1、框分配资源、删除和替换已分配的资源、修改资源分配对任务的影响。4. 成本定义。主要包括:指定资源成本、编辑成本费率表、设定计算方式、任务固定成本设定。5. 分析成本信息。主要包括:从“任务窗体”视图分析成本信息、从“资源窗体”视图分析成本信息、查看项目总成本信息。6. 要求在试验报告中写出主要的操作流程,并插入适当的主要截图和必要的说明。四、 实验预习和准备参考Microsoft Project相关书籍,认识和了解Microsoft Project的资源管理和成本管理。五、 实验过程与结果1、 在已创建的项目中,为项目增加资源:单击视图按钮,进入资源工作表,打开资源工作表,在资源名称域中,分别
2、输入资源的名称,在类型域中指定资源类型为工时或材料,在这里人员指定为工时,如果要指定资源组,可在资源名称的组域中输入组的名称。对每个工时资源(人员或设备),在最大单位域中使用默认值为100%,如为200%,表明特定的资源的两个全职单位图9增加项目资源2、 利用资源信息对话框设置资源。在资源工作表中选择某资源后,单击常用工具栏中的资源信息按钮,或双击该资源,就可以打开资源信息对话框。利用该对话框的常规选项卡可以方便的进行资源的设置。图10设置资源信息3、 编辑资源日历:当资源需要按不同的日程工作时,或者需要说明假期或者停工期,可以修改个别资源的资源日历。在工作表中选择需要更改工作日程的资源,选择
3、项目-资源信息命令,打开资源信息对话框,选择工作时间选项卡,仿照编辑日历的方法编辑资源的工作日历。可以为某资源创建一个基准日历。选择工具-更改工作时间命令,打开更改工作时间对话框,单击其中的新建按钮,创建新的基准日历,为资源组创建基准日历后,如要给基准日历分配资源,只要双击资源打开资源信息对话框,在工作时间选项卡中的基准日历下拉列表中选择所创建的基准日历即可。图11更改工作时间4、 分配资源:在创建资源列表并设置好资源信息和资源日历后,就可以为项目中的任务分配资源,为任务分配资源即创建乐一个工作分配,用户可以不受限制的对资源进行修改。视图-甘特图打开甘特图视图,从中选择要进行资源分配的任务,选
4、择工具分配资源命令,打开分配资源对话框。重复以上步骤,直到所有任务都分配好资源。最好单击关闭按钮,关闭分配资源对话框。图12分配资源5、 删除和替换资源分配。在甘特图中选择需要删除资源分配的任务,选择工具分配资源命令,打开分配资源对话框,在分配资源对话框的资源列表中选择要删除的已分配的资源,单击删除按钮即可。6、 跟踪资源:视图任务分配状况命令,打开任务分配状况视图。选择视图-表-工时命令,在工作表中添加工时域。图13跟踪资源7、 成本分配1、分配费率 视图-资源工作表在确认选择乐视图-表-项命令后,在资源工作表中选择该资源,并在其标准费率和加班费率域中,输入所需的费率。2、分配固定的任务成本
5、 视图-甘特图命令打开甘特图视图,通过视图-表-成本命令,在甘特图的 固定成本域中输入相应任务的固定成本就可以了。3、分配固定的资源成本 打开甘特图,在任务名称域中选择某个任务,选择窗口-拆分命令,打开组合视图。通过任务窗体视图,在资源名称域中,输入新的资源名称,选择格式-详细信息-资源成本,在组合视图的下方窗格中显示资源成本。在任务类型下拉列表中选择固定工期选项,将输入的任务类型设置为固定工期。在单位域中将任务设置为0%,在成本域中为资源分配输入一个成本值为100.单击确定。4、加班成本的计算。 视图-任务分配状况命令,打开任务分配状态视图,选择视图-表子菜单中的工时命令,在任务分配状况视图
6、中选择整个工时域,选择插入-列命令,打开列定义对话框,在域名称下拉列表中选择加班工时选项,标题的对齐方式为居中,数据的对齐方式为右,宽度设置为10,点击确定按钮,在任务分配状况视图中添加加班工时域。选择相应资源,在域中输入加班总量。图14成本计算5、项目中货币设置的更改 工具-选项命令,打开选项对话框,并选择视图选项卡货币选项域的符号文本框可以输入所需的货币符号,位置下拉列表框可以选择所需的货币格式,小数位数文本框输入需要显示的小数位数,设置完成后,单击确定按钮,则当前项目的货币符号和格式被改变。8、 为项目添加估计成本。在默认情况下,甘特图中所呈现的域并不包含“成本”,因此,要将该域插入并呈
7、现在工作页面中。打开工程文件。选取工期域单击鼠标右键,从弹出的快捷菜单中选饿插入列命令,接着出现列定义对话框,在域名称下拉列表框中选择成本选项后,单击确定按钮,接着针对每项任务所需的费用,一次进行输入。如果想把已经存在的域暂时屏蔽,选中该域,单击右键,从弹出的快捷菜单中选择隐藏列命令。9、 组织成本数据 1、隐藏子任务 把鼠标移到想要隐藏的子任务的任何一个域中,在格式工具栏中单击隐藏子任务图标按钮,这时就能把其下的子任务隐藏。如果要再显示子任务,只需要在格式工具栏中,单击显示子任务图标按钮。10、资源成本 视图资源工作表命令单切换到资源工作表视图。设置资源情况。成本累算域:开始(只要租借,成本
8、便发生)结束(直到活动结束,没有发生问题时费用才支付)按比例(即进行到什么时候便付费到什么时候)。六、实验小结和体会本次实验要求使用Microsoft project 2000进行资源管理和成本管理。完成本次实验,我主要有以下几点体会:1、在学习软件工程的时候,我们就接触到项目的资源与成本管理,在制图中已经能够熟悉地使用各种设计的工具,能翔实地画出模型中关键特征。在工具的使用上不存在任何问题,但我注意到,我们设计进度的时候时常会忘记与实际生产事实表联系起来,这样就有可能设计出不能反应项目进度建设时真正需要的架构,所以,我们在今后的设计中,一定要记住,设计进度和属性时,要从全局观点出发,否则就会
9、设计出不能反映真实项目的计划;2、资源管理和成本管理的主要操作如下:为项目增加资源。主要包括:Project中的资源分类、增加人员资源、增加设备资源、增加材料资源、设置资源可用性、设置资源费率。设置资源的工作日历和其它详细信息。为任务分配资源。主要包括:使用“分配资源”对话框分配资源、使用任务信息对话框分配资源、删除和替换已分配的资源、修改资源分配对任务的影响。成本定义。主要包括:指定资源成本、编辑成本费率表、设定计算方式、任务固定成本设定。分析成本信息。主要包括:从“任务窗体”视图分析成本信息、从“资源窗体”视图分析成本信息、查看项目总成本信息。本次实验让我对软件项目管理有了一个更深层次的了
10、解,为以后打下了一个重要的基础。软件项目开发与管理实验指导书 实验教学大纲实验四项目控制和动态跟踪一、 实验目的掌握如何使用Microsoft project 2000进行项目控制和跟踪。二、 实验环境软件平台:Microsoft Windows2000 /XP。软件工具:Microsoft project 2000以上版本。三、 实验内容与要求1. 有效利用资源以控制成本。主要包括:合理安排资源的“工时分布”、解决资源过渡分配问题。2. 使用盈余分析进行项目成本控制。主要包括:查看盈余分析表、查看盈余分析标记、用Excel生成挣值图表。3. 项目的跟踪。主要包括:项目跟踪的步骤、比较基准。4
11、. 使用项目基准计划。主要包括:保存和更新比较基准计划、保存中期计划、查看比较基准计划。5. 跟踪任务进度信息。主要包括:以百分比更新、以实际工期与剩余工期更新、使用“跟踪”表、未完成任务的重新安排、使用项目进度线。6. 跟踪成本信息。主要包括:计算实际成本、按时间段更新实际成本。7. 要求在试验报告中写出主要的操作流程,并插入适当的主要截图和必要的说明。四、 实验预习和准备参考Microsoft Project相关书籍,认识和了解Microsoft Project的资源管理和成本管理。五、 实验过程与结果1、 保存或更新比较计划1、 打开项目的甘特图,在任务名称域中,选择要包括在比较基准计划
12、中的任务。Shift或ctrl键。选择【工具】【跟踪】【保存比较基准】。如果已同时选择子任务和摘要任务,可同时选中这两个复选框。在甘特图下,选择【工具】【跟踪】【保存比较基准】,在打开保存比较基准对话框后,选中完整项目单选按钮,可为整个项目的所有任务创建比较基准计划。图15保存或更新比较计划2、保存或更新中期计划。选择【项目】【视图】【其他视图】,打开其他视图对话框,单击选中工期域,选择【插入】【列】,打开列定义对话框,在列定义对话框进行中期计划的时间设定,在工作表视图中同方法设定。另外还能更改特定任务的中期计划的开始或完成日期。3、向比较基准计划或中期计划中添加任务。选择【工具】【跟踪】【保
13、存比较基准】,打开保存比较基准对话框,在范围选项区域中选择选定任务单选按钮。在此,如果要在中期计划中添加任务,选择保存为中期计划但选按钮,并在列下拉列表中选择要添加到的中期计划。另外如果在范围选项区域中选择了完整项目单选按钮,project将重设整个日程。2、跟踪项目进度1、更新完整项目:选择一个已完成的项目进行更新 选择【工具】【跟踪】【更新项目菜单】,使用更新项目对话框可更新项目中所选任务或所有任务的完成百分比,或者重新排定未完成工时的日程。图15更新项公司审计管理办法第一篇 内部审计监察管理办法第一章 总则第一条 为了加强聚慧公司内部审计监察监督,使审计监察工作规范化、制度化,根据国家审
14、计法规结合本公司实际情况,特制定本办法。第二条 公司总部、控股子公司、各分公司依照本办法规定接受审计监察。第三条 公司内部审计坚持独立、客观、公正的原则。第二章 机构设置及职责、权限第四条 公司行政人事部下设审计监察室。第五条 审计监察室职责包括:1、按照有关法律、法规和公司实际情况,起草内部审计制度、审计监察室工作手册等;2、制订年度审计计划;3、负责组织实施内部审计监察,并向经营班子报告审计结果;4、参与公司新颁发制度的审定;5、负责审计人员的业务学习、岗位培训和内部审计理论研究等; 6、完成董事会、监事会交办的其他审计事项。第六条 公司审计监察室的主要权限是:1、根据内部审计工作的需要,
15、要求有关单位按时报送计划、预算、决算、报表和有关文件、资料等;2、审核凭证、帐表、决算,检查资金和财产,检测财务会计软件,查阅有关文件和资料; 3、检查公司的经营状况及经营业绩;4、有权参加公司经营管理方面的有关会议; 5、对审计涉及的有关事项进行调查,调阅、查询、复制有关的资料或拍摄有关现场情况,并要求被审计调查当事人对审计调查取证的资料予以签字确认; 6、对正在进行的严重违反财经法规,将会造成损失或浪费的行为,经公司领导同意,作出临时制止决定;7、当审计项目需要暂时借用公司内部其他单位的专业人员时,各单位应优先安排借用;8、对积极配合审计工作和其他为公司做出贡献的单位和员工提出奖励建议,报
16、公司领导批准;9、对阻挠、妨碍审计工作以及拒绝或不依时、准确提供有关报表、资料、有关政策性文件的单位和员工提出处罚建议;10、对违反法律法规、公司规章制度和其他损害公司利益的不当行为提出处罚建议;11、提出改进管理、提高效益的建议,提出纠正、处理违反法律、法规及公司制度行为的意见。12、配合政府机关、股东、董事会对公司的审计工作。第三章 审计对象、范围、依据第七条 内部审计监察的对象:公司属下所有单位(含控股单位)及全体人员;第八条 内部审计监察的范围:1、人员编制、财务计划、成本计划及各项预算的执行情况;2、工作计划、工作任务及工作指标、利润指标的完成情况;3、生产调度会跟进情况;4、公司方
17、针政策制度的执行情况;5、财务收支状况及有关的经济活动; 6、公司资产的使用、管理及保值增值情况;7、招标工作;8、工程项目的验收、结算及付款情况;9、公司主要负责人的离任责任;10、商家及公司内部投诉事项;11、商家及公司内部举报事项;12、跟进、督促审计建议的落实;13、其他审计事项。第九条 内部审计监察的依据1、国家法律、法规、政策;2、公司经营方针、政策、计划、目标;3、公司规章制度;4.、其他有关标准。第四章 审计种类、方式、程序第十条 内部审计主要分为以下几类:1、常规抽查审计:定期根据审计计划对被审单位有关事项进行抽查审计。2、专项审计:(1)管理审计:对被审单位工作任务完成情况
18、及相应的奖罚实施情况进行监督审计;(2)效益审计:对被审单位经济活动效益性、合理性及利润指标进行审计;(3)离任审计:对被审单位负责人在任职期间履行职责情况进行审计;(4)审计调查:对公司存在的问题或投诉、举报事项进行专题调查。第十一条 内部审计方式包括:1、报送(送达)审计:(1)被审单位根据有关规定定期将有关材料送审计机构接受审计检查(2)被审单位接到审计通知书,在指定时间将有关材料送审计机构接受审计检查。2、就地审计:审计人员到被审单位进行审计,后者提供必要的工作、生活条件。第十二条 审计程序1、制定审计计划和工作方案,经公司批准组织实施;2、实施审计项目前,发审计通知书书面通知被审计单
19、位,说明审计内容、种类、方式、时间,特殊情况下可以电话通知后进点或经总裁批准不事先通知直接进点审计;3、实施审计,审计人员可采取审查凭证、帐表、文件、资料、检查现金、实物、向有关单位和人员调查取证等措施;4、审计终结,提出审计报告,征求被审计单位意见,被审计单位应在限定时间内,将书面意见送交审计小组或审计监察室,逾期则视为无异议;5、审计监察室审核审计报告,对被审计事项做出评价,出具审计意见书,对需要进一步处理的还应做出审计决定,并将审计报告、审计意见书或审计决定报送公司审批。经批准的审计决定、审计意见书,应当及时送达被审计单位和有关单位,被审计单位和有关单位必须执行;6、审计监察室在审计事项
20、结束后,应建立审计档案,按规定进行保管。7、进行后续审计。第十三条 被审计单位或有关单位对审计决定或审计意见书如有异议,可在收到审计决定或审计意见书之日起十日内,向公司书面提出复议。复议期间,原审计结论和决定必须照常执行;第十四条 重大事项审计报告,应报董事会备案。第五章 审计档案第十五条 审计部门应建立、健全审计档案管理制度。第十六条 列入审计档案管理范围:1、审计通知书和审计方案;2、审计报告及其附件;3、审计记录、审计工作底稿和审计证据;4、反映被审单位和个人业务活动的书面文件;5、公司对审计事项或审计报告的指示、批复和意见;6、审计处理决定以及执行情况报告;7、申请复议报告;8、复议和
21、后续审计的资料;9、其他应保存的相关资料。第十七条 审计档案管理参考公司档案管理、保密管理等规定,由审计监察室自行管理。第六章 审计人员第十八条 审计人员的任免或调动,应当经公司总裁审批。第十九条 审计人员应具有一定的审计专业职称、专业知识和审计经验。第二十条 审计人员必须依法审计、忠于职守、坚持原则、客观公正、廉洁奉公,不得滥用职权、徇私舞弊、玩忽职守。第二十一条 审计人员按审计程序开展工作,对审计事项应予保密。第二十二条 审计人员进行审计调查,有关单位和个人应当支持和协助,如实向审计人员反映情况,提供有关证明材料,任何单位、个人不得阻挠和打击报复。第七章 奖惩规定第二十三条 对于积极配合审
22、计工作,有效促进审计工作顺利完成的单位或个人,由审计监察室提请公司给予通报表扬。第二十四条 对于在自查自纠工作中勇于找出自身问题(重大原则问题除外)并及时改正提高的单位或个人,表现突出的,由审计监察室提请公司给予嘉奖。第二十五条 对单位或他人有损公司利益的行为积极举报者,一经审计监察室查实,由公司给予嘉奖;所举报事项问题较大,举报有利于防止较大事故发生者,给予记小功;所举报事项问题严重,举报有利于防止重大事故发生者,给予记大功。第二十六条 对于在审计或自查自纠工作中推诿拖延的单位或个人,由审计监察室提请公司给予通报批评;对于阻挠、妨碍审计工作以及在自查自纠工作中不查不报、忽视问题者,一经查实,
23、给予警告处分;对于掩盖问题,严重妨碍审计工作正常进行者,给予记小过处分,情节特别严重,或对有关审计人员进行打击报复者,给予记大过或解雇处分。第二十七条 经审计查实,违反财务制度,情节轻微的,对有关责任人给予警告处分;情节严重者,给予记小过处分;违反审批制度,造成资金流失者,给予记大过或停职检查处分,并视情节报送司法机关追究法律责任。第二十八条 经审计查实,在资产(仓库)管理、材料采购、招标、工程验收、结算及付款等方面违反公司规定,玩忽职守,徇私舞弊,造成公司损失1000元以下的,对有关责任人给予警告处分;造成损失10005000元的,给予记小过处分;造成损失5000元以上的,给予记大过或停职检
24、查处分;同时追究责任人经济责任,并视情节报送司法机关追究法律责任。第二十九条 经审计查实,贿赂有关人员为个人谋取不正当利益的,或接受厂家、客户贿赂的,视情节给予记大过或解雇处分,数额巨大或给公司造成重大损失的,报送司法机关追究法律责任。第三十条 无正当理由,对经批准的审计决定、审计意见书拒不执行的,视情节对有关负责人给予记小过或记大过处分。第二篇 投诉举报管理办法第一章 总 则第一条 为规范公司的投诉及举报以及为解决投诉及举报的调查处理行为,使公司投诉、举报有章可循,以进一步协调各方关系,特制订本管理办法。第二条 审计监察室为公司投诉、举报的受理部门。第三条 公司投诉、举报及调查处理应坚持客观
25、、真实、有利工作的原则。第二章 投 诉 条 件 及 范 围第四条 提起投诉、举报条件:1、投诉(举报)人可是公司内单位或员工,也可以是外部人员、商家、厂家;2、投诉有具体的事实和理由,举报有相关证据或有进行调查的可能性;3、投诉采取非匿名方式(如匿名方式,须提供相应有效证据);举报是否署名不作要求(但应有联系方式)。4、投诉在知道被投诉事项发生之日起一个月(如被投诉事项属于持续性行为,在结束之日起一个月)内提起;举报可不受事项的时间限制。第五条 投诉、举报范围:1、公司内单位或员工违反公司重要规章制度的行为;2、公司内单位或员工影响公司经济利益和名誉的行为;3、公司内单位或员工受到明显不合理对
26、待;4、员工工作态度恶劣的行为;5、公司现行各项制度的不合理性;6、公司内单位或员工索取、收受贿赂的行为;7、投诉人认为不利工作、影响.53 7.7. 信息系统安全管理 .53 8.8. 信息系统的内部管理 .54 9.9. 密码管理 .55 1 一、一、 物理访问制度 ISMS-3001 1. 1. 目的 为了保障公司办公区域资讯信息安全和员工人身及财物安全,防止公司 财产流失,特制定本制度。 2. 2. 范围 本制度适用于公司员工外出及外来人员进入公司出入管理。 3. 3. 职责 公司设立接待人员,负责来访人员登记管理。 4. 4. 员工外出管理 员工因工作需要外出,需向相应上一级主管作出
27、事由说明,经批准后方可 外出。 到客户现场提供服务或工作的人员,需带公司胸卡。 5. 5. 来宾出入管理规定 (1)凡是来宾访客(包括外包协作厂商、客户及政府等来访人员)进入 公司内时,一律须出示其有效证件,说明来访事由,经被访人同意后,方可 允许相关人员进入办公区。 (2)团体来宾参观时,在得到总经理或副总的许可后,须由相关人员陪 同方可进入。 (3)员工亲友私事来访时,除特殊紧急事故,经其部门主管核准外,不 得在上班时间内会客,亲友须于会客区内等候至下班时会见。 (4)公司内部核心区域出入管理规定 1)敏感区域 公司敏感区域主要为内部机房和经理室.公司安装监控器;实施办公区域 24 小时监
28、控. 2)如需进入上述敏感区域,需经管理者代表/总经理同意,否则不得进入。 2 相关文件物理访问控制程序 6. 6. 相关记录无 二、二、 外部相关方信息安全管理规程 ISMS-3002 1. 1. 目的 为确保被外部相关方访问、处理、共享、管理的组织信息及信息处理设 施的安全,特制定本管理规定。 2. 2. 范围 本管理规定适用于公司外部相关方(包括顾客.供方.第三方)管理。 3. 3. 职责 技术部系统管理员负责制定本规定并负责执行。 4. 4. 管理规定 (1)第三方物理访问须经公司被访问部门的授权,具体执行访客管理制 度. (2)公司与顾客需明确规定信息安全要求,公司规定在与客户签订合
29、同 中需规定必要的安全要求。 (3)服务器访问权需由技术部统一授权给用户,一个用户给予惟一账号, 口令自行保管. (4)本公司公网接入服务提供方等为外包过程,此类外包服务商应由技术 部组织签订服务协议/合同,并应收集其相关资质,经公司评估成为合格供方 后方可与之进行经济来往. (5)采购供方或任何其它相关方人员现场访问公司现场时,需由技术部接 待,需要涉及到公司重要应用软件、重要设施及重要数据的访问时,必须由技 术部人员授权方可使用或查阅,涉及到资料复制名外借时,公司重要数据和文 件需征得总经理同意. (6)服务合同1 年注意更新。 3 三、三、 与政府相关资质申报及年审规定 ISMS-300
30、3 1. 1. 目的: 为公司对外与政府相关部门的相关业务联系提供指导; 2. 2. 职责: 技术部负责各项政府项目的申报。 财务部负责报税和营业执照年审。 3. 3. 技术部相关管理要求: (1)申报相关流程; 由技术部按各政府部门项目申报的要求下载相关表格,并按要求组织填 报. (2)申报涉及到相关经营数据的审核 相关经营数据在上报给政府部门前,先由核对数据,再交由综合部,审 核通过后由总经理盖公司公章。 (3)技术部申报材料的备份管理 所有上报给政府部门的文件数据都备份一份,由技术部资质人员整理归 档保存在办公室档案室中,并记录档案文件编号。 (4)材料保密要求 所有档案文件材料由技术部
31、专员负责看管,其他人员如要查阅,需先向 技术申请,获得总经理批准认可后,到存放档案的办公室中查阅相关文件, 档案文件不允许带出办公室。 4. 4. 相关资质申报年审管理要求 (1)报税管理要求 用政府财税处相关报税软件,在线填写企业经营数据,完成后由软件系 统上报。 (2)营业执照管理要求 接到政府相关部门通知后,持企业营业执照到指定政府办事处办理营业 执照年审手续。 4 四、四、 信息系统容量规划及验收管理制度 ISMS-3004 1. 1. 目的 针对已确定的服务级别目标和业务需求来设计、维持相应的技术部服务 能力,从而确保实际的技术部服务能够满足服务要求。 2. 2. 范围 适用于公司所
32、有硬件、软件、外围设备、人力资源容量管理。 3. 3. 职责 技术部负责确定、评估容量需求。 4. 4. 内容 (1)容量管理包括:服务器,重要网络设备:LAN、WAN、防火墙、路由器 等;所有外围设备:存储设备、打印机等;所有软件:操作系统、网络、内 部开发的软件包和购买的软件包;人力资源:要维持有足够技能的人员。 (2)对于每一个新的和正在进行的活动来说,公司管理层应识别容量要 求。 (3)公司管理层每年应在管理评审时评审系统容量的可用性和效率。公 司管理层应特别关注与订货交货周期或高成本相关的所有资源,并监视关键 系统资源的利用,识别和避免潜在的瓶颈及对关键员工的依赖。 (4)技术部应根
33、据业务规划、预测、趋势或业务需求,定期预测施加于综 合部系统上的未来的业务负荷以及组织信息处理能力,以适当的成本和风险 按时获得所需的容量, 五、五、 信息资产密级管理规定 ISMS-3005 5 1. 1. 目的 确保公司营运利益,并防止与公司营运相关的保密信息泄漏。 2. 2. 范围 本办法适用于公司所有员工。 3. 3. 保密信息定义 保密信息指与公司营运相关且列入机密等级管理的相关信息。 4. 4. 秘密等级区分 机密等级分为秘密、内控、公开三类,区分标准如下: (1)秘密:凡该信息泄漏后,足以严重损害本公司益或有于竞争对手 的。 (2)内控:凡该信息泄漏后,虽致直接影响本公司益,但可
34、能使本公 司经营管理因而造成困扰,需限制其阅读对象的。 (3)内控:凡该信息泄漏后,虽致直接影响本公司益,但可能使本 公司经营管理因而造成困扰,需限制其阅读对象的。 (4)公开:指可对社会公开的信息,公用的信息处理设备和系统资源. 5. 5. 信息的分类 (1)信息资产的分类可参见附件信息分类表。如未列入分类表的信 息资产,可依照下面的原则进行判断: (2)秘密,由信息保管单位主管判定,且至少须为部门以上主管。 (3)内控,由保密信息保管单位自行判定。 6. 6. 保密文件的标识 (1)文件类的信息在判定等级后,加盖印章于文件及附件各页右上角或 其它明显处。如页数太多,得酌情抽页盖骑缝章。但绝
35、密级信息应予编码管 控。 (2)非文件类的保密信息,包括档案、电子邮件、投影片等,于判定等 级后,应于资料传送显示前告知使用人或相关人员该项信息的密级。 6 (3)印章由技术部统一刻制,发放给各个部门使用。 7. 7. 传送 (1)内部传送 (2)秘密、内控:保密信息保管单位应将印刷形式保密信息密封后注明 机密等级,再装入传递袋中发送收件人;软件形式定稿和完整信息以电子邮 件方式传递时应加密;内控信息可加密。 (3)外部传送:印刷形式保密信息于外部传送时应以挂号函件或其它适 当方式寄送收件人。任何软件形式的机密等级信息于公司外系统、或于公司 外使用环境情况下,非经加密均得以电子邮件方式传递,以
36、避免遭拦截转 送。 (4)其它未判定为任一机密等级但仍具有敏感性或半成品性质的信息于 传送前可应视情况加密。 8. 8. 其它 (1)保密信息得用于公司以外的公开活动(如演讲、授课、一般资料 调查、出版发行等),如须于前述活动使用,应准用第五条的规定,并经管 理者代表核准。 (2)保密信息应由管代/相关负责人妥善保管,并善尽管理保护职责。 (3)离职员工应缴出其所持归公司所有的一切资料及其任何形式复印件、 副本,并确定确实归还全部所持公司文件。 (4)新进人员于入职当天即应签署员工保密合约,在新进人员签署上述 文件时,综合部应对合约书上有关企业保密信息等有关条文详加说明与解释, 务必使新进人员
37、充分了解并遵守企业保密信息有关事项。 (5)保管人员判定保密信息无继续保存的必要时,可经各判定主管的上 一级主管核准后销毁。绝密信息、机密信息无保存必要时,应将正本连同复 印的保密信息,由原保管单位统一收回销毁。 (6)本办法经总经理核准后公告实施,修订时亦同。 7 六、六、 信息系统设备管理规定 ISMS-3006 1. 1. 目的和范围 本程序是对信息资产分类中物理资产下的硬件设备的规划、购置、安装、 验收、使用、维护、处置等各阶段进行有效控制,在保证设备安全的前提下 最大限度发挥设备的效能,同时减少由于设备入网造成安全安全风险。 2. 2. 引用文件 (1)下列文件中的条款通过本规定的引
38、用而成为本规定的条款。凡是注 日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不 适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡 是不注日期的引用文件,其最新版本适用于本标准。 (2)ISO/IEC27001:2005 信息技术-安全技术-信息安全管理体系要求 (3)ISO/IEC27002:2005 信息技术-安全技术-信息安全管理实施细则 (4)介质管理规定 (5)笔记本电脑管理规定 (6)机房管理规定 3. 3. 职责 1)技术部:负责信息设备的规划、安装、验收、使用、维护、处置。信 息设备指公司综合部建设方面所需的硬件设备。负责重大设备或新类设备的
39、安全评估、风险分析和安全验收。 4. 4. 设备管理流程 (1)设备入网 1)需按设备本身提供的“设备安全操作说明书”进行正确操作和使用, 设备在日常使用过程中应注意安全; 2)系统工程师应查找有关的风险评估报告,确定准备入网的设备是否已 做过风险评估。 3)如果没有类似的设备做过风险分析和处置计划,则应按风险评估的要 求,通知信息安全管理小组进行。 8 4)如果做过风险分析和处置计划,则应按照相关的处置计划和实施要求, 制定设备入网计划。 5)系统工程师对计划入网的设备在独立的测试环境中进行测试,测试通 过后提交综合部审批。 6)技术部批准入网申请后,由系统工程师组织设备入网。 7)设备入网
40、应按照处置计划和入网计划对设备进行安全加固。 8)对入网系统进行一段时间的监控,以观察入网是否生效。如果发现问 题,要及时进行处理,必要时要寻求供应商的协助。监控一段时间后,设备担 当组织人员进行验收,并通知信息安全管理小组对系统进行安全检测。 (2)设备安置与保护 (3)信息设备安装管理 1)技术部对信息设备安全的安置与保护工作,包括对温度、湿度的监测 和日常的巡检等,详见机房管理规定。 2)信息安全设备的安置应按照设备制造商的说明,安置工作由专业人员 进行。 3)信息安全设备安置要选择能够避免或减少未授权访问的物理场所,应 采取措施以减小潜在的物理威胁的风险。 4)重要系统使用的信息设备安
41、置在专用的机房内。 5)安置在室外的信息设备要注意防盗、防雨、防雷、防尘、防腐蚀等工 作。 6)确保消防设备充足并随时可用,定期进行消防演练。 (4)支持性设施安置管理 1)技术部负责信息安全设备支持性设施的管理工作,包括提供、维护、 维修等。 2)对支持关键业务操作的信息设备,使用不间断电源(UPS)。UPS 设 备要定期地检查,详见机房管理规定。 3)应急电源开关应位于设备房间应急出口附近,以便紧急情况时快速切 断电源。万一主电源出现故障时要提供应急照明。 4)技术部要确保通风和空调系统等运行良好,对其运行情况可进行定期 检查。 9 (5)线缆安全 1)公司网络系统进入信息设备的电源和电信
42、线路布在地板上,要建有冗 余线路或留有可替换线路,以保障线路的可用性。 2)电缆要避开公众区域,铺设电缆要有线槽保护,以避免未授权窃听或 损坏的危害。为了防止干扰,电源电缆要与通信电缆分开布线。 3)要采取切实有效的措施防范鼠患,防止电缆被鼠噬。 4)电缆要使用牢固、清晰、可识别的标记,使用文件化配线列表减少布 线失误的可能性,以使失误最小化,详见机房管理规定。 (6)设备移动 1)在公司物理环境以外严禁放置服务器、交换机、电脑等信息设备。 2)公司原则上禁止机房设备移出公司物理环境。如确因工作需要,如展 会、维修等,需将公司的服务器、交换机、路由器等信息设备移到办公地点 外使用,需经研发主管
43、批准后才能移出公司的物理环境。 3)如需要供应商将设备移出公司物理环境进行维修时,在设备移出前, 设备管理人员要将设备中敏感信息从设备中删除或确保维护人员对其不可访 问或获取。 4)离开建筑物的信息设备和移动介质在公共场所要有专人看护和保管, 不允许无人值守,适当时,还要施加其它措施进行控制,例如上锁,以防止 损坏、盗窃等事件发生。 5)笔记本在公司办公场所以外使用,依笔记本电脑管理规定。 (7)维护、保养 1)机器设备日常维护由设备使用者在日常使用时进行,维护项目限于查 看设备外观有无明显损坏、是否正常工作、是否通电正常等内容。 2)定期维护由技术部专业工程师或供应商进行,定期维护根据不同设
44、备 决定不同的维护周期,从一周一次到半年一次不等,定期维护项目包括软硬 件更换、性能检查、性能调优等。 3)定期维护和年底维护后,要将维护项目、维护过程、维护人员、维护 结果等内容详细记录在设备维护记录中。 (8)设备处置 1)设备的处置由设备使用部门提出,经经总经理批准后,对设备进行处 10 理; 2)信息设备在处置过程中须考虑信息安全。 3)设备报废前设备管理责任人要负责删除所有信息,对包含敏感信息的 设备要对其信息载体在物理上应予以销毁,或者采用使原始信息不可获取的 技术将其安全地重写,如消磁。 4)信息设备的报废工作由综合部负责,需要填写废弃介质处置记录,经 总经理批准后,才能进行报废
45、。 5)对于因闲置、人员离辞或设备换代等原因不再使用的信息设备,特别 是个人电脑,在设备归仓前,要采用信息不可获取的技术将其敏感信息、工 作信息和个人信息删除。以确保在设备重用时,重用者不会获得与其工作无 关的内容。 6)对试用设备和测试设备(无论是自有的还是供应商的)中的信息在试 用和测试后,由试用或测试人员立即清除,防止重要信息泄露。 7)废弃介质处理方法参见介质管理规定 5. 5. 实施策略 (1)设备管理规定涉及到包括设备维护记录共 1 个表单。 (2)对设备的定期维护等内容详细填写设备维护记录。 6. 6. 相关记录 本程序发生的记录汇总表 表 6-1 ISMS 文件日常应用表格 表
46、号记录编号记录名称 保管 场所 保存 期限 保存形 式 备注 表 A.1 ISMS-3009-01 设备维护记录表技术部1 年电子 七、七、 机房管理规定 ISMS-3007 1. 1. 目的和范围 11 为科学、有效地管理机房,促进各信息系统在机房安全的、稳定的、高 效的运行,特制定本规定。 2. 2. 引用文件 (1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注 日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不 适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡 是不注日期的引用文件,其最新版本适用于本标准。 (2)ISO/IEC27001:
47、2005 信息技术-安全技术-信息安全管理体系要求 (3)ISO/IEC27002:2005 信息技术-安全技术-信息安全管理实施细 (4)设备管理规定 (5)访问控制程序 3. 3. 职责和权限 技术部:负责责机房的日常检查、维护和管理工作,及当发生紧急事件 时,按应急预案进行相应的处置。 4. 4. 机房出入制度 (1)机房的进出由技术部严格管理。机房的钥匙保存技术部。如需进入 机房,必须得到技术部的授权,在技术部领取钥匙后方可进入。 (2)未经许可不准携带任何磁带(盘)、磁介质和资料进入机房。经特 许携带的,必须由专人陪同方可进入。 (3)未经许可不允许使用摄影、录像、笔记、或其它音像记录设备等。 5. 5. 机房环境管理 (1)技术部对机房环境每半月进行一次检查,对发现的问题要及时解决。 填写机房巡检记录表。 (2)机房内要保持设备无尘、布线整齐、物品就位、资料齐全。 (3)机房内严禁堆放与工作无关的其它物品及纸质物品。做好消防灭火 设备检查工作 (4)机房内禁止饮食、吸烟、打闹、大声喧哗,机房内不得会客、闲谈。 12 (5)机房内备有温度计和湿度计,温度保持在 18-25,湿度保持在 40%-60%
