草案              流程描述

1. 流程总述

本流程描述了深圳万科安全管理方面一般安全管理规范的制定与信息系统文档管理制度。

2. 流程描述

2.1一般安全管理政策的制定流程 

2.2一般安全管理政策综述

?      一般安全管理政策的制定

为了对信息安全提供管理指导和支持，管理层应当提出一套清晰的策略指导，并且通过在组织内发布和维护信息安全策略来表明对信息安全的支持和承诺，同时对员工进行适当的培训，提高员工安全意识，保证安全政策的贯彻实施。集团IT中心制定了《信息安全策略》<<>GC-a-1>，内容包括：适用范围，系统管理员及主要职责；各项安全管理流程，包括用户认证、密码设置、数据库安全、操作系统安全、网络安全、应用系统安全、防病毒、物理安全；安全管理的文档记录规定等。集团IT中心下发《信息安全策略》至所有相关部门及人员并要求其了解、掌握政策内容，各部门均遵从相关规程和标准 [公司应建立统一的安全政策，并根据公司业务发展的情况定期（至少每年一次）更新安全政策，保留政策更新记录，信息系统管理部门对政策签字确认并确保下发给相关员工要求其了解、掌握政策内容。政策的内容至少包括：政策适用范围，负责安全管理的责任人及主要职责，安全管理流程，例如用户认证管理、密码设置、数据库安全、操作系统安全、网络安全、防病毒安全管理、物理安全管理等；安全管理规范文档。]（控制活动编号：-A-1>）。

?      版权政策的制定及实施：

非法及盗版软件的安装，轻则易使个人电脑乃致公司网络感染病毒，重则引起软件公司以侵权起诉。集团IT中心制定了《软件资产管理办法》<<> GC-a-2>规定员工须严格遵从有关禁止使用盗版软件的规条[公司必须制定使用正式软件的政策。]（控制活动编号：-A-2>）。总经理办公室每年组织相关部门对公司计算机内的软件进行检查，对发现的未经授权软件进行删除 [公司必须定期（至少每年一次）对照企业计算机内的软件与授权合约清单，若发现有未取得授权合约的软件，应取得授权合约或删除该软件。]（控制活动编号：-A-3>）。

?      信息系统文档管理制度

总经理办公室信息技术岗位提供《信息系统配置表》<<>GC-a-3>，记录系统的安全设置，包括应用系统、操作系统、数据库、网络等方面，并根据配置的变更及时更新记录。总经理办公室信息技术岗位同时负责用户权限的相关表单、重要系统日志的统计、汇总，并归档保管，以备查考。对文档的查阅，须得到总经理办公室信息技术岗位的授权，并在《文档查阅记录表》<<>GC-a-4>中进行记录[文档管理人员必须对信息系统安全的关键配置、用户权限变更、重要日志等文档进行保存。] （控制活动编号：-A-4>）。

 Page 2