价格:面议
0
联系人:
电话:
地址:
深圳东莞广州佛山iso27001认咨询公司
ISO27001信息安全管理体系之信息处理设施控制程序
1. 目的
为规范信息处理设施的安全管理,包括信息处理设施的采购、安装、验收、授权使用、更新、停用、报废等,特制定本程序。
2. 范围
本程序适用于公司信息处理设施的管理控制。
3. 职责与权限
3.1人事行政部
负责全公司信息处理相关设备的统一采购及协调处理。
3.2研发部
是全公司计算机信息系统和信息资源的统一归口管理部门,包括信息处理设备的购置、安装、维修、调配、停用、报废等。
3.3其他部门
遵守本程序的各项要求正确、安全的使用信息处理设施。
4. 相关文件
a) 《信息安全奖惩管理规定》
5. 术语定义
无
6. 控制程序
6.1信息处理设备的分类
a) 服务器:包括小型机、PC服务器、带库等。
b) 网络及安全设备:包括交换机、路由器、防火墙等。
c) 办公设备:PC电脑及其打印机、辅助设备。
d) 辅助设备:电源、UPS、电缆、光缆等传输线路及设备。
6.2信息处理设备管理
6.2.1 各部门的信息处理设施,包括计算机及其相关和配套的设备、设施(含网络)、软件、资料(以下统称为计算机设备)的购置,无论资金来源,均应由使用部门提出申请,人事行政部负责组织审查设计方案、选型配置和必要的论后提出配置和购置意见和计划,报请领导批准后,由人事行政部统一采购。
6.2.2需要安装的计算机设备,使用部门应确定安装地点,对计算机设备进行定置管理和妥善保护,以降低来自环境威胁和危害的风险,以及非授权访问的机会。
6.2.3凡未经申请、审核、批准,任何部门和个人不得擅自购置计算机设备。对其它来源的计算机,需移交经营管理使用时,应由研发部统一调配。
6.2.4计算机设备用低值易耗品和零配件由人事行政部制订计划、选材、选型并负责购置、发放并做好领用登记。
6.3信息处理设备使用
6.3.1计算机设备使用部门应确定设备的使用负责人,确保按批准的使用目的和使用范围使用。如果将这些设备用于未经批准的非业务目的,或用于未经授权的目的,为设备使用不当。一经发现,将按《信息安全奖惩管理规定》采取惩戒措施。
6.3.2严禁无关人员操作计算机设备,不得随意拆装计算机设备。
6.3.3计算机设备管理部门应识别计算机设备的使用要求和限制,必要时应制定文件化的使用规则或指南(操作手册或说明书),并保包括本本公司员工、合作方及第三方用户在内的所有使用者了解和遵守设备的使用要求和限制。
6.3.4进入各部门的计算机设备以及电缆、接驳器等应严格保管,不准随意搬迁、拆拉或损坏,如发现设备异常及时通知归口管理部门。
6.3.5不得擅自将设备、信息或软件带出工作场所。因工作需要的,应经使用部门领导批准,并清楚说明将设备带到场所外的责任人及时间限制。
6.3.6严禁在计算机旁使用强电磁场设备和进行有腐蚀气体和尘埃产生的一切作业活动。
6.3.7严禁在专用UPS电源上使用与计算机工作无关的用电设备。
6.3.8人事行政部应与大楼物业保持及时联系,确保公司业务不受电力故障以及由其他支持设施故障的影响。
6.4信息处理设备维护
6.4.1计算机设备的维护部门应定期进行设备的检查、维护、清洁并作好必要的运行和保养记录。
6.4.2非计算机专业维护人员、管理人员不得随意打开计算机设备的机箱,任意插拔各种接驳口及更换零部件。
6.4.3计算机设备维修或升级,应及时报送归口管理部门,经审核及领导批准后由归口管理部门统一安排和实施维修或升级。
6.4.4计算机设备的停用或报废应由使用部门提出申请,报人事行政部审核,经领导批准后,将停用或报废设备移交研发部统一处理。
6.4.5计算机设备实施维修、升级、停用或报废前由使用部门和个人对包含储存媒体的设备的所有项目进行检查,并填写《敏感信息记录》报研发部存档,确保在处置之前所有敏感数据和许可软件都被或者覆盖掉。
7 附件、记录
7.1 《敏感信息记录》
