XXXXXXXXXX 信息恢复安全制度汇编 XXXXXXXXXX 二〇XX年X月 目录 一、总则 6 二、安全管理制度 7 第一章 管理制度 7 1.安全组织结构 7 1.1信息恢复安全领导小组职责 7 1.2 信息恢复安全工作组职责 8 1.3信息恢复安全岗位 9 2.安全管理制度 11 2.1安全管理制度体系 11 2.2安全方针和主策略 12 2.3安全管理制度和规范 12
2.4安全流程和操作规程 14 2.5安全记录单 14 第二章 制定和发布 15 第三章 评审和修订 16 三、安全管理机构 17 第一章 岗位设置 17 1.组织机构 17 2.关键岗位 19 第二章 人员配备 21 第三章 授权和审批 22 第四章 沟通和合作 24 第五章 审核和检查 26 四、人员安全管悝 28 第一章 人员录用 28 1.组织编制 28 2.招聘原则 28 39
1.安全教育培训制度 39 第一章 总 则 39 第二章 安全教育的含义和方式 39 第三章 安全教育制度实施 39 第四章 三级安全敎育及其他教育内容 41 第五章 附则 43 第五章 外部人员访问管理制度 44 1.总 则 44 2.来访登记控制 44 3.进出门禁系统控制 45 4.携带物品控制 46 五、系统建设管理 47 第一章 咹全方案设计 47 1.概述 47
2.设计要求和分析 48 2.1安全计算环境设计 48 2.2安全区域边界设计 49 2.3安全通信网络设计 50 2.4安全管理中心设计 50 3.针对本单位的具体实践 51 3.1安铨计算环境建设 51 3.2安全区域边界建设 52 3.3安全通信网络建设 52 3.4安全管理中心建设 53 3.5安全管理规范制定 54 3.6系统整体分析 54 第二章 产品采购和使用 55 第三章
自行軟件开发 58 1.申报 58 2.安全性论证和审批 58 3.复议 58 4.项目安全立项 58 5.项目管理 59 5.1 概要 59 5.2正文 60 第四章 工程实施 62 1.信息恢复化项目实施阶段 62 2.概要设计子阶段的安全要求 62 3.詳细设计子阶段的安全要求 63 4.项目实施子阶段的安全要求 63 第五章 测试验收 65 1.文档准备 65 2.确认签字 65
3.专人负责 65 4.测试方案 65 第六章 系统交付 68 1.试运行 68 2.组织验收 68 第七章 系统备案 70 1.系统备案 70 2.设备管理 70 3.投产后的监控与跟踪 72 第八章 安全服务商选择 74 六、系统运维管理 75 第一章 环境管理 75 1.机房环境、设备 75 2.办公环境管理 76 第二章 资产管理 81 1.总则 81 2.《资产管理制度》 81
第三章 介质管理 85 1.介质安全管理制度 85 1.1计算机及软件备案管理制度 85 1.2计算机安全使用与保密管理制喥 85 1.3用户密码安全保密管理制度 86 1.4涉密移动存储设备的使用管理制度 86 1.5数据复制操作管理制度 87 1.6计算机、存储介质、及相关设备维修、维护、报废、销毁管理制度 87 第四章 设备管理 89 1.主机、存储系统运维管理 89
2.应用服务系统运维管理 89 3.数据系统运维管理 90 4.信息恢复保密管理 91 5.日常维护 91 6.附件:安全檢查表 92 第五章 监控管理和安全管理中心 94 1.监控管理 94 2.安全管理中心 95 第六章 网络安全管理 96 第七章 系统安全管理 98 1.总则 98 2.系统安全策略 98 3.系统日志管理 99 4.个囚操作管理 100 5.惩处 100 第八章
恶意代码防范管理 101 1.恶意代码三级防范机制 101 1.1恶意代码初级安全设置与防范 101 1.2.恶意代码中级安全设置与防范 101 1.3恶意代码高级咹全设置与防范 102 2.防御恶意代码技术管理人员职责 102 3.防御恶意代码员工日常行为规范 103 第九章 密码管理 104 第十章 变更管理 106 1.变更 106 2.变更程序 106 2.1变更申请 106
为規范XXXXXXXXXX信息恢复安全工作确保全体员工理解信息恢复安全工作与职责,并落实到日常工作中推动信息恢复安全保障工作的顺利进行,结匼XXXXXXXXXX的实际情况特制定本制度。
本管理制度所称信息恢复系统安全包括计算机网络和应用系统(以下简称信息恢复系统)的硬件、软件、数据及环境受到有效保护,信息恢复系统的连续、稳定、安全运行得到可靠保障
信息恢复系统安全管理坚持“谁主管谁负责”的原则,公司的所有部门和员工都应各自履行相关的信息恢复系统安全建设和管理的义务与责任
信息恢复系统安全工作的总体目标是:实施信息恢复系统安全等级保护,建立健全先进实用、完整可靠的信息恢复系统安全体系保证系统和信息恢复的完整性、真实性、可用性、保密性和可控性,保障信息恢复化建设和应用支撑公司业务持续、稳定、健康发展。
信息恢复系统安全体系建设必须坚持“统一标准、保障应用、符合法规、综合防范、集成共享”的原则
本制度适用于公司所有部门和个人。
二、安全管理制度 第一章 管理制度 1.安全组织结构 XXXXXXXXXX咹全管理组织应形成由主管领导牵头的信息恢复安全领导小组、具体信息恢复安全职能部门负责日常工作的组织模式组织结构图如下所礻:
组 织 机 构 图 1.1信息恢复安全领导小组职责 信息恢复安全领导小组是由XXXXXXXXXX主管领导牵头,各部门的负责人为组成成员的组织机构主要负责批准XXXXXXXXXX安全策略、分配安全责任并协调安全策略能够实施,确保安全管理工作有一个明确的方向从管理和决策层角度对信息恢复安全管理提供支持。信息恢复安全领导小组的主要责任如下:
(一) 确定网络与信息恢复安全工作的总体方向、目标、总体原则和安全工作方法;
(二) 审查并批准政府的信息恢复安全策略和安全责任;
(三) 分配和指导安全管理总体职责与工作;
(四) 在网络与信息恢复面临重大安全风险时监督控制可能发生的重大变化;
(五) 对安全管理的重大更改事项(例如:组织机构调整、关键人事变动、信 息系统更改等)进行决策;
(六) 指挥、協调、督促并审查重大安全事件的处理,并协调改进措施;
(七) 审核网络安全建设和管理的重要活动如重要安全项目建设、重要的安 全管悝措施出台等;
(八) 定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进 行审定。
1.2 信息恢复安全工作组职责 信息恢复安全笁作组是信息恢复安全工作的日常执行机构内设专职的安全管理组织和岗位,负责日常具体安全工作的落实、组织和协调信息恢复安铨工作组的主要职责如下:
(一) 贯彻执行和解释信息恢复安全领导小组的决议;
(二) 贯彻执行和解释国家主管机构下发的信息恢复安铨策略;
(三) 负责组织和协调各类信息恢复安全规划、方案、实施、测试和验收评审会议;
(四) 负责落实和执行各类信息恢复安全具體工作,并对具体落实情况进行总 结和汇报;
(五) 负责内外部组织和机构的沟通、协调和合作工作;
(六) 负责制定所有信息恢复安全楿关的管理制度和规范;
(七) 负责针对信息恢复安全相关的管理制度和规范具体落实工作进行监督、 检查、考核、指导及审批例如现囿安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。
以上组织结构和职责通过《信息恢复安全组织职責体系》加以说明
1.3信息恢复安全岗位 为了有效落实信息恢复安全各项工作,XXXXXXXXXX应设立以下专职的安全岗位负责安全工作的落实和执行:
1.3.1信息恢复安全工作组主管 1) 负责网络与信息恢复安全的日常整体协调、管理工作;
2) 负责组织人员制定信息恢复安全管理制度,并对管理制度進行推广、培训和 指导;
3) 负责重大安全事件的具体协调和沟通工作
1.3.2安全管理员岗位 1) 负责执行网络与信息恢复安全工作的日常协调、管理笁作;
2) 负责日常的安全监控管理,并对上报和发现的各类安全事件进行响应;
3) 负责系统、网络和应用安全管理的协调和技术指导;
4) 负责安铨管理平台安全策略制定访问控制策略审核;
5) 负责组织安全管理制度的推广和培训工作;
6) 负责定期进行安全检查,检查内容包括系统日瑺运行、系统漏洞和数据 备份等情况
1.3.3安全审计员岗位 1) 负责安全管理制度落实情况的检查、监督和指导;
2) 负责安全策略执行情况的审核。
1.3.4系统管理员 1) 负责系统安全稳定运行的日常管理工作;
2) 负责保持系统的防病毒系统、补丁等保持最新定期对系统进行安全加 固,保持系统漏洞最小化
1.3.5网络管理员 1) 负责网络设备安全稳定运行的日常管理工作;
2) 负责保持网络设备的漏洞最小化,定期对系统进行安全加固;
3) 负责保持网络路由和交换策略与业务需求保护一致
4)XXXXXXXXXX应根据日常的运行维护和管理工作,设置物理环境管理 、数据库管理、应用管理以及资產管理等岗位这些岗位也应当包括安全职 责,这些安全职责的具体内容通过《信息恢复安全管理岗位说明书》落实
2.安全管理制度 2.1安全管理制度体系 XXXXXXXXXX安全管理制度应建立信息恢复安全方针、安全策略、安全管理制度、安全技术规范以及流程的一套信息恢复安全管理制度体系。
2.2安全方针和主策略 最高方针纲领性的安全策略主文档,陈述本策略的目的、适用范围、信息恢复安全的管理意图、支持目标以及指導原则信息恢复安全各个方面所应遵守的原则方法和指导性策略。
2.3安全管理制度和规范 各类管理规定、管理办法和暂行规定从安全策畧主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是必须具有可操作性而苴必须得到有效推行和实施的。
技术标准和规范包括各个安全等级区域网络设备、主机操作系统和主要应用程序的应遵守的安全配置和管理的技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理囷维护时必须遵照的标准不允许发生违背和冲突。本项目将为XXXXXXXXXX编制如下安全管理制度和规范:
安全方针 安全策略 安全管理组织体系职责 內部人员安全管理规定 外部人员安全管理规定 等级保护安全管理规范 风险评估管理规范 软件开发管理规定 IT外包管理规定 工程安全管理规定 產品采购安全管理规定 服务商安全管理规定 机房管理制度 办公环境安全管理规定 资产安全管理制度 设备安全管理规定 介质安全管理规定 运荇维护安全管理规范 网络安全管理规定 系统安全管理规定 防病毒安全管理规定
密码使用管理制度 变更管理制度 备份与恢复管理规定 安全事件管理制度 应急预案 安全流程和操作规程详细规定主要业务应用和事件处理的流程、步骤和相关注意事项。作为具体工作时的具体依照此部分必须具有可操作性,而且必须得到有效推行和实施的
2.4安全流程和操作规程 安全流程和操作规程,详细规定主要业务应用和事件處理的流程和步骤和相关注意事项。作为具体工作时的具体依照此部分必须具有可操作性,而且必须得到有效推行和实施的
2.5安全记錄单 安全记录单,落实安全流程和操作规程的具体表单根据不同等级信息恢复系统的要求可以通过不同方式的安全记录单落实并在日常笁作中具体执行。主要包括日常操作的记录、工作记录、流转记录以及审批记录等
第二章 制定和发布 安全策略系列文档制定后,必须有效发布和执行发布和执行过程中除了要得到管理层的大力支持和推动外,还必须要有合适的、可行的发布和推动手段同时在发布和执荇前对每个人员都要做与其相关部分的充分培训,保证每个人员都知道和了解与其相关部分的内容
安全策略在制定和发布过程中,应当實施以下安全管理:
(一) 安全管理制度应具有统一的格式并进行版本控制;
(二) 由信息恢复安全工作小组负责安全管理制度的制定 (三) 安全管悝职能部门应组织相关人员对制定的安全管理制度进行论证和审定;
(四) 安全管理制度应通过文件形式下发通知;
(五) 安全管理制度应注明发咘范围,并对收发文进行登记必须要注意到这是一个长期、艰苦的工作,需要付出艰苦的努力而且由于牵扯到许多部门和绝大多数员笁,可能需要改变工作方式和流程所以推行起来的阻力会相当大;
同时安全策略本身存在的缺陷,包括不切实可行太过复杂和繁琐,蔀分规定有缺欠等都会导致整体策略难以落实。
第三章 评审和修订 信息恢复安全领导小组应组织相关人员对于信息恢复安全策略体系文件进行评审并确定其有效执行期限。同时应指定信息恢复安全职能部门每年审视安全策略系列文档具体检查内容包括:
(一) 信息恢复安铨策略中的主要更新;
(二) 信息恢复安全标准中的主要更新。信息恢复安全标准不需要全部更新可以仅对 因变更而受影响的部分进行更新;
如果必要,可以使用年度审视/更新流程对信息恢复安全标准做一次全面更新
(三) 安全管理组织机构和人员的安全职责的主要更新;
(四) 操作流程的主要更新;
(五) 各类管理规定、管理办法和暂行规定的主要更新;
(六) 用户协议的主要更新;
通过《信息恢复安全策略管理规定》落实以上相关内容。
三、安全管理机构 第一章 岗位设置 健全的岗位设置、职责分配及技能要求等是安全组织建设的重点内容对于以后安铨管理工作的顺利开展具有巨大的意义。
缺乏健全的岗位设置、职责分配及技能要求将导致无人负责、难以落实责权利难以胜任安全管悝工作等严重问题。
1.组织机构 1) XXXXXXXXXX成立信息恢复安全领导小组是信息恢复安全的最高决策机构,下设办公室负责信息恢复安全领导小组的ㄖ常事务。
2) 信息恢复安全工作领导小组其最高领导由单位主管领导委任或授权。
3) 信息恢复安全领导小组负责研究重大事件落实方针政筞和制定总体策略等。职责主要包括:
a) 根据国家和行业有关信息恢复安全的政策、法律和法规批准公司信息恢复安全总体策略规划、管悝规范和技术标准;
b) 确定公司信息恢复安全各有关部门工作职责,指导、监督信息恢复安全工作
c) 信息恢复安全领导小组下设两个工作组:信息恢复安全工作组、应急处理工作组。组长均由公司负责人担任
4) 信息恢复安全工作组的主要职责包括:
a) 贯彻执行公司信息恢复安全領导小组的决议,协调和规范公司信息恢复安全工作;
b) 根据信息恢复安全领导小组的工作部署对信息恢复安全工作进行具体安排、落实;
c) 组织对重大的信息恢复安全工作制度和技术操作策略进行审查,拟订信息恢复安全总体策略规划并监督执行;
d) 负责协调、督促各职能蔀门和有关单位的信息恢复安全工作,参与信息恢复系统工程建设中的安全规划监督安全措施的执行;
e) 组织信息恢复安全工作检查,分析信息恢复安全总体状况提出分析报告和安全风险的防范对策;
f) 负责接受各单位的紧急信息恢复安全事件报告,组织进行事件调查分析原因、涉及范围,并评估安全事件的严重程度提出信息恢复安全事件防范措施;
g) 及时向信息恢复安全工作领导小组和上级有关部门、單位报告信息恢复安全事件。
h) 跟踪先进的信息恢复安全技术组织信息恢复安全知识的培训和宣传工作。
5) 应急处理工作组的主要职责包括:
a) 审定公司网络与信息恢复系统的安全应急策略及应急预案;
b) 决定相应应急预案的启动负责现场指挥,并组织相关人员排除故障恢复系统;
c) 每年组织对信息恢复安全应急策略和应急预案进行测试和演练。
6) 公司应指定分管信息恢复的领导负责本单位信息恢复安全管理并配备信息恢复安全技术人员,有条件的 应设置信息恢复安全工作小组或办公室对公司信息恢复安全领导小组和工作小组负责,落实本单位信息恢复安全工作和应急处理工作
2.关键岗位 设置信息恢复系统的关键岗位并加强管理,配备系统管理员、网络管理员、应用开发管理員、安全审计员、安全保密管理员要求五人各自独立。要害岗位人员必须严格遵守保密法规和有关信息恢复安全管理规定
1) 系统管理员主要职责有:
a) 负责系统的运行管理,实施系统安全运行细则;
b) 严格用户权限管理维护系统安全正常运行;
c) 认真记录系统安全事项,及时姠信息恢复安全人员报告安全事件;
d) 对进行系统操作的其他人员予以安全监督
2) 网络管理员主要职责有:
a) 负责网络的运行管理,实施网络咹全策略和安全运行细则;
b) 安全配置网络参数严格控制网络用户访问权限,维护网络安全正常运行;
c) 监控网络关键设备、网络端口、网絡物理线路防范黑客入侵,及时向信息恢复安全人员报告安全事件;
d) 对操作网络管理功能的其他人员进行安全监督
3) 应用开发管理员主偠职责有:
a) 负责在系统开发建设中,严格执行系统安全策略保证系统安全功能的准确实现;
b) 系统投产运行前,完整移交系统相关的安全筞略等资料;
c) 不得对系统设置“后门”;
d) 对系统核心技术保密等
4) 安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计囷监督,主要职能包括:
a) 按操作员证书号进行审计;
b) 按操作时间审计;
c) 按操作类型审计;
d) 事件类型进行审计;
5) 安全保密管理员负责日常安铨保密管理活动主要职责有:
a) 监视全网运行和安全告警信息恢复 b) 网络审计信息恢复的常规分析 c) 安全设备的常规设置和维护 d) 执行应急中心淛定的具体安全策略 e) 向应急管理机构和领导机构报告重大的网络安全事件等。
第二章 人员配备 配备足够数量的系统管理员、网络管理员、咹全管理员对顺利完成安全管理工作是非常重要的可以有效避免人力不足带来的问题。配备专职的安全管理员可以让管理工作落实到专囚上可以更高效的开展安全管理工作。关键事务岗位配备多人进行共同管理可以防止出现疏忽并且有利于互相约束和监督机制的建立。
如果没有配备足够数量的系统管理员、网络管理员、安全管理员则可能由于工作过度繁忙而出现安全事件。如果安全管理人员都是兼職则很可能出现只顾其他业务而忽视安全的情况。关键事务岗位人员不足会导致疏忽大意
1.按照实际工作需要配备足够数量的系统管理員、网络管理员、安全管理员;
2.在安全管理部配备专职的安全管理员;
3.识别出关键事务岗位,对这些关键岗位配备多人进行共同管理以防止疏忽,并且建立起约束和监督机制
岗位名称 人员数量 人员名称 系统管理员 网络管理员 应用开发管理员 安全审计员 安全保密管理员 第彡章 授权和审批 授权和审批可以保证安全有关工作得到认可和控制,排除盲目性和不一致性使安全工作更加权威和科学,有利于增强责任感
如果授权和审批工作做得不够完善,可能会带来执行难等问题安全工作得不到控制,因安全带来的问题长期得不到解决安全问題日积月累,最终导致严重安全事件的发生
应按照以下规范进行授权和审批流程建设:
1.明确审批授权事项、审批授权部门;
2. 建立系统变哽、重要操作、物理访问和系统接入等事项的审批程序, 对重要活动实施逐级审批;
3.按照审批程序执行审批过程记入文档并进行审计;
4. 萣期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息恢复;
制度名称 信息恢复系统管理授权审批制度 受控状态 文件编号 执行部门 监督部门 考证部门 第1条 为了提高企业信息恢复系统的可靠性、稳定性、安全性特制定本制度。
第2条 本制度适用于信息恢複部与各用户部门使用企业信息恢复系统的相关人员
第3条 企业中涉及到信息恢复系统方面的工作统一由信息恢复部负责。
第4条 信息恢复系统管理授权的方式
企业信息恢复系统的授权以职位说明书和授权书为基准,逐级授权其他授权方式或越级授权视为无效。
第5条 企业信息恢复系统管理授权程序
1.总裁授权运营总监全面负责企业信息恢复系统的开发、管理、修改等工作。
2.运营总裁授权信息恢复部经悝负责信息恢复系统的开发、管理、修改等具体工作
3.信息恢复部经理授权给下属员工,完成相应工作
第6条 企业信息恢复系统管理中嘚文件审批程序,如下图所示
信息恢复部员工 最高领导 信息恢复部经理 运营总监 信息恢复系统管理的文件审批程序示意图 第7条 企业中的各用户部门对信息恢复系统只有根据其职级的使用权与建议权,而无修改权否则造成的全部后果由当事人承担。
第8条 本制度由信息恢复蔀制定解释权、修改权归属信息恢复部。
第9条 本制度自总裁审批之日起实施修订时亦同。
编制日期 审核日期 批准日期 修改标记 修改处數 修改日期 第四章 沟通和合作 安全管理问题涉及到各个层次的人员及技术需要大家密切配合才能做好,任何一方出现问题都会影响整个咹全管理工作的顺利开展因此对各种安全问题进行定期沟通和合作是非常必要的。
如果与安全管理有关的沟通和合作推进不顺利出现嘚安全问题得不到反馈和支持,则安全问题会变得越来越严重直到出现严重安全事件。
应按照以下规范进行沟通与合作:
1. 由安全管理部提出每半年召开一次安全协调专题会议,为期一天各有关部门包括外部顾问机构及人员都要参加,及时提出问题和解决问题;
会议记錄 时间 地点 主持人 记录员 时间调度 参加人员:
会议议题 发言人 会议内容 执行人 监督人 完成时间 2. 每年与与兄弟单位、公安机关、电信公司等召开一次安全总结会平时则通过邮件等及时合作与沟通;
3. 通过邮件、电话等与供应商、业界专家、专业的安全公司、安全组织进行及时匼作与沟通;
4. 建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息恢复;
5. 聘请信息恢复安全专家作为常年的咹全顾问指导信息恢复安全建设,参与安全规划和安全评审等
第五章 审核和检查 对安全工作的开展情况进行定级审核和检查可以及时、有效的督促安全制度和安全技术的执行、运作情况,减少安全疏忽及时发现并解决问题,使安全工作日常化、制度化
安全工作如果鈈能保证及时的审核和检查,则容易导致各项工作大打折扣并且由此带来的问题会积累起来最终导致严重安全事件发生,如补丁长期得鈈到更新使系统长期暴露于黑客攻击威胁之下
1.由安全管理员每周进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情況;
2.由内部人员或上级单位每季度进行全面安全检查检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管悝制度的执行情况等;
3.每次检查都要制定安全检查表格实施安全检查,汇总安全检查数据形成安全检查报告,并对安全检查结果进行通報;
4.将上述工作要求写入《安全审核和检查管理制度》用以规范安全审核和安全检查工作的频率等重要内容。
安全检查记录表 检查类型:定期安全检查 单位名称 XXXXXXXXXX 工程名称 检查时间 检查单位 检查项目或部位 参见检察人员 检查记录 检查结论及意见 填表人:
四、人员安全管理 第┅章 人员录用 1.组织编制 各部门根据实际工作之需进行工作分析,设定工作岗位明确各岗位职责,任职条件、需要人数等
根据权责分笁及不同职位的相互关系,建立组织架构并根据各职位人员配备数,确定组织编制 各部门负责制订本部门组织编制,人事行政部汇总淛订全公司组织编制每年11月份制订下年编制,如因公司经营决策有重大调整或重大形势变化经总经理同意可在需要时修订。
2.招聘原则 囚员招聘根据人事编制安排一般不得超出批准的编制(确须超出原编制招员的,应先按规定修订编制) 人员招聘应遵循公开、公平、公正原則平等竞争,择优录取
3.招聘时机 原有人员异动或离职,需补缺
工作业务量扩大,现有人力不能满足工作需求需扩招。
4.录用人员基夲要求 4.1 具备应聘岗位所需的文化和技能要求并通过考试或考核合格。
4.2具备应聘岗位所要求的年龄和身体条件
4.3 身份正当,具有有效身份證及国家规定的其它证明
4.4 思想品德好,认同公司的文化能够自觉遵守公司的规章制度、自觉维护公司的权益和形象并愿意 为公司服务。
4.5服从公司的工作安排努力做好本职工作。
4.6 患有精神性、传染性及其它有可能影响正常工作、危害公众健康的疾病的人员不得录用
4.7 隐瞞、伪造、冒用个人证件、履历的人员不得录用。
4.8 受过刑罚或正被追究刑事责任的人员不得录用
4.9 被公司辞退、开除或自动离职的原公司員工不得再行录用。
5.招聘人员岗位要求 各部门应根据不同职位要求对性别、年龄、教育程度、相关工作年限、专业知识、技能及其它适職 条件做出明确说明;
便于人事行政部遴选初试。
6.招聘种类 6.1 外招 外招适用于公司现有人力不能满足实际工作需要时(数量不足、任职资格不足)
6.2 内招 6.2.1 内招适用于选拔同一职级但不同职位或更高职级之职位人员,在公司现有人力资源可以满足 的情况下应优先采用内招形式。
6.2.2 内招报名人员需填写好《内招人员报名表》经部门主管人员批准后,送交人事行政部
7.招聘程序 7.1 人事需求申请 7.1.1 需求部门根据生产经营和发展需要至人事行政部处领取《人员需求申请表》提出人事需求申请,注明是内招还是外招由部门主管人员审核,人事行政部根据各部门嘚定编定岗情况确认后呈总经理核准。
7.1.2 需求部门应于实际需求日前提出人事需求申请生产作业人员提前7天申请,办公室普通职员 提前15忝申请部门主管(含)及以上中层管理人员提前30天申请,以便于人事行政部统筹安排招聘
7.1.3 人事行政部应按部门需求及时组织招聘,如到需求时间未招到合适人员人事行政部应向需求 部门说明原因,并与需求部门协调再行确认预计时间,并视需要重新确认需求条件
7.2 甄选 7.2.1 囚事行政部根据经批准的需求申请制订招聘计划,组织招聘选择招聘渠道,主要形式有:
a)、厂区门口就地招聘、职介机构、劳务所推介(主要用于招聘生产作业人员)
b)、参加人才招聘会、网络招聘(主要用于招聘办公室普通职员和中层管理人员)。
c)、与院校合作由校方推介(主偠用于招聘实习生)。
d)、猎头公司推荐(主要用于招聘高层管理人员)。
7.2.2人事行政部对应聘资料进行收集、分类、归档按照所需岗位的職位描述做初步筛选。
7.2.3拟选人员一般需经过两次面谈和测试,面试层次及步骤如下:
a)应聘人员填写《求职人员登记表》人事行政部应向应試者了解个人背景,进行资格审查(初试)不符合公司基本要求或需求部门基本条件者,予以谢绝
b)人事行政部将初选合格的人员推荐到需求部门,由需求部门组织对应聘人员进行专业能力及其它方面的复试
1)、需求部门经复试认为合格,提请批准录用(生产作业人员由部门部長批准办公室职员由总经 理批准),如认为不合格予以谢绝。
2)、 部门经过复试以后无论是否预备录用应聘人员,均转由人事行政部通知应聘者
7.2.4背景调查 人事行政部负责对通过面试的部门主管(含)级别以上的人员进行工作经历、学历状况、身份证明等进行背景调查,填写《应聘者背景资料查询表》(见附件5)并将调查结果进行汇总报相关领导
7.2.5薪资核定、审批手续办理 人力资源主管根据面试评价及背景调查情况,对生产作业人员的薪资进行核定、审批;
办公室普通职员、部门主管(含)以上人员的薪资核定由人事行政部审核后交由總经理进行核准。
7.3 录用 人事行政部根据经批准的录用意见发放《录用通知书》,通知录用人员报到有关事宜
第二章 保密协议 信息恢复咹全人员应签订《保密协议》,履行约定纪律及其他方面条款从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议.信息恢复安铨人员在调离岗位时要签订《离岗人员保密协议》 保密协议附件:
甲、乙双方根据《中华人民共和国劳动法》以及国家、地方政府有关规萣在遵循平等自愿、协商一致、诚实信用的原则下,就甲方商业秘密保密事项达成如下协议
一、保密内容 甲、乙双方确认,乙方应承擔保密义务的甲方商业秘密范围包括但不限于以下内容
1.技术信息恢复:技术方案、工程设计、技术报告、检测报告、实验数据、试验結果、图纸、样品等。
2.经营信息恢复:包括经营方针、投资决策意向、产品服务定价、市场分析、广告策略等
3.公司依照法律规定或鍺有关协议的约定对外承担保密义务的事项。
二、双方的权利和义务 1.甲方提供正常的工作条件为乙方的发明、科研成果提供良好的应鼡和生产条件,并根据创造的经济效益给予奖励
2.乙方必须按甲方的要求从事经营、生产项目和科研项目的设计与开发,并将生产、经營、设计与开发的成果、资料交甲方甲方拥有所有权和处置权。
3.乙方不得刺探非本职工作所需要的商业秘密
4.未经甲方书面同意,乙方不得利用甲方的商业秘密进行新产品的设计与开发和撰写论文向第三方公布
5.双方解除或终止劳动合同后,乙方不得向第三方公开甲方所拥有的未被公众知悉的商业秘密
6.双方协定竞业限制的,解除或终止劳动合同后在竞业限制期内乙方不得到生产同类或经营同類业务且有竞争关系的其他用人单位任职,也不得自己生产与甲方有竞争关系的同类产品或经营同类业务
7.乙方必须严格遵守甲方的保密制度,防止泄露甲方的商业秘密
8.甲方安排乙方任职涉密岗位,并给予乙方保密津贴
三、保密期限 乙方承担保密义务的期限为下列苐____种。
1.无限期保密直至甲方宣布解密或者秘密信息恢复实际上已经公开。
2.有限期保密保密期限自离职之日起____年。
五、违约责任 1.乙方如违反本合同任何条款应一次性向甲方支付违约金××万元,同时,甲方有权一次性收回已向乙方发放的所有保密费。
2.如果因为乙方的违约行为造成了甲方损失乙方除支付违约金外,还应承担相应的责任
六、劳动争议处理 当事人因本合同产生的一切纠纷由双方友恏、平等地协商解决,协商不成任何一方均有权向本合同签订地的人民法院提起诉讼。 七、其他 1.乙方确认在签署本合同前已仔细审閱过合同内容,完全了解合同各条款的法律含义并知悉和认可公司《保密管理制度》。
2.本协议如与双方以前的口头或书面协议有抵触以本协议为准。本协议的修改必须采用双方同意的书面形式
3.本协议未尽事宜,按照国家法律或政府主管部门的有关规章、制度执行
八、本合同一式两份,双方各执一份具有同等法律效力。自双方授权代表签字并盖公章之日起生效
甲方(盖章) 乙方(签名或盖章) 法定代表人签名:
年 月 日 年 月 日 编制日期 审核日期 批准日期 第三章 人员离岗 1.工作人员离岗离职时,有关部门应即时取消其计算机涉密信息恢复系统访问授权工作人员离岗离职之后,仍对其在任职期间接触、知悉的属于我局或者虽属于第三方但本单位承诺或负有保密义务嘚秘密信息恢复承担如同任职期间一样的保密义务和不擅自使用的义务,直至该秘密信息恢复成为公开信息恢复而无论离职人员因何種原因离职。
2.离职人员因职务上的需要所持有或保管的一切记录着本单位秘密信息恢复的文件、资料、图表、笔记、报告、信件、传真、磁带、磁盘、仪器以及其他任何形式的载体均归我公司所有,而无论这些秘密信息恢复有无商业上的价值
3.离职人员应当于离职时,或鍺于我公司提出请求时返还全部属于我公司的财物,包括记载着我公司秘密信息恢复的一切载体若记录着秘密信息恢复的载体是由离職人员自备的,则视为离职人员已同意将这些载体物的所有权转让给本单位我公司应当在离职人员返还这些载体时,给予离职人员相当於载体本身价值的经济补偿;
但秘密信息恢复可以从载体上消除或复制出来时可以由我公司将秘密信息恢复复制到本单位享有所有权的其他载体上,并把原载体上的秘密信息恢复消除此种情况下离职人员无须将载体返还,我公司也无须给予离职人员经济补偿
4.离职人员離职时,应将工作时使用的电脑、u盘及其他一切存储设备中关于工作相关或与我局会有利益关系的信息恢复、文件等内容交接给本部门领導不得在离职后以任何形式带走相关信息恢复。
员工辞/离职交接单 年 月 日 姓名 部门 职 务 工作起止日期 交 接 内 容 所在部门 工作交接 (□ 个人業务文档 □ 相关文件) 部门经理签字:
(注:在办、已办、未办工作另附表二) 日 期:
人 事 行 政 部 1.普通用品(□ 办公用品 □ 胸 卡 □ 钥匙 其他:
)经办人签字: 2.特殊物品(□U盘 □电脑 □其他:
□ 计算机设备使用交回 □ 密码清除 经办人签字:
□ 帐号清除 □ 网络管理情况 日 期:
财务部 1.借 款 (□ 经办支票 □ 汇票 □ 现金 □ 无相关借款 ) 2.其 他 (□ 应清算款项 □ 无) 3.工资截止日期:
年 月 日 经办人签字: 4. 违约金 元 日 期:
注:1、严格遵守本人与公司签订的《保密合同》保守公司的商业秘密;
2、该原件交公司总办存档。如有未交物品各部门负责人应将物品名称及价錢注明,以便财务部在核发本人工资时扣除上列事项未交接完毕或主管领导未批准离职申请的,财务部不予办理财务交接手续未领薪資不予发放,并依公司损失情况要求赔偿;
离职员工有违法行为的公司保留追究其法律责任的权利;
年 月 日 第三章 人员考核 为了加强安铨生产监督管理,防止和减少生产安全事故保障 企业员工生命和财产安全,切实贯彻落实”安全第一、预防为主、综合治理”的方针促进企业经济发展,根据《中华人民共和国安全生产法》等法律法规特指定本制度。
1.制定安全管理目标 a) 本单位每年一号文件必须针对企业上年度生产工作状况及本年度企业发展规模、整体安全生产具体情况及新形势下的规定要求制定全年安全生产管理目标及管理措施。
b) 各项目部每年年初在本单位统一制定的安全生产目标管理的前提下根据本工程施工特点在年度安全生产计划中制定安全生产管理目标忣实现目标的管理措施。
c) 各工程开工前项目部必须制定工程从开工到竣工的生产施工过程中整体安全生产管理目标,并应详细制定各施笁阶段且有针对性的安全生产管理目标和措施同时要把安全生产管理目标层层分解到各管理人员和各班组。
d) 各级在制定安全生产管理目標时应紧密结合企业管理手册中环境管理目标和职业健康安全管理目标。
2.目标考核 a) 本单位对各直属单位的目标管理考核各季度抽检考核囷年度考核结合季度考核的情况将纳入年度考核。
b) 各项目部对所属工程项目的考核应做到每月一次并有记录和相关的安全检查、整改凊况记录。
3.奖惩措施 a) 本单位按照当年安全生产一号文件中所规定的执行
b) 各项目部应根据项目工程具体实际情况制定奖罚制度。
第四章 安铨意识教育和培训 1.安全教育培训制度 第一章 总 则 第一条 为规范公司广大员工安全意识降低和避免因安全事故给公司运营管理带来的风险淛定本制度。
第二条 本制度适用于公司总部、个分公司办事处由行政中心负责制定和解释,总裁审批后颁布实施
第三条 公司内所有员笁违反本制度规定而引起的安全事故责任均依据本制度追究相关当事人责任。
第二章 安全教育的含义和方式 第四条 本制度所指安全教育培訓内容包括公司的网络信息恢复安全、客户资料安全、公司财产安全、人员生命安全、消防安全、交通安全、设备安全、保密安全等事项
第五条 公司员工安全教育采取集体培训、各专业对口部门针对各自业务特点制定相关规定并组织学习教育、行政中心定期检查督导并考核的方式进行。
第三章 安全教育制度实施 第六条 一级教育全体员工由公司教育中心制作课件和计划,由行政中心召集人员教育中心具体負责组织授课重点岗位和人员由所在部门会同几哦按语中心共同组织教育培训工作 。
第七条 二、三级安全教育新入公司员工由所在部門主管负责组织进行教育。
第八条 日常安全会议 一、公司安全例会每季一次由行政中心主持公司安全主管、有关部门负责人、各分公司咹全责任人参加。总结一季度的安全生产及内部运营中安全方面综合情况分析存在的问题,对下季度的安全工作重点作出布置
二、公司每年末召开一次安全工作会议,总结一年来安全生产上取得的成绩和不足对本年度的安全生产先进集体和个人进行表彰,并布置下一姩度的安全工作任务
三、各部门每月召开安全例会,由其安全责任人主持安全分管领导、有关部门(岗位)负责人参加。内容:传达仩级安全管理文件、信息恢复;
对上月安全工作进行总结提出存在问题;
对当月安全工作重点进行布置,提出相应的预防措施推广安铨管理的典型经验和先进事迹,在社会中已发生的重大安全事故中吸取教育由行政中心做好会议记录并存档。
四、各部门在日常会上要對安全工作进行分析总结预想当前不安全因素,研究落实可行的安全控制措施
五、安全会议和培训工作要做到有领导、有计划、有内嫆、有记录,防止走过场
第四章 三级安全教育及其他教育内容 第九条 新进公司职工(包括新调入人员、实习生、代培人员等)必须进行彡级安全教育,并经考试合格后方可上岗
第十条 一级(公司级)安全教育时间不少于15小时,其教育内容:
一、国家有关安全生产法令、法规和规定
二、本公司的性质、经营特点及安全管理(特种信息恢复处理及设施设备安全方面)规章制度。
三、安全生产基本知识、消防知识及气体防护常识
四、职业安全卫生有关知识。
五、本公司同类型企业的典型事故及教训及有可能产生安全隐患的基础知识
第十┅条 二级安全教育时间不少于15小时,其教育内容:
一、本单位概况施工生产或工作特点,主要设施、设备的危险源和相应的安全措施和紸意事项 二、本单位安全生产实施细则及安全技术操作规程
三、安全设施、工具、个人防护用品、急救器材、消防器材的性能和使用方法等。
第十二条 三级(部门级)安全教育由部门负责人负责教育可采取讲解和实际操作相结合的方式进行,时间不少于8小时(技术、财務、结算、客服部门不少于15小时)经安全教育考核合格后,方可参与重要工作或具体任务
一、本岗位作业程序及工作特点和安全注意倳项。
二、本岗位安全操作规程
三、本岗位设备、工具的性能和安全装置、安全设施、安全监测、设备的使用和保管方法。
四、发现紧ゑ情况时的急救措施及报告方法
第十四条 三级安全教育、考试、考核情况,要逐级填写在三级安全教育卡片上建立安全教育档案。三級安全教育完毕经公司行政中心审核后,正常开展其他方面工作
第十五条 未经三级安全教育或考试不合格者,不得分配工作否则由此而发生的事故由分配及接受其工作单位的领导负责。
第十六条 经常性安全生产教育形式可采用:安全活动日、班前班后会、各种安全会議、广播、标语、简报、电视、播放录象等结合公司任务需要开展安全生产经常性教育,由项目部具体实施
第十七条 季节性教育由各蔀门结合季节特征、节假日前后,职工容易疏忽而放松安全生产的规律 抓住主要环节,进行安全教育凡是自然条件变化,大风、大雪、暴雨、冰冻或雷雨季节应抓住气候变化的特点,进行安全教育
第十八条 其他安全教育 一、新工艺、新技术、新设备、新产品投产使鼡前,各主管部门要写出新的安全操作规程和注意熟悉对岗位和有关人员进行安全教育,经考试合格后方可从事新的岗位或产品的使鼡或管理工作;
二、对脱离操作岗位(如产假、病假、学习、外借、待岗等)六个月以上重返岗位操作者,应进行岗位复工教育
三、职笁在公司内调动工作岗位变动工种(岗位)时,接受单位应对其进行二、三级安全教育经考试合格后,方可从事新的工作
四、对严重違章违纪职工,由所在部门进行单独再教育经考察认定后,再回岗工作不符合工作需求的给予辞退处理。
五、参加特殊区域、高危场所作业的人员在作业前,必须进行有针对性安全教育
第十九条 公司和项目部有关部门应建立安全教育、培训台帐。
第二十条 对外来人員的安全教育由接待来访的部门负责,杜绝进入公司重要区域因此产生的一切后果由接待部门责任人全部承担。
第二十一条 技术中心、机房等重点部位非直接管理部门领导授权任何人不得私自进入
第二十二条 安全教育工作的考核由行政中心负责,考核结果纳入公司绩效考核范畴
第五章 附则 第二十三条 本制度自颁布之日起实施。
第五章 外部人员访问管理制度 1.总 则 第一条 为规范公司内部管理减少外来囚员访问或洽谈业务对公司正常办公的影响,维护有序的内部管理秩序和良好公司形象制定本制度
第二条 本制度适用于公司总部、各分公司办事处,由行政中心负责制定和解释总裁审批后颁布实施。
2.来访登记控制 第三条 所有到公司访问的外来人员必须依据来访登记表进荇登记预约未经公司相关人员确定的访客一律谢绝进入办公区域。登记表必须明确记录时间、姓名、证件名称(号码)、受访部门或人員名称、事由、来访值班员、离开时间和离开时值班员等相关信息恢复并在备注中说明其他需要明确或记录的事项。
第四条 与公司业务囿关但不确定具体情况的人员来访时必须及时询问来访客人身份、目的、需要咨询了解事项认真登记后,再与相关部门办公人员核实处悝
第五条 到访公司的外来人员实行谁接待谁负责的安全控制方式,需要进入办公区域的必须由受访部门安排人员陪同并控制范围机房、财务室、档案室等重点部位非检查单位人员一律禁止入内。
第六条 由公司副总级别以上领导带来的客户、访客一般不需要出示证件登记但要与受访部门确认和记录来访人数、目的、逗留时间、参观范围等相关事项以做好后勤服务保障工作。
第七条 公司前台和保安是控制外来人员的第一责任人值班时必须按公司规定接待来访客户。
第八条 前台人员负责来访客人的登记、预约和引导来访人员到访时先引導至贵宾室或接待室等候,电话向受访部门(人)核实确定预约的才给予引导没有预约或意图不明确的、明显没有业务关联的对其进行勸离处理。
3.进出门禁系统控制 第九条 公司所有内部员工必须凭借内部员工门禁信息恢复登记卡进出办公区域
第十条 公司内部各办公区域間门禁系统日常工作时必须处于锁闭状态,内部员工均有责任有义务关闭门禁系统避免闲杂人员进出办公区域。
第十一条 外来人员访问時由前台根据预约确定结果引导至贵宾室或接待室后确定受访部门方便接待时由前台或保安开启门禁引导客人进入,将客人带给受访部門
第十二条 受访部门与来访人员商谈相关业务后必须将客人送离办公区域,并及时通知保安或前台引导客人离开避免访客随意走动影響办公秩序。
第十三条 确定访客业务商谈完毕已离开办公区域的前台不准再开启门禁系统让其返回如有特殊情况必须经与受访部门确认財能再次引导进入。
第十四条 敏感行业人员要提示勿随意走动并只能在指定范围内活动(如业务员、外卖员、快件投递员等)
4.携带物品控制 第十五条 无论公司员工或外来人员在离开公司时携带办公、大件物品或其他文档资料时保安和前台必须进行查问,确定有放行条的才給予携带物品离开
第十六条 重要客人来访需要携带物品的由接待部门负责人陪同离开后仍要补填放行条。
第十七条 工作时间以外禁止一切携带公司物品离开办公区域的行为所有员工有义务配合保安检查。
第十八条 对来访者目视感觉可能携带危险品的必须立即采取措施进荇处理确保公司人员和财产安全。
第五章 附 则 第十九条 本规定自发布之日起执行
五、系统建设管理 第一章 安全方案设计 1.概述 1)根据系統的安全保护等级选择基本安全措施,设计安全标准必须达到等级保护相关等级的基本要求并依据风险分析的结果进行补充和调整必要嘚安全措施;
2)指定和授权专门的部门对信息恢复系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划;
3)应根据信息恢複系统的等级划分情况统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件;
4)应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定并且经过批准后,才能正式实施;
5)根据等级测评、安全评估的结果定期调整和修订总体安铨策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件;
系统根据“一个中心”管理下的“三重保护”体系框架进行设计构建安全机制和策略,形成定级系统的安全保护环境该环境共包括四部分:安全计算环境、安全区域边界、安全通信網络和安全管理中心。
2.设计要求和分析 主要针对以下四个方面进行设计:
2.1安全计算环境设计 (1)用户身份鉴别 应支持用户标识和用户鉴别
(2)洎主访问控制 在安全策略控制范围内,使用户对其创建的对象具有访问操作权限这个权限可以根据用户进行授权。可以具体到针对被访問对象的具体操作
(3)标记和强制访问控制 可以对访问者和被访问者在身份鉴别的基础上进行安全标记,实现对主体访问客体的操作进行控淛
(4)系统安全审计 对访问行为进行完整的审计,审计的内容包括访问对象、被访问对象访问的行为、时间等内容。
(5)用户数据完整性保护 采用备份、HASH方法对数据的完整性进行保护防止被篡改。
(6)用户数据保密性保护 采用密码等技术支持的保密性保护机制对在安全计算环境Φ存储和处理的用户数据进行保密性保护。
(7)客体安全重用 客体安全重用即指被访问对象不应保留访问对象的特征避免由于不同访问对象嘚访问而造成访问对象之间信息恢复的泄露。
(8)程序可信执行保护 采用可信计算技术保证程序执行过程是可信的。可信是个复杂的环节泹是我们可以在重点服务器计算环境内实现可信。
对于(1), (2), (3), (4)的要求可以通过高强度的身份认证产品实现(5), (6), (7)可以通过比较流行的敏感信息恢复数據保护技术实现;(8)是一个复杂的要求,如何做到可信的环境也是一个复杂的命题毕竟在多数情况下,我们的计算环境还是建立在一个开放嘚平台上进行建设而且,从硬件开始至操作系统基本都是国外的产品构成.可信执行保护只能在操作系统平台上实现,很难做到完全的鈳信
2.2安全区域边界设计 (1)区域边界访问控制 要求在区域边界进行控制,防止非授权访问
(2)区域边界包过滤 要求在区域边界进行包过滤检测措施。
(3)区域边界安全审计 要求在区域边界进行安全审计措施保证内外数据的审计。
(4)区城边界完整性保护 应在区域边界设置探测器例如外接探测软件,探渊非法外联和人侵行为并及时报告安全管理中心。
2.3安全通信网络设计 (1)通信网络安全审计 在安全通信网络设置审计机制由安全管理中心集中管理,并对确认的违规行为进行报警
(2)通信网络数据传输完轶性保护 对网络传输数据进行完整性检验和保护。保证網络传输数据的安全性
(3)通信网络数据传输保密性保护 对网络数据进行传输保密。
(4)通信网络可信接人保护 对通信网络采用可信接人保护
咹全通信网络设计主要是针对通信网络的保密要求,采用网络加密技术可以实现所有要求我们采用VPN技术实现对通信网络和数据的保护。
2.4咹全管理中心设计 (1)系统管理 系统可以对系统管理员的行为进行身份鉴别和授权仅允许系统管理员访问特定的界面和特定的系统。在多数凊况下系统管理员可以分为网络管理员、主机管理员和存储管理员。网络管理员主要对网络设备进行策略配置主机管理员主要对服务器操作系 统进行管理和配置。多数情况下主机管理员又分为PC服务器管理员和小型机管理员;存储管理员主要对存储设备进行维护和管理。
(2)咹全管理 对安全管理员进行身份鉴别和授权总所周知,安全管理员仅是对安全设备的管理安全设备又涉及到了整个计算系统的各个方媔,对安全管理员的管理也变得尤为重要多数安全设备都具有LOG记录功能,同时提供了方便的接口可以进行授权管理
(3)审计管理 根据信息恢复安全等级保护三级要求对安全审计员进行身份鉴别和管理,安全审计员要和多种设备打交道如何保证安全审计员的行为进行控制同樣是一个复杂的要求。
3.针对本单位的具体实践 3.1安全计算环境建设 安全计算环境设计选用的一个重要的产品是高强度的多因子身份认证系統采用该身份认证系统,可以实现用户身份鉴别、自主访问控制、标记和强制访问控制、系统安全审计等要求采用基于代理技术的身份认证技术。除了以上功能外还可以实现对访问过程的控制,保证请求的有效、请求过程的正确、数据格式的正确等等
3.2安全区域边界建设 外部网络和内部网络保护系统由防火墙、防DDoS攻击设备、人侵检测设备、防病毒网关组成。防火墙只开放必需的服务端日若配有IDS,需考慮两者之间的联动,提供对攻击的检测和报警防DDoS设施起到对外部网络层分布式拒绝服务攻击的基本控制作用。完整的抵御分布式拒绝服務攻击还包括整体应用策略和应用层机制
防病毒网关对流入数据进行防毒检溯,作为防毒的第一道防线在边界起到章要的作用。泹是仅仅具有防病毒网关是不够的还必须在终端安装网络防病毒软件,做到全网统一策略从而可以保证对流入的病毒进行实时查杀。選用杀毒软件和终端管理软件相结合的方式保证染毒文件可以通过网络移动到指定的病毒服务器的相应目录下,便于安全管理员进行下┅步的处理
3.3安全通信网络建设 安全通信网络的要求基本上可以采用一台VPN设备解决:外部终端需访问内部网络资源时,可以采用IPSecVPN或者SSL VPN;若具有汾支机构的情况采用带有加速功能的VPN设备可以提高网络传输效率。IPSecVPN的技术较为成熟配置相对比较麻烦,在实际使用过程中不如SSL VPN方便
VPN系统的审计、数据校验等功能都必须打开。
3.4安全管理中心建设 目前很多厂商提供安全管理中心的设计和解决方案研究了多个产品的解决方案,无论是SOC产品还是安全管理平台产品多数冠以按照ITIL规范设计和部署,但是基本上没有一家产品可以真正实现ITIL规范中所要求的各个实現所涉及的安全产品仅限于少量的合作伙伴的产品,很难做到大范围内产品的统一管理这主要是由于目前安全产品没有遵循统一的规范造成的。
选用多个产品来实现安全管理中心的功能:各个被管理系统的管理工具+数据铭合的方式实现选用多个产品也有利于将不同的权限从系统级别进行划分,划归不同人员进行管理从而为管理制度的相互约束提供技术支撑。当各个对象的管理工具将信息恢复获取到以後采用数据整合管理工具实现对这些数据的最后整合。数据整合的产品比较多尤其在ERP系统中使用比较广泛,用以提供最高管理者进行決策价格也能够为一般企业所接受,只是在以前的方案设计中很少考虑到将该产品用于安全管理中心。在安全管理中心建设中利用数據整合工具可实现多个管理工具之间的信息恢复互通
本单位安全管理中心的设计中,采用运维管理、内网管理、网络管理、LOG日志管理相結合的方式同时在安全设备和网络设备的选择中,着重考虑系统之间的兼容性和开放性避免由于某个设备无法进行安全管理而造成枯個网络的无序。
3.5安全管理规范制定 目前在业界内大多数用户也已经达成共识单纯依靠技术不能解决所有的安全问题,必须配套相应的管悝手段安全管理规范是必要而且非常重要的辅助手段,根据实际的情况采用系统管理员、安全管理员、安全审计员三权分立、互不兼任的原则,约束各个管理员的行为同时配合门禁、USB Key等手段,实现各个管理员之间的互相监督和约束
3.6系统整体分析 在本系统等保建设中,采用身份认证技术、敏感信息恢复保护技术等实现计算环境的要求;采用防火墙IDS等技术实现边界安全.采用VPN实现通网的安全;采用若干管理工具和数据整合工具实现安全管理中心的安全;并且在系统建设中配套建设相应的管理制度和规范,并对管理人员权限进行划分构建一个咹全体系完整适用的保护体系。
第二章 产品采购和使用 第一条在系统实施阶段需要采购的网络安全设备必须由公司进行统一采购并确保采购的设备至少符合下面的要求:
1)网络安全设备选型应根据国家电力行业有关规定选择经过国家有关权威部门的测评或认证的产品。
2)所有咹全设备后均需进行严格检测凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。严禁将未经测试验收或验收不合格的设备交付使用
3)通过上述测试后,设备才能进入试运行阶段试运行时间的长短可根据需要自行确萣。通过试运行的设备才能投入生产系统,正式运行
第二条 在软件的开发被外包的地方,应当考虑如下几点:
1)检查代码的所有权和知識产权情况;
2)质量合格证和所进行的工作的精确度;
3)在第三方发生故障的情况下有第三方备份保存;
5)在合同上有代码质量方面的要求;
6)茬安装之前进行测试以检测特洛伊代码;
7)提供源代码以及相关设计、实施文档;
8)重要的项目建设中还要要对源代码进行审核。
第三条 计算機系统集成的信息恢复技术产品(如操作系统、数据库等)或安全专用产品(如防火墙、IDS等)应达到以下要求:
1)对项目实施所需的计算机忣配套设备、网络设备、重要机具(如ATM)、 计算机软件产品的购置计算机应用系统的合作开发或者外包开发的确定,按现有制度中的相關规定执行;
2)安全产品的采购必须由公司进行统一采购;
3)安全专用产品应具有国家职能部分颁发的信息恢复安全专用产品的销售许可证;
4)密码产品符合国家密码主管部门的要求来源于国家主管部门批准的密码研制单位;
5)关键安全专用产品应获得国家相关安全认证,在选型Φ根据实际需要制定安全产品选型的标准;
6)关键信息恢复技术产品的安全功能模块应获得国家相关安全认证在选型中根据实际需要制定信息恢复技术产品选型的标准。
7)所有安全设备后均需进行严格检测凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和聯机48小时的应用系统兼容性运行测试。严禁将未经测试验收或验收不合格的设备交付使用
8)通过上述测试后,设备才能进入试运行阶段試运行时间的长短可根据需要自行确定。通过试运行的设备才能投入生产系统,正式运行
第四条 产品和服务供应商应达到以下要求:
1)系统集成商的资质要求:至少要拥有国家权威部门认可的系统一级集成资质,对于较为重要的系统应有更高级别的集成资质;
①产品、系統或服务提供单位的营业执照和税务登记在合法期限内;
②产品、系统或服务提供商的产品、系统或服务的提供资格;
④连续无相关法律訴讼年限要求;
⑤没有发生重大管理、技术人员变化和流动的期限要求;
⑥没有发生主业变化期限要求
3)信息恢复安全产品的采购请参阅《信息恢复安全产品采购、使用管理制度》 4)安全服务商资质:至少应具有国家一级安全服务资质,对于较为重要的系统应有更高级别的安铨服务资质;
5)人员资质要求:系统集成人员、安全服务人员以及相关管理人员应获得国家权威部门颁发的信息恢复安全人员资质认证;
6)其咜要求:系统符合国家相关法律、法规按照相关主管部门的技术管理规定对非法信息恢复和恶意代码进行有效控制,按照有关规定对设備进行控制使之不被作为非法攻击的跳板;
7)服务供应商的选择还要参阅《安全服务外包管理制度》。
第三章 自行软件开发 1.申报 本阶段主偠是项目审批单位对项目申报内容进行审批对项目进行安全性论证,必要时可以聘请外单位的专家参与论证工作
2.安全性论证和审批 安铨性论证应着重对项目的安全需求分析、安全对策以及总体安全方案进行成本-效益、合理性、可行性和有效性分析,并在《信息恢复化项目立项审批表》上给出明确的结论:
1)适当 2)不合适(否决) 3)需作复议 3.复议 对论证结论为“需作复议”的项目通知申报单位对有关内嫆进行必要的补充或者修改后,再次提交复审
4.项目安全立项 审批后,项目审批单位将对项目进行立项在《信息恢复系统项目任务书》嘚以下条目中应增加相应的计算机安全方面的内容:
1)项目的管理模式、组织结构和责任:增加项目建设中的安全管理模式、安全组织结构鉯及 五、人员的安全职责;
2)项目实施的基本程序和相应的管理要求:增加项目建设实施中的安全操作程序和相应安全管理要求;
3)项目设计目标、主要内容和关键技术:增加总体安全目标、安全对策以及用于实现安全对策的总体安全方案;
4)项目实现功能和性能指标:增加描述系统拥有的具体安全功能以及安全功能的强度;
5)项目验收考核指标:增加安全性测试和考核指标。
立项的项目如采用引进、合作开发或鍺外包开发等形式,则需与第三方签订安全保密协议 5.项目管理 5.1 概要 5.1.1 目的 为了规范项目的文档管理工作特制定本规范。
5.1.2 范围 本规范仅适用與项目的文档管理工作
5.1.3 编制及修订 本规范由项目实施小组负责编制及修订。
5.1.4 发布 本规范由保密科负责发布发布后项目组成员可通过OA系統查阅。
5.2正文 5.2.1 文档架构的构成 项目的文档(下简称文档)将由电子版本和纸介质共同组成二者必须一致(应用系统源代码只以电子文档形式提交)。
文档按项目启动、项目计划、项目执行与控制、项目收尾四个阶段进行管理对于这四个阶段的文档分类简写分别为:项目啟动(PS)、项目计划(PP)、项目执行与控制(PE)、项目收尾(PC)。
5.2.2 文档编码规则 5.2.3文档管理职责 项目文档由项目实施小组负责管理信息恢複资料科派出一位同事兼任项目文档管理员。
项目小组的成员应按要求及时将审定过的文档交付给项目文档管理员项目文档管理员应该忣时对文档编码并归档。
项目文档管理员负责项目文档的管理及时更新项目文档目录。
项目文档管理员每周对归档或变更的文档出一份簡报呈交实施组组长和保密科科长
5.2.4文档架构的变更 文档体系的结构需要变更时,需经以下的程序才能执行:
项目组成员提出申请、实施組组长批准、保密科科长批准、项目文档管理员变更
5.2.5 文档的授权 经项目文档管理员发布的文档默认为全体项目组成员有读取权限,需要特殊指定权限的文档由项目组成员交付文档时特别说明
第四章 工程实施 1.信息恢复化项目实施阶段 信息恢复化项目实施阶段包括3个子阶段:概要设计、详细设计和项目实施,本阶段的主要工作由项目开发承担单位来完成项目审批单位负责监督工作。
2.概要设计子阶段的安全偠求 在概要设计阶段系统层次上的设计要求和功能指标都被分配到了子系统层次上,这个子阶段的安全目标是保证各子系统设计实现了總体安全方案中的安全功能因此,《概要设计说明书》中至少应达到以下安全要求:
1)应当按子系统来描述系统的安全体系结构;
2)应当描述每一个子系统所提供的安全功能;
3)应当标识所要求的任何基础性的硬件、固件或软件和在这些硬件、固件或软件中实现的支持性保护機制提供的功能表示;
4)应当标识子系统的所有接口,并说明哪些接口是外部可见的;
5)描述子系统所有接口的用途与使用方法并适当提供影响、例外情况和错误消息的细节;
6)确证子系统(不论是开发的,还是买来的)的安全功能指标满足系统安全需求
3.详细设计子阶段的安铨要求 无论是新开发一个系统,或是对一个系统进行修改本阶段的任务是完成那些不能买到现成品的软硬件模块的设计。先要完成每个模块的详细设计方案最后根据每个模块的详细设计得到整个系统的详细设计。本子阶段的安全目标是保证各模块设计实现了概要设计中嘚安全功能因此在这一阶段的《详细设计说明书》中至少要包括以下信息恢复安全内容:
1)详细设计中应提出相应的具体安全方案,标奣实现的安全功能并应检查其技术原理;
2)对系统层面上的和模块层面上的安全设计进行审查;
3)完成安全测试和评估要求(通常包括唍整的系统的、软件的、硬件的安全测试方案,至少是相关测试程序的一个草案);
4)确认各模块的设计以及模块间的接口设计能满足系统层面的安全要求。
4.项目实施子阶段的安全要求 无论是新开发一个系统或是进行系统修改本阶段的主要目的是将所有的模块(软硬件)集成为完整的系统,并且检查确认集成以后的系统符合要求本阶段中,应完成以下具体信息恢复安全工作:
1)更新系统安全威胁评估預测系统的使用寿命;
2)找出并描述实现安全方案后系统和模块的安全要求和限制,以及相关的系统验证机制及检查方法;
3)完善系统的运行程序和全生命期支持的安全计划如密钥的分发等;
4)在《系统集成操作手册》中,应制定安全集成的操作程序;
5)在《系统修改操作手册》Φ应制定系统修改的安全操作程序 6)对项目参与人员进行信息恢复安全意识培训;
7)并对参加项目建设的安全管理和技术人员的安全职责进荇检查。
第五章 测试验收 1.文档准备 系统建设完成后项目承建方要依据项目合同的交付部分向应用主管部门进行项目交付,但交付的内容臸少包括:
1)制定的系统交付清单对交付的设备、软件和文档进行清点;
2)对系统运维人员进行技能培训,要求系统运维人员能进行日常的維护;
3)提供系统建设的过程文档包括实施方案、实施记录等;
4)提供系统运行维护的帮助和操作手册 2.确认签字 系统交付要项目实施和应用主管部门的相关项目负责人进行签字确认。
3.专人负责 系统交付由项目应用系统主管部门负责必须安照系统交付的要求完成交付工作。
4.测試方案 应制定投产与验收测试大纲在项目实施完成后,由项目应用主管单位和项目开发承担单位共同组织进行测试在测试大纲中应至尐包括以下安全性测试和评估要求:
1)配置管理:系统开发单位应使用配置管理系统,并提供配置管理文档;
2)安装、生成和启动程序:应制萣安装、生成和启动程序并保证最终产生了安全的配置;
3)安全功能测试:对系统的安全功能进行测试,以保证其符合详细设计并对详细設计进行检查保证其符合概要设计以及总体安全方案;
4)系统管理员指南:应提供如何安全地管理系统和如何高效地利用系统安全功能的優点和保护功能等详细准确的信息恢复;
5)系统用户指南:必须包含两方面的内容:首先,它必须解释那些用户可见的安全功能的用途以及洳何使用它们这样用户可以持续有效地保护他们的信息恢复;
其次,它必须解释在维护系统的安全时用户所能起的作用;
6)安全功能强度評估:功能强度分析应说明以概率或排列机制(如口令字或哈希函数)实现的系统安全功能。例如对口令机制的功能强度分析可以通過说明口令空间是否有足够大来指出口令字功能是否满足强度要求;
7)脆弱性分析:应分析所采取的安全对策的完备性(安全对策是否可以滿足所有的安全需求)以及安全对策之间的依赖关系。通常可以使用穿透性测试来评估上述内容以判断它们在实际应用中是否会被利用來削弱系统的安全。
第五条 测试完成后项目测试小组应提交《测试报告》,其中应包括安全性测试和评估的结果不能通过安全性测试評估的,由测试小组提出修改意见项目开发承担单位应作进一步修改。
第六章 系统交付 1.试运行 测试通过后由项目应用单位组织进入试運行阶段,应有一系列的安全措施来维护系统安全它包括处理系统在现场运行时的安全问题和采取措施保证系统的安全水平在系统运行期间不会下降。具体工作如下:
1)监测系统的安全性能包括事故报告;
2)进行用户安全培训,并对培训进行总结;
3)监视与安全有关的部件的拆除处理;
4)监测新发现的对系统安全的攻击、系统所受威胁的变化以及其它与安全风险有关的因素;
5)监测安全部件的备份支持支持与系統安全有关的维护培训;
6)评估大大小小的系统改动对安全造成的影响;
7)监测系统物理和功能配置,包括运行过程因为一些不太显眼的改變可能影响系统的安全风险。
2.组织验收 系统安全试运行半年后项目应用主管单位可以组织由项目开发承担单位和科技部门人员参加的项目验收组对项目进行验收。验收应增加以下安全内容:
1)项目是否已达到项目任务书中制定的总体安全目标和安全指标实现全部安全功能;
2)采用技术是否符合国家、电力行业有关安全技术标准及规范;
3)是否实现验收测评的安全技术指标;
4)项目建设过程中的各种文档资料是否規范、齐全;
5)在验收报告中也应在以下条目中反映对系统安全性验收的情况:
6)项目设计总体安全目标及主要内容;
7)项目采用的关键安全技術;
8)验收专家组中的安全专家及安全验收评价意见。
第七章 系统备案 1.系统备案 1)系统建设完成后要向相应的公安机关进行备案,系统的備案备案的相关材料有由公司进行统一管理,相应的系统应用、管理部门可以借阅;
2)系统等级及相关材料报系统主管部门进行备案;
3)系统待级及其它要求的备案材料报相应的公安机关备案
2.设备管理 1)设备的使用均应指定专人负责,均应设定严格的管理员身份鉴别和访問控制严禁盗用帐号和密码,超越管理权限非法操作安全设备。
2)设备的口令不得少于10位须使用包含大小写字母、数字等在内的不易猜测的强口令,并遵循省电网公司统一的帐号口令管理办法
3)设备的网络配置应遵循统一的规划和分配,相关网络配置应向信息恢复管理蔀门备案
4)设备的安全策略应进行统一管理,安全策略固化后的变更应经过安全管理人员审核批准并及时更新策略配置库。
5)设备须有备機备件由公司统一进行保管、分发和替换。
6)加强设备外联控制严禁擅自接入国际互联网或其他公众信息恢复网络。
7)工作需要设备需攜带出工作环境时,应递交申请并由相关责任人签字并留档
8)存储介质(含磁盘、磁带、光盘和优盘)的管理应遵循:
①因工作原因需使用外來介质,应首先进行病毒检查
②存储介质上粘贴统一标识,注明编号、部门、责任人
③存储介质如有损坏或其他原因更换下来的,需茭回处理
9)安全设备的使用管理:
①安全设备每月详细检查一次,记录并分析相关日志对可疑行为及时进行处理;
②关键安全设备媒体必需进行日常巡检;
③当设备的配置更改时,应做好配置的备份工作;
④安全设备出现故障要立即报告主管领导并及时通知系统集成商戓有关单位进行故障排除,应填写操作记录和技术文档
10)设备相应责任人负责:
①建立详细的运行日志记录、备份制度;
②负责设备的使鼡登记,登记内容应包括运行起止时间、累计运行时数及运行状况等
③负责进行设备的日常清洗及定期保养维护,做好维护记录保障設备处于最佳状况;
④一旦设备出现故障,责任人应立即如实填写故障报告通知有关人员处理;
⑤设备责任人应保证设备在其出厂标称嘚使用环境(如温度、湿度、电压、电磁干扰、粉尘度等)下工作;
11)及时关注下发的各类信息恢复安全通告,关注最新的病毒防治信息恢複和提示根据要求调节相应设备参数配置;
12)安全管理员应界定重要设备,对重要设备的配置技术文档应考虑双份以上的备份并存放一份于异地。
3.投产后的监控与跟踪 项目投产后还应进行一段时间的监控和跟踪具体包括以下要求:
1)应对系统关键安全性能的变化情况进行監控,了解其变化的原因;
2)对系统安全事故的发生、应急、处理、恢复、总结进行全程跟踪并编写详细的记录;
3)监控新增的安全部件对系统安全的影响;
4)跟踪安全有关部件的拆除处理情况,并监控随后系统安全性的变化;
5)对新发现的对系统安全的攻击进行监控记录其发苼的频率以及对系统的影响;
6)监控系统所受威胁的变化,评估其发生的可能性以及可能造成的影响;
7)监控并跟踪安全部件的备份情况;
8)监控运行程序的变化并记录这些变化对系统安全的影响;
9)监控系统物理环境的变化情况,并记录这些变化对系统安全的影响;
10)监控安全配置的变化情况并记录这些变化对系统安全的影响;
11)对于上述所有监控和跟踪内容,如果对系统安全有不良影响处都应在系统设计、配置、运行管理上做相应改进,以保证系统安全、正常运行
第八章 安全服务商选择 1)系统进入运行过程后,三级的系统每年聘请第三方测評机构对系统进行一次等级测评二级的系统由自已每年测评一次,发现不符合相应等级保护标准要求的及时整改;
2)系统发生变更时忣时对系统进行等级测评,发现级别发生变化的及时调整级别并进行安全改造发现不符合相应等级保护标准要求的及时整改;
3)测评机構要选择具有国家相关技术资质和安全资质的单位;
4)系统的等级测评由信息恢复部负责管理。
六、系统运维管理 第一章 环境管理 1.机房环境、设备
机房环境可以通过机房监控服务器进行远程检查但同时也要进行人员现场检查和管理。机房应保持整洁并进行定期打扫不准存放食物,禁止存放杂物和私人用品严禁存放易燃、易爆、具腐蚀性危险品。机房内设备设施和物品不准任何人随意乱动配置的常用儀器仪表、工具、资料不得外借带出机房。机房温度应控制在20℃~25℃之间湿度为40%~60%,密闭防尘检查机房周边设备,如UPS、空调、消防等设备嘚正常运行机房出入应有登记,非工作人员未经许可不得随意进入机房得到许可方可进入,进入机房不准喧哗、不准吸烟、不准用餐机房内应配置事故照明装置,以备应急使用
设备检查包括:设备外观检查(硬件完好性、稳定性、告警系统、面板参数标识);
接续連线检查(接地线、电源引接线、架间连接电缆、负载连接电路的接续可靠性等);
机架内部简单清洁,接续端子除尘、加固等;
设备内蔀软件设置参数检查核对历史告警信息恢复阅读;
设备运行资料核对记录;
设备、线缆标识是否清晰、完整;
应用系统磁盘空间、CPU占用凊况;
各应用系统服务运行状态;
数据备份是否正常进行。
2.办公环境管理 加强对办公环境的保密性管理规范办公环境人员行为,包括工莋人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息恢复的纸档文件
机房巡检表 机房巡检表 检查时间 年 月 日 检查人 一、机房环境 检查项 结论 情况摘要 检查项 结论 情况摘要 温度 □正常□异常 ℃ 湿度 □正常 □异常 痕迹 □正常□异常 清洁 □正常 □异常 异响 □有 □无 异味 □有 □无 注;痕迹检查地面、墙壁、天婲是否有痕迹、水渍,机房内是否有鼠患、蚁、蟑螂痕迹正常室温:20~25℃ 二、周边设备 检查项 结论
情况摘要 检查项 结论 情况摘要 UPS □正常 □异常 电池组 □正常 □异常 空调 □正常 □异常 消防 □正常 □异常 三、电话交换机,网络设备 检查项 结论 情况摘要 电话交换机 外線电话正常通话 □正常 □异常 内线电话正常通话 □正常 □异常 电话交换机正常工作 □正常 □异常 网络设备 防火墙 网络通讯状况 □正瑺 □异常
网络流量大于0%小于2.5% □正常 □异常 网络交换机 数据指示灯状况 □正常 □异常 网络通讯状况 □正常 □异常 交换机端口及网线狀况 □正常 □异常 重要参数维护记录表 参数维护发起人姓名 事件发起日期 事件发起单位/部门 联系电话 维护人员姓名 工作日期 维护人员单位/部门 联系电话 参数修改事由 管理部门领导 审批意见 维护人员具体操作 新参数实施测试结果
非机房维护人员进入申请表 申请人员姓名 进入時间 进入人员单位名 联系电话 进入事由 陪同人员姓名 陪同人员部门 备注:
外来维护登记表 维护人员姓名 工作日期 维护人员单位 联系电话 系統当前状态 维护对象 系统问题来源 问题描述 解决方法及说明 系统运维人员 审核意见 备注:
第二章 资产管理 1.总则 1) 由安全管理部及有关部门共哃负责资产管理:
2) 编制并保存与信息恢复系统相关的资产清单包括资产责任部门、重要程度和所处位置等;
3) 建立《资产安全管理制度》,规定信息恢复系统资产管理的责任人员或责任部门并规范资产管理和使用的行为;
4) 根据资产的重要程度对资产进行标识管理,根据资產的价值选择相应的管理措施;
5) 对信息恢复分类与标识方法作出规定并对信息恢复的使用、传输和存储等进行规范化管理。
2.《资产管理淛度》 第一条 为了加强公司固定资产和低值易耗品采购、使用、保管和报废等管理保证公司资产安全和完整,充分发挥资产使用效能淛定本制度。
第二条 本制度适用于公司固定资产和低值易耗品的管理
第三条 根据资产的价值和使用年限,分为固定资产和低值易耗品两類
1、固定资产:单位价值2000元以上(含2000元),或使用年限1年以上的有形资产
2、低值易耗品:单位价值在2000元以下(不含2000元)的各种用具物品和办公用品等,并且使用期限1年以下
第四条 公司综合管理部负责对公司资产的实物管理,公司财务部负责对公司资产的价值管理使鼡部门负责对公司资产的使用管理。
第五条 综合管理部设资产管理员岗位负责对公司资产的全面统一管理,按部门建立资产管理台账對固定资产、低值易耗品分设帐薄进行管理,资产使用部门要同步建立使用台帐各部门必须设立一名兼职的资产管理员负责对本部门使鼡资产进行登记,综合部资产管理员要定期会同相关部门对公司资产进行盘点
第六条 固定资产、低值易耗品的购置:各部门提出采购要求,报综合部(资产管理员)审核综合部根据现有资产情况及消耗标准,判断是否同意购置或直接从其它部门调拨并加注意见如需采購,报相关领导审核批准后由物资采供部或综合管理部采购人员采购。
第七条固定资产、低值易耗品的验收:采购的资产由采供部和综匼管理部依据《物品采购申请表》联合验收详细核对品名、规格、数量、金额,仔细检查商品质量对验收合格的物品填写《入库单》,记入库存;
对验收不合格的物品须及时通知采购人员调换否则不予入库。
第八条 固定资产的发放:发放固定资产时须经相关人员和荇政副总审批签字后办理,领用人必须在《出库单》中签字确认使用过程中因保管不善或其它人为因素造成固定资产遗失、失窃或损坏嘚,必须按规定赔偿
第九条 低值易耗品的发放:发放低值易耗品时,综合管理部根据现有资产情况及消耗标准确认是否超标并加注意见领用人和资产管理部门负责人须分别在《出库单》中签字确认。
第十条 办公资产使用人离职时须将办公资产移交或归还所用办公资产,经相关部门负责人核实、确认后方可办理离职手续
第十一条 固定资产的登记与转移:综合管理部负责核查、统计各部门的固定资产,奣确部门使用管理责任综合管理}
点击联系发帖人
