《信息安全自查报告.docx》由会员分享,可在线阅读,更多相关《信息安全自查报告.docx(12页珍藏版)》请在课桌文档上搜索。
1、信息安全自查报告根据国家及上级主管单位网络安全管理文件精神,加强公司信息安全保密工作的管理,根据公司信息系统运行管理制度公司计算机信息系统安全、保密管理规定等相关内控制度,我司定期开展信息安全自查工作。在公司总经理和技术总监领导下,制定计划,明确责任,具体落实,对我司网络、业务系统信息安全进行了一次全面的自查。及时发现问题,分析问题,解决问题,确保了公司网络、业务系统保持良好的运行,为我司信息安全发展提供强有力的支持。一 .加强领导,成立了信息安全工作领导小组为进一步加强公司网络、业务系统信息安全管理工作,我司成立了网络与信息系统安全工作领导小组,做到分工明确,责任具体到人。安全工作领导小组:
2、组长李冬生;副组长刘媛媛;成员有李永峰、张瑞、张静、李高芳。分工与各自的职责如下:李冬生为我司网络与信息系统安全工作责任人,全面负责计算机网络与信息安全管理工作。刘媛媛分管计算机网络与信息系统安全管理工作,负责计算机网络与信息安全管理工作的协调、督促及日常事务。李永峰负责网络维护和日常技术支持工作。二 .完善制度,确保了信息安全工作有章可循为保证我司计算机网络、信息系统的正常运行与健康发展,加强对信息安全的管理,规范网络使用行为,制定了河南美成通讯有限公司公司计算机信息系统安全、保密管理制度,具体制度内容如下:1 .系统权限使用规范公司内11系统所有权限必须经过申请备案后方可使用。申请时需填写
3、系统权限申请单,所有账号根据其权限及功能不同划分权限级别。申请使用权限时,需根据不同的权限级别由相应的领导签字确认后方可生效。IT部会对各部门的各个职能人员权限使用信息进行备案,各部门使用系统的职能人员若发生变动,需及时通知IT部门进行备案。附:系统权限申请单系统权限申请单申请人部门权限级别申请日期申请目的及工作内容部门领导签字年月日主管副总签字年月日总经理签字年月日2 .员工保密规范培训期就签署保密协议,开设课程,培养坐席的保密意识,并在正式入职及签署劳务合同时再次进行保密义务准则签署及相关条款的约束。定期组织培训会宣导保密信息安全课程,培养并树立员工信息安全意识和保密工作,严禁因个人操作问
4、题导致客户信息外泄。作业审核中,午休或离席需关闭电脑屏幕并设立锁屏密码,杜绝个人私自下载作业清单和客户信息。工作对接过程中,只允许反馈投保单号等基础信息给渠道或机构核实,禁止出现个人信息的截图,如工作需要,须进行脱敏处理。作业人与作业账户一一对应,一人一号,严禁出现账号混用登录,如协调处理任务时,需在处理完毕后及时进行密码修改。坐席对个人账户及密码享有使用权和保密责任,需正确使用个人账户,禁止将个人的账号和密码私自透漏给他人,如离职账户需回收,登录网址记录及数据需在完成工作交接后第一时间进行删除清档。账号只限在固定电脑登录,使用前需联系IT进行风险排查和处理,严禁私自在未授权电脑进行作业登录。
5、3 .员工信息安全教育信息安全威胁是现代企业普遍面临的问题,也是双方合作十分关注的问题,因此建立员工信息安全教育思想体系,提高员工安全意识,定期开展信息安全教育大会,增强信息安全知识和处理安全问题的能力,成为应对安全威胁不可缺少的手段。话务外包信息安全管理办法主要用于限制外包方完成坐席终端移动存储、文件共享、网络限制和系统权限等的相关工作,最大限度的保证客户信息、业务资料的安全。根据话务外包信息安全管理办法进行安全管理,针对全体员工定期开展信息安全教育。至上而下的贯彻执行。4 .运营场地使用规范为构建和谐的办公环境,特制定本条例,约束所有人员共同遵守共同维护。任何时间在职场内不允许携带任何电子
6、通讯设备,违者直接退场;公司电话均已安装录音设备,不可以用系统外拨私人电话,违者直接退场;来访者除非有预先安排,否则不能入内,违者直接退场;疏忽或未经许可向其他人员透露与我公司及合作商的技术、业务或经营管理等方面保密资料、数据,给我公司及合作商造成重大损害,或其他严重情节,违者直接退场;因服务过程态度恶劣,与客户争吵或谩骂客户,或因工作不负责任而造成客户有理投诉或越级投诉,退场;未经许可私自查询客户姓名、客户身份证、客户电话及联系地址及名下所有保单的详细信息等所有涉及客户隐私的信息资料,更改、窃取、泄露客户资料等侵犯公民通信安全的行为,退场;擅自修改系统功能、盗用他人工号、帐户等涉及信息安全行
7、为,退场;呼叫中心为高效工作环境,要求出现问题沟通到位,不能出现不服从安排顶撞管理的行为发生;按时下班不能出现迟到或早退现象,如有特别情况需先打电话或信息请示上级;进入职场必须佩戴工牌;保护好职场内的整洁卫生,离席摆髡锁屏;上班时间着装要求:不可穿无袖、吊带等上衣;不可穿超短裙、短裤(不可穿拖鞋或打赤脚在办公区域走动);工作现场强调无纸化办公,除公司承认笔记本外,不允许出现任何纸张;上班时间不允许闲谈、大声喧哗、非工作需要窜岗聊天,擅自离岗;工作时间不允许睡觉;未经批准不得私自调班、换坐席;未经批准不得私自更换键盘、耳机等设备;职场内(除餐厅外)不允许吃食物;不得在非规定区域抽烟;一旦进入系统
8、后不能泄露密码或让其他人(除当班班组长外)使用此电脑;以上管理条例,除1-7条违者退场外,其他8-20条,违者每人每次自愿乐捐50元/次。如违反两次以上者,除当事人乐捐外,连带当班班组长一并处罚,所有乐捐金额全数做为团队经费使用,发文之日起执行!5 .监控使用管理规范现场安全视频监控系统由技术部确定专(兼)职人员具体负责视频监控系统的使用和管理工作。视频监控系统专用密码由专职管理人员负责管理和使用,不得向任何单位和个人泄漏视频监控系统专用密码。视频监控资料的调阅、备份、相关资料的存档等工作由专职管理人员负责。为确保现场安全视频监控系统专用于项目现场安全,严禁非视频监控系统使用人员操作本系统,使
9、用中不得用于与视频监控工作无关的事情。为确保视频监控系统的正常运行。视频监控系统使用人员应认真学习监控操作规程,维护和保养好监控设施,严格按操作程序进行操作;不得无故中断监控系统的正常运行,不得擅自删除监控数据资料;除项目组聘请的专业人员外,任何人不得变更系统的设置。视频监控系统使用人员必须具有高度的政治责任感和工作责任心,认真负责完成好项目现场安全监控任务;必须及时掌握各种监控信息,对监控过程中发现的异常情况应按规定妥善处置并及时上报,同时做好相关记录。发生突发事件时,及时向上级报告和妥善处置的同时,应采取措施加强视频监控系统和监控数据资料的管理,严禁无关人员进入监控室,防止视频监控系统被破
10、坏及监控数据资料丢失问题的发生。三.强化管理,加强信息安全保障措施为保证我司计算机网络、信息系统的正常运行与健康发展,加强对信息安全的管理,规范网络使用行为,我司总经理办公室和技术部制定了科学详实的信息安全保障措施。我司的信息安全保障措施如下:1 .通讯网络保障目前我司郑州1205职场、郑州67职场配备联通互联网宽带线路和备用的移动IoOM企业互联网宽带线路,两条线路都能支持业务开展互为备份。2 .网络行为保障公司部署了深信服ACTOOO-Bl100全网行为管理系统,从入网、内部操作到出网整个流程,从用户、终端、行为、数据四个维度构建完整的全网行为管控思路。监控坐席电脑的一切行为,如果有异常会
11、第一时间报警,通知指定的技术人员和现场值班班长处理3 .坐席电脑保障坐席电脑实行统一配置,统一管理,专人维护。职场内都保持该项目20%数量的冗余电脑。并且确保操作系统、应用系统等都是正常使用的,安排专人定期进行维护测试。坐席电脑安装杀毒软件,启动实时保护并及时升级,严格保证工作网络及坐席电脑干净无毒。坐席电脑严格封闭外接端口(USB接口、软驱、光驱及其他可读写移动存储介质的设备实施物理封闭),保证信息无法从电脑终端泄露。4 .运营职场信息安全保障仅允许指定的技术人员对坐席电脑进行软硬件维护,并且每次维护必须做好记录。禁止在坐席电脑安装任何与工作无关的软件。员工进职场之前需要把所有电子产品(包括
12、且不限于手机、U盘、MP3、IPad、相机等)上交值班班长统一管理,值班班长会定时巡场检查,如果发现坐席代表有私自拷贝或者拍照信息的异常行为,立即阻止并报告公司上级领导严肃处理。职场内安装视频监控系统,并且有专人检查视频监控系统,视频监控录像保存3年以上,可供追查使用。四.细化实施,信息安全保障措施实施方案1 .坐席电脑设置开机密码及屏幕保护程序为了方便管理,开机密码统一由技术部设置,定期专人进行更换。史攵笠生廿发二M卷 FWHHe=中更注用户立金三制62设置屏幕保护程序,并且恢复时显示登陆界面,仍然会要求话务员输入账号密码才可以登陆电脑使用。2 .通过电脑注册表工具关闭坐席电脑USB接口权限
13、通过电脑注册表工具关闭坐席电脑USB接口权限,此方法比较隐蔽,非计算机专业人员很难打开USB权限接口使用。3 .安装360安全卫士和360杀毒软件仓mso变全卫士卡安全时M提供全面安全服务*送爱条木马M拦超800N劭索耨万故欣件纯“安修附制保护网络安全安全卫士安装失败-解决方案beta版I极速版离线安装包I国际版中小企业版针对个别项目的电脑都是用的内网,无法连接互联网的情况,由技术部专人定期下载离线升级包升级病毒库,确保杀毒软件是最新版本。4 .公司网络设备安全自查针对现阶段网络安全问题的重要性,技术人员要认识到了问题的严重性,一定从思想上加强信息安全的管理意识,统计整理公司网络设备表,并针对
14、网络管理设备密码定期修改、整理排查,做到网络问题提前发现,及时处理,防微杜渐。5 .根据各项目实际情况定期完成各项目信息安全检查表信息安全检查表检查人复核人序号数据安全自查结果整改措施1数据接收以碎片形式接收影像数据。无2理赔录入录入过程中避免全数据单人录入,在系统按照操作规范进行正常作业,无图片下载权限。文件部分姓名、地址、数字部分等采用分开录入;无3向渠道反馈问题只反馈单号,不涉及客户信息无序号作业人员自查结果整改措施1出勤1 .已建立人员考勤休假管理制度;2 .合理排班并进行人力备岗,根据任务需求,在业务高峰期可以及时调配人员。无2出入管理L24小时360。视频监控、安全区域专人管理,进
15、出亩批及陪同,电子门禁、具备有效的控制措施,禁止无关人员进出业务操作场所;2 .禁止携带喷、智能手机、笔记本善电子设备进入业3 .禁IHl带与工作无关物品讲入作“区;无序号运营职场自查结果整改措施1视频监控业务操作区配对足够监控摄像头,视频监控不存在盲点:场地内安装了闭路电视、覆盖职场所有的进出通道、摄像清麻,外包商应安排了工作时间办公区域不间断监控;2 .监控室的建筑足够坚固、安全,保证只有值班人员可以进入监控室,其他人员进入须经安全负责人批准;3 .监控视频保存90天O无2门禁门禁系统记录所有出入记录,并保存30天,安全管理人员定期检查门禁出入记录;无3运营环境L每个作业区独立门禁,日常处
16、于关闭状态;2 .业务操作区定期落实人员清沽卫生、无存放易燃、易爆、有毒、强磁性、腐蚀性、放射性等物品;3 .业务操作台严禁存放水、食品、饮料等非工作使用物品;无4作业安全L离开席位需退出操作系统界面,并锁定电脑屏幕;班组长每小时现场巡检,落实人员离席锁屏情况及作业操作情况;2 .电脑账户密码未进行网页记录保存53 .除作业规则,未保存涉及客户业务信息资料;4 .下班后电脑关机断电,禁止出现远程连接,在作业区域登录作业系统情况;5禁止携带与工作无关资料物品进入作业区;6 .操作用户不允许互借,一人一户,管理账户有专职管理人员管理,录入员调岗或离职,第一时间进行工号删除;7 .业务操作终端禁止留存业务敏感数据和其他五官数据;8 .人员熟练掌握各类紧急装置使用方法,定期进行培训和消防安全教育与宣传,9 .业务作业区接入生产服务器,网络、系统、设备、电源不存在单点故障。无5保密协议签署及确认1 .入司人员保密协议签署:2 .定期开展保密及信息安全培训会;无6 .根据职场具体情况定期进行网络硬件系统巡检并整理归档报告硬件系名巡检报告序号设备名称设备型号设备地址网络状态备注
