库、应用系统、机房及附属设备的运行维护。

5.3.2 系统应用责任部门(单位)要按照《金陵石化信息技术项目管理规定》、《金陵石化信息系统安全管理规定》和《金陵石化信息基础设施运行维护管理规定》的要求做好系统应用维护，同时加强对信息

系统各类用户及第三方技术支持、服务人员的管理，做好风险防范管理，确保系统安全运行。

5.3.3 信息中心负责管理信息系统的基础设施如计算机、网络、数据库系统及机房的运行和维护管理。为各部门(单位)信息应用系统的正常运行提供技术支持和服务。

5.3.4 各部门(单位)严格执行《金陵石化信息基础设施运行维护管理规定》，用好管好本部门(单位)的计算机网络系统和计算机设备，建立和更新本部门(单位)计算机设备台帐，并报信息中心备案。

5.3.5 信息中心依据《金陵石化信息基础设施运行维护管理规定》进行计算机设备检维修管理。各部门(单位)的计算机设备发生故障，需经本部门(单位)处理审核后报信息中心，由信息中心组织进行检维修。信息中心无法维修的，各部门(单位)须填报“计算机维修单”，由总经理(外事)办公室审核确认后，方能送外修理，将实际发生的检维修费用报财务进行结算。

5.3.6 标准代码管理执行《中国石油化工集团公司信息标准代码管理办法》。对于总部统一组织实施的信息技术应用系统，当各部门(单位)需要增加标准代码时，向信息中心报“标准代码申请单”，信息中心审核后报总部，各部门(单位)将总部批准的标准代码维护到系统中。

5.3.7 计算机软件产品购置、测试、评估、开发应用、升级、保存管理执行《金陵石化信息系统应用管理规定》。

5.3.8 信息中心负责对因特网和其他对外出口的安全管理和监控，动态监控信息系统安全状况，及时组织处理突发的安全故障，保障信息系统正常运行。

5.3.9 对于总部统一组织实施的信息技术应用系统，凡不能自行解决的运行维护问题，由信息中心将各部门(单位)提交的信息系统问题上报总部主管部门，待回复后，将问题解决方案交问题提报部门(单位)执行。

5.3.10 各部门(单位)作为应用系统的业务管理者和使用者，负责业务流程、业务工作标准、数据维护、用户管理、数据使用安全的运行和管理工作。

5.3.11 信息中心负责每月8日前组织召开ERP系统运行月度例会，协调解决有关问题，编写ERP系统运行维护月度报告，上报股份公司信息系统管理部。

5.4 信息资源管理

5.4.1 信息资源分类与管理

公司信息按下属方式进行分类：

a)按来源划分。包括生产经营管理方面的内部信息和需从外部购入的信息；

b)按载体划分。包括电子载体信息和纸质载体信息。其中电子载体信息主要包括由ERP、MES、LIMS、实时数据库等基础信息系统及专业信息系统采集（或形成）并存储的信息、使用计算机编制并存储的信息以及从外部获得各类有关的电子类信息等。纸质载体信息包括各类纸质的文件记录、资料等。

5.4.2 外部信息需求的识别和获取

5.4.2.1 专业管理信息由各部门(单位)按“谁主管，谁负责”的原则，通过网络、专业协会、总部、政府部门等途径对外部信息进行识别和获取。

5.4.2.2 各部门（单位）对需要单位间共享或购买的外部文献信息、生产技术、经营等课题调研信息，按公司《文献信息管理制度》、《信息调研管理制度》由情报档案室管理，其他所需外部信息按《中国石

化信息资源管理办法》的要求形成相应的信息需求目录，并明确信息内容、信息提供频率和信息提供方式等，经本部门（单位）负责人签字确认后报情报档案室。

5.4.2.3 情报档案室组织汇总各部门(单位)需要其他单位提供的信息和需外购的信息，编制内部信息需求和外购信息需求目录。各部门(单位)内部共享信息需求及外购信息需求内容经分管副总经理审核批准后实施。

5.4.2.4 外购信息经批准后由情报档案室统一采购，购入后，由情报档案室分发或提供网址、密码等必要信息供需求各部门(单位)使用。

5.4.3 内部信息的采集发布、传输利用

5.4.3.1 各部门(单位)对于需要录入公司信息门户及信息系统的，应依据《中国石化信息分级及信息门户授权规则（试行）》及信息系统（如ERP、MES、LIMS等）管理的规定，及时采集和录入数据。

5.4.3.2 各部门(单位)对录入的内部信息实施分级管理，情报档案室汇总各部门(单位)信息密级目录列表，作为信息资源管理和信息访问的基础；对于通过系统自动采集或转换的信息，须经主管部门(单位)审核确认。情报档案室及各部门(单位)应定期对信息采集发布工作进行检查评价。

5.4.3.3 信息中心通过信息门户对各部门(单位)有关最终用户分别进行信息授权，确保信息准确送达和安全使用。

5.4.3.4 各部门(单位)和各岗位按照信息授权接受并运用所需信息。

5.4.3.5 涉密信息严禁公开发布，各部门(单位)对所发布数据的合法性、真实性、有效性负全面责任。

5.4.3.6 内部归档档案信息按公司档案管理规定执行。

5.4.4 信息披露

公司总经理（外事）办公室为信息披露的归口部门，对外信息披露按照“谁主管，谁负责审核批准”的原则进行管理，未经审核或授权，各部门(单位)和各岗位一律不得对外披露相关信息。其中，对外宣传报道及外部宣传媒体的接待按《宣传思想工作管理程序》执行。

5.4.5 信息评估与分析

各部门(单位)对收集的信息（数据），应按照系统应用的目标要求进行评价和分析，为制定企业的方针目标和战略目标提供科学依据。信息中心在各部门(单位)利用电子图文、网络通讯、实时数据等方式进行数据收集、传递、分析时，提供相应的信息化技术手段和支持并不断进行改善。

5,5 IT一般性控制管理

5.5.1 信息中心按内部控制手册要求建立并实施IT一般性控制管理,并会同相关各部门(单位)依据总部和公司关于IT一般性控制的要求，规范信息系统的建设、运行维护和应用管理等工作。

5.5.2 信息中心按内部控制制度要求完成各项IT内控流程的自查测试工作底稿及自查报告并上报内控办公室。

5.6 通信管理

信息中心为全公司通讯归口管理部门，负责通讯设施系统的日常安装、维护、维修、拆迁工作，确保公司通讯畅通。具体执行《金陵石化通信管理规定》。

5.7 信息安全管理

5.7.1 信息中心根据《金陵石化信息技术风险评估管理规定》，结合自身生产经营管理的需要编写“信息系统风险评估报告”，并针对风险评估报告中提出的问题，制订公司“信息安全方案”，经分管副总经理审批后报信息系统管理部备案。

5.7.2 信息中心依照《金陵石化信息系统安全管理规定》，组织实施公司信息安全管理，确定信息系统安全关键岗位，设立安全管理员，签订“信息系统安全责任书”。

5.7.3 各部门(单位)及岗位不得安装与工作无关的软件，及时安装系统补丁，及时更新防病毒代码，及时进行数据备份。严禁传播病毒。发现设备损坏和数据丢失及时处理，信息中心提供必要的技术支持和服务。

5.7.4 信息中心对因特网和其他对外出口的安全管理和监控负责，并动态监控信息系统安全状况，及时组织处理突发的安全故障，保障信息系统正常运行。

5.8 检查评价与改进

5.8.1 企业管理处通过岗位责任制检查，组织对信息化工作检查，信息中心组织日常检查和专业管理检查，对各部门(单位)信息系统运行情况和信息管理工作进行检查与考核。检查结果纳入经济责任制考核。

5.8.2 公司内控办公室按照内控要求定期组织对信息管理内控流程的执行情况进行检查与考核评价。

5.8.3 信息中心结合日常管理、专业检查、内部审核等对本程序的适宜性、有效性进行评价，并采取相应措施实施持续改进。

6 支持性文件

6.1 《金陵石化信息化管理细则》

6.2 《金陵石化信息系统安全管理规定》

6.3 《金陵石化信息基础设施运行维护管理规定》

6.4 《中国石化信息资源管理办法》中国石化办〔2011〕228号

6.5 《金陵石化网络管理规定》

6.6 《中国石化信息分级及信息门户授权规则（试行）》（石化股份信〔2006〕 332号）

6.7 《中国石油化工集团公司信息标准代码管理办法》

6.8 《金陵石化信息系统应用管理规定》

6.9 《金陵石化信息技术风险评估管理规定》

6.10《中国石化信息化项目验收管理办法》中国石化信〔2011〕150号

6.11 《固定资产投资控制程序》

6.12 《科技开发控制程序》

6.13 《金陵石化信息技术项目管理规定》

6.14 《金陵石化ERP系统管理规定》

6.15 《金陵石化MES系统管理规定》

6.16 《金陵石化商业秘密保护规定》金陵石化办〔2010〕15号

6.17 《金陵石化通信管理规定》

7记录

7.1 信息技术项目年度建议计划

7.2 信息专业年度综合计划

7.3 信息中心日常维修记录表

7.4 可行性研究报告

7.5 项目建议书批复

7.6 可行性研究报告批复

7.7 技术附件

7.8中交报告

7.9 项目详细设计

7.10 项目详细设计评审

7.11 项目开工报告

7.12 项目验收报告

7.13 后评估报告

7.14 中国石化信息化工作月报-金陵分公司

7.15 中国石化金陵公司信息安全运维月报

7.16 中国石化信息基础设施运行维护评价指标-金陵分公司7.17 项目申报投资计划卡

7.18 金陵分公司信息系统用户管理申请表

7.19 金陵分公司ERP系统角色维护申请表

7.20 金陵分公司信息系统用户需求提报(传输请求申请)单7.21 ERP系统变更记录表

7.22 金陵分公司客制化开发用户接收测试文档

7.23 金陵分公司客制化开发功能设计说明书

7.24 金陵分公司ERP批导入数据申请表

7.25 金陵分公司信息系统后台作业调度申请表

7.26 金陵供应商（客户）主数据申请表

7.27 撤离备案申请表

7.28 金陵分公司ERP月度例会纪要

7.29 金陵分公司ERP系统月度运行和应用报告

7.30 ERP系统补丁及软件升级申请表

7.31 ERP系统日志

7.32 MES系统问题提报单

7.33 电脑维修及配件领用表

7.34 用户终端接入申请审批表

7.35 服务器台帐

7.36 金陵分公司网络拓扑图

7.37 IP地址分配表

7.38 中国石化电子邮件服务申请表

7.39 ERP相关管理员授权书

7.40 IT一般性控制流程检查工作底稿7.41 计算机设备维护记录表

7.42 系统备份、数据库维护表

7.43 信息系统风险评估报告

7.44 信息安全方案

7.45各部门（单位）信息目录

7.46各部门（单位）信息需求目录

7.47各部门（单位）外购信息需求目录7.48共享信息需求目录

7.49信息授权列表

8 附加说明

本程序由信息中心提出并归口。

本程序起草部门：信息中心。

本程序起草人：赵志明、任强。

本程序审核人：罗建平。

本程序批准人：赵日峰。

本程序解释权归信息中心。

附录A：

中国石化集团金陵石化公司第10页共16页

中国石化集团金陵石化公司第11页共16页

JLSH-T20.32.00.027.2011信息管理与信息安全管理程序附录B：

信息系统维护流程图

JLSH-T20.32.00.027.2011信息管理与信息安全管理程序

中国石化集团金陵石化公司第13页共16页

JLSH-T20.32.00.027.2011信息管理与信息安全管理程序附录C：

信息资源管理流程图

中国石化集团金陵石化公司第15页共16页

中国石化集团金陵石化公司第16页共16页

信息安全管理方案计划经过流程

信息安全管理流程说明书（S-I）

信息安全管理流程说明书 1 信息安全管理 1.1目的本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动，保证信息安全管理目标的实现，满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 1) 在所有的服务活动中有效地管理信息安全； 2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题，识别并跟踪组织内任何信息安全授权访问； 3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求； 4) 执行操作级别协议和基础合同范围内的信息安全需求。 1.2范围本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定，以及客户自身的相关安全管理规定。公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。 2术语和定义 2.1相关ISO20000的术语和定义 1) 资产（Asset）：任何对组织有价值的事物。 2) 可用性（Availability）：需要时，授权实体可以访问和使用的特性。 3) 保密性（Confidentiality）：信息不可用或不被泄漏给未授权的个人、实体和流程的特性。 4) 完整性（Integrity）：保护资产的正确和完整的特性。

5) 信息安全（Information security）：保护信息的保密性、完整性、可用性及其他属性，如：真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系（Information security management system ISMS）：整体管理体系的一部分，基于业务风险方法以建立、实施、运行、监视、评审、保持和改进信息安全。 7) 注：管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资源。 8) 风险分析（Risk analysis）：系统地使用信息以识别来源和估计风险。 9) 风险评价（Risk evaluation）：将估计的风险与既定的风险准则进行比较以确定重要风险的流程。 10) 风险评估（Risk assessment）：风险分析和风险评价的全流程。 11) 风险处置（Risk treatment）：选择和实施措施以改变风险的流程。 12) 风险管理（Risk management）：指导和控制一个组织的风险的协调的活动。 13) 残余风险（Residual risk）：实施风险处置后仍旧残留的风险。 2.2其他术语和定义 1) 文件（document）：信息和存储信息的媒体；注1：本标准中，应区分记录与文件，记录是活动的证据，文件是目标的证据；注2：文件的例子，如策略声明、计划、程序、服务级别协议和合同； 2) 记录（record）：描述完成结果的文件或执行活动的证据；注1：在本标准中，应区分记录与文件，记录是活动的证据，文件是目标的证据；注2：记录的例子，如审核报告、变更请求、事故响应、人员培训记录； 3) KPI：Key Performance Indicators 即关键绩绩效指标；也作Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、计算、分析，衡量流程绩效的一种目标式量化管理指标，流程绩效管理的基础。

信息安全事件管理程序.docx

信息安全事件管理程序 1 目的为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制，减少信息安全事件和故障所造成的损失，采取有效的纠正与预防措施，特制定本程序。 2 范围本程序适用于XXX业务信息安全事件的管理。 3 职责 3.1 信息安全管理流程负责人 ? 确定信息安全目标和方针； ? 确定信息安全管理组织架构、角色和职责划分； ? 负责信息安全小组之间的协调，内部和外部的沟通； ? 负责信息安全评审的相关事宜； 3.2 信息安全日常管理员 ? 负责制定组织中的安全策略； ? 组织安全管理技术责任人进行风险评估； ? 组织安全管理技术责任人制定信息安全改进建议和控制措施； ? 编写风险改进计划； 3.3 信息安全管理技术责任人 ? 负责信息安全日常监控； ? 信息安全风险评估；

? 确定信息安全控制措施； ? 响应并处理安全事件。 4 工作程序 4.1 信息安全事件定义与分类信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响（后果）的。造成下列影响（后果）之一的，均为一般信息安全事件。 a) XXX秘密泄露； b) 导致业务中断两小时以上； c) 造成信息资产损失的火灾； d) 损失在一万元人民币（含）以上的故障/事件。造成下列影响（后果）之一的，属于重大信息安全事件。 a) 组织机密泄露； b) 导致业务中断十小时以上； c) 造成机房设备毁灭的火灾； d) 损失在十万元人民币（含）以上的故障/事件。 4.2 信息安全事件管理流程 ? 由信息安全管理负责人组织相关的运维技术人员根据XXX对信息安全的要求，确认代码管理相关信息系统的安全需求； ? 对代码管理相关信息系统进行信息安全风险评估，预测风险类型、

信息管理与信息安全管理程序.docx

. . 1目的明确公司信息化及信息资源管理要求，对内外部信息及信息系统进行有效管理，以确保各部门( 单位 ) 和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2适用范围适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3术语和定义 3.1信息有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、内部控制、三基等和生产经营管理中所有信息。 3.2企业信息化建立先进的管理理念，应用先进的计算机网络技术，整合、提升企业现有的生产、经营、设计、制造、管理方式，及时为企业各级人员的决策提供准确而有效的数据信息，以便对需求做出迅速的反应，其本质是加强企业的“核心竞争力” 。 3.3信息披露指公司以报告、报道、网络等形式，向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6LIMS 实验室信息管理系统 3.7IT 信息技术 4职责 4.1信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查，对重大问题进行决策，定期听取有关信息化管理的工作汇报，协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理，每月召开ERP例会，分析总结系统运行情况，协调处理有关问题，及时向总部支持中心上报月报、年报。 4.3信息中心是公司信息化工作的归口管理部门，主要职责： a) 负责制定并组织实施本程序及配套规章制度，对各部门( 单位 ) 信息化工作进行业务指导和督促； b)负责信息化建设管理，组织进行信息技术项目前期管理，编制信息建设专业发展规划并组织实施； c) 负责统一规划、组织、整合和管理公司信息资源系统，为各部门( 单位 ) 信息采集、整理、汇总和发布等环节提供技术支持；对Internet用户、电子邮箱进行设置管理；统一管理分公司互联网出口； d) 负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算

信息管理与信息安全管理程序

1 目的明确公司信息化及信息资源管理要求，对外部信息及信息系统进行有效管理，以确保各部门(单位)和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2 适用围适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3 术语和定义 3.1 信息有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、部控制、三基等和生产经营管理中所有信息。 3.2 企业信息化建立先进的管理理念，应用先进的计算机网络技术，整合、提升企业现有的生产、经营、设计、制造、管理方式，及时为企业各级人员的决策提供准确而有效的数据信息，以便对需求做出迅速的反应，其本质是加强企业的“核心竞争力”。 3.3 信息披露指公司以报告、报道、网络等形式，向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6 LIMS 实验室信息管理系统 3.7 IT 信息技术 4 职责 4.1 信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查，对重大问题进行决策，定期听取有关信息化管理的工作汇报，协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理，每月召开ERP例会，分析总结系统运行情况，协调处理有关问题，及时向总部支持中心上报月报、年报。 4.3 信息中心是公司信息化工作的归口管理部门，主要职责： a)负责制定并组织实施本程序及配套规章制度，对各部门(单位)信息化工作进行业务指导和督促； b)负责信息化建设管理，组织进行信息技术项目前期管理，编制信息建设专业发展规划并组织实施； c)负责统一规划、组织、整合和管理公司信息资源系统，为各部门(单位)信息采集、整理、汇总和发布等环节提供技术支持；对Internet用户、电子进行设置管理；统一管理分公司互联网出口； d)负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算

重大事件期间网络与信息安全管理规定

**集团有限公司重大事件期间网络与信息安全管理规定（试行）第一章总则第一条为切实做好**集团有限公司网络与信息安全防护工作，建立有效的安全防护体系，进一步提高预防和控制网络与信息安全突发事件的能力和水平，减轻或消除突发事件的危害和影响，确保重大事件期间网络与信息安全，制定本管理规定。第二条本规定所指的重大事件是指需要保供电的国家、省政府层面的重大活动，如重大会议、重大体育赛事等。第三条集团公司重大事件期间网络与信息安全管理要坚持以加强领导，落实信息安全责任地；高度重视，强化安全防范措施；周密部署，加强各相关方协作为原则，以确保重大事件期间不出现因网络与信息安全问题造成不良的社会影响，确保重大事件期间不出现因网络与信息安全问题造成的安全生产事故为目标。第四条集团公司重大事件期间网络与信息安全管理工作范围包括：集团广域网、各局域网、电力二次系统、重要信息系统以及信息安全。各单位的网络与信息安全专项工作组应在集团公司网络与信息安全应急工作小组的指导下，负责本单位网络与信息安全防范和整改工作。

第五条重大事件期间在时间上分为三个阶段，分别是准备阶段、实施阶段和总结阶段。时间划分为重大事件起始日期前两个月为准备阶段；从重大事件起始日期至结束日期为实施阶段；从重大事件结束日期后半个月为总结阶段。各阶段网络与信息安全的管理工作内容有所侧重。第六条本规定适用于集团公司总部和系统各单位。第七条集团公司重大事件期间网络与信息安全管理工作由集团公司信息中心归口管理。第二章准备阶段管理第八条组织开展网络与信息安全查检工作，网络与信息安全采取自查和现场抽查相结合的方式，先开展各单位内部的网络与信息安全自查，在各单位自查的基础上，由集团公司组织相关人员对部分单位进行现场专项检查。第九条网络与信息安全检查内容至少应包括管理制度建设、网络边界完整性检查和访问控制、电力二次系统安全分区、电力二次系统网络接口及防护、电力二次系统通用防护措施、安全审计、已采取的防范网络攻击技术措施、重要网站网页自动恢复措施、网络设备防护、系统运行日志留存及数据备份措施等。具体的检查内容见附件1《网络与信息安全检查表》。第十条对于检查发现的安全陷患，各单位应制定整改

信息系统安全管理流程

信息系统安全管理 1范围适用于信息技术部实施网络安全管理和信息实时监控，以及制定全公司计算机使用安全的技术规定 2控制目标 2.1确保公司网络系统、计算机以及计算机相关设备的高效、安全使用 2.2确保数据库、日志文件和重要商业信息的安全 3主要控制点 3.1信息技术部经理和公司主管副总经理分别审批信息系统访问权限设置方案、数据备份及突发事件处理政策和其它信息系统安全政策的合理性和可行性 3.2对终端用户进行网络使用情况的监测 4特定政策 4.1每年更新公司的信息系统安全政策 4.2每年信息技术部应配合公司人力资源部及其它各部门，核定各岗位的信息设备配置，并制定公司的计算机及网络使用规定 4.3当员工岗位发生变动，需要更改员工的邮件帐号属性、服务器存储空间大小和文件读写权限时，信息技术部必须在一天内完成并发送邮件或电话通知用户 4.4对于信息系统（主要为服务器）的安全管理，应有两名技术人员能够完成日常故障处理以及设置、安装操作，但仅有一名技术人员掌握系统密码，若该名技术人员外出，须将密码转告另外一名技术人员，事后应修改密码，两人不能同时外出，交接时应做好记录

4.5普通事件警告是指未对信息系统安全构成危害、而仅对终端系统或局部网络安全造成危害，或者危害已经产生但没有继续扩散的事件，如对使用的终端和网络设备未经同意私自设置权限等；严重事件警告是指对信息系统安全构成威胁的事件，如试图使病毒（木马、后门程序等）在网络中扩散、攻击服务器、改变网络设备设置场所的设置状态、编制非法软件在网络系统中试运行等；特殊事件是指来自公司网络外部的恶意攻击，如由外部人员使用不当造成或其它自然突发事件引起。事件鉴定小组由相关的网络工程师、终端设备维护工程师和应用系统程序员等相关人员组成 5信息系统安全管理流程C-14-04-001

信息安全管理程序

信息安全管理程序 1.目的为了防止信息和技术的泄密,避免严重灾难的发生，特制定此安全规定。。2.适用范围包括但不限于电子邮件、音频邮件、电子文件、个人计算机、计算机网络、互联网和其它电子服务等相关设备、设施或资源。 2.1权责 2.1.1人力资源部：负责信息相关政策的规划、制订、推行和监督。 2.2.2 IT部：负责计算机、计算机网络相关设备设施的维护保养以及信息数据的备份相关事务处理。 2.2.3全体员工：按照管理要求进行执行。 3.内容 3.1公司保密资料： 3.1.1公司年度工作总结，财务预算决算报告，缴纳税款、薪资核算、营销报表和各种综合统计报表。 3.1.2公司有关供货商资料，货源情报和供货商调研资料。 3.1.3公司生产、设计数据，技术数据和生产情况。 3.1.4公司所有各部门的公用盘共享数据，按不同权责划分。 3.2公司的信息安全制度 3.2.1 凡涉及公司内部秘密的文件数据的报废处理，必须碎纸后丢弃处理。 3.2.2 公司员工工作所持有的各种文件、数据、电子文件，当本人离开办公室外出时，须存放入文件柜或抽屉，不准随意乱放，更未经批准，不能复制抄录或携带外出。 3.2.3 未经公司领导批准，不得向外界提供公司的任何保密数据和任何客户数据。 3.2.4经理室要运用各种形式经常对所属员工进行信息安全教育，增强保密意识：3.2. 4.1在新员工入职培训中进行信息安全意识的培训，并经人事检测合格后,方可建立其网络账号及使用资格。 3.2. 4.2每年对所有计算机用户至少进行一次计算机安全检查，包括扫病,去除与工作无关的软件等。 3.2.5不要将机密档及可能是受保护档随意存放，文件存放在分类目录下指定位

信息安全管理规范完整篇.doc

信息安全管理规范1 1.0目的为了预防和遏制公司网络各类信息安全事件的发生，及时处理网络出现的各类信息安全事件，减轻和消除突发事件造成的经济损失和社会影响，确保移动通信网络畅通与信息安全，营造良好的网络竞争环境，有效进行公司内部网络信息技术安全整体控制，特制定本规范。 2.0 适用范围本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。 3.0 信息安全组织机构及职责：根据集团公司关于信息安全组织的指导意见，为保证信息安全工作的有效组织与指挥，四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组，由公司分管网络的副总经理任组长，网络部分管信息安全副总经理任副组长，由省公司网络部归口进行职能管理，省公司各网络生产维护部门设置信息安全管理及技术人员，负责信息安全管理工作，省监控中心设置安全监控人员，各市州分公司及生产中心设置专职或兼职信息安全管理员，各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 3.1.1网络与信息安全工作管理组组长职责：负责公司与相关领导之间的联系，跟踪重大网络信息安全事

件的处理过程，并负责与政府相关应急部门联络，汇报情况。 3.1.2网络与信息安全工作管理组副组长职责：负责牵头制定网络信息安全相关管理规范，负责网络信息安全工作的安排与落实，协调网络信息安全事件的解决。 3.1.3省网络部信息安全职能管理职责：省公司网络部设置信息安全管理员，负责组织贯彻和落实各项安全管理要求，制定安全工作计划；制订和审核网络与信息安全管理制度、相关工作流程及技术方案；组织检查和考核网络及信息安全工作的实施情况；定期组织对安全管理工作进行审计和评估；组织制定安全应急预案和应急演练，针对重大安全事件，组织实施应急处理工作及后续的整改工作；汇总和分析安全事件情况和相关安全状况信息；组织安全教育和培训。 3.1.4信息安全技术管理职责：各分公司、省网络部、省生产中心设置信息安全技术管理员，根据有限公司及省公司制定的技术规范和有关技术要求，制定实施细则。对各类网络、业务系统和支撑系统提出相应安全技术要求，牵头对各类网络和系统实施安全技术评估和工作；发布安全漏洞和安全威胁预警信息，并细化制定相应的技术解决方案；协助制定网络与信息安全的应急预案，参与应急演练；针对重大安全事件，组织实施应急处理，并定期对各类安全事件进行技术分析。

工艺安全信息管理程序

工艺安全信息管理程序（试行）公司

目录 1 范围与应用领域 (1) 1.1 目的 (1) 1.2 适用范围 (1) 1.3 应用领域 (1) 2 参考文件 (1) 3 术语和定义 (2) 4 职责 (3) 5 管理要求 (3) 5.1 工艺安全信息的构成 (3) 5.2 工艺安全信息的移交 (5) 5.3 工艺安全信息管理 (6) 5.4 工艺安全信息文件管理 (7) 6 管理系统 (7) 6.1 资源支持 (7) 6.2 管理记录 (7) 6.3 审核要求 (7) 6.4 复核与更新 (7) 6.5 偏离管理 (8) 6.6 培训和沟通 (8) 6.7 解释 (8)

附录1 工艺安全信息清单范例 (9)

. 工艺安全信息管理程序 1 范围与应用领域 1.1 目的为统一、规范工艺安全信息管理，保证材/物料、工艺、设备等安全信息的完整性和准确性，为工艺安全管理活动提供基础资料，特制定本程序。 1.2 适用范围本程序适用于公司以及为其服务的承包商。 1.3 应用领域本程序应用于公司研究、工艺设计、技术改造、生产、储存和运输操作中与毒性、易燃易爆性、化学反应性和其他危害相关的工艺安全管理活动。 2 参考文件公司《工艺安全信息管理规范》《工艺危害分析管理办法》《设备完整性管理程序》《新设备质量保证管理程序》《技术和设施变更管理办法》《事故事件管理规定》《培训管理程序》

. 3 术语和定义 3.1 工艺安全信息:是指物料的危害性、工艺设计基础和设备设计基础的完整、准确的文件化的信息资料。 3.2 工艺设计基础:是对工艺过程及参数的描述，包括工艺原理、工艺流程、物料平衡、能量平衡、工艺参数、工艺参数的限值及超出限值的后果等。 3.3 设备设计基础:是指设备设计的依据，包括设计规范和标准、工程数据、工程图、设备负荷计算、设备规格、厂商的制造图纸等。 3.4 化学反应性:物质进行化学反应的趋势。 3.5 化学反应性危害:可能出现化学反应失控的状况，并且该反应有可能对人员、设备或环境带来直接或间接的伤害，通常伴随有温度升高、压力升高、气体产生或其他形式的能量释放的现象。 3.6 失控反应:因为放热化学反应产生热量的速率超过冷却能力而使得反应失去控制（如以温度和压力的快速增加为标志）的情况。 3.7 自反应物质:能够发生聚合、分解和重组反应的物质。反应的启动可能是自发的、通过能量输入的（如热力或机械能量）或通过能提高反应速率的催化行为的。自反应物质也包括能自燃、形成过氧化物、与水反应的物质或氧化剂。 3.8 本质较安全工艺:应用无危害或危害较小的设备、原料或工艺步骤的工艺流程。3.9 化学反应矩阵:是一种系统的、定性的分析工艺中反应危害的技术。典型做法是制作一个矩阵，列出工艺中和有关公用工程中所使用的材/物料以及可能进入工艺中的杂质，材/物料同时列在矩阵的第一排和第一列，然后通过相互交叉检查每排与每列中材/物料，系统地评估可能发生的危害反应。

信息安全管理制度汇总

信息安全管理制度为加强公司各信息系统管理，保证信息系统安全，根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》，及上级信息管理部门的相关规定和要求，结合公司实际，制定本制度。本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案网络安全管理制度第一条公司网络的安全管理，应当保障网络系统设备和配套设施的安全，保障信息的安全，保障运行环境的安全。第二条任何单位和个人不得从事下列危害公司网络安全的活动： 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施，以任何理由破坏、挪用、改动。 3、未经允许，对信息网络功能进行删除、修改或增加。 4、未经允许，对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。

6、利用公司网络，访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。第三条各单位信息管理部门负责本单位网络的安全和信息安全工作，对本单位单位所属计算机网络的运行进行巡检，发现问题及时上报信息中心。第四条连入公司网络的用户必须在其本机上安装防病毒软件，一经发现个人计算机由感染病毒等原因影响到整体网络安全，信息中心将立即停止该用户使用公司网络，待其计算机系统安全之后方予开通。第五条严禁利用公司网络私自对外提供互联网络接入服务，一经发现立即停止该用户的使用权。第六条对网络病毒或其他原因影响整体网络安全的子网，信息中心对其提供指导，必要时可以中断其与骨干网的连接，待子网恢复正常后再恢复连接。

工艺安全信息管理程序(通用版)

( 安全管理 ) 单位：_________________________ 姓名：_________________________ 日期：_________________________ 精品文档 / Word文档 / 文字可改工艺安全信息管理程序(通用版) Safety management is an important part of production management. Safety and production are in the implementation process

工艺安全信息管理程序(通用版) 1范围与应用领域 1.1目的为统一、规范工艺安全信息管理，保证材/物料、工艺、设备等安全信息的完整性和准确性，为工艺安全管理活动提供基础资料，特制定本程序。 1.2适用范围本程序适用于公司以及为其服务的承包商。 1.3应用领域本程序应用于公司研究、工艺设计、技术改造、生产、储存和运输操作中与毒性、易燃易爆性、化学反应性和其他危害相关的工艺安全管理活动。 2参考文件公司《工艺安全信息管理规范》

《工艺危害分析管理办法》《设备完整性管理程序》《新设备质量保证管理程序》《技术和设施变更管理办法》《事故事件管理规定》《培训管理程序》 3术语和定义 3.1工艺安全信息:是指物料的危害性、工艺设计基础和设备设计基础的完整、准确的文件化的信息资料。 3.2工艺设计基础:是对工艺过程及参数的描述，包括工艺原理、工艺流程、物料平衡、能量平衡、工艺参数、工艺参数的限值及超出限值的后果等。 3.3设备设计基础:是指设备设计的依据，包括设计规范和标准、工程数据、工程图、设备负荷计算、设备规格、厂商的制造图纸等。 3.4化学反应性:物质进行化学反应的趋势。 3.5化学反应性危害:可能出现化学反应失控的状况，并且该反

公司信息安全管理制度

信息安全管理制度信息安全是指通过各种策略保证公司计算机设备、信息网络平台（内部网络系统及ERP、CRM、WMS、网站、企业邮箱等）、电子数据等的安全、稳定、正常，旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理，预防信息安全事故的发生，特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备（特殊情况的，经批准许可的方能使用自已的计算机），不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境，禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件，当计算机出现硬件故障时应及时向信息技术部报告，不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责，如暂时离开座位时须锁定系统，移动介质自行安全保管。未经许可，不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。

1.4因工作需要借用公司公共笔记本的，实行“谁借用、谁管理”的原则，切实做到为工作所用，使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储重要的文件和工作资料不允许保存在C盘（含桌面），同时定期做好相应备份，以防丢失；不进行与工作无关的下载、游戏等行为，定期查杀病毒与清理垃圾文件；拷贝至公共计算机上使用的相关资料，使用完毕须注意删除；各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理；若因个人原因造成数据资料泄密、丢失的，将由其本人承担相关后果。 2.2文件加密涉及公司机密或重要的信息文件，所有人员需进行必要加密并妥善保管；若因保管不善，导致公司信息资料的外泄及其他损失，将由其本人承担一切责任。 2.3文件移动

IT信息安全事件管理程序

IT信息安全事件管理程序 1 目的为了在尽可能小地影响用户和用户业务的情况下使IT系统尽快恢复，从而维持良好的服务质量和可用性级别，特制定本程序。 2 范围本程序适用于IT信息对核心系统及总行各部门及各分行、支行相关主机、网络、终端等IT事件处理流程的管理。 3 相关文件《变更管理控制程序》 4 职责 4.1 网管值班人员负责接收所有事件的报告并记录，根据事件类型决定事件处理； 4.2 事件经理负责事件类型的确定，事件过程的管理； 4.3 支持团队负责针对事件的方案的实施和解决； 4.4 信息总经理负责重大事件的管理，担当重大事件经理的角色。 5 程序 5.1 事件管理目标对于事件管理过程，应遵循以下目标： a)尽快恢复正常服务。 b)最小化事件对业务的影响。 c)确保一致地处理事件和服务请求而不会有任何遗漏。 d)定向到最需要的支持资源。 e)提供允许优化支持流程、减少事件数量和执行管理计划的信息。

5.2 事件的分类 5.2.1基于两个方面对事件进行分类: a)事件所造成的影响 b)事件的紧急程度 5.2.1.1 事件的影响等级 5.2.1.2 事件的紧急程度等级 5.2.1.3 事件的优先级事件的优先级是根据事件的影响等级和事件的紧急程度来决定的。影响等级高并且紧急程度高的事件优先级为最高级，影响等级低并且紧急程度低的事件优先级为低级。

下表显示了与这些参数相关事件的分类： 5.3 事件的发现、记录和报告 5.3.1 事件的发现事件通常由用户、IT团队、供应商或监控系统检测到。对于各类来源所探测到的事件报告，均应由首先接到报告的人员根据事件分类的原则进行判断，属于高等级或最高等级的事件，应立即向信息总经理报告，必要时应继续报告行领导及上级监管机构。一般事件的处理按照5.4.1要求执行。 5.3.2 事件的记录所有被报告或主动探测到的事件均应被记录。记录内容应包括： a)唯一参考号 b)记录日期和时间 c)记录事件的人员的身份 d)报告事件的人员的身份（包括姓名、部门、位置和联系详细信息） e)联系方法 f)受影响的配置项 (CI) 的详细信息 g)症状描述和任何错误代码 h)重现该问题所需要的步骤 5.4 事件的处理 5.4.1 一般事件一般事件根据引起事件的不同原因，按照各类日常维护工作所涉及到的管理程序执行处理过程。

信息安全事件管理程序(正式版)

信息安全事件管理程序 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制：___________________ 日期：___________________

信息安全事件管理程序温馨提示：该文件为本公司员工进行生产和各项管理工作共同的技术依据，通过对具体的工作环节进行规范、约束，以确保生产、管理活动的正常、有序、优质进行。本文档可根据实际情况进行修改和使用。 1 目的为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制, 减少信息安全事件和故障所造成的损失, 采取有效的纠正与预防措施, 特制定本程序。 2 范围本程序适用于XXX业务信息安全事件的管理。 3 职责 3.1 信息安全管理流程负责人确定信息安全目标和方针；确定信息安全管理组织架构、角色和职责划分；负责信息安全小组之间的协调, 内部和外部的沟通；负责信息安全评审的相关事宜； 3.2 信息安全日常管理员负责制定组织中的安全策略；组织安全管理技术责任人进行风险评估；

组织安全管理技术责任人制定信息安全改进建议和控制措施；编写风险改进计划； 3.3 信息安全管理技术责任人负责信息安全日常监控；信息安全风险评估；确定信息安全控制措施；响应并处理安全事件。 4 工作程序 4.1 信息安全事件定义与分类信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响（后果）的。造成下列影响（后果）之一的, 均为一般信息安全事件。 a) XXX秘密泄露； b) 导致业务中断两小时以上； c) 造成信息资产损失的火灾； d) 损失在一万元人民币（含）以上的故障/事件。造成下列影响（后果）之一的, 属于重大信息安全事件。 a) 组织机密泄露；

信息管理与信息安全管理程序DOC

金陵石化公司一体化管理体系信息管理与信息安全管理程序文件编号JLSH-T20.32.00.027.2011 版本/修改A/0 第 1 页共16页1 目的明确公司信息化及信息资源管理要求，对内外部信息及信息系统进行有效管理，以确保各部门(单位)和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2 适用范围适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3 术语和定义 3.1 信息有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、内部控制、三基等和生产经营管理中所有信息。 3.2 企业信息化建立先进的管理理念，应用先进的计算机网络技术，整合、提升企业现有的生产、经营、设计、制造、管理方式，及时为企业各级人员的决策提供准确而有效的数据信息，以便对需求做出迅速的反应，其本质是加强企业的“核心竞争力”。 3.3 信息披露指公司以报告、报道、网络等形式，向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6 LIMS 实验室信息管理系统 3.7 IT 信息技术 4 职责 4.1 信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查，对重大问题进行决策，定期听取有关信息化管理的工作汇报，协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理，每月召开ERP例会，分析总结系统运行情况，协调处理有关问题，及时向总部支持中心上报月报、年报。 4.3 信息中心是公司信息化工作的归口管理部门，主要职责： a)负责制定并组织实施本程序及配套规章制度，对各部门(单位)信息化工作进行业务指导和督促； b)负责信息化建设管理，组织进行信息技术项目前期管理，编制信息建设专业发展规划并组织实施；

公司信息安全管理制度流程1.doc

公司信息安全管理制度流程1 **公司信息安全管理制度一、信息安全指导方针保障信息安全，创造用户价值，切实推行安全管理，积极预防风险，完善控制措施，信息安全，人人有责，不断提高顾客满意度。二、计算机设备管理制度 1 2 3 进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置；（二）系统管理操作代码的设置与管理 1、系统管理操作代码必须经过经营管理者授权取得； 2、系统管理员负责各项应用系统的环境生成、维护，负责一般操作代码的生成和维护，负责故障恢复等管理及维护； 3、系统管理员对业务系统进行数据整理、故障恢复等操作，必须有

其上级授权； 4、系统管理员不得使用他人操作代码进行业务操作； 5、系统管理员调离岗位，上级管理员（或相关负责人）应及时注销 1 3 1 码。重复、顺序、规律数字等容易猜测的数字和字符串； 2、密码应定期修改，间隔时间不得超过一个月，如发现或怀疑密码遗失或泄漏应立即修改，并在相应登记簿记录用户名、修改时间、修改人等内容。 3、服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人（不参与系统开发和维护的人员）设置和管理，并由密码设置人员将密码装入密码信封，在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码，必须经过相关部门负责人同意，由密码使用人员向密码管理人员索取，使用完毕后，须立即更改并封存，同时在“密码管理登记簿”中登记。

1 2 3 4 失。数据恢复过程中要严格按照数据恢复手册执行，出现问题时由技术部门进行现场技术支持。数据恢复后，必须进行验证、确认，确保数据恢复的完整性和可用性。 5、数据清理前必须对数据进行备份，在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存，并确保可以随时使用。数据清理的实施应避开业务高峰期，避免对联机业务运行造成影响。 6、需要长期保存的数据，数据管理部门需与相关部门制定转存方案，根据转存方案和查询使用方法要在介质有效期内进行转存，防止存储介质过期失效，通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。

信息安全事件报告和处置管理制度

安全事件报告和处置管理制度文号：版本号：编制：审核：批准：一、目的提高处置网络与信息安全突发公共事件的能力，形成科学、有效、反应迅速的应急工作机制，确保重要计算机信息系统的实体安全、运行安全和数据安全，最大限度地减轻网络与信息安全突发公共事件的危害，保障国家和人民生命财产的安全，保护公众利益，维护正常的政治、经济和社会秩序。二、适用范围本预案适用于本局发生的网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件的应对工作。本预案启动后，本局其它网络与信息安全应急预案与本预案相冲突的，按照本预案执行；法律、法规和规章另有规定的从其规定。三、职责本预案由局信中心制订，报局领导批准后实施。局有关部门应根据本预案, 制定部门网络与信息安全应急预案，并报局信息中心备案。结合信息网络快速发展和我局经济社会发展状况，配合相关法律法规的制定、修改和完善，适时修订本预案。本预案自印发之日起实施。四、要求 1.工作原则预防为主：立足安全防护，加强预警，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统，从预防、监控、应急处理、应急保障和打击犯罪等环节，在法律、管理、技术、人才等方面，采取多种措施，充分发挥各方面的作用，共

同构筑网络与信息安全保障体系。快速反应：在网络与信息安全突发公共事件发生时，按照快速反应机制，及时获取充分而准确的信息，跟踪研判，果断决策，迅速处置，最大程度地减少危害和影响。以人为本：把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务，及时采取措施，最大限度地避免公民财产遭受损失。分级负责：按照谁主管谁负责、谁运营谁负责、谁使用谁负责”以及条块结合，以条为主”的原则，建立和完善安全责任制及联动工作机制。根据部门职能，各司其职，加强部门间、地局间的协调与配合，形成合力，共同履行应急处置工作的管理职责。常备不懈：加强技术储备，规范应急处置措施与操作流程，定期进行预案演练，确保应急预案切实有效，实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。 2组织指挥机构与职责发生网络与信息安全突发公共事件后，应成立局网络与信息安全应急协调小组（以下简称局协调小组），为本局网络与信息安全应急处置的组织协调机构，负责领导、协调全局网络与信息安全突发公共事件的应急处置工作。局网络与信息安全协调小组下设办公室（以下简称局协调小组办公室），负责日常工作和综合协调，并与公安网监部门进行联系。 3先期处置（1）当发生网络与信息安全突发公共事件时，事发部门应做好先期应急处置工作，立即采取措施控制事态，同时向相关局级主管部门通报。（2）网络与信息安全事件分为四级：特别重大（I级）、重大（H级）、较大（皿级）、一般（W级）。 (3)局级主管部门在接到本系统网络与信息安全突发公共事件发生或可能发生的信息后，应加强与有关方面的联系，掌握最新发展态势。对皿级或W级的网络与信息安全突发公共事件，由该局级主管部门自行负责应急处置工作。对有可能演变为H级或I

两化融合信息安全管理程序

文件编号 xxx-II-0005 版号 A 页码1/4 1.目的为加强XXX集团股份有限公司(以下简称“公司”)的信息设备管理,明确岗位职责,规范操作流程,维护网络正常运行,确保计算机信息安全,特制订本办法。 2.适用范围在企业中组织建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理程序,提供必要的技术条件和设备设施保障,识别和管理可能存在的信息安全风险,确保信息安全事件的有效处理。 3.职责信息中心负责公司两化融合信息安全管理工作,包括网络安全、终端安全、数据安全、机房安全和第三方人员管理。 3.1负责公司网络安全和运维工作,对公司信息网络的运行管理进行维护和检查。 3.2负责公司终端安全管理,为公司终端安全管理建设提供指导,提高对于分散终端的安全管理能力,规范系统中终端用户的行为,降低来自终端的安全威胁。 3.3负责公司电子数据安全管理,其中特指对主要信息系统相关的重要数据,采取适当的保护措施。 3.4负责机房安全管理,对可能影响机房安全的各种因素进行控制,确保机房内计算机系统、网络设备以及其他设施的正常运行,保障机房工作人员的人身安全。 3.5负责第三方人员安全管理,减少第三方人员对信息系统带来的安全风险。 4.正文

4.1 运行 4.1.1信息安全风险评估计划和控制信息中心对信息安全风险评估工作进行规划和控制,并实施风险处置计划,确保信息安全目标的达成。 4.1.2 信息安全风险评估实施公司每年开展 1 次信息资产识别和信息安全风险评估的工作,当出现下列情况时,管理者代表可以决定增加风险评估的次数: 公司的信息安全风险评估工作在公司整体风险管理的框架下进行,与公司整体风险管理的年度工作同步进行,评估所发现的风险作为公司整体风险的一部分。 4.1.3 信息安全风险控制措施实施公司针对评估出的信息安全风险应制定并实施信息安全风险处置计划,并保留信息安全风险处置结果文档化信息以作为证据。 4.2安全管控 4.2.1网络安全管理信息网络指公司的网络系统和网络应用系统等,包括网络服务系统、网络安全设施、网络存储系统等。公司信息网络设备的管理与部署在网络中应合理部署入侵保护系统,入侵保护系统要求覆盖主要网络边界与主要服务器。

信息系统安全管理流程

信息系统安全管理流程 Document number：BGCG-0857-BTDO-0089-2022

信息系统安全管理 1范围适用于信息技术部实施网络安全管理和信息实时监控，以及制定全公司计算机使用安全的技术规定

2控制目标 2.1确保公司网络系统、计算机以及计算机相关设备的高效、安全使用 2.2确保数据库、日志文件和重要商业信息的安全 3主要控制点 3.1信息技术部经理和公司主管副总经理分别审批信息系统访问权限设置方案、数据备份及突发事件处理政策和其它信息系统安全政策的合理性和可行性3.2对终端用户进行网络使用情况的监测 4特定政策 4.1每年更新公司的信息系统安全政策 4.2每年信息技术部应配合公司人力资源部及其它各部门，核定各岗位的信息设备配置，并制定公司的计算机及网络使用规定 4.3当员工岗位发生变动，需要更改员工的邮件帐号属性、服务器存储空间大小和文件读写权限时，信息技术部必须在一天内完成并发送邮件或电话通知用户 4.4对于信息系统（主要为服务器）的安全管理，应有两名技术人员能够完成日常故障处理以及设置、安装操作，但仅有一名技术人员掌握系统密码，若该名技术人员外出，须将密码转告另外一名技术人员，事后应修改密码，两人不能同时外出，交接时应做好记录

信息安全管理流程分析

信息安全管理流程分析 Revised on November 25, 2020

信息安全管理流程说明书（S-I）

2术语和定义 2.1相关ISO20000的术语和定义 1) 资产（Asset）：任何对组织有价值的事物。 2) 可用性（Availability）：需要时，授权实体可以访问和使用的特性。 3) 保密性（Confidentiality）：信息不可用或不被泄漏给未授权的个人、实体和流程的特性。 4) 完整性（Integrity）：保护资产的正确和完整的特性。 5) 信息安全（Information security）：保护信息的保密性、完整性、可用性及其他属性，如：真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系（Information security management system ISMS）：整体管理体系的一部分，基于业务风险方法以建立、实施、运行、监视、评审、保持和改进信息安全。 7) 注：管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资源。 8) 风险分析（Risk analysis）：系统地使用信息以识别来源和估计风险。 9) 风险评价（Risk evaluation）：将估计的风险与既定的风险准则进行比较以确定重要风险的流程。 10) 风险评估（Risk assessment）：风险分析和风险评价的全流程。 11) 风险处置（Risk treatment）：选择和实施措施以改变风险的流程。