《【公司規(guī)章制度模板】信息安全制度通用》由會員分享�����,可在線閱讀�,更多相關(guān)《【公司規(guī)章制度模板】信息安全制度通用(6頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1����、信息安全管理制度1.目的信息是企業(yè)存在和發(fā)展的重要基礎(chǔ)。為規(guī)范企業(yè)信息管理�����,保障信息安全����,明確信息安全管理的程序、職責(zé)��、義務(wù)和權(quán)限�,特制定本制度。 2. 職責(zé)2.1 網(wǎng)絡(luò)管理員(委外):負(fù)責(zé)依公司的系統(tǒng)安全規(guī)定和部門業(yè)務(wù)要求,對網(wǎng)絡(luò)進行維護管理�����、計算機維護及故障處理等�,保證系統(tǒng)安全運行。2.2 系統(tǒng)管理員(安全員):負(fù)責(zé)策劃和制定公司信息安全策略�����、監(jiān)督安全規(guī)定的實施�����,提出改善要求�����,確保信息系統(tǒng)滿足公司業(yè)務(wù)安全要求����。負(fù)責(zé)加解密授權(quán)管理�����、用戶申報、開通訪問授權(quán)和機房管理�、數(shù)據(jù)備份。3定義與術(shù)語3.1 公司信息分類:A. 技術(shù)信息:產(chǎn)品圖紙�、制造技術(shù)、主要存在于技術(shù)部��。B. 質(zhì)量信息:主要保存在質(zhì)管
2����、部。C. 商務(wù)信息:主要存在于采購部����、經(jīng)營部。 D. 財務(wù)信息:主要存在于財務(wù)部�。 E. 人事信息:公司員工及為公司服務(wù)的特殊技能人才信息資料。F. 密碼信息:個人登錄��、開機密碼及IT管理員密碼���。G. 內(nèi)部運作其他信息:包括設(shè)備��、基礎(chǔ)設(shè)施�����、工程等信息資料���。以上信息��,根據(jù)信息秘密程度��,分為可公開信息和保密信息���。公司任何員工均不可將公司保密信息(文件)以任何方式傳遞、泄露給非授權(quán)人��。a. 公開信息:此類信息�、文件可從公司公開渠道所獲取,如公司廣告���、網(wǎng)站中所涉及的公司名稱、地址��、經(jīng)營產(chǎn)品等�����。b. 秘密信息:不可從公開渠道所能獲取的信息��,如產(chǎn)品技術(shù)文件,包括產(chǎn)品圖紙���、客戶文件�、工藝技術(shù)規(guī)范等�;人事行政
3、文件����、管理程序和規(guī)范、生產(chǎn)經(jīng)營統(tǒng)計信息和其他記錄�����、文件等��。3.2信息管理風(fēng)險及危害3.2.1 來自企業(yè)外的風(fēng)險a. 病毒和木馬風(fēng)險b. 黑客攻擊風(fēng)險3.2.2來自企業(yè)內(nèi)的風(fēng)險a. 文件外發(fā)傳輸���,包括電子郵件��、打印外發(fā)�、傳真等�����。b. 存儲設(shè)備的風(fēng)險,通過移動存儲介質(zhì)將文件資料拷貝出公司����,包括帶有保密信息的存儲介質(zhì)維修泄密,如相機���、U盤����、硬盤等維修�。c. 即時通訊,如QQ截圖��、FeiQ��、MS LYNC��、網(wǎng)絡(luò)飛鴿等�����。3.2.3風(fēng)險行為a. 上網(wǎng)行為風(fēng)險���。接收病毒郵件���、訪問不良網(wǎng)站傳染病毒或安裝插件,導(dǎo)致泄密或電腦系統(tǒng)的崩潰����。 b. 用戶密碼風(fēng)險。包括用戶密碼和管理員密碼����。密碼泄漏可導(dǎo)致非授權(quán)人訪問或
4、篡改�����、竊取信息資料��。c. 辦公/區(qū)域風(fēng)險���。在辦公區(qū)域隨意堆放保密文件���、公開談?wù)摴ぷ鲀?nèi)容導(dǎo)致泄密。d. 機房設(shè)備風(fēng)險��。主要包括服務(wù)器����、UPS電源���、網(wǎng)絡(luò)交換機等。這些風(fēng)險來自防 盜���、防雷�、防火����、防水。機房故障���,可能會損壞機房設(shè)施��,造成業(yè)務(wù)中斷����。4信息安全措施4.1上網(wǎng)行為管制根據(jù)各部門涉及的信息需求����,由公司保密主管領(lǐng)導(dǎo)決定、公司信息技術(shù)管理員實施公司電腦上網(wǎng)授權(quán)�����,包括允許訪問網(wǎng)址�����、下載和安裝的軟件�����。電腦使用人員不得自主下載��、安裝非授權(quán)軟件�����。各業(yè)務(wù)部門若需要查閱資料和其他目的需要查看特定網(wǎng)站或安裝軟件�,需要由部門主管審查、保密主管領(lǐng)導(dǎo)批準(zhǔn)��,方可由網(wǎng)絡(luò)管理員開通����。4.2 文件外發(fā)管制需要拷貝公司的文件
5、資料并帶出公司時���,需要經(jīng)過授權(quán)人批準(zhǔn)���,解密后方可帶出��。圖紙��、資料等技術(shù)質(zhì)量類電子文件��,如果需要外發(fā)�,統(tǒng)一由解密權(quán)限人員解密后再外發(fā)�����。其中��,若給委外加工方的技術(shù)文件�,應(yīng)經(jīng)公司轉(zhuǎn)換,并消除客戶有關(guān)產(chǎn)品型號����、編號等信息后方可外發(fā)。授權(quán)解密人員對自己的解密文件進行審查�,并對解密行為負(fù)責(zé),符合外發(fā)要求后方可解密外發(fā)。4.3 計算機應(yīng)用軟件安裝與維護根據(jù)工作性質(zhì)����,公司統(tǒng)一規(guī)定允許安裝的應(yīng)用軟件��,并由系統(tǒng)管理員統(tǒng)一安裝��。員工必須從共享于服務(wù)器中的應(yīng)用軟件及升級版本安裝���,不得安裝網(wǎng)絡(luò)下載或其他渠道軟件版本���。必須而共享軟件中沒有的,由計算機管理員負(fù)責(zé)安裝和升級�。系統(tǒng)管理員負(fù)責(zé)保證所安裝軟件的安全性。4.4 計算
6�����、機設(shè)備安全管理4.4.1 采購����、安裝與維護:計算機及其他涉密數(shù)碼產(chǎn)品采購、安裝和使用�����,應(yīng)通過網(wǎng)絡(luò)管理員審查、主管領(lǐng)導(dǎo)批準(zhǔn)����。任何人不得使用個人電腦、PAD��、U盤等接入公司網(wǎng)絡(luò)�。非網(wǎng)絡(luò)管理人員(包括外來維修人員)不得處置、維修公司電腦���、硬盤和其他有涉密信息的數(shù)碼產(chǎn)品�。產(chǎn)品維修及報廢處置應(yīng)建立維修處置記錄����,相關(guān)人員簽名存檔。電腦初始安裝由系統(tǒng)管理員負(fù)責(zé)�����,必須安裝規(guī)定的安全軟件����,以保證電腦安全運行��。計算機時鐘設(shè)置:必須設(shè)置成與internet同步��,操作人員不得更改計算機日期和時間�,以保證計算機文件信息的準(zhǔn)確性����。下班后所有不再使用的計算機��,應(yīng)關(guān)閉主機電源�,以防止意外。發(fā)現(xiàn)由以下等個人原因造成硬件的損壞或
7��、丟失的����,其損失由當(dāng)事人如數(shù)賠償:違章作業(yè);保管不當(dāng)��;擅自安裝����、使用硬件和電氣裝置。4.4.2 殺毒軟件:統(tǒng)一由網(wǎng)絡(luò)管理員安裝殺毒軟件�����,并負(fù)責(zé)定期維護,包括升級以及故障處理�����。用戶使用的殺毒軟件和防火墻已經(jīng)設(shè)置好自動調(diào)度更新和病毒庫升級��,每日定時殺毒����,使用者也應(yīng)經(jīng)常手動掃描殺毒。非管理員不得修改防火墻和殺毒軟件設(shè)置��。4.4.3 信息資料備份涉及公司產(chǎn)品技術(shù)����、質(zhì)量和財務(wù)等保密信息的,應(yīng)在數(shù)據(jù)服務(wù)器中保存?zhèn)浞菸募?。網(wǎng)絡(luò)管理員負(fù)責(zé)服務(wù)器安全運行,并維護和定期備份服務(wù)器文件�����。員工離職時�,須交回全部技術(shù)文件資料等保密文件�,并經(jīng)部門負(fù)責(zé)人確認(rèn)�����。部門負(fù)責(zé)人聯(lián)系網(wǎng)絡(luò)管理員對該員工電腦進行保密檢查�����,確保無泄密后簽字
8��、認(rèn)可�����。4.4.4 密碼管理每個員工擁有一個公司內(nèi)部計算機登錄帳戶和自己的密碼����。使用者須妥善保管好自己的帳戶和密碼�。帳戶及密碼設(shè)置后通知管理員備案。所有員工必須在所使用的計算機中設(shè)置開機密碼和屏幕保護密碼���。為了保護公司的信息資產(chǎn)����,設(shè)置密碼時應(yīng)注意:密碼至少有6個字符長;密碼必須包含以下任二部分:字母A-Z或a-z��,數(shù)字0-9�����,特殊字符��,例如 $ ���,-等����。員工密碼每三個月至少更新一次��。密碼包括:開機密碼�、郵箱登錄密碼、ERP登錄密碼����。USB Key管理:交由網(wǎng)絡(luò)管理員鎖到密碼箱保存。任何人不得將此帶出公司����。4.5 機房管理參照信息系統(tǒng)安全等級保護基本要求GB/T22239-2008要求���,由人力資源與行政辦負(fù)責(zé)公司網(wǎng)絡(luò)系統(tǒng)和計算機服務(wù)器(機房)管理。建立計算機機房出入�、操作登記。非授權(quán)人不得操作服務(wù)器���。為保護計算機及網(wǎng)絡(luò)系統(tǒng)安全��,須滿足以下要求:a. 計算機房建筑接地電阻不大于4歐姆;b. 溫度 不高于30度�����;濕度 不大于70%;c. 電源:配置穩(wěn)壓器和過壓防護設(shè)備��;d. 設(shè)置訪問用戶權(quán)限�����,并及時刪除廢除用戶;e. 服務(wù)器數(shù)據(jù)備份���,每周五下午進行備份���。5記錄與支持性文件5.1 加解密授權(quán)審批表5.2 計算機及其他數(shù)碼產(chǎn)品登記表5.3 主機(服務(wù)器)操作登記表5.4 機房出入登記表5.5 授權(quán)加解密人員保密承諾書5.6 計算機初始配置要求5.7 硬盤及其他存儲介質(zhì)領(lǐng)用(維修)登記
【公司規(guī)章制度模板】信息安全制度通用
