第一篇:企業信息安全
企業信息安全
2
———————————————————————————————— 作者:
———————————————————————————————— 日期:
通信地址:河北省任丘市燕山道中國石油測井有 限公司華北事業部黨群工作科
郵編:
062552
電子郵件:
hbzhaiyj @cnpc.com.cn
聯系電話:
0317--27 22680
淺談企業信息安全
摘要:信息作為一種資源,它的普遍性、共享性、增值性、可處理性和多效用性,使其對于人類具有特別重要的意義。信息安全的實質就是要保護信息系統或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞,即保證信息的安全性。信息安全越來越受到人們的重視,信息安全和其他商品一樣有價值,如何保證信息的安全性和保密性成為企業建設過程中需要解決的重要問題。
關鍵詞:信息;信息安全;重要性
信息安全綜述
信息作為一種特殊資源與其他資源相比具有其特殊的性質,主要表現在知識性、中介性、可轉化性、可再生性和無限應用性。由于其特殊性質造成信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患,造成信息的丟失、泄密,甚至造成病毒的傳播,從而導致信息系統的不安全性,給企業的信息化建設帶來不利影響。因此,如何保證信息安全成為亟須解決的重要問題。
信息安全包括以下內容:真實性,保證信息的來源真實可靠;機密性,信息即使被截獲也無法理解其內容;完整性,信息的內容不會被篡改或破壞;可用性,能夠按照用戶需要提供可用信息;可控性,對信息的傳播及內容具有控制能力;不可抵賴性,用戶對其行為不能進行否認;可審查性,對出現的網絡安全問題提供調查的依據和手段。與傳統的安全問題相比,基于網絡的信息安全有一些新的特點:
一是由于信息基礎設施的固有特點導致的信息安全的脆弱性。由于因特網與生俱來的開放性特點,從網絡架到協議以及操作系統等都具有開放性的特點,通過網絡主體之間的聯系是匿名的、開放的,而不是封閉的、保密的。這種先天的技術弱點導致網絡易受攻擊。
二是信息安全問題的易擴散性。信息安全問題會隨著信息網絡基礎設施的建設與因特網的普及而迅速擴大。由于因特網的龐大系統,造成了病毒極易滋生和傳播,從而導致信息危害。
三是信息安全中的智能性、隱蔽性特點。傳統的安全問題更多的是使用物理手段造成的破壞行為,而網絡環境下的安全問題常常表現為一種技術對抗,對信
通信地址:河北省任丘市燕山道中國石油測井有 限公司華北事業部黨群工作科
郵編:
062552
電子郵件:
hbzhaiyj @cnpc.com.cn
聯系電話:
0317--27 22680
息的破壞、竊取等都是通過技術手段實現的。而且這樣的破壞甚至攻擊也是“無形”的,不受時間和地點的約束,犯罪行為實施后對機器硬件的信息載體可以不受任何損失,甚至不留任何痕跡,給偵破和定罪帶來困難。
隨著計算機網絡規模的迅猛發展,網絡環境變得日趨復雜,在人們享樂的同時,風險也隨之而來,因為 Internet 上的任何人之間都有可能存在利益關系,這些風險從信息丟失到信息盜用,網絡安全問題的數量也不斷增加。世界各家機構都希望他們的網絡安全功能能夠用更加強大的設備來實施,使安全性得到增強。在現在更加復雜的網絡環境中,更需要全面且綜合的網絡安全解決方案。特別是在企業中,面臨的各種安全威脅,物理威脅,網絡威脅,操作系統威脅等等……所帶來的損失將不可計量。網絡安全已經不再是網絡中的一項可有可無的技術了。它需要保證網絡的高安全性,使石油等企業緩解大量的網絡攻擊。2
信息的脆弱性
信息安全威脅主要來源于自然災害、意外事故;計算機犯罪;人為錯誤,比如使用不當,安全意識差等;“黑客”行為;內部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等;信息戰;網絡協議自身缺陷等等。信息的脆弱性依賴于網絡表現在 2.1 單點失效多 在沒有冗余的網絡中,就是不安全的網絡。當分支機構的路由出現故障時,分支機構將無法與總行交換數據。總行的出口路由出現故障時,將導致辦公網絡無法聯網及業務網絡無法服務。辦公網絡的防火墻亦會導致單點失效。
2.2 易遭病毒攻擊 在整個網絡中,沒有提供很好的防病毒網絡安全設備。整個網絡容易受病毒的攻擊,使網絡處于相當不安全的環境。輕則數據丟失,重則網絡癱瘓,所有工作與業務將無法進行。并會感染其他的設備。
2.3 易受非法入侵 在分支機構與業務網絡中,沒有較好的訪問控制設備,只有一個邊界路由器作為保護,而邊界路由器易受攻擊。如利用 IP 欺騙即可。當邊界路由器被攻擊,分支機構與業務網絡將淪陷,容易導致非法的入侵,從而引起被授權的攻擊及數據竊取。
通信地址:河北省任丘市燕山道中國石油測井有 限公司華北事業部黨群工作科
郵編:
062552
電子郵件:
hbzhaiyj @cnpc.com.cn
聯系電話:
0317--27 22680
2.4 數據通訊不安全 在整個傳輸網絡中,容易發現數據通信的不安全,在傳輸過程中以明文傳輸,容易受到竊聽,及對信息的內容進行非法修改、重放等。破壞其完整性、影響銀行的正常運作 2.5 訪問控制力度小 在整個網絡中,訪問控制存在著嚴重的不足,不同的用戶有著相同的訪問,這樣不能區分不同用戶的訪問權限,容易導致數據流失,不合理的訪問 2.6 沒有集中的網絡管理 總行中不能集中的管理設備,檢測設備的運行狀況,當某臺設備出現故障時,將不能及時檢測出 2.7 局域網過大 業務網絡局域網過大則導致廣播域過大,網絡容易出現擁塞。并且之間能夠私自進行訪問,容易造成不安全事故。信息安全的目標
3.1 保密性。
保密性是指信息不泄露給非授權人,或供其使用的特性。
3.2 完整性。
完整性是指信息未經授權不能被修改、不被破壞、不被插入、不遲延、不亂序和不丟失的特性。對網絡信息安全進行攻擊的最終目的就是破壞信息的完整性。
3.3 可用性。
可用性是指合法用戶訪問并能按要求順序使用信息的特性,即保證合法用戶在需要時可以訪問到信息。
3.4 可控性。
可控性是指授權機構對信息的內容及傳播具有控制的能力的特性,可以控制授權范圍內的信息流向以及方式。
3.5 可審查性。在信息交流過程結束后,通信雙方不能抵賴曾經做出的行為,也不能否認曾經接收到對方的信息。我國企業信息化中的信息安全問題
近年來,隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素,企業在信息安全管理上的進展是迅速的。但是,由于我國的信息化建設起步較晚,相關體系不完善,法律法規不健全等諸多因素,我國企業的信
通信地址:河北省任丘市燕山道中國石油測井有 限公司華北事業部黨群工作科
郵編:
062552
電子郵件:
hbzhaiyj @cnpc.com.cn
聯系電話:
0317--27 22680
息化仍然存在不安全問題。
4.1 信息與網絡安全的防護能力較弱。
我國企業的信息化建設發展迅速,各個企業紛紛設立自己的網站,特別是“政府上網工程”全面啟動后,各級企業已陸續設立了自己的網站,但是由于許多網站沒有防火墻設備、安全審計系統、入侵監測系統等防護設備,整個系統存在著相當大的信息安全隱患。
4.2 對引進的國外設備和軟件缺乏有效的管理和技術改造。
由于我國信息技術水平的限制,很多單位和部門直接引進國外的信息設備,并不對其進行必要的監測和改造,從而給他人入侵系統或監聽信息等非法操作提供了可乘之機。
4.3 我國企業基礎信息產業薄弱,核心技術嚴重依賴國外,缺乏自主創新產品,尤其是信息安全產品。我國企業信息網絡所使用的網管設備和軟件基本上來自國外,這使我國的網絡安全性能大大減弱,被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術,我國許多企業的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中,網絡安全處于極脆弱的狀態。
4.4 信息犯罪在我國有快速發展趨勢。
除了境外黑客對我國信息網絡進行攻擊,國內也有部分人利用系統漏洞進行網絡犯罪,例如傳播病毒、竊取他人網絡銀行賬號密碼等。
4.5 在研究開發、產業發展、人才培養、隊伍建設等方面與迅速發展的形勢極不適應。
造成以上問題的相關因素在于:首先,我國企業的經濟基礎薄弱,在信息產業上的投入還是不足,尤其是在核心和關鍵技術及安全產品的開發生產上缺乏有力的資金支持和自主創新意識。其次,企業員工信息安全意識淡薄,警惕性不高。大多數計算機用戶都曾被病毒感染過,并且病毒的重復感染率相當高。
相關解決措施
5.1 加強計算機網絡安全的防范工作
5.1.1 加強內部網絡治理人員以及使用人員的安全意識很多計算機系統常用口令來控制對系統資源的訪問,這是防病毒進程中,最輕易和最經濟的方法之一。網絡治理員和終端操作員根據自己的職責權限,選擇不同的口令,對應用程序數據進行合法操作,防止用戶越權訪問數據和使用網絡資源。在網絡上,軟件的安裝和治理方式是十分關鍵的,它不僅關系到網絡維護治理的效率和質量,而
通信地址:河北省任丘市燕山道中國石油測井有 限公司華北事業部黨群工作科
郵編:
062552
電子郵件:
hbzhaiyj @cnpc.com.cn
聯系電話:
0317--27 22680
且涉及到網絡的安全性。好的殺毒軟件能在幾分鐘內輕松地安裝到組織里的每一個 NT 服務器上,并可下載和散布到所有的目的機器上,由網絡治理員集中設置和治理,它會與操作系統及其它安全措施緊密地結合在一起,成為網絡安全治理的一部分,并且自動提供最佳的網絡病毒防御措施。當計算機病毒對網上資源的應用程序進行攻擊時,這樣的病毒存在于信息共享的網絡介質上,因此就要在網關上設防,在網絡前端進行殺毒。
5.1.2 網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的非凡網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被答應,并監視網絡運行狀態。雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數據驅動型的攻擊。
5.1.3 安全加密技術 加密技術的出現為全球電子商務提供了保證,從而使基于 Internet 上的電子交易系統成為了可能,因此完善的對稱加密和非對稱加密技術仍是 21 世紀的主流。對稱加密是常規的以口令為基礎的技術,加密運算與解密運算使用同樣的密鑰。不對稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰都可以用,解密密鑰只有解密人自己知道。
5.1.4 網絡主機的操作系統安全和物理安全措施防火墻作為網絡的第一道防線并不能完全保護內部網絡,必須結合其他措施才能提高系統的安全水平。在防火墻之后是基于網絡主機的操作系統安全和物理安全措施。按照級別從低到高,分別是主機系統的物理安全、操作系統的內核安全、系統服務安全、應用服務安全和文件系統安全;同時主機安全檢查和漏洞修補以及系統備份安全作為輔助安全措施。這些構成整個網絡系統的第二道安全防線,主要防范部分突破防火墻以及從內部發起的攻擊。系統備份是網絡系統的最后防線,用來遭受攻擊之后進行系統恢復。在防火墻和主機安全措施之后,是全局性的由系統安全審計、入侵檢測和應急處理機構成的整體安全檢查和反應措施。它從網絡系統中的防火墻、網
通信地址:河北省任丘市燕山道中國石油測井有 限公司華北事業部黨群工作科
郵編:
062552
電子郵件:
hbzhaiyj @cnpc.com.cn
聯系電話:
0317--27 22680
絡主機甚至直接從網絡鏈路層上提取網絡狀態信息,作為輸人提供給入侵檢測子系統。入侵檢測子系統根據一定的規則判定是否有入侵事件發生,假如有入侵發生,則啟動應急處理措施,并產生警告信息。而且,系統的安全審計還可以作為以后對攻擊行為和后果進行處理、對系統安全策略進行改進的信息來源。
5.2 針對我國企業信息安全存在的問題,要實現信息安全不但要靠先進的技術,還要有嚴格的法律法規和信息安全教育。
5.2.1 加強全體員工的信息安全教育,提高警惕性。從自身做起,有效利用各種信息安全防護設備,保證個人的信息安全,提高整個系統的安全防護能力,從而促進整個系統的信息安全。
5.2.2 發展有自主知識產權的信息安全產業,加大信息產業投入。增強自主創新意識,加大核心技術的研發,尤其是信息安全產品,減小對國外產品的依賴程度。
5.2.3 創造良好的信息化安全支撐環境。完善我國信息安全的法規體系,制定相關的法律法規,例如信息安全法、數字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產權保護法、電子信息個人隱私法、電子信息進出境法等,加大對網絡犯罪和信息犯罪的打擊力度,對其進行嚴厲的懲處。
5.2.4 高度重視信息安全基礎研究和人才的培養。為了在高技術環境下發展自主知識產權的信息安全產業,應大力培養信息安全專業人才,建立信息安全人才培養體系。
5.2.5 加強國際防范,創造良好的安全外部環境。由于網絡與生俱有的開放性、交互性和分散性等特征,產生了許多安全問題,要保證信息安全,必須積極參與國際合作,通過吸收和轉化有關信息網絡安全管理的國際法律規范,防范來自世界各地的黑客入侵,加強信息網絡安全。結束語
總之,由于網絡及信息資源的特殊性質,決定了信息安全問題的客觀存在。信息安全問題不僅涉及企業的經濟安全、金融安全,同時也涉及政治安全和文化安全,因此應當加強對信息安全問題的重視。目前,我國企業正在加快信息化建設步伐,加強對信息安全的管理,保證信息的安全保密性勢在必行。
通信地址:河北省任丘市燕山道中國石油測井有 限公司華北事業部黨群工作科
郵編:
062552
電子郵件:
hbzhaiyj @cnpc.com.cn
聯系電話:
0317--27 22680
參考文獻
[專著] 于磊.書名[企業信息安全建設之道].北京:東方出版社,2010.
第二篇:企業信息安全工作報告
年信息安全報告
為認真貫徹落實信息安全防護工作,依照《印發Xx重點領域網絡與信息安全檢查工作方案和信息安全自查操縱指南的通知》,我局立即組織展開信息系統安全檢查工作,現將自查情況匯報以下。
一、信息安全組織管理
領導重視,機構健全。針對信息系統安全檢查工作,理事會高度重視,做到了主要領導親身抓,并成立了專門的信息安全工作領導小組,組長由Xx擔負,副組長由Xx,成員由各科(室)、直屬單位負責人組成,領導小組下設辦公室,辦公室設在Xx。建立健全信息安全工作制度,積極主動展開信息安全自查工作,保證了殘疾人工作的良好運行,確保了信息系統的安全。
二、健全制度,嚴格管理
建立全面的信息安全管理體系,包括集團信息安全工作方針和策略、信息安全組織結構及職責、信息安全事件處置與報告制度、網絡與信息系統應急預案管理辦法、變更管理辦法、網絡管理制度、系統管理制度、資產管理辦法、人員安全管理辦法等內容。并嚴格網絡信息保密管理制度,實行“涉密不上網,上網不涉密”堅持“誰發布,誰負責”的原則,信息系統安全方面實行領導審查簽字制度,凡互聯網上傳的信息,必須經本單位主要領導審查批準,并按照臺里新聞領導三審制度,做好信息審批才能上傳。特別是針對重點崗位人員鑒證了保密安全責任書,制定了日常考核監督制度,確保管理監查到位。
三、技術落實
日常管理方面切實抓好網內、外網和硬件、應用軟件“三層管理”,落實具體負責信息安全工作人員,對涉密信息文件、材料實行專人管理,對重點部門、崗位等進行嚴格管理,確保信息安全工作。同時,重點抓好“三大安全”排查:一是硬件安全。包括傳輸、防雷、防火、監控和電源等硬件設備都具有災難備份,確保所有設備正常運轉。二是網絡安全。包括網絡結構、安全日志管理、密碼管理、互聯網行為管理等;數據庫存儲備份、移動存儲設備管理、數據加密等安全防護措施,明確了網絡安全責任,強化了網絡安全工作。三是應用安全。包括網站、軟件管理等;上傳文件提前進行病素檢測;分模塊分權限進行維護。各機房和網站的服務器使用專屬權限密碼鎖登陸后臺,主要管理人員負責保密管理,服務器的用戶名和開機密碼為其專有,且規定嚴禁外泄。同時,涉密計算機相互共享之間設有嚴格的身份認證和訪問控制。
2、技術防護
按照等級保護、密碼防護等標準規范要求,各信息系統安裝了硬件防火墻,同時配置安裝了瑞星專業殺毒軟件,涉密計算機經過保密技術檢查,加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性。并要求安全信息管理員積極與網絡安全保障經驗豐富的人員取得聯系,定期對網站安全保障工作進行檢查指導,在突發信息安全事件時給予技術支持。
3、應急處置與災備
我局信息系統系統,在突發事件時候,安全信息人員馬上切換應急備份系統,并上報主管領導,啟動安全應急預案及時處置,保證信息系統萬無一失。同時,為了技術安全與服務提供商簽訂硬件、軟件維護事宜,商定給予應急技術最大程度的支持。
四、存在的主要問題和面臨的威脅分析
1、發現的主要問題和薄弱環節
(1)專業技術人員較少,信息系統安全方面可投入的力量有限;(2)規章制度體系初步建立,但還不完善,未能覆蓋相關信息系統安全的所有方面。
2、面臨的安全威脅與風險
(1)拒絕服務攻擊:供給者通過某種方法使系統響應減慢甚至癱瘓,組織合法用戶獲得服務。
(2)非授權訪問:沒有預先經過同意,就使用網絡或計算機資源。(3)傳播病毒:通過網絡傳播計算機病毒,其破壞性非常高,而且用戶很難防范。
3、整體安全狀況的基本判斷
我局對信息安全工作嚴格按照有關要求,對涉及到的信息進行安全檢查,嚴格落實有關網絡信息安全保密方面的各項規定,采取了多種措施防范安全保密有關事件的發生,總體上看,我局網絡信息安全保密工作做得比較扎實,效果也比較好,近年來未發現失泄密問題。
五、改進措施與整改效果
我局針對存在的問題采取一些改進措施:一是繼續加強對工作人員的安全意識教育和技術培訓;二是切實增強信息安全制度的落實工作,不定期的對安全制度執行情況進行檢查,對于導致不良后果的責任人,要嚴肅追究責任;三是以制度為根本,在進一步完善信息安全制度的同時,安排專人,完善設施,密切監測,隨時隨地解決可能發生的信息系統安全事故;四是提高安全工作的現代化水平,便于我們進一步加強對計算機信息系統安全的防范和保密工作。同時密切聯系網絡安全技術專業人員,加強機房和網站安全措施建設力度;五是加強對信息系統的監督管理,嚴格信息發布制度,加大對信息內容,信息權威性、一致性和時效性及網上信息辦理情況的監管力度。
六、對信息安全工作開展的意見和建議
1、希望上級有關部門加強信息網絡安全技術人員培訓和演練,使安全技術人員及時更新信息網絡安全管理知識,提高相關管理及法律法規等的認識,不斷地加強信息網絡安全管理和技術防范水平。
2、加大信息安全網絡安全防護設備的投入。
年 月 日
第三篇:企業信息安全管理辦法
信息安全管理辦法
第一章 總則
第一條
為加強公司信息安全管理,推進信息安全體系建設,保障信息系統安全穩定運行,根據國家有關法律、法規和《公司信息化工作管理規定》,制定本辦法。
第二條
本辦法所指的信息安全管理,是指計算機網絡及信息系統(以下簡稱信息系統)的硬件、軟件、數據及環境受到有效保護,信息系統的連續、穩定、安全運行得到可靠保障。
第三條
公司信息安全管理堅持“誰主管誰負責、誰運行誰負責”的基本原則,各信息系統的主管部門、運營和使用單位各自履行相關的信息系統安全建設和管理的義務與責任。
第四條
信息安全管理,包括管理組織與職責、信息安全目標與工作原則、信息安全工作基本要求、信息安全監控、信息安全風險評估、信息安全培訓、信息安全檢查與考核。
第五條
本辦法適用于公司總部、各企事業單位及其全體員工。
第二章 信息安全管理組織與職責
第六條
公司信息化工作領導小組是信息安全工作的最高決策機構,負責信息安全政策、制度和體系建設規劃的審批,部署并協調信息安全體系建設,領導信息系統等級保護工作。
第七條
公司建立和健全由總部、企事業單位以及信息技術支持單位三方面組成,協調一致、密切配合的信息安全組織和責任體系。各級信息安全組織均要明確主管領導,確定相關責任,設置相應崗位,配備必要人員。
第八條
信息管理部是公司信息安全的歸口管理部門,負責落實信息化工作領導小組的決策,實施公司信息安全建設與管理,確保重要信息系統的有效保護和安全運行。具體職責包括:組織制定和實施公司信息安全政策標準、管理制度和體系建設規劃,組織實施信息安全項目和培訓,組織信息安全工作的監督和檢查。
第九條
公司保密部門負責信息安全工作中有關保密工作的監督、檢查和指導。
第十條
企事業單位信息部門負責本單位信息安全的管理,具體職責包括:在本單位宣傳和貫徹執行信息安全政
策與標準,確保本單位信息系統的安全運行,實施本單位信息安全項目和培訓,追蹤和查處本單位信息安全違規行為,組織本單位信息安全工作檢查,完成公司部署的信息安全工作。
第十一條
技術支持單位在信息管理部的領導下,承擔所負責的信息系統和所在區域的信息安全管理任務,主要包括:在所維護系統和本區域內宣傳和貫徹信息安全政策與標準,確保所負責信息系統的安全運行。
第十二條
各級信息管理部門設立信息安全管理和技術崗位,包括信息安全、應用系統、數據庫、操作系統、網絡負責人和管理員,重要崗位可設置兩個員工互為備份。
第十三條
信息安全崗位的設立應遵循職責分離的要求,包括:制度監督者與執行者分離,信息系統授權者與操作者分離,應用系統管理員與數據庫管理員分離,程序開發人員不應具備對生產環境的訪問權限。
第十四條
公司員工必須嚴格遵守公司信息安全政策、管理制度、技術標準和信息系統控制要求,承擔相關安全義務和責任,并及時報告信息安全事件。
第三章 信息安全目標與工作原則
第十五條
信息安全工作的總體目標是:實施信息系統安全等級保護,建立和健全先進實用、完整可靠的信息安全體系,保證系統和信息的完整性、真實性、可用性、保密性和可控性,保障信息化建設和應用,支撐公司業務持續、穩定、健康發展。
第十六條
信息安全體系建設必須堅持以下原則: 堅持統一。信息安全體系必須統一規劃、統一標準、統一設計、統一投資、統一建設、統一管理。
保障應用。保障網絡和信息系統,特別是全局網絡和重要業務信息系統不間斷穩定運行及其信息的安全,實現以應用促安全,以安全保應用。
符合法規。信息安全體系要滿足法律法規要求,包括國家對信息系統等級保護、企業內部控制要求,積極采用法律法規允許的、成熟的先進技術和專業安全服務。
綜合防范。管理與技術并重,相互補充。從組織與流程、制度與人員、場地與環境、網絡與系統、數據與應用等多方面著手,在系統設計、建設和運維的多環節進行綜合防范。
集中共享。建立集中、統一的信息安全技術服務平臺和
集中專業化的信息安全隊伍。
第四章 信息安全工作基本要求
第十七條
根據公司信息安全專項規劃和總體方案,分層次建立以安全組織體系為核心、安全管理體系為保障、安全技術體系為支撐的全面信息安全體系,并保持三個體系穩定、均衡發展。
第十八條
建立全面的信息安全管理體系:
制定并實施統一的信息安全策略、管理制度和技術標準。
實行信息系統資產管理責任制,保護信息系統,特別是核心信息系統的設備、軟件、數據和技術文檔的安全。
建立信息系統物理環境、網絡、系統、應用、數據等各層面的安全管理流程,實現對信息系統全生命周期的安全管理。
實現對信息系統的安全風險管理,及時發現和防范安全隱患。
第十九條
建立有效的信息安全技術體系:
強化網絡、桌面和應用系統安全防護體系,按照自主定級、自主保護的原則,評估確定各信息系統保護等級并實施
相應的保護措施。
建立統一的網絡安全信任體系,加強網絡實體身份管理與認證,為網絡和信息系統安全運行提供信任基礎。
建立完善有效的安全監控和預警體系,監控重要網絡和核心業務系統,及時發現安全隱患。
建立全面有效的應急響應體系,制定并落實完整、規范的應急處理和響應流程,完善信息安全報告、處理機制。
建立包括同城和異地容災備份中心的信息系統災難恢復體系,定期進行災難恢復的測試和演練,確保災難發生后能夠充分發揮備份的效能,降低造成的影響和損失。
第五章 信息安全監控
第二十條
信息安全監控的目的是對威脅系統、數據庫及網絡安全的因素進行有效控制,防止由于技術或人為因素導致的異常和損失,同時為其他安全措施的設計和實施提供可靠依據。安全監控的結果要保存一年以上。
第二十一條
信息系統的運行和維護單位,在國家法律和公司有關規定許可的范圍內,具體進行規范、合理、有效的信息安全監控。使用公司網絡及應用系統的用戶有義務接受
必要的監控。監控不能影響、泄漏不涉及安全問題的網上行為和個人隱私的內容。
第二十二條
各級信息部門負責制定和實施信息安全監控計劃,包括日常監控、應急處理和定期匯報。
第二十三條
日常監控分為實時監控和定期檢查,包括應用系統、數據庫、操作系統、網絡、物理環境以及外部人員對信息系統訪問的實時監控與定期檢查。監控及檢查結果要存檔備查,異常情況須及時向有關負責人匯報。
第二十四條
各級信息部門應對網絡及重要信息系統制定詳細的應急處理預案。應急處理按照預案進行,并至少每年組織一次相關崗位人員進行應急預案演練。
第二十五條
各級信息部門編制、上報信息安全月報和年報,及時向主管領導和上級部門匯報重大信息安全風險和事件。
第六章 信息安全風險評估
第二十六條
信息管理部負責組織建立風險評估規范及實施團隊,定期或在重大、特殊事件發生時進行風險評估。
第二十七條
風險評估包括范圍確定、風險識別、風險分析和控制措施,確保信息安全,滿足應用和業務需要。
評估范圍可包括管理組織、流程、政策與標準、應用系統、數據庫、操作系統、網絡、物理環境,應涵蓋公司內部關鍵控制點。
風險識別包括識別風險類型和風險事件,形成風險列表,更新信息風險數據庫。
風險分析包括信息資產分類、風險發生概率和影響程度分析,并確定風險等級,形成風險評估報告。
控制措施包括安全管理策略和風險控制措施,形成風險控制報告。
第二十八條
信息管理部將風險評估和控制報告上報信息主管領導審批。根據領導審批意見,落實控制措施。
第七章 信息安全培訓
第二十九條
信息管理部負責制定公司信息安全培訓計劃,組織、實施信息安全管理和技術培訓。各級信息部門負責相應層級的信息安全培訓,培訓計劃報信息管理部備案。
第三十條
信息管理部及各企事業單位信息部門對應用系統、數據庫、操作系統和網絡管理員、開發人員進行信息安全技術培訓,提高信息安全管理和維護水平。
第三十一條
信息管理部及各企事業單位信息部門分層次、分類型對員工進行信息安全培訓,包括針對業務和技術管理人員進行管理層面的信息安全管理培訓,針對從事日常業務處理人員進行操作層面基本安全知識培訓。
第三十二條
員工上崗前,應進行崗位信息安全培訓,并簽署信息安全保密協議。在崗位發生變動時,及時調整信息系統操作權限。
第三十三條
信息安全政策與標準發生重大調整、新建和升級的信息系統投入使用前,開展必要的安全培訓,明確相關調整和變更所帶來的信息安全權限和責任的變化。
第八章 信息安全檢查與考核
第三十四條
信息管理部定期進行信息安全檢查與考核,包括信息安全政策與標準的培訓與執行情況、重大信息安全事件及整改措施落實情況、現有信息安全措施的有效性、信息安全技術指標完成情況。
第三十五條
各企事業單位信息部門按照本辦法和《公司信息系統運行維護管理辦法》進行信息安全自我考核,信息管理部進行綜合評價,形成考核報告,報信息主管領導。
第三十六條
對于不執行本辦法造成嚴重后果的,應追究相關部門和個人責任。
第九章 附則
第三十七條
各企事業單位可參照本管理辦法制定相應的實施細則。
第三十八條 第三十九條
本辦法由公司信息管理部負責解釋。本辦法自印發之日起施行。
第四篇:企業信息安全管理條例
信息安全管理條例
第一章信息安全概述 1.1、公司信息安全管理體系
信息是一個組織的血液,它的存在方式各異。可以是打印,手寫,也可以是電子,演示和口述的。當今商業競爭日趨激烈,來源于不同渠道的威脅,威脅到信息的安全性。這些威脅可能來自內部,外部,意外的,還可能是惡意的。隨著信息存儲、發送新技術的廣泛使用,信息安全面臨的威脅也越來越嚴重了。
信息安全不是有一個終端防火墻,或者找一個24小時提供信息安全服務的公司就可以達到的,它需要全面的綜合管理。信息安全管理體系的引入,可以協調各個方面的信息管理,使信息管理更為有效。信息安全管理體系是系統地對組織敏感信息進行管理,涉及到人,程序和信息科技系統。
改善信息安全水平的主要手段有:
1)安全方針:為信息安全提供管理指導和支持; 2)安全組織:在公司內管理信息安全;
3)資產分類與管理:對公司的信息資產采取適當的保護措施; 4)人員安全:減少人為錯誤、偷竊、欺詐或濫用信息及處理設施的風險;
5)實體和環境安全:防止對商業場所及信息未授權的訪問、損壞及干擾;
6)通訊與運作管理:確保信息處理設施正確和安全運行; 7)訪問控制:妥善管理對信息的訪問權限;
8)系統的獲得、開發和維護:確保將安全納入信息系統的整個生命周期;
9)安全事件管理:確保安全事件發生后有正確的處理流程與報告方式;
10)商業活動連續性管理:防止商業活動的中斷,并保護關鍵的業務過程免受重大故障或災害的影響;
11)符合法律:避免違反任何刑法和民法、法律法規或者合同義務以及任何安全要求。
1.2、信息安全建設的原則
1)領導重視,全員參與;
2)信息安全不僅僅是IT部門的工作,它需要公司全體員工的共同參與;
3)技術不是絕對的;
4)信息安全管理遵循“七分管理,三分技術”的管理原則; 5)信息安全事件符合“
二、八”原則;
6)20%的安全事件來自外部網絡攻擊,80%的安全事件發生在公司內部;
7)管理原則:管理為主,技術為輔,內外兼防,發現漏洞,消除隱患,確保安全。
1.3、信息安全管理體系建設的目的
1)保障ERP系統的安全運行,控制公司信息泄密風險; 2)提高企業員工對安全的認識和對安全管理的參與; 3)提高企業用戶及合作伙伴對企業的信心、信任、滿意程度; 4)提高企業信息安全管理的質量和水平; 5)使企業更有效地管理和處理信息安全事件; 6)遵守和通過相關法律法規的要求;
7)為將來企業充份利用電子商務打下重要的基礎。
第二章員工信息安全規范 2.1、適用范圍
本標準規定了公司員工必須遵循的個人計算機和其他方面的安全要求,規定了員工保護公司涉密信息的責任,并列出了大量可能遇到的情況下的安全要求。
本標準適用于公司所有員工,包括子公司的員工,以及其他經授權使用公司內部資源的人員。
2.2、計算機安全要求
1)計算機信息登記與使用維護:
每臺由公司購買的計算機的領用、使用人變更、配置變更、報廢等環節必須經過IT部的登記,嚴禁私自變更使用人和增減配置;
每位員工有責任保護公司的計算機資源和設備,以及包含的信息。每位員工必須把自己的計算機名字設置成固定的格式,一律采用AD域名_所屬地區編號組成;
例如某臺計算機名為SSSS_100201,SSSS為地區AD域名,100為地區編號,201代表該地區第201個賬戶。2)必須在所有個人計算機上激活下列安全控制:
所有計算機(包括便攜電腦與臺式機)必須設有系統密碼;系統密碼應當符合一定程度的復雜性要求,并不定期更換密碼;存儲在個人計算機中的包含有公司涉密信息的文件,需要加密存放。3)當員工離開辦公室或工作區域時:
必須立即鎖定計算機或者激活帶密碼保護的屏幕保護程序; 如果辦公室或者工作區域能上鎖,最后一個離開的員工請鎖上辦公室或工作區域;
妥善保管所有包含公司涉密內容的文件,如鎖進文件柜。4)防范計算機病毒和其他有害代碼:
每位員工由公司配備的計算機上都必須安裝和運行公司授權使用的防病毒軟件;
員工必須開啟防病毒軟件實時掃描保護功能,至少每周進行一次全硬盤掃描,在網絡條件許可的情況下每天進行一次病毒庫文件的更新;
如果員工發現未能處理的病毒,應立即斷開局域網連接,以免病毒在局域網內部交叉感染,并及時向公司IT部門匯報。5)軟件的使用:
員工不得私自在計算機上安裝公司禁止的軟件,公司禁止安裝的軟件包括但不限于:BT等P2P軟件、Sniffer等流量監控軟件及黑客軟件、P2P終結者、網絡執法官之類的網絡管理軟件;
工作用計算機禁止安裝盜版殺毒軟件和盜版防火墻軟件; 公司員工的機器上必須安裝并開啟功能的軟件有:金山企業版防病毒軟件、Office2010、360瀏覽器、IE8.0升級包、Winrar、固網打印服務;
如果由于使用未經公司授權的且沒有許可的軟件造成公司損失,員工需要承擔全部責任。6)文件的共享:
員工在使用文件共享時,必須將其設置為受限共享;
禁止使用基于互聯網的P2P軟件和共享服務,如:BT、eMule等; 不得在計算機上配置匿名FTP、TFTP、HTTP,或其他無需驗證的服務;
例如:員工不得在公司的計算機上私自架設匿名FTP; 未經IT部門許可,不得在使用ERP系統的計算機上使用U盤或移動硬盤。如因業務需要,必須要訪問其他人的硬盤。當定義共享權限時,員工必須設定用戶權限、設定訪問密碼,并及時取消所定義的共享。
7)郵件的發送與接收:
禁止使用公司的計算機散布、回復、轉發連鎖郵件、惡作劇郵件; 禁止將涉及公司秘密的內部郵件轉發到互聯網上。8)公司涉密信息的保護:
公司涉密信息包括但不限于公司數據庫中的秘密信息,與公司目前或未來產品、服務或研究有關的公司技術或科技信息,業務或營銷計算、營銷收益或其他財務資料、人事資料,以及軟件等技術信息、經營信息等;
公司的員工會接觸到公司的涉密信息。員工禁止在未經公司授權的情況下泄漏這些信息,并且必須遵守公司為保護此信息而制定的各項標準和流程;
每個員工只能接觸使用與本崗位工作相關的涉密信息,禁止從非正常途徑獲取公司或部門的涉密信息;禁止非授權復制涉密信息;
對公司文檔的保管、存檔、發送、刪除、銷毀、復制等必須遵守公司相關的文檔保密管理規定;
禁止使用提供翻譯服務的互聯網站來翻譯公司的涉密信息; 公司涉密信息盡量避免通過互聯網傳送,但由于工作需要,需要通過電子郵件等方式發送公司涉密信息時,可以采用Winrar加密壓縮的方式把涉密內容作為附件發送,然后通過其他渠道告知對方加密密碼。
9)公司信箱的帳戶及密碼
所有的密碼必須符合如下條件:
至少8個字符長,并且包含英文、數字及特殊字符; 禁止把用戶名用作密碼或其一部分;
舊密碼中任何三個連續的字符盡量不要連續出現在新密碼中; 公司要求員工至少每30天更換一次密碼。10)內部網絡使用規則
禁止在網絡上偽裝為他人身份;
不得私自安裝網絡管理軟件,監控網絡流量或者妨礙他人使用網絡資源;
不得對公司網絡或服務器以及網絡中他人電腦運行安全掃描程序或者惡意攻擊;
未經IT部允許,不得增加網絡設備到公司的網絡中,嚴禁私自購買路由器、交換機接入公司網絡等行為; 宿舍區電腦大部分屬于員工私人計算機,禁止將公司數據及其他涉及到公司機密的電子文件傳入私人計算機中;
第三章公司信息安全管理檢查執行規定
3.1.檢查原則
根據違規行為的性質、造成的后果及違規人的主觀意愿對違規行為進行處罰。對在公司信息安全管理制度和措施上貫徹、監控不力、權限審核不當,造成公司安全制度和措施難以落實,安全管理工作混亂的部門,部門負責人須承擔領導責任。對違反信息安全管理規定者,如其直接領導有明顯管理和指導不力的須承擔連帶責任。
3.2.檢查方式
公司技術部門抽調網絡管理人員,不定期對公司所屬公司辦公電腦進行抽查。分析信息安全日志文件,排查違規電腦,追究相關當事人。
3.3.檢查結果
對于故意盜竊、泄露公司保密信息的,或故意違反信息安全管理規定,性質特別嚴重造成重大損失的,給予罰款、降薪、降職、辭退、直至開除的處理,并賠償公司損失。對于觸犯國家法律的,移交國家司法機關依法處理。?對違反公司信息安全制度規定,性質較輕,在公司內部系統給予點名通報批評,并記錄在案,責令限期改正。
第五篇:企業信息安全保密制度
企業集 團 管 理 制 度
信息安全保密制度
(2016初稿)/ 9
上海企業經營管理股份有限公司
信息安全保密制度 第一章 總 則
第一條 根據國家相關規定,結合《企業知識產權管理規范》及具體情況,為保障公司整體利益和長遠利益,使公司長期、穩定、高效地發展,適應激烈的市場競爭,特制定本制度。
第二條 本規定是安全保密、知識產權及專利保護工作的依據和準則。各部室要把安全保密工作列入工作規劃,使安全工作落到實處。
第三條 公司秘密是關系公司權力和利益,依照程序只允許特定時空范圍的人員知悉的事項,包括但不限于技術專利、財務、人事和其他商業機密。技術秘密是指能為公司帶來經濟利益、具有實用性的技術信息、設計方案等,包括但不限于:技術信息、工程設計、科研專利、知識產權等等。財務秘密包括但不限于公司經營的財務、資產及相關統計數字。人事秘密主要是與公司人力資源現狀、招聘計劃、員工隱私、勞資狀況等相關的信息。包括但不限于:人事檔案、合同、協議、職員工資性收入、招聘計劃等。日常秘密主要包括不限于:日常文件文檔、資料等。商業秘密包括但不限于:客戶名單、定價政策、財務資料、進貨渠道,等等。
第四條 公司所有職員、外派人員都有保守公司秘密的義務。接觸到公司秘密的高級員工,如:管理人員、技術人員、財務人員、秘書等負有特別的保秘責任。
第五條 保密工作實行安全、便利可行、積極預防的工作方針。保密范圍和密級確定: / 9
第六條 公司秘密包括本制度第三條規定的及下列秘密事項:(一)公司重大決策中的秘密事項;
(二)公司尚未付諸實施的經營戰略、方向、規劃及決策等;(三)公司內部掌握的合同、協議、意見書及可行性報告;(四)公司財務預決算報告及各類財務報表、統計報表;(五)公司職員人事檔案,工資性、勞務性收入及資料;(六)公司科研專有技術、專利、知識產權、工程設計、等等;(七)其他經公司確定應當保密的事項。
第七條 公司秘密的密級分為“絕密”、“機密”、“秘密”三級。
絕密是最重要的公司秘密,泄露會使公司權益和利益遭受特別嚴重損害;機密是重要的公司秘密,泄露會使公司權益和利益遭受到嚴重損害;秘密是一般的公司秘密,泄露會使公司權力和利益遭受損害。
第八條 秘級的確定:
(一)公司經營發展中,直接影響公司權益和利益的重要決策文件、技術資料、技術專利等為絕密級;(二)公司的規劃、財務報表、統計資料、重要會議記錄、公司經營情況為機密級;(三)公司人事檔案、合同、協議、職員工資性收入、尚未進入市場或尚未公開的各類信息為秘密級。
第九條 秘密級別由董事會秘書辦公室依據第七條確定,并確定保密期限:分永久、長期、短期,一般與密級相對應,特殊情況外標明。保密期限屆滿,自行解密。/ 9
第十條 發現已經或者可能泄露秘密時,應立即采取補救措施并報告主管部室或公司領導;主管部室或領導接到報告,應及時處理。
第十一條 本制度規定的泄密是指下列行為之一:(一)使秘密被不應知悉者知悉的;(二)使秘密超出接觸限定范圍,而不能證明未被不應知悉者知悉的。
第二章 日常保密管理規定
第十二條 日常保密包括但不限于文印文檔、資料、人事及其他保密事項等。辦公室為日常保密工作管理部室。辦公室主要保密職責:
(一)根據法律及上級公司規定,結合公司實際制定安全保密管理規定,并監督實施;
(二)負責組織宣傳安全保密管理規定、制度,組織培訓學習公司有關保密安全條例;
(三)制定并落實人事、檔案保密管理措施;
(四)配合其他部室完成技術、財務、商業等保密的管理、監督和檢查工作;(五)嚴格機要、文印人員、招聘選拔;
(六)對安全保密突發事件應急處理,日常安全保密工作的監督;協助公司領導完成保密工作檢查、獎懲及與之相關的活動等;
(七)承辦上級領導交辦的其他保密事項。
第十三條 日常保密工作,各部室、各崗位應做到:
(一)領導干部、部室負責人、專業組長:增強保密意識、以身作則,模范遵守保密規定,落實保密責任。做到:不泄露知悉的公司秘密;不在無保密保障的/ 9
場所閱辦秘密文件、資料;不在家屬、親友、熟人和其他無關人員面前談論公司秘密事項;不攜帶秘密文件、資料參加社交活動;不在出訪、考察等外事活動中攜帶秘密文件、資料;閱辦完秘密文件及時清退、歸檔;審校、簽發文件及稿件時,要把好定密關;下級發生泄密問題后,及時上報、設法補救,不掩蓋包庇。
(二)員工應做到:不該說的秘密不說;不該問的秘密不問;不該看的秘密不看;不該記錄的秘密不記錄;不在非保密本上記錄秘密;不在公共場所和家屬、子女、親友面前談論公司秘密事項;不在不利于保密的地方存放秘密文件、資料;不攜帶秘密材料游覽、參觀、探親、訪友和出入公共場所;不在私人交往中泄露公司秘密。日常保密措施:
第十四條 健全收發文制度,各部室要有專人負責文件、設計圖紙、技術檔案等機密文件的管理和清退工作,發現秘級文件資料丟失、被竊、泄密時,須立即報告,及時追查、力挽損失。
第十五條 檔案管理按照質量管理體系文件中有關規定執行。
第十六條 有秘密內容的會議或活動,主辦部門應采取措施:
(一)選擇具備保密條件的會議場所,嚴禁使用無線話筒傳達密件或向室外擴音;
(二)根據需要,限定參會人員的范圍,指定參會人員;(三)依照規定使用會議設備和管理會議文件;
(四)規定不準記錄的會議內容,不得記錄,不攜帶錄音機進入會場錄音;不以任何形式對外泄露會議秘密內容,會議結束后,要對會議場所進行保密檢查;/ 9
嚴禁濫印、復印會議秘密文件資料,確需要復制的須經批準。
第十七條 文印崗人員應該做到:
(一)復印的秘密文件:需經批準后才能復印;嚴格控制份數,復印件要按原件一樣管理;
(二)嚴格保管承印的秘密文稿、資料及有秘密內容的磁盤、錄音筆等;對會議記錄和有關文件、資料嚴加保管,及時立卷歸檔;
(三)嚴格遵守保密紀律,打印、復印涉密文稿的內容不得傳播,不得讓無關人員閱看,不私自多印留存;
(四)打印的密件廢頁、圖紙廢頁、蠟紙應及時處理,不讓無關人員閱看;發現密件丟失或下落不明,要立即報告,并抓緊查找,采取補救措施。定期檢查、清理、清退、銷毀文件;嚴防將秘密文件、資料和文件底稿隨同舊報紙等出售。
第十八條 對于密級文件、資料設計圖紙、方案、技術標準和其他物品,須采取保密措施:
(一)非經批準,不得復制和摘抄;收發、傳遞和外出攜帶,由指定人員擔任,并采取必要的安全措施;
(二)在設備完善的保險裝置中保存;
(三)如有與質量管理體系中規定相左之處,以后者為準。第十九條 如有必要公司應與相關人員簽訂《保密合同》。
第三章 商業保密管理規定
第二十條 商業保密包括但不限于:客戶信息、采購資料、定價政策、財務資料、進貨渠道、投標信息、經營策略等。
第二十一條 市場部為商業保密的主管部門,辦公室及其他部門配合市場部/ 9
完成商業保密管理。市場部主要保密職責:
(一)制定商業保密管理有關規范、制度,并組織實施、監督;(二)組織宣傳、培訓商業管理規定;
(三)負責本部門保密管理工作,監督其他部門管理工作;(四)負責商業泄密事件的應急、調查、處理、處罰工作;
第二十二條 涉及公司商業秘密的合作、代理、交易合同或協議,依據情況設置相關“保密條款”,限制對方行為。
第二十三條 市場部有關人員不可將商業秘密透露給任何第三方或用于合同目的以外的用途,離職、辭職時,要及時交出相關資料,同時不得泄露公司經營秘密;不可在對外接受訪問或者與任何第三方交流時泄露秘密內容。
第四章 財務保密管理規定
第二十四條 財務保密工作包括但不限于資產、財務統計數字及工資及其他報表的保密。
第二十五條 財務部為財務保密的歸主管部門,市場部、辦公室及其他部門配合財務部落實財務保密工作。財務部主要保密職責:
(一)根據法律及上級單位規定,結合實際制定財務保密規范;(二)組織本部門員工學習并執行財務保密制度的有關規定;(三)負責組織宣傳保密、安全管理規定、規范,組織培訓學習公司有關保密安全規定;
(四)負責本部門保密管理工作,監督其他部門管理工作; / 9
(五)負責財務泄密事件的應急、調查、處理、處罰工作;
第五章 計算機與互聯網信息保密管理規定
第二十六條 IT部要健全各項信息保密管理制度,強化機房計算機的應用管理。凡秘密數據的傳輸和存貯均應采取相應的保密措施,錄有文件的存貯設備要妥善保管,嚴防丟失。
(一)保障公司計算機及其相關的配套設備、設施的安全,保障信息的安全,保障計算機功能的正常發揮,維護計算機信息系統的安全性。應及時發現安全隱患,及時提出解決方案,及時處理解決問題;
(二)新用戶登記時,應認真核實其身份,并詳細記錄用戶的相關信息。員工不允許將公司“用戶信息和網絡密碼”告知非本公司人員。員工離開本公司,IT部應注銷該員工的所有用戶信息;
(三)對于安全性較高的信息,需要嚴格管理。無論是紙張形式還是電子形式,均要落實到責任人。嚴禁將工作中的數據文檔帶離。
(四)企業研發的各辦公系統的數據內容要嚴格把關;IT部要將審核后的內容準確、安全、即時地上傳至托管服務器。
(五)加強計算機系統的保密安全管理。對涉密與非保密計算機予以明確區分,涉密機必須完全與局域網脫離連接,并禁止上因特網以防泄密。并采取身份認證、存儲傳輸加密、配置防視頻泄密干擾器等措施加強保密防范。
第二十七條 屬于公司秘密的信息、資料和其它物品的制作、收發、傳遞、使用、復制、摘抄、保存和銷毀,由辦公室或主管領導委托專人執行;采用電腦技術存取、處理、傳遞的公司秘密由IT部門負責保密。/ 9
第二十八條 計算機房內,禁止無關人員逗留、參觀,嚴禁會客。
第六章 罰則 和 獎則
第二十九條 公司對在安全保密工作中做出突出成績的個人和部室給予獎勵。
第三十條 對未按本《規定》進行管理或管理不善造成秘密泄漏的,除對直接責任者按規定給予相應處理外,還將追究所屬部室主要負責人的責任,并對直接責任者和所屬部室給予相應的經濟處罰。
第三十一條 對無視本《規定》,以謀取個人或小集團利益為目、蓄意泄漏秘密的,造成重大損失和嚴重后果的,將依《中華人民共和國刑法》追究法律責任。
第三十二條 保密管理人員因玩忽職守使秘密泄漏造成經濟損失,削弱競爭能力的,視情節輕重給予不同程度的行政處分和經濟處罰,明知故犯者加重處罰。對違反本《規定》,使單位秘密泄露,造成直接或間接經濟損失的,由公司保衛部及所屬管理部門負責調查核實,并提出處理意見,報公司領導批準后執行。
第七章 附 則
第三十三條 本《規定》自發布之日起執行。第三十四條 本規定的解釋權屬于本公司保衛部。/ 9
![下載企業信息安全[5篇范例]word格式文檔](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
點擊咨詢 