【正文】 只有你自己才能把歲月描畫成一幅難以忘懷的人生畫卷。歲月是有情的，假如你奉獻(xiàn)給她的是一些色彩，它奉獻(xiàn)給你的也是一些色彩。努力過后，才知道許多事情，堅(jiān)持堅(jiān)持，就過來了。有時候覺得自己像個神經(jīng)病。在紛雜的塵世里，為自己留下一片純靜的心靈空間，不管是潮起潮落，也不管是陰晴圓缺，你都可以免去浮躁，義無反顧，勇往直前，輕松自如地走好人生路上的每一步3. 花一些時間，總會看清一些事。信息安全管理組織結(jié)構(gòu)圖工程部辦公室運(yùn)維部商務(wù)部總經(jīng)理研發(fā)部財(cái)務(wù)部管理者代表信息安全管理小組1. 若不給自己設(shè)限，則人生中就沒有限制你發(fā)揮的藩籬。a. 負(fù)責(zé)落實(shí)部門分解的管理目標(biāo)；b. 負(fù)責(zé)產(chǎn)品實(shí)現(xiàn)過程的實(shí)施和控制；c. 負(fù)責(zé)產(chǎn)品的監(jiān)視和測量工作，以及不合格品的調(diào)查、處置工作。負(fù)責(zé)公司信息安全網(wǎng)絡(luò)管理，機(jī)房的管理工作，負(fù)責(zé)對研發(fā)過程中的密碼應(yīng)用技術(shù)進(jìn)行管理；負(fù)責(zé)對信息系統(tǒng)的授權(quán)管理。b. 制定公司的年度財(cái)務(wù)預(yù)算報(bào)最高管理者批準(zhǔn)，確保公司管理體系運(yùn)行的資金來源。b. 負(fù)責(zé)公司有關(guān)法務(wù)事務(wù)：1) 負(fù)責(zé)擬定公司本部開展經(jīng)營活動所需的標(biāo)準(zhǔn)合同樣本，并負(fù)責(zé)合同文本的審核；2) 負(fù)責(zé)收集信息安全所需的通用性的法律、法規(guī)和其他要求，確認(rèn)其適用性；3) 負(fù)責(zé)組織對執(zhí)行的法律、法規(guī)和其他要求的合規(guī)性評價(jià)；4) 按照管理職責(zé)，對各部門進(jìn)行指導(dǎo)、監(jiān)督檢查。a. 負(fù)責(zé)公司人力資源管理、行政管理、法務(wù)管理、三會管理、辦事處及分公司管理、黨群工會歸口管理等工作。管理者代表a. 確保管理體系得到建立、實(shí)施和保持；b. 領(lǐng)導(dǎo)編制管理體系文件，負(fù)責(zé)《管理手冊》的審核，程序文件的批準(zhǔn)；c. 協(xié)助最高管理者開展管理評審工作，向最高管理者匯報(bào)體系運(yùn)行情況及取得的業(yè)績，提出管理體系改進(jìn)的機(jī)會；d. 負(fù)責(zé)公司內(nèi)審的領(lǐng)導(dǎo)工作；e. 審核管理體系總目標(biāo)并批準(zhǔn)；f. 批準(zhǔn)通用性的法律、法規(guī)和其他要求的清單；g. 審批公司信息資產(chǎn)清單，風(fēng)險(xiǎn)評估文件；h. 確保在公司內(nèi)提高滿足顧客要求、遵守法律法規(guī)和其它要求的意識；i. 負(fù)責(zé)管理體系有關(guān)事宜與外部進(jìn)行聯(lián)絡(luò)。i) 對發(fā)生的不合格/不符合、出現(xiàn)的事件，要及時糾正和制定糾正措施和預(yù)防措施并予以完成。a) 貫徹執(zhí)行公司的管理方針，實(shí)施公司的信息安全管理目標(biāo)；b) 識別并貫徹執(zhí)行公司適用的國家、政府和上級有關(guān)信息安全法律、法規(guī)及其他要求，并進(jìn)行合規(guī)性評價(jià)；c) 參與管理體系策劃，配合做好內(nèi)、外審和管理評審工作；d) 負(fù)責(zé)本部門文件和記錄的控制工作；e) 負(fù)責(zé)本部門體系運(yùn)行中所需監(jiān)視和測量活動的識別、控制，以及監(jiān)視和測量裝置的配置和管理工作；f) 負(fù)責(zé)本部門的數(shù)據(jù)分析；g) 實(shí)施與本部門有關(guān)的內(nèi)外部交流、溝通；h) 負(fù)責(zé)本部門的體系運(yùn)行控制，檢查體系運(yùn)行有效性，并實(shí)施監(jiān)視和測量，予以記錄和總結(jié)。第三條 管理人每次大假前必須將數(shù)據(jù)庫以及網(wǎng)站所有程序及資料備份交下載到本地進(jìn)行保存。第一條 正常工作日每天登錄服務(wù)器，查看服務(wù)運(yùn)行狀態(tài)是否正常。第六條 管理人不得開服務(wù)器上開設(shè)除網(wǎng)站本網(wǎng)站以外的站點(diǎn)和空間。只允許服務(wù)器管理人通過FTP上傳數(shù)據(jù)到服務(wù)器上（已經(jīng)告知FTP的網(wǎng)站用戶除外）。第二條 管理人不得將服務(wù)器管理賬號轉(zhuǎn)借他人。對網(wǎng)站代碼及目錄進(jìn)行檢測，隨時發(fā)現(xiàn)可能出現(xiàn)的木馬。服務(wù)器上的維護(hù)內(nèi)容有如下幾點(diǎn)：操作系統(tǒng)安裝與配置，服務(wù)器安全設(shè)置，補(bǔ)丁更新，系統(tǒng)安全檢測WEB服務(wù)（IIS）安裝與配置，ASP/ASPX網(wǎng)站配置，數(shù)據(jù)庫（MSSQL）安裝與配置主站網(wǎng)站維護(hù)（網(wǎng)站）網(wǎng)站服務(wù)器維護(hù)（所有建站服務(wù)器及正在運(yùn)行VPS）虛擬空間網(wǎng)站維護(hù)服務(wù)器代碼備份，數(shù)據(jù)備份服務(wù)器軟件檢測（FTP、虛擬網(wǎng)卡、網(wǎng)站所需組件）服務(wù)器用戶賬號管理DNS的搭建與配置服務(wù)器盤符目錄設(shè)定及約束：服務(wù)器的安全檢測保證服務(wù)器上各軟件的運(yùn)行情況DNS服務(wù)器的正常運(yùn)行服務(wù)器安全設(shè)置、系統(tǒng)補(bǔ)丁的更新。如：，原因分析，解決方案，管理的改進(jìn)；“任務(wù)申請表”制度，使管理工作有案可查、有章可尋；、內(nèi)容、類別、操作者等；，要有時間和內(nèi)容的詳細(xì)記錄；、修改、刪除，數(shù)據(jù)庫的各種操作。計(jì)算機(jī)終端用戶除非授權(quán)，否則嚴(yán)禁私自安裝任何軟件。第八條 系統(tǒng)管理員對負(fù)責(zé)的服務(wù)器應(yīng)提供詳細(xì)的文檔，包括系統(tǒng)安裝、各種軟件的安裝、開關(guān)機(jī)步驟及安全的設(shè)置等信息。第七條 系統(tǒng)管理員要深入了解系統(tǒng)的工作原理，不斷提高系統(tǒng)的管理水平。第六條 為確保系統(tǒng)安全性、可靠性及文件、數(shù)據(jù)的一致性和完整性，必須對系統(tǒng)進(jìn)行備份工作。第四條 系統(tǒng)管理員負(fù)責(zé)各自服務(wù)器的日常管理和維護(hù)，主要有：用戶帳戶的管理、網(wǎng)絡(luò)管理、數(shù)據(jù)庫管理、服務(wù)器系統(tǒng)運(yùn)行狀態(tài)的監(jiān)控、以及各應(yīng)用系統(tǒng)使用資源情況統(tǒng)計(jì)，并合理地分配系統(tǒng)資源。第二條 服務(wù)器由維護(hù)組人員進(jìn)行管理并授權(quán)與建站服務(wù)相關(guān)的人員使用，明確各自服務(wù)器的用途、應(yīng)用范圍及使用對象，并對整個系統(tǒng)資源進(jìn)行合理的規(guī)劃。 外請計(jì)算機(jī)維護(hù)人員進(jìn)行系統(tǒng)維護(hù)時，本部門人員必須全程陪同并監(jiān)督，嚴(yán)禁維護(hù)人員以任何形式拷貝任何資料。 除公司數(shù)據(jù)備份管理人員外，任何人無權(quán)詢問、刺探、破解其他部門數(shù)據(jù)備份的信息內(nèi)容。 各部門統(tǒng)一由研發(fā)部安裝正版網(wǎng)絡(luò)殺毒軟件，并定期更新病毒數(shù)據(jù)庫和定期查殺毒，如果因殺毒軟件誤操作破壞數(shù)據(jù)，各部門應(yīng)保持原始狀態(tài)，由研發(fā)部聯(lián)系殺毒軟件服務(wù)商進(jìn)行數(shù)據(jù)恢復(fù)。 因可控的人為原因造成重要數(shù)據(jù)（例如行政辦公、技術(shù)、銷售、人事及財(cái)務(wù)等）遺失的，公司根據(jù)損失情況將對責(zé)任人進(jìn)行嚴(yán)厲處罰，涉及到企業(yè)安全的，依法追究刑事責(zé)任。 研發(fā)部軟件開發(fā)代碼及文檔備份必須同時滿足本地及云端要求。 備份數(shù)據(jù)資料保管地點(diǎn)必須滿足防火、防熱、防潮、防塵、防盜等條件，并指定專人保存。 每年元月，各部門將上一年的所有數(shù)據(jù)分類，完整、真實(shí)、準(zhǔn)確地以刻錄光盤的形式存檔，然后交由部門負(fù)責(zé)人保管。計(jì)算機(jī)操作系統(tǒng)應(yīng)使用正版軟件，每周打一次補(bǔ)丁，每季度用Ghost做鏡像備份。 計(jì)算機(jī)需要備份的數(shù)據(jù)、文檔資料要隨時歸檔備份并異地存放, 每周至少備份一次，日新增數(shù)據(jù)量大、財(cái)務(wù)、銷售、經(jīng)營調(diào)度等部門的數(shù)據(jù)必須每天備份一次，每月整理一次，備份方法實(shí)行三重備份方式，即本地硬盤、移動存儲設(shè)備（網(wǎng)絡(luò)硬盤）、光盤刻錄保存并進(jìn)行異地存儲。 備份方法及要求 數(shù)據(jù)備份采用人工備份的方式，備份分重要數(shù)據(jù)備份、重要文檔資料備份、信息監(jiān)控系統(tǒng)數(shù)據(jù)庫原始數(shù)據(jù)備份、計(jì)算機(jī)操作系統(tǒng)備份、應(yīng)用軟件備份。各部門負(fù)責(zé)人要了解本部門需要備份的數(shù)據(jù)內(nèi)容與類型，落實(shí)備份要求，防范可能出現(xiàn)的數(shù)據(jù)風(fēng)險(xiǎn)，對本部門數(shù)據(jù)備份情況要進(jìn)行不定期抽查，對不按規(guī)定備份要立即予以糾正。 計(jì)算機(jī)使用者負(fù)責(zé)所使用計(jì)算機(jī)的數(shù)據(jù)備份操作，涉及到信息監(jiān)控系統(tǒng)、自動化控制系統(tǒng)用計(jì)算機(jī)，有關(guān)單位和部門要指定專人負(fù)責(zé)。 為保證本公司計(jì)算機(jī)所保存的數(shù)據(jù)和信息安全，加強(qiáng)和規(guī)范公司計(jì)算機(jī)數(shù)據(jù)和信息管理，特制定本規(guī)定。對違規(guī)處罰過程中出現(xiàn)的拖延、推諉行為，IT部信息安全組可以行使否決權(quán)。為了加快一級違規(guī)行為的處理進(jìn)度，溝通時限和批準(zhǔn)期限都是2天；3）在違規(guī)事件處理過程中，IT部信息安全組協(xié)助與監(jiān)督處罰責(zé)任人完成處罰執(zhí)行工作。處罰責(zé)任部門處罰等級處罰責(zé)任人批準(zhǔn)申訴一級總經(jīng)理/綜合部二級總經(jīng)理/綜合部三級部門分管副總IT部信息安全組綜合部四級部門分管副總IT部信息安全組綜合部說明：1）對于各類違規(guī)行為處罰應(yīng)當(dāng)慎重，應(yīng)建立在客觀事實(shí)的基礎(chǔ)上給出處罰意見。 員工無意違規(guī)，但責(zé)任人領(lǐng)導(dǎo)進(jìn)行包庇的，在事實(shí)確認(rèn)的基礎(chǔ)上，進(jìn)行連帶處罰；216。責(zé)任判定1）發(fā)生一、二級重大信息安全事件違規(guī)時，違規(guī)者直接上級和部門經(jīng)理承擔(dān)直接和間接責(zé)任，部門副總須承擔(dān)連帶管理責(zé)任，并按照《》適用條款進(jìn)行處罰；2）對于三、四級信息安全違規(guī)，根據(jù)以下條件判斷責(zé)任人直接上級是否連帶處罰：216。說明：1) 信息安全管理規(guī)定包括公司各部門正式發(fā)布的信息安全管理制度；2) 上表中“違規(guī)事件“的描述是定性的描述，是違規(guī)事件定級的參考原則。故意違反信息安全規(guī)定，性質(zhì)嚴(yán)重；或者造成較大影響或較大風(fēng)險(xiǎn)二級1. 如給公司造成相關(guān)損失，須賠償公司損失；2. 擔(dān)任公司管理崗位的人員，進(jìn)行降職或者降薪處理；非公司管理崗位的人員，進(jìn)行降薪處理；3. 全公司范圍內(nèi)通報(bào)處罰決定。違規(guī)等級與措施違規(guī)事件違規(guī)等級處罰措施盜竊、故意泄露公司保密信息的，或故意違反信息安全管理規(guī)定，性質(zhì)嚴(yán)重造成重大影響或者風(fēng)險(xiǎn)一級1. 直接開除，永不錄用；2. 如違反法律法規(guī)由公司法務(wù)部移送公安機(jī)關(guān)處理；如給公司造成相關(guān)損失，須賠償公司損失。在信息安全管理中做出貢獻(xiàn)，反映信息安全隱患或者過度防衛(wèi)被核實(shí)、提出信息安全合理化建議并被采納的個人，以及在信息安全方面做出貢獻(xiàn)的集體三級根據(jù)具體情況給予3000元集體獎勵或者1000元個人獎勵。獎勵等級與措施獎勵事跡獎勵等級獎勵措施舉報(bào)或者制止泄密、竊密或者其他嚴(yán)重?fù)p害公司利益事件的集體或者個人一級根據(jù)具體情況給予8000元集體獎勵或者5000元個人獎勵；通報(bào)表揚(yáng)（遵循“舉報(bào)保密原則“淡化事跡并隱藏人員信息）。 及時處理原則對重大信息安全違規(guī)事件，要及時處理。 過度防衛(wèi)處罰原則對阻礙信息合理流動與共享的人員要給予處罰。 主動從寬原則產(chǎn)生違規(guī)行為后主動報(bào)告，積極采取補(bǔ)救措施以減少影響和損失的人員，可減輕處罰；對問題隱瞞不報(bào)或者不及時上報(bào)而導(dǎo)致違規(guī)影響擴(kuò)大的人員，加重處罰。涉及關(guān)鍵信息資產(chǎn)的，違規(guī)等級要升級；一次違反多條信息安全規(guī)定的人員按最高違規(guī)等