第一篇：企業信息安全管理辦法

信息安全管理辦法

第一章 總則

第一條

為加強公司信息安全管理，推進信息安全體系建設，保障信息系統安全穩定運行，根據國家有關法律、法規和《公司信息化工作管理規定》，制定本辦法。

第二條

本辦法所指的信息安全管理，是指計算機網絡及信息系統（以下簡稱信息系統）的硬件、軟件、數據及環境受到有效保護，信息系統的連續、穩定、安全運行得到可靠保障。

第三條

公司信息安全管理堅持“誰主管誰負責、誰運行誰負責”的基本原則，各信息系統的主管部門、運營和使用單位各自履行相關的信息系統安全建設和管理的義務與責任。

第四條

信息安全管理，包括管理組織與職責、信息安全目標與工作原則、信息安全工作基本要求、信息安全監控、信息安全風險評估、信息安全培訓、信息安全檢查與考核。

第五條

本辦法適用于公司總部、各企事業單位及其全體員工。

第二章 信息安全管理組織與職責

第六條

公司信息化工作領導小組是信息安全工作的最高決策機構，負責信息安全政策、制度和體系建設規劃的審批，部署并協調信息安全體系建設，領導信息系統等級保護工作。

第七條

公司建立和健全由總部、企事業單位以及信息技術支持單位三方面組成，協調一致、密切配合的信息安全組織和責任體系。各級信息安全組織均要明確主管領導，確定相關責任，設置相應崗位，配備必要人員。

第八條

信息管理部是公司信息安全的歸口管理部門，負責落實信息化工作領導小組的決策，實施公司信息安全建設與管理，確保重要信息系統的有效保護和安全運行。具體職責包括：組織制定和實施公司信息安全政策標準、管理制度和體系建設規劃，組織實施信息安全項目和培訓，組織信息安全工作的監督和檢查。

第九條

公司保密部門負責信息安全工作中有關保密工作的監督、檢查和指導。

第十條

企事業單位信息部門負責本單位信息安全的管理，具體職責包括：在本單位宣傳和貫徹執行信息安全政

策與標準，確保本單位信息系統的安全運行，實施本單位信息安全項目和培訓，追蹤和查處本單位信息安全違規行為，組織本單位信息安全工作檢查，完成公司部署的信息安全工作。

第十一條

技術支持單位在信息管理部的領導下，承擔所負責的信息系統和所在區域的信息安全管理任務，主要包括：在所維護系統和本區域內宣傳和貫徹信息安全政策與標準，確保所負責信息系統的安全運行。

第十二條

各級信息管理部門設立信息安全管理和技術崗位，包括信息安全、應用系統、數據庫、操作系統、網絡負責人和管理員，重要崗位可設置兩個員工互為備份。

第十三條

信息安全崗位的設立應遵循職責分離的要求，包括：制度監督者與執行者分離，信息系統授權者與操作者分離，應用系統管理員與數據庫管理員分離，程序開發人員不應具備對生產環境的訪問權限。

第十四條

公司員工必須嚴格遵守公司信息安全政策、管理制度、技術標準和信息系統控制要求，承擔相關安全義務和責任，并及時報告信息安全事件。

第三章 信息安全目標與工作原則

第十五條

信息安全工作的總體目標是：實施信息系統安全等級保護，建立和健全先進實用、完整可靠的信息安全體系，保證系統和信息的完整性、真實性、可用性、保密性和可控性，保障信息化建設和應用，支撐公司業務持續、穩定、健康發展。

第十六條

信息安全體系建設必須堅持以下原則： 堅持統一。信息安全體系必須統一規劃、統一標準、統一設計、統一投資、統一建設、統一管理。

保障應用。保障網絡和信息系統，特別是全局網絡和重要業務信息系統不間斷穩定運行及其信息的安全，實現以應用促安全，以安全保應用。

符合法規。信息安全體系要滿足法律法規要求，包括國家對信息系統等級保護、企業內部控制要求，積極采用法律法規允許的、成熟的先進技術和專業安全服務。

綜合防范。管理與技術并重，相互補充。從組織與流程、制度與人員、場地與環境、網絡與系統、數據與應用等多方面著手，在系統設計、建設和運維的多環節進行綜合防范。

集中共享。建立集中、統一的信息安全技術服務平臺和

集中專業化的信息安全隊伍。

第四章 信息安全工作基本要求

第十七條

根據公司信息安全專項規劃和總體方案，分層次建立以安全組織體系為核心、安全管理體系為保障、安全技術體系為支撐的全面信息安全體系，并保持三個體系穩定、均衡發展。

第十八條

建立全面的信息安全管理體系：

制定并實施統一的信息安全策略、管理制度和技術標準。

實行信息系統資產管理責任制，保護信息系統，特別是核心信息系統的設備、軟件、數據和技術文檔的安全。

建立信息系統物理環境、網絡、系統、應用、數據等各層面的安全管理流程，實現對信息系統全生命周期的安全管理。

實現對信息系統的安全風險管理，及時發現和防范安全隱患。

第十九條

建立有效的信息安全技術體系：

強化網絡、桌面和應用系統安全防護體系，按照自主定級、自主保護的原則，評估確定各信息系統保護等級并實施

相應的保護措施。

建立統一的網絡安全信任體系，加強網絡實體身份管理與認證，為網絡和信息系統安全運行提供信任基礎。

建立完善有效的安全監控和預警體系，監控重要網絡和核心業務系統，及時發現安全隱患。

建立全面有效的應急響應體系，制定并落實完整、規范的應急處理和響應流程，完善信息安全報告、處理機制。

建立包括同城和異地容災備份中心的信息系統災難恢復體系，定期進行災難恢復的測試和演練，確保災難發生后能夠充分發揮備份的效能，降低造成的影響和損失。

第五章 信息安全監控

第二十條

信息安全監控的目的是對威脅系統、數據庫及網絡安全的因素進行有效控制，防止由于技術或人為因素導致的異常和損失，同時為其他安全措施的設計和實施提供可靠依據。安全監控的結果要保存一年以上。

第二十一條

信息系統的運行和維護單位，在國家法律和公司有關規定許可的范圍內，具體進行規范、合理、有效的信息安全監控。使用公司網絡及應用系統的用戶有義務接受

必要的監控。監控不能影響、泄漏不涉及安全問題的網上行為和個人隱私的內容。

第二十二條

各級信息部門負責制定和實施信息安全監控計劃，包括日常監控、應急處理和定期匯報。

第二十三條

日常監控分為實時監控和定期檢查，包括應用系統、數據庫、操作系統、網絡、物理環境以及外部人員對信息系統訪問的實時監控與定期檢查。監控及檢查結果要存檔備查，異常情況須及時向有關負責人匯報。

第二十四條

各級信息部門應對網絡及重要信息系統制定詳細的應急處理預案。應急處理按照預案進行，并至少每年組織一次相關崗位人員進行應急預案演練。

第二十五條

各級信息部門編制、上報信息安全月報和年報，及時向主管領導和上級部門匯報重大信息安全風險和事件。

第六章 信息安全風險評估

第二十六條

信息管理部負責組織建立風險評估規范及實施團隊，定期或在重大、特殊事件發生時進行風險評估。

第二十七條

風險評估包括范圍確定、風險識別、風險分析和控制措施，確保信息安全，滿足應用和業務需要。

評估范圍可包括管理組織、流程、政策與標準、應用系統、數據庫、操作系統、網絡、物理環境，應涵蓋公司內部關鍵控制點。

風險識別包括識別風險類型和風險事件，形成風險列表，更新信息風險數據庫。

風險分析包括信息資產分類、風險發生概率和影響程度分析，并確定風險等級，形成風險評估報告。

控制措施包括安全管理策略和風險控制措施，形成風險控制報告。

第二十八條

信息管理部將風險評估和控制報告上報信息主管領導審批。根據領導審批意見，落實控制措施。

第七章 信息安全培訓

第二十九條

信息管理部負責制定公司信息安全培訓計劃，組織、實施信息安全管理和技術培訓。各級信息部門負責相應層級的信息安全培訓，培訓計劃報信息管理部備案。

第三十條

信息管理部及各企事業單位信息部門對應用系統、數據庫、操作系統和網絡管理員、開發人員進行信息安全技術培訓，提高信息安全管理和維護水平。

第三十一條

信息管理部及各企事業單位信息部門分層次、分類型對員工進行信息安全培訓，包括針對業務和技術管理人員進行管理層面的信息安全管理培訓，針對從事日常業務處理人員進行操作層面基本安全知識培訓。

第三十二條

員工上崗前，應進行崗位信息安全培訓，并簽署信息安全保密協議。在崗位發生變動時，及時調整信息系統操作權限。

第三十三條

信息安全政策與標準發生重大調整、新建和升級的信息系統投入使用前，開展必要的安全培訓，明確相關調整和變更所帶來的信息安全權限和責任的變化。

第八章 信息安全檢查與考核

第三十四條

信息管理部定期進行信息安全檢查與考核，包括信息安全政策與標準的培訓與執行情況、重大信息安全事件及整改措施落實情況、現有信息安全措施的有效性、信息安全技術指標完成情況。

第三十五條

各企事業單位信息部門按照本辦法和《公司信息系統運行維護管理辦法》進行信息安全自我考核，信息管理部進行綜合評價，形成年度考核報告，報信息主管領導。

第三十六條

對于不執行本辦法造成嚴重后果的，應追究相關部門和個人責任。

第九章 附則

第三十七條

各企事業單位可參照本管理辦法制定相應的實施細則。

第三十八條 第三十九條

本辦法由公司信息管理部負責解釋。本辦法自印發之日起施行。

第二篇：企業信息安全保密管理辦法

企業信息安全保密管理辦法

1.目的作用

企業內部的“信息流”與企業的“人流”、“物流”、“資金流”，均為支持企業生存與發展的最基本條件?？梢娦畔⑴c人、財、物都是企業的財富，但信息又是一種無形的資產，客觀上使人們利用過程中帶來安全管理上的困難。為了保護公司的利益不受侵害，需要加強對信息的保密管理，使公司所擁有的信息在經營活動中充分利用，為公司帶來最大的效益，特制定本制度。2.管理職責

由于企業的信息貫穿在企業經營活動的全過程和各個環節，所以信息的保密管理，除了領導重視而且需全員參與，各個職能部門人員都要嚴格遵守公司信息保密制度，公司督察部具體負責對各部門執行情況的檢查和考核。3.公司文件資料的形成過程保密規定 擬稿過程

擬稿是文件、資料保密工作的開始，對有保密要求的文件、資料，在擬稿過程應按以下規定辦理：

初稿形成后，要根據文稿內容確定密級和保密期限，在編文號時應具體標明。草稿紙及廢紙不得亂丟，如無保留價值應及時銷毀。

文件、資料形成前的討論稿、征求意見稿、審議稿等，必須同定稿一樣對待，按保密原則和要求管理。印制過程

秘密文件、資料，應由公司機要打字員打印，并應注意以下幾點：

要嚴格按照主管領導審定的份數印制，不得擅自多印多留。要嚴格控制印制工程中的接觸人員。

打印過程形成的底稿、清樣、廢頁要妥善處理，即使監銷。復制過程

復制過程是按照規定的閱讀范圍擴大文件、資料發行數量，要求如下：

復制秘密文件、資料要建立嚴格的審批、登記制度。復制件與正本文件、資料同等密級對待和管理。嚴禁復制國家各種秘密文稿和國家領導人的內部講話。絕密文件、資料、未經原發文機關批準不得自行復制。

4.公司文件資料傳遞、閱辦過程保密規定

收發過程

收進文件時要核對收件單位或收件人，檢查信件封口是否被開啟。

收文啟封后，要清點份數，按不同類別和密級，分別進行編號、登記、加蓋收文章。發文時要按照文件、資料的類別和文號及順序號登記清楚去向，并填寫好發文通知單，封面要編號并加蓋密級章。

收發文件、資料都要建立登記制度和嚴格實行簽收手續。遞送過程

企業內部建有文件、資料交換站的，可通過交換站進行，一律直送直取。遞送外地文件、資料，要通過機要交通或派專人遞送。

凡攜帶秘密文件、資料外出，一般要有兩人以上同行，必須裝在可靠的文件包或箱內，做到文件不離人。

遞送的秘密文件、資料，一律要包裝密封，并標明密級。閱辦過程

呈送領導人批示的文件、資料、應進行登記。領導人批示后，要及時退還或由經管文件部門當日收回。領導人之間不得橫向傳批文件、不得把文件直接交承辦單位（人）。凡需有關部門（人）承辦的文件、資料，一律由文件經管部門辦理。

絕密文件、資料，一般不傳閱，應在特別設立的閱文室內閱讀。

秘密文件、資料，不得長時間在個人手中保留，更不能帶回家或公共場所。要控制文件、資料閱讀范圍，無關人員不能看文件、資料。

5.公司文件資料歸檔、保管過程中的保密規定

歸檔過程

秘密文件、資料在歸檔時，要在卷宗的扉頁標明原定密級，并以文件資料中最高密級為準。不宜于保留不屬于企業留存的“三密”文件、資料，要及時清理上交或登記銷毀，防止失散。

有密級的檔案，要按保密文件、資料管理辦法進行管理。保密過程 秘密文件、資料應集中管理，個人不得保存。

存放處應裝有保密設置，專室、專柜及一切設施要能防盜，安全可靠，鑰匙應專人保管。文件資料每半年要進行一次清理，清理時應將無用的上級發文交主管部門或上級發文機關；借出的文件應做好清退，清退中如發現缺份，要及時向主管領導報告，認真查處。每年底要組織一次對作廢的秘密文件、資料的銷毀工作。該項工作要按程序規定進行，經領導復核后，在有專人監督下銷毀，嚴禁向廢品收購部門出售“三密”文件、資料。

6.宣傳報告工作工程中的保密規定

宣傳報道保密，就是對宣傳報道中可能發生的泄密，采取一系列措施，確保企業秘密的安全。主要應做好以下幾方面工作： 建立健全宣傳報道中的保密制度，要明確規定“三密”文件、資料的內容都不能擅自公開或在報導中引用。

公司對外宣傳報道的稿件，主管領導要認真進行保密審查。

做好確定密級的工作，使全體干部職工特別是領導和負責進行宣傳報導的工作人員能了解掌握。因特殊需要，涉及到“三密“文件資料內容時，必須向總經理匯報請示，公司其他任何人均無權批準。公司管理層應經常向下屬部門人員進行保密教育，提高全員保密意識，對違規者，應按制度進行處罰。

7.辦公自動化設備（設施）使用的保密措施

隨著企業辦公自動化的普及，文件、資料保密工作面臨新的挑戰，為了消除辦公自動化應用中所產生的保密領域問題，應抓好以下幾個方面工作。

加強對工作人員的保密教育，樹立以下思想觀念：

樹立配有加密設施的微機網絡傳遞與機要通信收發的文件、資料同屬正式文件、資料的保密觀念。

樹立復印文件、資料與正式文件、資料都具有相同作用的保密觀念。

樹立機要室登記、分發的文件、資料與各部門自行登記、分發的文件、資料都同等重要的保密觀念。

樹立以紙張為材料的秘密載體與軟（硬）件為材料的秘密載體同樣重要的保密觀念。完善規章制度，認真抓好落實

辦公自動化的設備（設施）要指定專人使用與保管。要履行嚴格的審批手續，控制好文件、資料的制作數量。要根據保密原則，制定嚴格的違規處罰規定。抓好專業技術培訓

要通過專業技術培訓，提高工作人員對各種辦公自動化設備的操作技術與知識水平，懂得泄密途徑和防范的辦法。

改善各類設備的環境條件，防止技術性泄密。

8.計算機的保密管理措施

電子計算機已經廣泛應用于工業，企業經營的信息、數據源源不斷地被輸入電腦。因此必須要做好計算機應用中的保密工作。企業的各級主管人員應學習和掌握計算機知識

首先要知道計算機方面的基礎知識，掌握和學會對它的運用技能，才能了解到計算機信息系統的不安全因素，才能有針對性地做好保密管理。

造成計算機信息系統不安全因素的一般有以下方面：

8.1.1 計算機系統工作人員泄露計算機信息的秘密。8.1.2 直接從計算機電子文檔中竊取信息、資料。8.1.3 電磁輻射泄密。

8.1.4 冒名頂替和越權偷用，暗藏非法程序，定時破壞，篡改。8.1.5 復制和竊取磁介質中的數據、信息。8.2 嚴格信息管理

除了加強對計算機工作人員經常進行保密教育之外，在信息管理中還應有以下措施：

8.2.1 對計算機工作人員采取分工負責制的辦法，防止因一人的疏忽而影響整個系統的安全。

8.2.2 規定信息資源共享的等級和范圍，明確使用各密級信息的權限和人員。8.2.3 對存取秘密的信息，計算機網絡系統要自動登記存取情況，以便查閱。8.2.4 對含有密級信息的磁記錄介質（如磁帶、軟盤、硬盤、光盤等）要由專人負責保管。8.2.5 含有密級的打印紙要及時處理，對網絡系統中軟件清單要妥善保管，調試中的軟件清單要及時銷毀。

8.2.6 對新購買的軟件和其他機器拷貝的軟件必須進行檢查、消毒，以防計算機病毒帶入系統。

8.3 完善系統功能

8.3.1 系統應有用戶存取資格檢查和用戶身份識別功能，對非法的操作和無資格存取的用戶要及時警告和登記。

8.3.2 用戶和網絡系統的界面要清晰，采用多層控制，以防用戶非法進入系統而破壞整個系統的功能。

8.3.3 系統應有很強的數據加密軟件，對需要保存在外存儲介質上存貯介質上的秘密信息和上信道傳輸的秘密信息必須進行加密。

8.3.4 要有多種經受得住專業密碼分析人員攻擊的加密算法，對不同用戶使用不同的加密算法。

8.4 加強對計算機房的安全管理

8.4.1 對計算機房出入的要加以限制，非工作人員不得進入，出入的物品也要進行嚴格管理。

8.4.2 經監測發現有輻射的機器和部件，要采取屏蔽措施。

8.4.3 對進入機房的各類設備、儀器都要經過監測，以防在使用這些設備和儀器時，將計算機內的信息輻射或傳導出去。

第三篇：安全生產非法違法企業信息發布管理辦法

國家安全監管總局辦公廳關于印發

安全生產非法違法企業信息發布管理辦法的通知

安監總廳統計〔2014〕55號

各省、自治區、直轄市及新疆生產建設兵團安全生產監督管理局，各省級煤礦安全監察局，總局和煤礦安監局機關各司局、應急指揮中心：

《安全生產非法違法企業信息發布管理辦法》已經國家安全監管總局2014年第3次局長辦公會議審定通過，現印發給你們，請遵照執行。

國家安全監管總局辦公廳

2014年5月5日

安全生產非法違法企業信息發布管理辦法

第一條 為打擊非法違法生產經營建設行為（以下簡稱非法違法行為），規范安全生產非法違法企業信息發布工作,按照有關規定，制定本辦法。

第二條 發布國家安全監管總局和國家煤礦安監局機關各司局、應急指揮中心（以下統稱機關各司局）在各類暗查抽查、督查檢查等行動中發現的非法違法行為且情節嚴重的企業信息，以及因非法違法行為引發較大以上（含較大）事故的企業信息適用本辦法。

第三條 安全生產非法違法企業信息發布工作遵循依法規范、公平公正、及時全面、客觀真實、便于查詢的原則。

第四條 安全生產非法違法企業信息每季度發布一次。每季度第一個月20日前對上一季度安全生產非法違法企業名單及相關信息在國家安全監管總局網站和中央主流媒體發布。

第五條 機關各司局負責將在暗查抽查、專項行動、專項督查、安全生產大檢查等行動中發現的非法違法行為且情節嚴重的企業信息，以及因非法違法行為導致發生較大以上事故的企業信息，在下一季度的第一個月5 —1—

日前以統一格式（見附件）提供給統計司。

統計司負責每季度匯總、整理和審核安全生產非法違法企業信息，并擬定信息發布內容。

辦公廳負責對擬發布信息的審核，并報國家安全監管總局領導同志審定；同時將信息向國務院相關主管部門和地方安全監管監察部門通報，作為嚴格限制其新增的項目核準、用地審批、證券融資、銀行貸款等的重要參考依據。

人事司（宣教辦）負責聯系有關媒體單位對外發布和信息發布后社會輿論的采集分析。

第六條 安全生產非法違法企業信息公示期與核銷。

（一）安全生產非法違法企業信息公示期一般為1年。

（二）公示期滿前，由責任企業向省級安全監管、煤礦安監部門提出核銷申請并附相關整改材料，由省級安全監管、煤礦安監部門負責核查，并將核查結果和企業申請材料一并報統計司。

（三）統計司匯總核審后，提交國家安全監管總局局長辦公會議審議。

（四）在國家安全監管總局網站上公告信息公示解除情況，將審議通過的企業信息予以移除，并向媒體通報。

（五）被公示企業未按要求改正，或屢查屢犯的，由相關安全監管監察部門依法從重處罰，并延長公示期。

第七條 各省級及省級以下安全監管、煤礦安監部門負責建立本級的安全生產非法違法企業信息發布辦法。

第八條 本辦法自公布之日起施行。

附件：年季度安全生產非法違法企業信息表

—2—

附件

年季度安全生產非法違法企業信息表

單位（蓋章）：日期：

—3—

第四篇：企業信息安全保密制度

企業集 團 管 理 制 度

信息安全保密制度

（2016初稿）/ 9

上海企業經營管理股份有限公司

信息安全保密制度 第一章 總 則

第一條 根據國家相關規定，結合《企業知識產權管理規范》及具體情況，為保障公司整體利益和長遠利益，使公司長期、穩定、高效地發展，適應激烈的市場競爭，特制定本制度。

第二條 本規定是安全保密、知識產權及專利保護工作的依據和準則。各部室要把安全保密工作列入工作規劃，使安全工作落到實處。

第三條 公司秘密是關系公司權力和利益，依照程序只允許特定時空范圍的人員知悉的事項，包括但不限于技術專利、財務、人事和其他商業機密。技術秘密是指能為公司帶來經濟利益、具有實用性的技術信息、設計方案等，包括但不限于：技術信息、工程設計、科研專利、知識產權等等。財務秘密包括但不限于公司經營的財務、資產及相關統計數字。人事秘密主要是與公司人力資源現狀、招聘計劃、員工隱私、勞資狀況等相關的信息。包括但不限于：人事檔案、合同、協議、職員工資性收入、招聘計劃等。日常秘密主要包括不限于：日常文件文檔、資料等。商業秘密包括但不限于：客戶名單、定價政策、財務資料、進貨渠道，等等。

第四條 公司所有職員、外派人員都有保守公司秘密的義務。接觸到公司秘密的高級員工，如：管理人員、技術人員、財務人員、秘書等負有特別的保秘責任。

第五條 保密工作實行安全、便利可行、積極預防的工作方針。保密范圍和密級確定： / 9

第六條 公司秘密包括本制度第三條規定的及下列秘密事項：(一)公司重大決策中的秘密事項；

(二)公司尚未付諸實施的經營戰略、方向、規劃及決策等；(三)公司內部掌握的合同、協議、意見書及可行性報告；(四)公司財務預決算報告及各類財務報表、統計報表；(五)公司職員人事檔案，工資性、勞務性收入及資料；(六)公司科研專有技術、專利、知識產權、工程設計、等等；(七)其他經公司確定應當保密的事項。

第七條 公司秘密的密級分為“絕密”、“機密”、“秘密”三級。

絕密是最重要的公司秘密，泄露會使公司權益和利益遭受特別嚴重損害;機密是重要的公司秘密，泄露會使公司權益和利益遭受到嚴重損害;秘密是一般的公司秘密，泄露會使公司權力和利益遭受損害。

第八條 秘級的確定：

(一)公司經營發展中，直接影響公司權益和利益的重要決策文件、技術資料、技術專利等為絕密級;(二)公司的規劃、財務報表、統計資料、重要會議記錄、公司經營情況為機密級;(三)公司人事檔案、合同、協議、職員工資性收入、尚未進入市場或尚未公開的各類信息為秘密級。

第九條 秘密級別由董事會秘書辦公室依據第七條確定，并確定保密期限：分永久、長期、短期，一般與密級相對應，特殊情況外標明。保密期限屆滿，自行解密。/ 9

第十條 發現已經或者可能泄露秘密時，應立即采取補救措施并報告主管部室或公司領導；主管部室或領導接到報告，應及時處理。

第十一條 本制度規定的泄密是指下列行為之一：(一)使秘密被不應知悉者知悉的;(二)使秘密超出接觸限定范圍，而不能證明未被不應知悉者知悉的。

第二章 日常保密管理規定

第十二條 日常保密包括但不限于文印文檔、資料、人事及其他保密事項等。辦公室為日常保密工作管理部室。辦公室主要保密職責：

(一)根據法律及上級公司規定，結合公司實際制定安全保密管理規定，并監督實施；

(二)負責組織宣傳安全保密管理規定、制度，組織培訓學習公司有關保密安全條例；

(三)制定并落實人事、檔案保密管理措施；

(四)配合其他部室完成技術、財務、商業等保密的管理、監督和檢查工作；(五)嚴格機要、文印人員、招聘選拔；

(六)對安全保密突發事件應急處理，日常安全保密工作的監督；協助公司領導完成保密工作檢查、獎懲及與之相關的活動等；

(七)承辦上級領導交辦的其他保密事項。

第十三條 日常保密工作，各部室、各崗位應做到：

(一)領導干部、部室負責人、專業組長：增強保密意識、以身作則，模范遵守保密規定，落實保密責任。做到：不泄露知悉的公司秘密；不在無保密保障的/ 9

場所閱辦秘密文件、資料；不在家屬、親友、熟人和其他無關人員面前談論公司秘密事項；不攜帶秘密文件、資料參加社交活動；不在出訪、考察等外事活動中攜帶秘密文件、資料；閱辦完秘密文件及時清退、歸檔；審校、簽發文件及稿件時，要把好定密關；下級發生泄密問題后，及時上報、設法補救，不掩蓋包庇。

(二)員工應做到：不該說的秘密不說；不該問的秘密不問；不該看的秘密不看；不該記錄的秘密不記錄；不在非保密本上記錄秘密；不在公共場所和家屬、子女、親友面前談論公司秘密事項；不在不利于保密的地方存放秘密文件、資料；不攜帶秘密材料游覽、參觀、探親、訪友和出入公共場所；不在私人交往中泄露公司秘密。日常保密措施：

第十四條 健全收發文制度，各部室要有專人負責文件、設計圖紙、技術檔案等機密文件的管理和清退工作，發現秘級文件資料丟失、被竊、泄密時，須立即報告，及時追查、力挽損失。

第十五條 檔案管理按照質量管理體系文件中有關規定執行。

第十六條 有秘密內容的會議或活動，主辦部門應采取措施：

(一)選擇具備保密條件的會議場所，嚴禁使用無線話筒傳達密件或向室外擴音；

(二)根據需要，限定參會人員的范圍，指定參會人員;(三)依照規定使用會議設備和管理會議文件；

(四)規定不準記錄的會議內容，不得記錄，不攜帶錄音機進入會場錄音；不以任何形式對外泄露會議秘密內容，會議結束后，要對會議場所進行保密檢查；/ 9

嚴禁濫印、復印會議秘密文件資料，確需要復制的須經批準。

第十七條 文印崗人員應該做到：

(一)復印的秘密文件：需經批準后才能復??；嚴格控制份數，復印件要按原件一樣管理；

(二)嚴格保管承印的秘密文稿、資料及有秘密內容的磁盤、錄音筆等；對會議記錄和有關文件、資料嚴加保管，及時立卷歸檔；

(三)嚴格遵守保密紀律，打印、復印涉密文稿的內容不得傳播，不得讓無關人員閱看，不私自多印留存；

(四)打印的密件廢頁、圖紙廢頁、蠟紙應及時處理，不讓無關人員閱看；發現密件丟失或下落不明，要立即報告，并抓緊查找，采取補救措施。定期檢查、清理、清退、銷毀文件；嚴防將秘密文件、資料和文件底稿隨同舊報紙等出售。

第十八條 對于密級文件、資料設計圖紙、方案、技術標準和其他物品，須采取保密措施：

(一)非經批準，不得復制和摘抄;收發、傳遞和外出攜帶，由指定人員擔任，并采取必要的安全措施；

(二)在設備完善的保險裝置中保存；

(三)如有與質量管理體系中規定相左之處，以后者為準。第十九條 如有必要公司應與相關人員簽訂《保密合同》。

第三章 商業保密管理規定

第二十條 商業保密包括但不限于：客戶信息、采購資料、定價政策、財務資料、進貨渠道、投標信息、經營策略等。

第二十一條 市場部為商業保密的主管部門，辦公室及其他部門配合市場部/ 9

完成商業保密管理。市場部主要保密職責：

(一)制定商業保密管理有關規范、制度，并組織實施、監督；(二)組織宣傳、培訓商業管理規定；

(三)負責本部門保密管理工作，監督其他部門管理工作；(四)負責商業泄密事件的應急、調查、處理、處罰工作；

第二十二條 涉及公司商業秘密的合作、代理、交易合同或協議，依據情況設置相關“保密條款”，限制對方行為。

第二十三條 市場部有關人員不可將商業秘密透露給任何第三方或用于合同目的以外的用途，離職、辭職時，要及時交出相關資料，同時不得泄露公司經營秘密；不可在對外接受訪問或者與任何第三方交流時泄露秘密內容。

第四章 財務保密管理規定

第二十四條 財務保密工作包括但不限于資產、財務統計數字及工資及其他報表的保密。

第二十五條 財務部為財務保密的歸主管部門，市場部、辦公室及其他部門配合財務部落實財務保密工作。財務部主要保密職責：

(一)根據法律及上級單位規定，結合實際制定財務保密規范；(二)組織本部門員工學習并執行財務保密制度的有關規定；(三)負責組織宣傳保密、安全管理規定、規范，組織培訓學習公司有關保密安全規定；

(四)負責本部門保密管理工作，監督其他部門管理工作； / 9

(五)負責財務泄密事件的應急、調查、處理、處罰工作；

第五章 計算機與互聯網信息保密管理規定

第二十六條 IT部要健全各項信息保密管理制度，強化機房計算機的應用管理。凡秘密數據的傳輸和存貯均應采取相應的保密措施，錄有文件的存貯設備要妥善保管，嚴防丟失。

(一)保障公司計算機及其相關的配套設備、設施的安全，保障信息的安全，保障計算機功能的正常發揮，維護計算機信息系統的安全性。應及時發現安全隱患，及時提出解決方案，及時處理解決問題；

(二)新用戶登記時，應認真核實其身份，并詳細記錄用戶的相關信息。員工不允許將公司“用戶信息和網絡密碼”告知非本公司人員。員工離開本公司，IT部應注銷該員工的所有用戶信息；

(三)對于安全性較高的信息，需要嚴格管理。無論是紙張形式還是電子形式，均要落實到責任人。嚴禁將工作中的數據文檔帶離。

(四)企業研發的各辦公系統的數據內容要嚴格把關；IT部要將審核后的內容準確、安全、即時地上傳至托管服務器。

(五)加強計算機系統的保密安全管理。對涉密與非保密計算機予以明確區分，涉密機必須完全與局域網脫離連接，并禁止上因特網以防泄密。并采取身份認證、存儲傳輸加密、配置防視頻泄密干擾器等措施加強保密防范。

第二十七條 屬于公司秘密的信息、資料和其它物品的制作、收發、傳遞、使用、復制、摘抄、保存和銷毀，由辦公室或主管領導委托專人執行；采用電腦技術存取、處理、傳遞的公司秘密由IT部門負責保密。/ 9

第二十八條 計算機房內，禁止無關人員逗留、參觀，嚴禁會客。

第六章 罰則 和 獎則

第二十九條 公司對在安全保密工作中做出突出成績的個人和部室給予獎勵。

第三十條 對未按本《規定》進行管理或管理不善造成秘密泄漏的，除對直接責任者按規定給予相應處理外，還將追究所屬部室主要負責人的責任，并對直接責任者和所屬部室給予相應的經濟處罰。

第三十一條 對無視本《規定》，以謀取個人或小集團利益為目、蓄意泄漏秘密的，造成重大損失和嚴重后果的，將依《中華人民共和國刑法》追究法律責任。

第三十二條 保密管理人員因玩忽職守使秘密泄漏造成經濟損失，削弱競爭能力的，視情節輕重給予不同程度的行政處分和經濟處罰，明知故犯者加重處罰。對違反本《規定》，使單位秘密泄露，造成直接或間接經濟損失的，由公司保衛部及所屬管理部門負責調查核實，并提出處理意見，報公司領導批準后執行。

第七章 附 則

第三十三條 本《規定》自發布之日起執行。第三十四條 本規定的解釋權屬于本公司保衛部。/ 9

第五篇：關于企業信息安全管理制度

關于企業信息安全管理制度

安全生產是企業的頭等大事，必需堅持“安全第一，預防為主”的方針和群防群治制度，認真貫徹落實安全管理制度，切實加強安全管理，保證職工在生產過程中的安全與健康。根據國家和省有關法規、規定和文件，制定本企業信息安全管理制度。

一、計算機設備安全管理制度

計算機不同于其他辦公設備，其有用性、嚴密性、操作技術性強，含量高、部件易受損，特殊是聯網計算機，開放性程度比較高，電腦內部易受外界的愉窺、攻擊和病毒感染。為確保計算機軟、硬件及網絡的正常使用，特制定本制度。

1、公司內全部計算機歸網絡部統一管理，配備計算機的員工只負責使用操作;

2、計算機管理涉及的范圍

2.1全部硬件(包括外接設備)及網絡聯接線路:

2.2計算機及網絡故障的排除:

2.3計算機及網絡的維護與修理:

2.4操作系統的管理:

3、公司內全部計算機使用人員均為計算機操作員:

4、網絡維護部負責對公司內全部計算機進行定期檢查，一般每兩月進行一次;

5、計算機的使用部門要保持清潔、安全、良好的計算機設備工作環境，禁止在計算機應用環境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設備安全的物品。

6、非本單位技術人員對我單位的設備、系統等進行修理、維護時，必需由本單位相關技術人員現場全程監督。計算機設備送外修理，須經有關部門負責人批準。

7、嚴格遵守計算機設備使用、開機、關機等安全操作規程和正確的使用方法。任何人不允許帶電插撥計算機外部設備接口，計算機出現故障時應準時向電腦負責部門報告，不允許私自處理或找非本單位技術人員進行修理及操作。

二、操作員安全管理制度

1、計算機原那么上由專人負責操作維護，不得串用設備。下班后必需按程序關閉主機和其他設備，切斷電源。

2、為保證計算機信息安全，必需為計算機設置密碼。

3、計算機操作員除使用操作計算機外，不允許有以下行為:

3.1硬件設備出現故障擅自拆開主機機箱蓋板;

3.2更換計算機配件(如鼠標、鍵盤、耳麥):如有向網絡管理員寫設備申請單審批。

3.3刪除計算機操作系統及公司指定的軟件:

3.4使用帶病毒的計算機軟件;

3.5讓外來人員進行有損于計算機的技術性操作;

4、不得使用來路不明或未經殺毒的盤片。計算機操作員定期對計算機進行殺毒。如覺察計算機有病毒時，應準時去除，去除不了的病毒，要準時上報，5、個人的公司重要文檔、資料和數據保存時必需將資料儲存在除操作系統外的其它磁盤空間，嚴禁將重要文件存放于桌面或C盤下。

6、工作時間內嚴禁工作人員在計算機上進行與工作無關的操作，不準上網與工作無關的聊天、玩電腦游戲、看影視、聽音樂，迅雷下載等，7、電腦及網絡設備所在環境應保持清潔、衛生、通風，留意防塵、防潮、防火。

8、公司全部計算機使用者，不得破壞網管員對計算機的安全設置。包括用戶使用權限。

9、除服務器外，其他全部計算機下班后必需關機并切斷電源;

10、計算機使用者離職時必需由網絡管理員確認其計算機硬件設備完好、移動存儲設備歸還、信息系統管理帳戶密碼和資料未破壞、個人帳戶密碼去除后方可辦理離職手續。

11、如工作人員不按規定操作，造成不良后果的，將按有關規定，由操作者承擔相應責任，并追究科室負責人的有關責任。

12、操作員設置與管理

(1)網絡管理員管理操作權限必需經過公司領導授權取得;根據不同部門的要求及崗位職責而設置:

[2)網絡管理員負責故障恢復等管理及維護，必需有其上級授權:不得使用他人操作代碼進行業務操作;

三、密碼與權限安全管理制度

1、密碼設置應具有安全性、保密性，不能使用簡潔的代碼和標記。密碼是愛護系統和數據安全的把握代碼，也是愛護用戶自身權益的把握代碼。密碼分設為用戶密碼和操作密碼，用戶密碼是登陸系統時所設的密碼，操作密碼是進入各應用系統的操作員密碼。密碼設置不應是名字、生日，重復、順序、規律數字等簡潔猜測的數字和字符串;

2、密碼應定期修改，間隔時間不得超過一個月，如覺察或懷疑密碼遺失或泄漏應馬上修改，并在相應登記簿記錄用戶名、修改時間、修改人等內容。

3、服務器、路由器等重要設備的超級用戶密碼由運行機構負責人指定專人(不參與系統開發和維護的人員)設置和管理，并由密碼設置人員將密碼裝入密碼信封，在騎縫處加蓋個人名章或簽字后交給密碼管理人員存檔并登記。如遇特殊狀況需要啟用封存的密碼，必需經過相關部門負責人同意，由密碼使用人員向密碼管理人員索取，使用完畢后，須馬上更改并封存，同時在“密碼管理登記簿”中登記，4、系統維護用戶的密碼應至少由兩人共同設置、保管和使用管理制度，5、有關密碼授權工作人員調離崗位，有關部門負責人須指定專人接替并對密碼馬上修改或用戶刪除，同時在“密碼管理登記簿”中登記，四、數據安全管理制度

1、存放備份數據的介質必需具有明確的標識。備份數據必需異地存放。

2、留意計算機重要信息資料和數據存儲介質的存放、運輸安全和保密管理，保證存儲介質的物理安全，3、任何非應用性業務數據的使用及存放數據的設備或介質的調撥、轉讓、廢棄或銷毀必需嚴格根據程序進行逐級審批，以保證備份數據安全完好，4、數據恢復前，必需對原環境的數據進行備份，防止有用數據的丟失。數據恢復過程中，出現問題時由技術部門進行現場技術支持。數據恢復后，必需進行驗證、確認，確保數據恢復的完好性和可用性。

5、數據清理前必需對數據進行備份，在確認備份正確后方可進行清理操作。歷次清理前的備份數據要進行定期保存或永久保存，并確?？梢噪S時使用。數據清理的實施應避開業務高峰期，避開對聯機業務運行造成影響。

6、需要長期保存的數據，數據管理部門需與相關部門制定轉存，根據轉存和查詢使用方法要在介質有效期內進行轉存，防止存儲介質過期失效，通過有效的查詢、使用方法保證數據的完好性和可用性。

7、非本單位技術人員對本公司的設備、系統等進行修理、維護時，必需由本公司相關技術人員現場全程監督。計算機設備送外修理，須經設備管理機構負責人批準。送修前，需將設備存儲介質內應用軟件和數據等涉經營管理的信息備份后刪除，并進行登記。對修復的設備，設備修理人員應對設備進行驗收、病毒檢測。

8、管理部門應對報廢設備中存有的程序、數據資料進行備份后去除，并妥當處理廢棄無用的資料和介質，防止泄密。

9、運行維護部門需指定專人負責計算機病毒的防范工作，建立本單位的計算機病毒防治管理制度，常常進行計算機病毒檢查，覺察病毒準時去除。

10、營業用計算機未經有關部門允許不準安裝其它軟件、不準使用來歷不明的載體(包括軟盤、光盤、移動硬盤等)。

五、網絡管理

1、網絡系統屬于公司無形資產，公司有權限制上網行為，根據工作需要限制各部門的上網行為。

2、公司網絡管理員對計算機IP地址統一安排、登記、管理，嚴禁私自更改IP地址。

3、公司員工必需自覺遵守企業的有關保密法規，嚴禁利用網絡有意或無意泄漏公司的涉密文件、資料和數據。不得非法復制、轉移和破壞公司的文件、資料和數據，4、實行“絕密”文件、涉秘件與計算機網絡確定隔離，不得在計算機網絡中輸入、打印、復制“絕密”文件和有關涉秘件;

5、網絡維護部負責文字工作的計算操作人員必需遵守有關的保密制度，對保密的文件資料進行加密存放，不得上網共享。

六、附

1、本制度由網絡部負責解釋，2、本制度由總經理批準后生效，自公布之日起執行。