第一篇:企業(yè)信息安全工作報告
年信息安全報告
為認真貫徹落實信息安全防護工作,依照《印發(fā)Xx重點領(lǐng)域網(wǎng)絡(luò)與信息安全檢查工作方案和信息安全自查操縱指南的通知》,我局立即組織展開信息系統(tǒng)安全檢查工作,現(xiàn)將自查情況匯報以下。
一、信息安全組織管理
領(lǐng)導重視,機構(gòu)健全。針對信息系統(tǒng)安全檢查工作,理事會高度重視,做到了主要領(lǐng)導親身抓,并成立了專門的信息安全工作領(lǐng)導小組,組長由Xx擔負,副組長由Xx,成員由各科(室)、直屬單位負責人組成,領(lǐng)導小組下設(shè)辦公室,辦公室設(shè)在Xx。建立健全信息安全工作制度,積極主動展開信息安全自查工作,保證了殘疾人工作的良好運行,確保了信息系統(tǒng)的安全。
二、健全制度,嚴格管理
建立全面的信息安全管理體系,包括集團信息安全工作方針和策略、信息安全組織結(jié)構(gòu)及職責、信息安全事件處置與報告制度、網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)急預(yù)案管理辦法、變更管理辦法、網(wǎng)絡(luò)管理制度、系統(tǒng)管理制度、資產(chǎn)管理辦法、人員安全管理辦法等內(nèi)容。并嚴格網(wǎng)絡(luò)信息保密管理制度,實行“涉密不上網(wǎng),上網(wǎng)不涉密”堅持“誰發(fā)布,誰負責”的原則,信息系統(tǒng)安全方面實行領(lǐng)導審查簽字制度,凡互聯(lián)網(wǎng)上傳的信息,必須經(jīng)本單位主要領(lǐng)導審查批準,并按照臺里新聞領(lǐng)導三審制度,做好信息審批才能上傳。特別是針對重點崗位人員鑒證了保密安全責任書,制定了日常考核監(jiān)督制度,確保管理監(jiān)查到位。
三、技術(shù)落實
日常管理方面切實抓好網(wǎng)內(nèi)、外網(wǎng)和硬件、應(yīng)用軟件“三層管理”,落實具體負責信息安全工作人員,對涉密信息文件、材料實行專人管理,對重點部門、崗位等進行嚴格管理,確保信息安全工作。同時,重點抓好“三大安全”排查:一是硬件安全。包括傳輸、防雷、防火、監(jiān)控和電源等硬件設(shè)備都具有災(zāi)難備份,確保所有設(shè)備正常運轉(zhuǎn)。二是網(wǎng)絡(luò)安全。包括網(wǎng)絡(luò)結(jié)構(gòu)、安全日志管理、密碼管理、互聯(lián)網(wǎng)行為管理等;數(shù)據(jù)庫存儲備份、移動存儲設(shè)備管理、數(shù)據(jù)加密等安全防護措施,明確了網(wǎng)絡(luò)安全責任,強化了網(wǎng)絡(luò)安全工作。三是應(yīng)用安全。包括網(wǎng)站、軟件管理等;上傳文件提前進行病素檢測;分模塊分權(quán)限進行維護。各機房和網(wǎng)站的服務(wù)器使用專屬權(quán)限密碼鎖登陸后臺,主要管理人員負責保密管理,服務(wù)器的用戶名和開機密碼為其專有,且規(guī)定嚴禁外泄。同時,涉密計算機相互共享之間設(shè)有嚴格的身份認證和訪問控制。
2、技術(shù)防護
按照等級保護、密碼防護等標準規(guī)范要求,各信息系統(tǒng)安裝了硬件防火墻,同時配置安裝了瑞星專業(yè)殺毒軟件,涉密計算機經(jīng)過保密技術(shù)檢查,加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性。并要求安全信息管理員積極與網(wǎng)絡(luò)安全保障經(jīng)驗豐富的人員取得聯(lián)系,定期對網(wǎng)站安全保障工作進行檢查指導,在突發(fā)信息安全事件時給予技術(shù)支持。
3、應(yīng)急處置與災(zāi)備
我局信息系統(tǒng)系統(tǒng),在突發(fā)事件時候,安全信息人員馬上切換應(yīng)急備份系統(tǒng),并上報主管領(lǐng)導,啟動安全應(yīng)急預(yù)案及時處置,保證信息系統(tǒng)萬無一失。同時,為了技術(shù)安全與服務(wù)提供商簽訂硬件、軟件維護事宜,商定給予應(yīng)急技術(shù)最大程度的支持。
四、存在的主要問題和面臨的威脅分析
1、發(fā)現(xiàn)的主要問題和薄弱環(huán)節(jié)
(1)專業(yè)技術(shù)人員較少,信息系統(tǒng)安全方面可投入的力量有限;(2)規(guī)章制度體系初步建立,但還不完善,未能覆蓋相關(guān)信息系統(tǒng)安全的所有方面。
2、面臨的安全威脅與風險
(1)拒絕服務(wù)攻擊:供給者通過某種方法使系統(tǒng)響應(yīng)減慢甚至癱瘓,組織合法用戶獲得服務(wù)。
(2)非授權(quán)訪問:沒有預(yù)先經(jīng)過同意,就使用網(wǎng)絡(luò)或計算機資源。(3)傳播病毒:通過網(wǎng)絡(luò)傳播計算機病毒,其破壞性非常高,而且用戶很難防范。
3、整體安全狀況的基本判斷
我局對信息安全工作嚴格按照有關(guān)要求,對涉及到的信息進行安全檢查,嚴格落實有關(guān)網(wǎng)絡(luò)信息安全保密方面的各項規(guī)定,采取了多種措施防范安全保密有關(guān)事件的發(fā)生,總體上看,我局網(wǎng)絡(luò)信息安全保密工作做得比較扎實,效果也比較好,近年來未發(fā)現(xiàn)失泄密問題。
五、改進措施與整改效果
我局針對存在的問題采取一些改進措施:一是繼續(xù)加強對工作人員的安全意識教育和技術(shù)培訓;二是切實增強信息安全制度的落實工作,不定期的對安全制度執(zhí)行情況進行檢查,對于導致不良后果的責任人,要嚴肅追究責任;三是以制度為根本,在進一步完善信息安全制度的同時,安排專人,完善設(shè)施,密切監(jiān)測,隨時隨地解決可能發(fā)生的信息系統(tǒng)安全事故;四是提高安全工作的現(xiàn)代化水平,便于我們進一步加強對計算機信息系統(tǒng)安全的防范和保密工作。同時密切聯(lián)系網(wǎng)絡(luò)安全技術(shù)專業(yè)人員,加強機房和網(wǎng)站安全措施建設(shè)力度;五是加強對信息系統(tǒng)的監(jiān)督管理,嚴格信息發(fā)布制度,加大對信息內(nèi)容,信息權(quán)威性、一致性和時效性及網(wǎng)上信息辦理情況的監(jiān)管力度。
六、對信息安全工作開展的意見和建議
1、希望上級有關(guān)部門加強信息網(wǎng)絡(luò)安全技術(shù)人員培訓和演練,使安全技術(shù)人員及時更新信息網(wǎng)絡(luò)安全管理知識,提高相關(guān)管理及法律法規(guī)等的認識,不斷地加強信息網(wǎng)絡(luò)安全管理和技術(shù)防范水平。
2、加大信息安全網(wǎng)絡(luò)安全防護設(shè)備的投入。
年 月 日
第二篇:企業(yè)信息安全保密制度
企業(yè)集 團 管 理 制 度
信息安全保密制度
(2016初稿)/ 9
上海企業(yè)經(jīng)營管理股份有限公司
信息安全保密制度 第一章 總 則
第一條 根據(jù)國家相關(guān)規(guī)定,結(jié)合《企業(yè)知識產(chǎn)權(quán)管理規(guī)范》及具體情況,為保障公司整體利益和長遠利益,使公司長期、穩(wěn)定、高效地發(fā)展,適應(yīng)激烈的市場競爭,特制定本制度。
第二條 本規(guī)定是安全保密、知識產(chǎn)權(quán)及專利保護工作的依據(jù)和準則。各部室要把安全保密工作列入工作規(guī)劃,使安全工作落到實處。
第三條 公司秘密是關(guān)系公司權(quán)力和利益,依照程序只允許特定時空范圍的人員知悉的事項,包括但不限于技術(shù)專利、財務(wù)、人事和其他商業(yè)機密。技術(shù)秘密是指能為公司帶來經(jīng)濟利益、具有實用性的技術(shù)信息、設(shè)計方案等,包括但不限于:技術(shù)信息、工程設(shè)計、科研專利、知識產(chǎn)權(quán)等等。財務(wù)秘密包括但不限于公司經(jīng)營的財務(wù)、資產(chǎn)及相關(guān)統(tǒng)計數(shù)字。人事秘密主要是與公司人力資源現(xiàn)狀、招聘計劃、員工隱私、勞資狀況等相關(guān)的信息。包括但不限于:人事檔案、合同、協(xié)議、職員工資性收入、招聘計劃等。日常秘密主要包括不限于:日常文件文檔、資料等。商業(yè)秘密包括但不限于:客戶名單、定價政策、財務(wù)資料、進貨渠道,等等。
第四條 公司所有職員、外派人員都有保守公司秘密的義務(wù)。接觸到公司秘密的高級員工,如:管理人員、技術(shù)人員、財務(wù)人員、秘書等負有特別的保秘責任。
第五條 保密工作實行安全、便利可行、積極預(yù)防的工作方針。保密范圍和密級確定: / 9
第六條 公司秘密包括本制度第三條規(guī)定的及下列秘密事項:(一)公司重大決策中的秘密事項;
(二)公司尚未付諸實施的經(jīng)營戰(zhàn)略、方向、規(guī)劃及決策等;(三)公司內(nèi)部掌握的合同、協(xié)議、意見書及可行性報告;(四)公司財務(wù)預(yù)決算報告及各類財務(wù)報表、統(tǒng)計報表;(五)公司職員人事檔案,工資性、勞務(wù)性收入及資料;(六)公司科研專有技術(shù)、專利、知識產(chǎn)權(quán)、工程設(shè)計、等等;(七)其他經(jīng)公司確定應(yīng)當保密的事項。
第七條 公司秘密的密級分為“絕密”、“機密”、“秘密”三級。
絕密是最重要的公司秘密,泄露會使公司權(quán)益和利益遭受特別嚴重損害;機密是重要的公司秘密,泄露會使公司權(quán)益和利益遭受到嚴重損害;秘密是一般的公司秘密,泄露會使公司權(quán)力和利益遭受損害。
第八條 秘級的確定:
(一)公司經(jīng)營發(fā)展中,直接影響公司權(quán)益和利益的重要決策文件、技術(shù)資料、技術(shù)專利等為絕密級;(二)公司的規(guī)劃、財務(wù)報表、統(tǒng)計資料、重要會議記錄、公司經(jīng)營情況為機密級;(三)公司人事檔案、合同、協(xié)議、職員工資性收入、尚未進入市場或尚未公開的各類信息為秘密級。
第九條 秘密級別由董事會秘書辦公室依據(jù)第七條確定,并確定保密期限:分永久、長期、短期,一般與密級相對應(yīng),特殊情況外標明。保密期限屆滿,自行解密。/ 9
第十條 發(fā)現(xiàn)已經(jīng)或者可能泄露秘密時,應(yīng)立即采取補救措施并報告主管部室或公司領(lǐng)導;主管部室或領(lǐng)導接到報告,應(yīng)及時處理。
第十一條 本制度規(guī)定的泄密是指下列行為之一:(一)使秘密被不應(yīng)知悉者知悉的;(二)使秘密超出接觸限定范圍,而不能證明未被不應(yīng)知悉者知悉的。
第二章 日常保密管理規(guī)定
第十二條 日常保密包括但不限于文印文檔、資料、人事及其他保密事項等。辦公室為日常保密工作管理部室。辦公室主要保密職責:
(一)根據(jù)法律及上級公司規(guī)定,結(jié)合公司實際制定安全保密管理規(guī)定,并監(jiān)督實施;
(二)負責組織宣傳安全保密管理規(guī)定、制度,組織培訓學習公司有關(guān)保密安全條例;
(三)制定并落實人事、檔案保密管理措施;
(四)配合其他部室完成技術(shù)、財務(wù)、商業(yè)等保密的管理、監(jiān)督和檢查工作;(五)嚴格機要、文印人員、招聘選拔;
(六)對安全保密突發(fā)事件應(yīng)急處理,日常安全保密工作的監(jiān)督;協(xié)助公司領(lǐng)導完成保密工作檢查、獎懲及與之相關(guān)的活動等;
(七)承辦上級領(lǐng)導交辦的其他保密事項。
第十三條 日常保密工作,各部室、各崗位應(yīng)做到:
(一)領(lǐng)導干部、部室負責人、專業(yè)組長:增強保密意識、以身作則,模范遵守保密規(guī)定,落實保密責任。做到:不泄露知悉的公司秘密;不在無保密保障的/ 9
場所閱辦秘密文件、資料;不在家屬、親友、熟人和其他無關(guān)人員面前談?wù)摴久孛苁马棧徊粩y帶秘密文件、資料參加社交活動;不在出訪、考察等外事活動中攜帶秘密文件、資料;閱辦完秘密文件及時清退、歸檔;審校、簽發(fā)文件及稿件時,要把好定密關(guān);下級發(fā)生泄密問題后,及時上報、設(shè)法補救,不掩蓋包庇。
(二)員工應(yīng)做到:不該說的秘密不說;不該問的秘密不問;不該看的秘密不看;不該記錄的秘密不記錄;不在非保密本上記錄秘密;不在公共場所和家屬、子女、親友面前談?wù)摴久孛苁马棧徊辉诓焕诒C艿牡胤酱娣琶孛芪募①Y料;不攜帶秘密材料游覽、參觀、探親、訪友和出入公共場所;不在私人交往中泄露公司秘密。日常保密措施:
第十四條 健全收發(fā)文制度,各部室要有專人負責文件、設(shè)計圖紙、技術(shù)檔案等機密文件的管理和清退工作,發(fā)現(xiàn)秘級文件資料丟失、被竊、泄密時,須立即報告,及時追查、力挽損失。
第十五條 檔案管理按照質(zhì)量管理體系文件中有關(guān)規(guī)定執(zhí)行。
第十六條 有秘密內(nèi)容的會議或活動,主辦部門應(yīng)采取措施:
(一)選擇具備保密條件的會議場所,嚴禁使用無線話筒傳達密件或向室外擴音;
(二)根據(jù)需要,限定參會人員的范圍,指定參會人員;(三)依照規(guī)定使用會議設(shè)備和管理會議文件;
(四)規(guī)定不準記錄的會議內(nèi)容,不得記錄,不攜帶錄音機進入會場錄音;不以任何形式對外泄露會議秘密內(nèi)容,會議結(jié)束后,要對會議場所進行保密檢查;/ 9
嚴禁濫印、復印會議秘密文件資料,確需要復制的須經(jīng)批準。
第十七條 文印崗人員應(yīng)該做到:
(一)復印的秘密文件:需經(jīng)批準后才能復印;嚴格控制份數(shù),復印件要按原件一樣管理;
(二)嚴格保管承印的秘密文稿、資料及有秘密內(nèi)容的磁盤、錄音筆等;對會議記錄和有關(guān)文件、資料嚴加保管,及時立卷歸檔;
(三)嚴格遵守保密紀律,打印、復印涉密文稿的內(nèi)容不得傳播,不得讓無關(guān)人員閱看,不私自多印留存;
(四)打印的密件廢頁、圖紙廢頁、蠟紙應(yīng)及時處理,不讓無關(guān)人員閱看;發(fā)現(xiàn)密件丟失或下落不明,要立即報告,并抓緊查找,采取補救措施。定期檢查、清理、清退、銷毀文件;嚴防將秘密文件、資料和文件底稿隨同舊報紙等出售。
第十八條 對于密級文件、資料設(shè)計圖紙、方案、技術(shù)標準和其他物品,須采取保密措施:
(一)非經(jīng)批準,不得復制和摘抄;收發(fā)、傳遞和外出攜帶,由指定人員擔任,并采取必要的安全措施;
(二)在設(shè)備完善的保險裝置中保存;
(三)如有與質(zhì)量管理體系中規(guī)定相左之處,以后者為準。第十九條 如有必要公司應(yīng)與相關(guān)人員簽訂《保密合同》。
第三章 商業(yè)保密管理規(guī)定
第二十條 商業(yè)保密包括但不限于:客戶信息、采購資料、定價政策、財務(wù)資料、進貨渠道、投標信息、經(jīng)營策略等。
第二十一條 市場部為商業(yè)保密的主管部門,辦公室及其他部門配合市場部/ 9
完成商業(yè)保密管理。市場部主要保密職責:
(一)制定商業(yè)保密管理有關(guān)規(guī)范、制度,并組織實施、監(jiān)督;(二)組織宣傳、培訓商業(yè)管理規(guī)定;
(三)負責本部門保密管理工作,監(jiān)督其他部門管理工作;(四)負責商業(yè)泄密事件的應(yīng)急、調(diào)查、處理、處罰工作;
第二十二條 涉及公司商業(yè)秘密的合作、代理、交易合同或協(xié)議,依據(jù)情況設(shè)置相關(guān)“保密條款”,限制對方行為。
第二十三條 市場部有關(guān)人員不可將商業(yè)秘密透露給任何第三方或用于合同目的以外的用途,離職、辭職時,要及時交出相關(guān)資料,同時不得泄露公司經(jīng)營秘密;不可在對外接受訪問或者與任何第三方交流時泄露秘密內(nèi)容。
第四章 財務(wù)保密管理規(guī)定
第二十四條 財務(wù)保密工作包括但不限于資產(chǎn)、財務(wù)統(tǒng)計數(shù)字及工資及其他報表的保密。
第二十五條 財務(wù)部為財務(wù)保密的歸主管部門,市場部、辦公室及其他部門配合財務(wù)部落實財務(wù)保密工作。財務(wù)部主要保密職責:
(一)根據(jù)法律及上級單位規(guī)定,結(jié)合實際制定財務(wù)保密規(guī)范;(二)組織本部門員工學習并執(zhí)行財務(wù)保密制度的有關(guān)規(guī)定;(三)負責組織宣傳保密、安全管理規(guī)定、規(guī)范,組織培訓學習公司有關(guān)保密安全規(guī)定;
(四)負責本部門保密管理工作,監(jiān)督其他部門管理工作; / 9
(五)負責財務(wù)泄密事件的應(yīng)急、調(diào)查、處理、處罰工作;
第五章 計算機與互聯(lián)網(wǎng)信息保密管理規(guī)定
第二十六條 IT部要健全各項信息保密管理制度,強化機房計算機的應(yīng)用管理。凡秘密數(shù)據(jù)的傳輸和存貯均應(yīng)采取相應(yīng)的保密措施,錄有文件的存貯設(shè)備要妥善保管,嚴防丟失。
(一)保障公司計算機及其相關(guān)的配套設(shè)備、設(shè)施的安全,保障信息的安全,保障計算機功能的正常發(fā)揮,維護計算機信息系統(tǒng)的安全性。應(yīng)及時發(fā)現(xiàn)安全隱患,及時提出解決方案,及時處理解決問題;
(二)新用戶登記時,應(yīng)認真核實其身份,并詳細記錄用戶的相關(guān)信息。員工不允許將公司“用戶信息和網(wǎng)絡(luò)密碼”告知非本公司人員。員工離開本公司,IT部應(yīng)注銷該員工的所有用戶信息;
(三)對于安全性較高的信息,需要嚴格管理。無論是紙張形式還是電子形式,均要落實到責任人。嚴禁將工作中的數(shù)據(jù)文檔帶離。
(四)企業(yè)研發(fā)的各辦公系統(tǒng)的數(shù)據(jù)內(nèi)容要嚴格把關(guān);IT部要將審核后的內(nèi)容準確、安全、即時地上傳至托管服務(wù)器。
(五)加強計算機系統(tǒng)的保密安全管理。對涉密與非保密計算機予以明確區(qū)分,涉密機必須完全與局域網(wǎng)脫離連接,并禁止上因特網(wǎng)以防泄密。并采取身份認證、存儲傳輸加密、配置防視頻泄密干擾器等措施加強保密防范。
第二十七條 屬于公司秘密的信息、資料和其它物品的制作、收發(fā)、傳遞、使用、復制、摘抄、保存和銷毀,由辦公室或主管領(lǐng)導委托專人執(zhí)行;采用電腦技術(shù)存取、處理、傳遞的公司秘密由IT部門負責保密。/ 9
第二十八條 計算機房內(nèi),禁止無關(guān)人員逗留、參觀,嚴禁會客。
第六章 罰則 和 獎則
第二十九條 公司對在安全保密工作中做出突出成績的個人和部室給予獎勵。
第三十條 對未按本《規(guī)定》進行管理或管理不善造成秘密泄漏的,除對直接責任者按規(guī)定給予相應(yīng)處理外,還將追究所屬部室主要負責人的責任,并對直接責任者和所屬部室給予相應(yīng)的經(jīng)濟處罰。
第三十一條 對無視本《規(guī)定》,以謀取個人或小集團利益為目、蓄意泄漏秘密的,造成重大損失和嚴重后果的,將依《中華人民共和國刑法》追究法律責任。
第三十二條 保密管理人員因玩忽職守使秘密泄漏造成經(jīng)濟損失,削弱競爭能力的,視情節(jié)輕重給予不同程度的行政處分和經(jīng)濟處罰,明知故犯者加重處罰。對違反本《規(guī)定》,使單位秘密泄露,造成直接或間接經(jīng)濟損失的,由公司保衛(wèi)部及所屬管理部門負責調(diào)查核實,并提出處理意見,報公司領(lǐng)導批準后執(zhí)行。
第七章 附 則
第三十三條 本《規(guī)定》自發(fā)布之日起執(zhí)行。第三十四條 本規(guī)定的解釋權(quán)屬于本公司保衛(wèi)部。/ 9
第三篇:企業(yè)信息安全管理辦法
信息安全管理辦法
第一章 總則
第一條
為加強公司信息安全管理,推進信息安全體系建設(shè),保障信息系統(tǒng)安全穩(wěn)定運行,根據(jù)國家有關(guān)法律、法規(guī)和《公司信息化工作管理規(guī)定》,制定本辦法。
第二條
本辦法所指的信息安全管理,是指計算機網(wǎng)絡(luò)及信息系統(tǒng)(以下簡稱信息系統(tǒng))的硬件、軟件、數(shù)據(jù)及環(huán)境受到有效保護,信息系統(tǒng)的連續(xù)、穩(wěn)定、安全運行得到可靠保障。
第三條
公司信息安全管理堅持“誰主管誰負責、誰運行誰負責”的基本原則,各信息系統(tǒng)的主管部門、運營和使用單位各自履行相關(guān)的信息系統(tǒng)安全建設(shè)和管理的義務(wù)與責任。
第四條
信息安全管理,包括管理組織與職責、信息安全目標與工作原則、信息安全工作基本要求、信息安全監(jiān)控、信息安全風險評估、信息安全培訓、信息安全檢查與考核。
第五條
本辦法適用于公司總部、各企事業(yè)單位及其全體員工。
第二章 信息安全管理組織與職責
第六條
公司信息化工作領(lǐng)導小組是信息安全工作的最高決策機構(gòu),負責信息安全政策、制度和體系建設(shè)規(guī)劃的審批,部署并協(xié)調(diào)信息安全體系建設(shè),領(lǐng)導信息系統(tǒng)等級保護工作。
第七條
公司建立和健全由總部、企事業(yè)單位以及信息技術(shù)支持單位三方面組成,協(xié)調(diào)一致、密切配合的信息安全組織和責任體系。各級信息安全組織均要明確主管領(lǐng)導,確定相關(guān)責任,設(shè)置相應(yīng)崗位,配備必要人員。
第八條
信息管理部是公司信息安全的歸口管理部門,負責落實信息化工作領(lǐng)導小組的決策,實施公司信息安全建設(shè)與管理,確保重要信息系統(tǒng)的有效保護和安全運行。具體職責包括:組織制定和實施公司信息安全政策標準、管理制度和體系建設(shè)規(guī)劃,組織實施信息安全項目和培訓,組織信息安全工作的監(jiān)督和檢查。
第九條
公司保密部門負責信息安全工作中有關(guān)保密工作的監(jiān)督、檢查和指導。
第十條
企事業(yè)單位信息部門負責本單位信息安全的管理,具體職責包括:在本單位宣傳和貫徹執(zhí)行信息安全政
策與標準,確保本單位信息系統(tǒng)的安全運行,實施本單位信息安全項目和培訓,追蹤和查處本單位信息安全違規(guī)行為,組織本單位信息安全工作檢查,完成公司部署的信息安全工作。
第十一條
技術(shù)支持單位在信息管理部的領(lǐng)導下,承擔所負責的信息系統(tǒng)和所在區(qū)域的信息安全管理任務(wù),主要包括:在所維護系統(tǒng)和本區(qū)域內(nèi)宣傳和貫徹信息安全政策與標準,確保所負責信息系統(tǒng)的安全運行。
第十二條
各級信息管理部門設(shè)立信息安全管理和技術(shù)崗位,包括信息安全、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡(luò)負責人和管理員,重要崗位可設(shè)置兩個員工互為備份。
第十三條
信息安全崗位的設(shè)立應(yīng)遵循職責分離的要求,包括:制度監(jiān)督者與執(zhí)行者分離,信息系統(tǒng)授權(quán)者與操作者分離,應(yīng)用系統(tǒng)管理員與數(shù)據(jù)庫管理員分離,程序開發(fā)人員不應(yīng)具備對生產(chǎn)環(huán)境的訪問權(quán)限。
第十四條
公司員工必須嚴格遵守公司信息安全政策、管理制度、技術(shù)標準和信息系統(tǒng)控制要求,承擔相關(guān)安全義務(wù)和責任,并及時報告信息安全事件。
第三章 信息安全目標與工作原則
第十五條
信息安全工作的總體目標是:實施信息系統(tǒng)安全等級保護,建立和健全先進實用、完整可靠的信息安全體系,保證系統(tǒng)和信息的完整性、真實性、可用性、保密性和可控性,保障信息化建設(shè)和應(yīng)用,支撐公司業(yè)務(wù)持續(xù)、穩(wěn)定、健康發(fā)展。
第十六條
信息安全體系建設(shè)必須堅持以下原則: 堅持統(tǒng)一。信息安全體系必須統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一設(shè)計、統(tǒng)一投資、統(tǒng)一建設(shè)、統(tǒng)一管理。
保障應(yīng)用。保障網(wǎng)絡(luò)和信息系統(tǒng),特別是全局網(wǎng)絡(luò)和重要業(yè)務(wù)信息系統(tǒng)不間斷穩(wěn)定運行及其信息的安全,實現(xiàn)以應(yīng)用促安全,以安全保應(yīng)用。
符合法規(guī)。信息安全體系要滿足法律法規(guī)要求,包括國家對信息系統(tǒng)等級保護、企業(yè)內(nèi)部控制要求,積極采用法律法規(guī)允許的、成熟的先進技術(shù)和專業(yè)安全服務(wù)。
綜合防范。管理與技術(shù)并重,相互補充。從組織與流程、制度與人員、場地與環(huán)境、網(wǎng)絡(luò)與系統(tǒng)、數(shù)據(jù)與應(yīng)用等多方面著手,在系統(tǒng)設(shè)計、建設(shè)和運維的多環(huán)節(jié)進行綜合防范。
集中共享。建立集中、統(tǒng)一的信息安全技術(shù)服務(wù)平臺和
集中專業(yè)化的信息安全隊伍。
第四章 信息安全工作基本要求
第十七條
根據(jù)公司信息安全專項規(guī)劃和總體方案,分層次建立以安全組織體系為核心、安全管理體系為保障、安全技術(shù)體系為支撐的全面信息安全體系,并保持三個體系穩(wěn)定、均衡發(fā)展。
第十八條
建立全面的信息安全管理體系:
制定并實施統(tǒng)一的信息安全策略、管理制度和技術(shù)標準。
實行信息系統(tǒng)資產(chǎn)管理責任制,保護信息系統(tǒng),特別是核心信息系統(tǒng)的設(shè)備、軟件、數(shù)據(jù)和技術(shù)文檔的安全。
建立信息系統(tǒng)物理環(huán)境、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)等各層面的安全管理流程,實現(xiàn)對信息系統(tǒng)全生命周期的安全管理。
實現(xiàn)對信息系統(tǒng)的安全風險管理,及時發(fā)現(xiàn)和防范安全隱患。
第十九條
建立有效的信息安全技術(shù)體系:
強化網(wǎng)絡(luò)、桌面和應(yīng)用系統(tǒng)安全防護體系,按照自主定級、自主保護的原則,評估確定各信息系統(tǒng)保護等級并實施
相應(yīng)的保護措施。
建立統(tǒng)一的網(wǎng)絡(luò)安全信任體系,加強網(wǎng)絡(luò)實體身份管理與認證,為網(wǎng)絡(luò)和信息系統(tǒng)安全運行提供信任基礎(chǔ)。
建立完善有效的安全監(jiān)控和預(yù)警體系,監(jiān)控重要網(wǎng)絡(luò)和核心業(yè)務(wù)系統(tǒng),及時發(fā)現(xiàn)安全隱患。
建立全面有效的應(yīng)急響應(yīng)體系,制定并落實完整、規(guī)范的應(yīng)急處理和響應(yīng)流程,完善信息安全報告、處理機制。
建立包括同城和異地容災(zāi)備份中心的信息系統(tǒng)災(zāi)難恢復體系,定期進行災(zāi)難恢復的測試和演練,確保災(zāi)難發(fā)生后能夠充分發(fā)揮備份的效能,降低造成的影響和損失。
第五章 信息安全監(jiān)控
第二十條
信息安全監(jiān)控的目的是對威脅系統(tǒng)、數(shù)據(jù)庫及網(wǎng)絡(luò)安全的因素進行有效控制,防止由于技術(shù)或人為因素導致的異常和損失,同時為其他安全措施的設(shè)計和實施提供可靠依據(jù)。安全監(jiān)控的結(jié)果要保存一年以上。
第二十一條
信息系統(tǒng)的運行和維護單位,在國家法律和公司有關(guān)規(guī)定許可的范圍內(nèi),具體進行規(guī)范、合理、有效的信息安全監(jiān)控。使用公司網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的用戶有義務(wù)接受
必要的監(jiān)控。監(jiān)控不能影響、泄漏不涉及安全問題的網(wǎng)上行為和個人隱私的內(nèi)容。
第二十二條
各級信息部門負責制定和實施信息安全監(jiān)控計劃,包括日常監(jiān)控、應(yīng)急處理和定期匯報。
第二十三條
日常監(jiān)控分為實時監(jiān)控和定期檢查,包括應(yīng)用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡(luò)、物理環(huán)境以及外部人員對信息系統(tǒng)訪問的實時監(jiān)控與定期檢查。監(jiān)控及檢查結(jié)果要存檔備查,異常情況須及時向有關(guān)負責人匯報。
第二十四條
各級信息部門應(yīng)對網(wǎng)絡(luò)及重要信息系統(tǒng)制定詳細的應(yīng)急處理預(yù)案。應(yīng)急處理按照預(yù)案進行,并至少每年組織一次相關(guān)崗位人員進行應(yīng)急預(yù)案演練。
第二十五條
各級信息部門編制、上報信息安全月報和年報,及時向主管領(lǐng)導和上級部門匯報重大信息安全風險和事件。
第六章 信息安全風險評估
第二十六條
信息管理部負責組織建立風險評估規(guī)范及實施團隊,定期或在重大、特殊事件發(fā)生時進行風險評估。
第二十七條
風險評估包括范圍確定、風險識別、風險分析和控制措施,確保信息安全,滿足應(yīng)用和業(yè)務(wù)需要。
評估范圍可包括管理組織、流程、政策與標準、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡(luò)、物理環(huán)境,應(yīng)涵蓋公司內(nèi)部關(guān)鍵控制點。
風險識別包括識別風險類型和風險事件,形成風險列表,更新信息風險數(shù)據(jù)庫。
風險分析包括信息資產(chǎn)分類、風險發(fā)生概率和影響程度分析,并確定風險等級,形成風險評估報告。
控制措施包括安全管理策略和風險控制措施,形成風險控制報告。
第二十八條
信息管理部將風險評估和控制報告上報信息主管領(lǐng)導審批。根據(jù)領(lǐng)導審批意見,落實控制措施。
第七章 信息安全培訓
第二十九條
信息管理部負責制定公司信息安全培訓計劃,組織、實施信息安全管理和技術(shù)培訓。各級信息部門負責相應(yīng)層級的信息安全培訓,培訓計劃報信息管理部備案。
第三十條
信息管理部及各企事業(yè)單位信息部門對應(yīng)用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)和網(wǎng)絡(luò)管理員、開發(fā)人員進行信息安全技術(shù)培訓,提高信息安全管理和維護水平。
第三十一條
信息管理部及各企事業(yè)單位信息部門分層次、分類型對員工進行信息安全培訓,包括針對業(yè)務(wù)和技術(shù)管理人員進行管理層面的信息安全管理培訓,針對從事日常業(yè)務(wù)處理人員進行操作層面基本安全知識培訓。
第三十二條
員工上崗前,應(yīng)進行崗位信息安全培訓,并簽署信息安全保密協(xié)議。在崗位發(fā)生變動時,及時調(diào)整信息系統(tǒng)操作權(quán)限。
第三十三條
信息安全政策與標準發(fā)生重大調(diào)整、新建和升級的信息系統(tǒng)投入使用前,開展必要的安全培訓,明確相關(guān)調(diào)整和變更所帶來的信息安全權(quán)限和責任的變化。
第八章 信息安全檢查與考核
第三十四條
信息管理部定期進行信息安全檢查與考核,包括信息安全政策與標準的培訓與執(zhí)行情況、重大信息安全事件及整改措施落實情況、現(xiàn)有信息安全措施的有效性、信息安全技術(shù)指標完成情況。
第三十五條
各企事業(yè)單位信息部門按照本辦法和《公司信息系統(tǒng)運行維護管理辦法》進行信息安全自我考核,信息管理部進行綜合評價,形成考核報告,報信息主管領(lǐng)導。
第三十六條
對于不執(zhí)行本辦法造成嚴重后果的,應(yīng)追究相關(guān)部門和個人責任。
第九章 附則
第三十七條
各企事業(yè)單位可參照本管理辦法制定相應(yīng)的實施細則。
第三十八條 第三十九條
本辦法由公司信息管理部負責解釋。本辦法自印發(fā)之日起施行。
第四篇:關(guān)于企業(yè)信息安全管理制度
關(guān)于企業(yè)信息安全管理制度
安全生產(chǎn)是企業(yè)的頭等大事,必需堅持“安全第一,預(yù)防為主”的方針和群防群治制度,認真貫徹落實安全管理制度,切實加強安全管理,保證職工在生產(chǎn)過程中的安全與健康。根據(jù)國家和省有關(guān)法規(guī)、規(guī)定和文件,制定本企業(yè)信息安全管理制度。
一、計算機設(shè)備安全管理制度
計算機不同于其他辦公設(shè)備,其有用性、嚴密性、操作技術(shù)性強,含量高、部件易受損,特殊是聯(lián)網(wǎng)計算機,開放性程度比較高,電腦內(nèi)部易受外界的愉窺、攻擊和病毒感染。為確保計算機軟、硬件及網(wǎng)絡(luò)的正常使用,特制定本制度。
1、公司內(nèi)全部計算機歸網(wǎng)絡(luò)部統(tǒng)一管理,配備計算機的員工只負責使用操作;
2、計算機管理涉及的范圍
2.1全部硬件(包括外接設(shè)備)及網(wǎng)絡(luò)聯(lián)接線路:
2.2計算機及網(wǎng)絡(luò)故障的排除:
2.3計算機及網(wǎng)絡(luò)的維護與修理:
2.4操作系統(tǒng)的管理:
3、公司內(nèi)全部計算機使用人員均為計算機操作員:
4、網(wǎng)絡(luò)維護部負責對公司內(nèi)全部計算機進行定期檢查,一般每兩月進行一次;
5、計算機的使用部門要保持清潔、安全、良好的計算機設(shè)備工作環(huán)境,禁止在計算機應(yīng)用環(huán)境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設(shè)備安全的物品。
6、非本單位技術(shù)人員對我單位的設(shè)備、系統(tǒng)等進行修理、維護時,必需由本單位相關(guān)技術(shù)人員現(xiàn)場全程監(jiān)督。計算機設(shè)備送外修理,須經(jīng)有關(guān)部門負責人批準。
7、嚴格遵守計算機設(shè)備使用、開機、關(guān)機等安全操作規(guī)程和正確的使用方法。任何人不允許帶電插撥計算機外部設(shè)備接口,計算機出現(xiàn)故障時應(yīng)準時向電腦負責部門報告,不允許私自處理或找非本單位技術(shù)人員進行修理及操作。
二、操作員安全管理制度
1、計算機原那么上由專人負責操作維護,不得串用設(shè)備。下班后必需按程序關(guān)閉主機和其他設(shè)備,切斷電源。
2、為保證計算機信息安全,必需為計算機設(shè)置密碼。
3、計算機操作員除使用操作計算機外,不允許有以下行為:
3.1硬件設(shè)備出現(xiàn)故障擅自拆開主機機箱蓋板;
3.2更換計算機配件(如鼠標、鍵盤、耳麥):如有向網(wǎng)絡(luò)管理員寫設(shè)備申請單審批。
3.3刪除計算機操作系統(tǒng)及公司指定的軟件:
3.4使用帶病毒的計算機軟件;
3.5讓外來人員進行有損于計算機的技術(shù)性操作;
4、不得使用來路不明或未經(jīng)殺毒的盤片。計算機操作員定期對計算機進行殺毒。如覺察計算機有病毒時,應(yīng)準時去除,去除不了的病毒,要準時上報,5、個人的公司重要文檔、資料和數(shù)據(jù)保存時必需將資料儲存在除操作系統(tǒng)外的其它磁盤空間,嚴禁將重要文件存放于桌面或C盤下。
6、工作時間內(nèi)嚴禁工作人員在計算機上進行與工作無關(guān)的操作,不準上網(wǎng)與工作無關(guān)的聊天、玩電腦游戲、看影視、聽音樂,迅雷下載等,7、電腦及網(wǎng)絡(luò)設(shè)備所在環(huán)境應(yīng)保持清潔、衛(wèi)生、通風,留意防塵、防潮、防火。
8、公司全部計算機使用者,不得破壞網(wǎng)管員對計算機的安全設(shè)置。包括用戶使用權(quán)限。
9、除服務(wù)器外,其他全部計算機下班后必需關(guān)機并切斷電源;
10、計算機使用者離職時必需由網(wǎng)絡(luò)管理員確認其計算機硬件設(shè)備完好、移動存儲設(shè)備歸還、信息系統(tǒng)管理帳戶密碼和資料未破壞、個人帳戶密碼去除后方可辦理離職手續(xù)。
11、如工作人員不按規(guī)定操作,造成不良后果的,將按有關(guān)規(guī)定,由操作者承擔相應(yīng)責任,并追究科室負責人的有關(guān)責任。
12、操作員設(shè)置與管理
(1)網(wǎng)絡(luò)管理員管理操作權(quán)限必需經(jīng)過公司領(lǐng)導授權(quán)取得;根據(jù)不同部門的要求及崗位職責而設(shè)置:
[2)網(wǎng)絡(luò)管理員負責故障恢復等管理及維護,必需有其上級授權(quán):不得使用他人操作代碼進行業(yè)務(wù)操作;
三、密碼與權(quán)限安全管理制度
1、密碼設(shè)置應(yīng)具有安全性、保密性,不能使用簡潔的代碼和標記。密碼是愛護系統(tǒng)和數(shù)據(jù)安全的把握代碼,也是愛護用戶自身權(quán)益的把握代碼。密碼分設(shè)為用戶密碼和操作密碼,用戶密碼是登陸系統(tǒng)時所設(shè)的密碼,操作密碼是進入各應(yīng)用系統(tǒng)的操作員密碼。密碼設(shè)置不應(yīng)是名字、生日,重復、順序、規(guī)律數(shù)字等簡潔猜測的數(shù)字和字符串;
2、密碼應(yīng)定期修改,間隔時間不得超過一個月,如覺察或懷疑密碼遺失或泄漏應(yīng)馬上修改,并在相應(yīng)登記簿記錄用戶名、修改時間、修改人等內(nèi)容。
3、服務(wù)器、路由器等重要設(shè)備的超級用戶密碼由運行機構(gòu)負責人指定專人(不參與系統(tǒng)開發(fā)和維護的人員)設(shè)置和管理,并由密碼設(shè)置人員將密碼裝入密碼信封,在騎縫處加蓋個人名章或簽字后交給密碼管理人員存檔并登記。如遇特殊狀況需要啟用封存的密碼,必需經(jīng)過相關(guān)部門負責人同意,由密碼使用人員向密碼管理人員索取,使用完畢后,須馬上更改并封存,同時在“密碼管理登記簿”中登記,4、系統(tǒng)維護用戶的密碼應(yīng)至少由兩人共同設(shè)置、保管和使用管理制度,5、有關(guān)密碼授權(quán)工作人員調(diào)離崗位,有關(guān)部門負責人須指定專人接替并對密碼馬上修改或用戶刪除,同時在“密碼管理登記簿”中登記,四、數(shù)據(jù)安全管理制度
1、存放備份數(shù)據(jù)的介質(zhì)必需具有明確的標識。備份數(shù)據(jù)必需異地存放。
2、留意計算機重要信息資料和數(shù)據(jù)存儲介質(zhì)的存放、運輸安全和保密管理,保證存儲介質(zhì)的物理安全,3、任何非應(yīng)用性業(yè)務(wù)數(shù)據(jù)的使用及存放數(shù)據(jù)的設(shè)備或介質(zhì)的調(diào)撥、轉(zhuǎn)讓、廢棄或銷毀必需嚴格根據(jù)程序進行逐級審批,以保證備份數(shù)據(jù)安全完好,4、數(shù)據(jù)恢復前,必需對原環(huán)境的數(shù)據(jù)進行備份,防止有用數(shù)據(jù)的丟失。數(shù)據(jù)恢復過程中,出現(xiàn)問題時由技術(shù)部門進行現(xiàn)場技術(shù)支持。數(shù)據(jù)恢復后,必需進行驗證、確認,確保數(shù)據(jù)恢復的完好性和可用性。
5、數(shù)據(jù)清理前必需對數(shù)據(jù)進行備份,在確認備份正確后方可進行清理操作。歷次清理前的備份數(shù)據(jù)要進行定期保存或永久保存,并確保可以隨時使用。數(shù)據(jù)清理的實施應(yīng)避開業(yè)務(wù)高峰期,避開對聯(lián)機業(yè)務(wù)運行造成影響。
6、需要長期保存的數(shù)據(jù),數(shù)據(jù)管理部門需與相關(guān)部門制定轉(zhuǎn)存,根據(jù)轉(zhuǎn)存和查詢使用方法要在介質(zhì)有效期內(nèi)進行轉(zhuǎn)存,防止存儲介質(zhì)過期失效,通過有效的查詢、使用方法保證數(shù)據(jù)的完好性和可用性。
7、非本單位技術(shù)人員對本公司的設(shè)備、系統(tǒng)等進行修理、維護時,必需由本公司相關(guān)技術(shù)人員現(xiàn)場全程監(jiān)督。計算機設(shè)備送外修理,須經(jīng)設(shè)備管理機構(gòu)負責人批準。送修前,需將設(shè)備存儲介質(zhì)內(nèi)應(yīng)用軟件和數(shù)據(jù)等涉經(jīng)營管理的信息備份后刪除,并進行登記。對修復的設(shè)備,設(shè)備修理人員應(yīng)對設(shè)備進行驗收、病毒檢測。
8、管理部門應(yīng)對報廢設(shè)備中存有的程序、數(shù)據(jù)資料進行備份后去除,并妥當處理廢棄無用的資料和介質(zhì),防止泄密。
9、運行維護部門需指定專人負責計算機病毒的防范工作,建立本單位的計算機病毒防治管理制度,常常進行計算機病毒檢查,覺察病毒準時去除。
10、營業(yè)用計算機未經(jīng)有關(guān)部門允許不準安裝其它軟件、不準使用來歷不明的載體(包括軟盤、光盤、移動硬盤等)。
五、網(wǎng)絡(luò)管理
1、網(wǎng)絡(luò)系統(tǒng)屬于公司無形資產(chǎn),公司有權(quán)限制上網(wǎng)行為,根據(jù)工作需要限制各部門的上網(wǎng)行為。
2、公司網(wǎng)絡(luò)管理員對計算機IP地址統(tǒng)一安排、登記、管理,嚴禁私自更改IP地址。
3、公司員工必需自覺遵守企業(yè)的有關(guān)保密法規(guī),嚴禁利用網(wǎng)絡(luò)有意或無意泄漏公司的涉密文件、資料和數(shù)據(jù)。不得非法復制、轉(zhuǎn)移和破壞公司的文件、資料和數(shù)據(jù),4、實行“絕密”文件、涉秘件與計算機網(wǎng)絡(luò)確定隔離,不得在計算機網(wǎng)絡(luò)中輸入、打印、復制“絕密”文件和有關(guān)涉秘件;
5、網(wǎng)絡(luò)維護部負責文字工作的計算操作人員必需遵守有關(guān)的保密制度,對保密的文件資料進行加密存放,不得上網(wǎng)共享。
六、附
1、本制度由網(wǎng)絡(luò)部負責解釋,2、本制度由總經(jīng)理批準后生效,自公布之日起執(zhí)行。
第五篇:企業(yè)信息安全管理條例
信息安全管理條例
第一章信息安全概述 1.1、公司信息安全管理體系
信息是一個組織的血液,它的存在方式各異。可以是打印,手寫,也可以是電子,演示和口述的。當今商業(yè)競爭日趨激烈,來源于不同渠道的威脅,威脅到信息的安全性。這些威脅可能來自內(nèi)部,外部,意外的,還可能是惡意的。隨著信息存儲、發(fā)送新技術(shù)的廣泛使用,信息安全面臨的威脅也越來越嚴重了。
信息安全不是有一個終端防火墻,或者找一個24小時提供信息安全服務(wù)的公司就可以達到的,它需要全面的綜合管理。信息安全管理體系的引入,可以協(xié)調(diào)各個方面的信息管理,使信息管理更為有效。信息安全管理體系是系統(tǒng)地對組織敏感信息進行管理,涉及到人,程序和信息科技系統(tǒng)。
改善信息安全水平的主要手段有:
1)安全方針:為信息安全提供管理指導和支持; 2)安全組織:在公司內(nèi)管理信息安全;
3)資產(chǎn)分類與管理:對公司的信息資產(chǎn)采取適當?shù)谋Wo措施; 4)人員安全:減少人為錯誤、偷竊、欺詐或濫用信息及處理設(shè)施的風險;
5)實體和環(huán)境安全:防止對商業(yè)場所及信息未授權(quán)的訪問、損壞及干擾;
6)通訊與運作管理:確保信息處理設(shè)施正確和安全運行; 7)訪問控制:妥善管理對信息的訪問權(quán)限;
8)系統(tǒng)的獲得、開發(fā)和維護:確保將安全納入信息系統(tǒng)的整個生命周期;
9)安全事件管理:確保安全事件發(fā)生后有正確的處理流程與報告方式;
10)商業(yè)活動連續(xù)性管理:防止商業(yè)活動的中斷,并保護關(guān)鍵的業(yè)務(wù)過程免受重大故障或災(zāi)害的影響;
11)符合法律:避免違反任何刑法和民法、法律法規(guī)或者合同義務(wù)以及任何安全要求。
1.2、信息安全建設(shè)的原則
1)領(lǐng)導重視,全員參與;
2)信息安全不僅僅是IT部門的工作,它需要公司全體員工的共同參與;
3)技術(shù)不是絕對的;
4)信息安全管理遵循“七分管理,三分技術(shù)”的管理原則; 5)信息安全事件符合“
二、八”原則;
6)20%的安全事件來自外部網(wǎng)絡(luò)攻擊,80%的安全事件發(fā)生在公司內(nèi)部;
7)管理原則:管理為主,技術(shù)為輔,內(nèi)外兼防,發(fā)現(xiàn)漏洞,消除隱患,確保安全。
1.3、信息安全管理體系建設(shè)的目的
1)保障ERP系統(tǒng)的安全運行,控制公司信息泄密風險; 2)提高企業(yè)員工對安全的認識和對安全管理的參與; 3)提高企業(yè)用戶及合作伙伴對企業(yè)的信心、信任、滿意程度; 4)提高企業(yè)信息安全管理的質(zhì)量和水平; 5)使企業(yè)更有效地管理和處理信息安全事件; 6)遵守和通過相關(guān)法律法規(guī)的要求;
7)為將來企業(yè)充份利用電子商務(wù)打下重要的基礎(chǔ)。
第二章員工信息安全規(guī)范 2.1、適用范圍
本標準規(guī)定了公司員工必須遵循的個人計算機和其他方面的安全要求,規(guī)定了員工保護公司涉密信息的責任,并列出了大量可能遇到的情況下的安全要求。
本標準適用于公司所有員工,包括子公司的員工,以及其他經(jīng)授權(quán)使用公司內(nèi)部資源的人員。
2.2、計算機安全要求
1)計算機信息登記與使用維護:
每臺由公司購買的計算機的領(lǐng)用、使用人變更、配置變更、報廢等環(huán)節(jié)必須經(jīng)過IT部的登記,嚴禁私自變更使用人和增減配置;
每位員工有責任保護公司的計算機資源和設(shè)備,以及包含的信息。每位員工必須把自己的計算機名字設(shè)置成固定的格式,一律采用AD域名_所屬地區(qū)編號組成;
例如某臺計算機名為SSSS_100201,SSSS為地區(qū)AD域名,100為地區(qū)編號,201代表該地區(qū)第201個賬戶。2)必須在所有個人計算機上激活下列安全控制:
所有計算機(包括便攜電腦與臺式機)必須設(shè)有系統(tǒng)密碼;系統(tǒng)密碼應(yīng)當符合一定程度的復雜性要求,并不定期更換密碼;存儲在個人計算機中的包含有公司涉密信息的文件,需要加密存放。3)當員工離開辦公室或工作區(qū)域時:
必須立即鎖定計算機或者激活帶密碼保護的屏幕保護程序; 如果辦公室或者工作區(qū)域能上鎖,最后一個離開的員工請鎖上辦公室或工作區(qū)域;
妥善保管所有包含公司涉密內(nèi)容的文件,如鎖進文件柜。4)防范計算機病毒和其他有害代碼:
每位員工由公司配備的計算機上都必須安裝和運行公司授權(quán)使用的防病毒軟件;
員工必須開啟防病毒軟件實時掃描保護功能,至少每周進行一次全硬盤掃描,在網(wǎng)絡(luò)條件許可的情況下每天進行一次病毒庫文件的更新;
如果員工發(fā)現(xiàn)未能處理的病毒,應(yīng)立即斷開局域網(wǎng)連接,以免病毒在局域網(wǎng)內(nèi)部交叉感染,并及時向公司IT部門匯報。5)軟件的使用:
員工不得私自在計算機上安裝公司禁止的軟件,公司禁止安裝的軟件包括但不限于:BT等P2P軟件、Sniffer等流量監(jiān)控軟件及黑客軟件、P2P終結(jié)者、網(wǎng)絡(luò)執(zhí)法官之類的網(wǎng)絡(luò)管理軟件;
工作用計算機禁止安裝盜版殺毒軟件和盜版防火墻軟件; 公司員工的機器上必須安裝并開啟功能的軟件有:金山企業(yè)版防病毒軟件、Office2010、360瀏覽器、IE8.0升級包、Winrar、固網(wǎng)打印服務(wù);
如果由于使用未經(jīng)公司授權(quán)的且沒有許可的軟件造成公司損失,員工需要承擔全部責任。6)文件的共享:
員工在使用文件共享時,必須將其設(shè)置為受限共享;
禁止使用基于互聯(lián)網(wǎng)的P2P軟件和共享服務(wù),如:BT、eMule等; 不得在計算機上配置匿名FTP、TFTP、HTTP,或其他無需驗證的服務(wù);
例如:員工不得在公司的計算機上私自架設(shè)匿名FTP; 未經(jīng)IT部門許可,不得在使用ERP系統(tǒng)的計算機上使用U盤或移動硬盤。如因業(yè)務(wù)需要,必須要訪問其他人的硬盤。當定義共享權(quán)限時,員工必須設(shè)定用戶權(quán)限、設(shè)定訪問密碼,并及時取消所定義的共享。
7)郵件的發(fā)送與接收:
禁止使用公司的計算機散布、回復、轉(zhuǎn)發(fā)連鎖郵件、惡作劇郵件; 禁止將涉及公司秘密的內(nèi)部郵件轉(zhuǎn)發(fā)到互聯(lián)網(wǎng)上。8)公司涉密信息的保護:
公司涉密信息包括但不限于公司數(shù)據(jù)庫中的秘密信息,與公司目前或未來產(chǎn)品、服務(wù)或研究有關(guān)的公司技術(shù)或科技信息,業(yè)務(wù)或營銷計算、營銷收益或其他財務(wù)資料、人事資料,以及軟件等技術(shù)信息、經(jīng)營信息等;
公司的員工會接觸到公司的涉密信息。員工禁止在未經(jīng)公司授權(quán)的情況下泄漏這些信息,并且必須遵守公司為保護此信息而制定的各項標準和流程;
每個員工只能接觸使用與本崗位工作相關(guān)的涉密信息,禁止從非正常途徑獲取公司或部門的涉密信息;禁止非授權(quán)復制涉密信息;
對公司文檔的保管、存檔、發(fā)送、刪除、銷毀、復制等必須遵守公司相關(guān)的文檔保密管理規(guī)定;
禁止使用提供翻譯服務(wù)的互聯(lián)網(wǎng)站來翻譯公司的涉密信息; 公司涉密信息盡量避免通過互聯(lián)網(wǎng)傳送,但由于工作需要,需要通過電子郵件等方式發(fā)送公司涉密信息時,可以采用Winrar加密壓縮的方式把涉密內(nèi)容作為附件發(fā)送,然后通過其他渠道告知對方加密密碼。
9)公司信箱的帳戶及密碼
所有的密碼必須符合如下條件:
至少8個字符長,并且包含英文、數(shù)字及特殊字符; 禁止把用戶名用作密碼或其一部分;
舊密碼中任何三個連續(xù)的字符盡量不要連續(xù)出現(xiàn)在新密碼中; 公司要求員工至少每30天更換一次密碼。10)內(nèi)部網(wǎng)絡(luò)使用規(guī)則
禁止在網(wǎng)絡(luò)上偽裝為他人身份;
不得私自安裝網(wǎng)絡(luò)管理軟件,監(jiān)控網(wǎng)絡(luò)流量或者妨礙他人使用網(wǎng)絡(luò)資源;
不得對公司網(wǎng)絡(luò)或服務(wù)器以及網(wǎng)絡(luò)中他人電腦運行安全掃描程序或者惡意攻擊;
未經(jīng)IT部允許,不得增加網(wǎng)絡(luò)設(shè)備到公司的網(wǎng)絡(luò)中,嚴禁私自購買路由器、交換機接入公司網(wǎng)絡(luò)等行為; 宿舍區(qū)電腦大部分屬于員工私人計算機,禁止將公司數(shù)據(jù)及其他涉及到公司機密的電子文件傳入私人計算機中;
第三章公司信息安全管理檢查執(zhí)行規(guī)定
3.1.檢查原則
根據(jù)違規(guī)行為的性質(zhì)、造成的后果及違規(guī)人的主觀意愿對違規(guī)行為進行處罰。對在公司信息安全管理制度和措施上貫徹、監(jiān)控不力、權(quán)限審核不當,造成公司安全制度和措施難以落實,安全管理工作混亂的部門,部門負責人須承擔領(lǐng)導責任。對違反信息安全管理規(guī)定者,如其直接領(lǐng)導有明顯管理和指導不力的須承擔連帶責任。
3.2.檢查方式
公司技術(shù)部門抽調(diào)網(wǎng)絡(luò)管理人員,不定期對公司所屬公司辦公電腦進行抽查。分析信息安全日志文件,排查違規(guī)電腦,追究相關(guān)當事人。
3.3.檢查結(jié)果
對于故意盜竊、泄露公司保密信息的,或故意違反信息安全管理規(guī)定,性質(zhì)特別嚴重造成重大損失的,給予罰款、降薪、降職、辭退、直至開除的處理,并賠償公司損失。對于觸犯國家法律的,移交國家司法機關(guān)依法處理。?對違反公司信息安全制度規(guī)定,性質(zhì)較輕,在公司內(nèi)部系統(tǒng)給予點名通報批評,并記錄在案,責令限期改正。
點擊咨詢 