信息安全管理程序.doc

信息安全管理程序 1 目的 为企业充分利用计算机信息规范交易行为，提高信息降低人为因素导致内部控制失效的可能性，形成良好的信息传递渠道，根据国家有关法律法规和《企业内部控制》，制定本规范2 范围 。3 职责4 定义：计算机信息系统是指利用计算机技术对业务和信息进行集成处理的程序、数据和文档等5 工作程序流程 使用表单 岗位分工与授权审批：：数据库管理：维护组织数据资源信息系统库管理：在单独的信息系统库中存储暂时不用的程序和文件，并保留所有版本的数据和程序数据控制：确保原始数据经过正确授权，监控信息系统工作流程，协调输入和输出，将输入的错误数据反馈到输入部门并跟踪监控其纠正过程，将输出信息分发给经过授权的用户终端：终端用户负责记录交易内容，授权处理数据，并利用系统输出的结果企业计算机信息系统战略规划、重要信息系统政策等重大事项应经由董事会审批通过后，方可实施计算机信息系统归口管理，负责信息系统开发、运行、维护等工作。负责信息系统中各项业务账务处理的准确性和及时性；财务电算化制度的制定；计划价格的确定和修改；财务操作规定等生产、销售、仓储及其他部门（下称用户部门）应根据本部门在信息系统中的职能定位，参与信息系统建设和管理，按照制定的管理标准、规范、规章来操作、管理和运用信息系统 信息系统开发与维护控制 计算机信息系统开发包括自行设计外购调试。企业在开发信息系统时，充分考虑业务和信息的集成性，优化流程，并将相应的处理规则（交易权限）嵌入到系统程序中，以预防、检查纠正错误和舞弊行为，确保企业业务活动的真实性、合法性和效益性信息系统开发必须经过正式授权，企业应进行详细备案。具体包括用户部门提出需求；归口管理部门审核；企业负责人授权批准；系统分析人员设计方案；程序员编写代码等信息系统在投入使用前应完成整体测试，以确保系统的正常运转。数据控制小组应当用测试数据来证明程序工作正常并确认就绪，开发完成后交操作人员并由信息系统库管理员备份留存信息系统原设计功能未能正常实现时，相关人员负责详细记录，并及时报告，由其负责系统程序修正和软件参数调整，尽快解决存在问题积极日常检测、设立容错冗余、编制意外计划等预防性措施，确保计算机信息系统的持续运行，使系统停工时间最小化 信息系统访问安全 信息中心负责制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范计算机信息系统操作人员不得擅自进行系统软件的删除、拷贝、修改等操作，不得擅自升级、改变系统软件版本或更换系统软件，不得擅自改变软件系统环境配置未经上机培训的人员不得作为操作人员检测信息系统运行情况，及时进行计算机病毒的预防、检查工作。发现潜在危险及时通知操作人员尽快处理。信息系统操作人员应在权限范围内进行操作，不得利用他人的口令和密码进入软件系统。更换操作人员或密码泄密后，必须及时更改密码。操作人员如果离开工作现场，必须在离开前退出已经运行的程序，防止其他人员越权操作或散发不当信息规范信息的使用和传递提高经营管理的效率和效果企业应利用计算机信息系统，生成生产、销售、存储等子系统，及时反映和记录交易。交易责任部门在其授权范围内对子系统录入信息的及时性、准确性和完整性负责，并定期检查、核对所录信息企业财会部门应认真审核采购、生产、销售、仓库等部门业务数据，及时进行账务处理，保证会计信息与业务流程在时间、数量和价值上的统一，并做好电子财务数据必威体育官网网址和安全工作一经发现已输入数据信息有误，必须按照信息系统操作规定加以修正，不得使用非软件系统提供的方法处理信息数据至少应在远离计算机设备和操作的地方保存一套备份和交易日志，以备丢失或损坏时重建应编制完整、具体的灾难恢复计划，以备意外事件发生后恢复系统之需 硬件管理对设备的新增、报废、流转等情况建档登记，统一管理计算机硬件设备放置在中，由专人负责管理和检查，其他任何人未经授权不得接触计算机信息系统硬件设备硬件设备的更新、扩充、修复等工作应由相关人员提出申请，报上级主管负责人审批。未经允许，不得擅自拆装硬件设备企业操作人员应严格遵守用电安全，不得在计算机专用线路上使用其他用电设备应完善计算机信息系统硬件设备异常状况处理制度。一经发生异常现象（如冒烟、打火、异常声响等），应立即通知，不得擅自处理 6 相关文件 7 附件  ISO27001信息安全管理标准理解及内审员培训 培训热线：075525936264 李小姐??客服QQ：1484093445、675978375 ? ISO27001信息安全管理标准理解及内审员培训 ?? 下载报名表?? 内训调查表 【课程描述】 ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。本课程将详述ISO 27001:2005/IS