信息安全管理制度1.目的信息是企業(yè)存在和發(fā)展的重要基礎(chǔ)。為規(guī)范企業(yè)信息管理，保障信息安全，明確信息安全管理的程序、職責(zé)、義務(wù)和權(quán)限，特制定本制度。 2. 職責(zé)2.1 網(wǎng)絡(luò)管理員（委外）：負(fù)責(zé)依公司的系統(tǒng)安全規(guī)定和部門業(yè)務(wù)要求，對網(wǎng)絡(luò)進(jìn)行維護(hù)管理、計(jì)算機(jī)維護(hù)及故障處理等，保證系統(tǒng)安全運(yùn)行。2.2 系統(tǒng)管理員（安全員）：負(fù)責(zé)策劃和制定公司信息安全策略、監(jiān)督安全規(guī)定的實(shí)施，提出改善要求，確保信息系統(tǒng)滿足公司業(yè)務(wù)安全要求。負(fù)責(zé)加解密授權(quán)管理、用戶申報(bào)、開通訪問授權(quán)和機(jī)房管理、數(shù)據(jù)備份。3定義與術(shù)語3.1 公司信息分類：A. 技術(shù)信息：產(chǎn)品圖紙、制造技術(shù)、主要存在于技術(shù)部。B. 質(zhì)量信息：主要保存在質(zhì)管部。C. 商務(wù)信息：主要存在于采購部、經(jīng)營部。 D. 財(cái)務(wù)信息：主要存在于財(cái)務(wù)部。 E. 人事信息：公司員工及為公司服務(wù)的特殊技能人才信息資料。F. 密碼信息：個(gè)人登錄、開機(jī)密碼及IT管理員密碼。G. 內(nèi)部運(yùn)作其他信息：包括設(shè)備、基礎(chǔ)設(shè)施、工程等信息資料。以上信息，根據(jù)信息秘密程度，分為可公開信息和保密信息。公司任何員工均不可將公司保密信息（文件）以任何方式傳遞、泄露給非授權(quán)人。a. 公開信息：此類信息、文件可從公司公開渠道所獲取，如公司廣告、網(wǎng)站中所涉及的公司名稱、地址、經(jīng)營產(chǎn)品等。b. 秘密信息：不可從公開渠道所能獲取的信息，如產(chǎn)品技術(shù)文件，包括產(chǎn)品圖紙、客戶文件、工藝技術(shù)規(guī)范等；人事行政文件、管理程序和規(guī)范、生產(chǎn)經(jīng)營統(tǒng)計(jì)信息和其他記錄、文件等。3.2信息管理風(fēng)險(xiǎn)及危害3.2.1 來自企業(yè)外的風(fēng)險(xiǎn)a. 病毒和木馬風(fēng)險(xiǎn)b. 黑客攻擊風(fēng)險(xiǎn)3.2.2來自企業(yè)內(nèi)的風(fēng)險(xiǎn)a. 文件外發(fā)傳輸，包括電子郵件、打印外發(fā)、傳真等。b. 存儲(chǔ)設(shè)備的風(fēng)險(xiǎn)，通過移動(dòng)存儲(chǔ)介質(zhì)將文件資料拷貝出公司，包括帶有保密信息的存儲(chǔ)介質(zhì)維修泄密，如相機(jī)、U盤、硬盤等維修。c. 即時(shí)通訊，如QQ截圖、FeiQ、MS LYNC、網(wǎng)絡(luò)飛鴿等。3.2.3風(fēng)險(xiǎn)行為a. 上網(wǎng)行為風(fēng)險(xiǎn)。接收病毒郵件、訪問不良網(wǎng)站傳染病毒或安裝插件，導(dǎo)致泄密或電腦系統(tǒng)的崩潰。 b. 用戶密碼風(fēng)險(xiǎn)。包括用戶密碼和管理員密碼。密碼泄漏可導(dǎo)致非授權(quán)人訪問或篡改、竊取信息資料。c. 辦公/區(qū)域風(fēng)險(xiǎn)。在辦公區(qū)域隨意堆放保密文件、公開談?wù)摴ぷ鲀?nèi)容導(dǎo)致泄密。d. 機(jī)房設(shè)備風(fēng)險(xiǎn)。主要包括服務(wù)器、UPS電源、網(wǎng)絡(luò)交換機(jī)等。這些風(fēng)險(xiǎn)來自防 盜、防雷、防火、防水。機(jī)房故障，可能會(huì)損壞機(jī)房設(shè)施，造成業(yè)務(wù)中斷。4信息安全措施4.1上網(wǎng)行為管制根據(jù)各部門涉及的信息需求，由公司保密主管領(lǐng)導(dǎo)決定、公司信息技術(shù)管理員實(shí)施公司電腦上網(wǎng)授權(quán)，包括允許訪問網(wǎng)址、下載和安裝的軟件。電腦使用人員不得自主下載、安裝非授權(quán)軟件。各業(yè)務(wù)部門若需要查閱資料和其他目的需要查看特定網(wǎng)站或安裝軟件，需要由部門主管審查、保密主管領(lǐng)導(dǎo)批準(zhǔn)，方可由網(wǎng)絡(luò)管理員開通。4.2 文件外發(fā)管制需要拷貝公司的文件資料并帶出公司時(shí)，需要經(jīng)過授權(quán)人批準(zhǔn)，解密后方可帶出。圖紙、資料等技術(shù)質(zhì)量類電子文件，如果需要外發(fā)，統(tǒng)一由解密權(quán)限人員解密后再外發(fā)。其中，若給委外加工方的技術(shù)文件，應(yīng)經(jīng)公司轉(zhuǎn)換，并消除客戶有關(guān)產(chǎn)品型號(hào)、編號(hào)等信息后方可外發(fā)。授權(quán)解密人員對自己的解密文件進(jìn)行審查，并對解密行為負(fù)責(zé)，符合外發(fā)要求后方可解密外發(fā)。4.3 計(jì)算機(jī)應(yīng)用軟件安裝與維護(hù)根據(jù)工作性質(zhì)，公司統(tǒng)一規(guī)定允許安裝的應(yīng)用軟件，并由系統(tǒng)管理員統(tǒng)一安裝。員工必須從共享于服務(wù)器中的應(yīng)用軟件及升級(jí)版本安裝，不得安裝網(wǎng)絡(luò)下載或其他渠道軟件版本。必須而共享軟件中沒有的，由計(jì)算機(jī)管理員負(fù)責(zé)安裝和升級(jí)。系統(tǒng)管理員負(fù)責(zé)保證所安裝軟件的安全性。4.4 計(jì)算機(jī)設(shè)備安全管理4.4.1 采購、安裝與維護(hù)：計(jì)算機(jī)及其他涉密數(shù)碼產(chǎn)品采購、安裝和使用，應(yīng)通過網(wǎng)絡(luò)管理員審查、主管領(lǐng)導(dǎo)批準(zhǔn)。任何人不得使用個(gè)人電腦、PAD、U盤等接入公司網(wǎng)絡(luò)。非網(wǎng)絡(luò)管理人員（包括外來維修人員）不得處置、維修公司電腦、硬盤和其他有涉密信息的數(shù)碼產(chǎn)品。產(chǎn)品維修及報(bào)廢處置應(yīng)建立維修處置記錄，相關(guān)人員簽名存檔。電腦初始安裝由系統(tǒng)管理員負(fù)責(zé)，必須安裝規(guī)定的安全軟件，以保證電腦安全運(yùn)行。計(jì)算機(jī)時(shí)鐘設(shè)置：必須設(shè)置成與internet同步，操作人員不得更改計(jì)算機(jī)日期和時(shí)間，以保證計(jì)算機(jī)文件信息的準(zhǔn)確性。下班后所有不再使用的計(jì)算機(jī)，應(yīng)關(guān)閉主機(jī)電源，以防止意外。發(fā)現(xiàn)由以下等個(gè)人原因造成硬件的損壞或丟失的，其損失由當(dāng)事人如數(shù)賠償：違章作業(yè)；保管不當(dāng)；擅自安裝、使用硬件和電氣裝置。4.4.2 殺毒軟件：統(tǒng)一由網(wǎng)絡(luò)管理員安裝殺毒軟件，并負(fù)責(zé)定期維護(hù)，包括升級(jí)以及故障處理。用戶使用的殺毒軟件和防火墻已經(jīng)設(shè)置好自動(dòng)調(diào)度更新和病毒庫升級(jí)，每日定時(shí)殺毒，使用者也應(yīng)經(jīng)常手動(dòng)掃描殺毒。非管理員不得修改防火墻和殺毒軟件設(shè)置。4.4.3 信息資料備份涉及公司產(chǎn)品技術(shù)、質(zhì)量和財(cái)務(wù)等保密信息的，應(yīng)在數(shù)據(jù)服務(wù)器中保存?zhèn)浞菸募＞W(wǎng)絡(luò)管理員負(fù)責(zé)服務(wù)器安全運(yùn)行，并維護(hù)和定期備份服務(wù)器文件。員工離職時(shí)，須交回全部技術(shù)文件資料等保密文件，并經(jīng)部門負(fù)責(zé)人確認(rèn)。部門負(fù)責(zé)人聯(lián)系網(wǎng)絡(luò)管理員對該員工電腦進(jìn)行保密檢查，確保無泄密后簽字認(rèn)可。4.4.4 密碼管理每個(gè)員工擁有一個(gè)公司內(nèi)部計(jì)算機(jī)登錄帳戶和自己的密碼。使用者須妥善保管好自己的帳戶和密碼。帳戶及密碼設(shè)置后通知管理員備案。所有員工必須在所使用的計(jì)算機(jī)中設(shè)置開機(jī)密碼和屏幕保護(hù)密碼。為了保護(hù)公司的信息資產(chǎn)，設(shè)置密碼時(shí)應(yīng)注意：密碼至少有6個(gè)字符長；密碼必須包含以下任二部分：字母A-Z或a-z，數(shù)字0-9，特殊字符，例如 $ ，-等。員工密碼每三個(gè)月至少更新一次。密碼包括：開機(jī)密碼、郵箱登錄密碼、ERP登錄密碼。USB Key管理：交由網(wǎng)絡(luò)管理員鎖到密碼箱保存。任何人不得將此帶出公司。4.5 機(jī)房管理參照信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T22239-2008要求，由人力資源與行政辦負(fù)責(zé)公司網(wǎng)絡(luò)系統(tǒng)和計(jì)算機(jī)服務(wù)器（機(jī)房）管理。建立計(jì)算機(jī)機(jī)房出入、操作登記。非授權(quán)人不得操作服務(wù)器。為保護(hù)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全，須滿足以下要求：a. 計(jì)算機(jī)房建筑接地電阻不大于4歐姆;b. 溫度 不高于30度；濕度 不大于70%;c. 電源：配置穩(wěn)壓器和過壓防護(hù)設(shè)備；d. 設(shè)置訪問用戶權(quán)限，并及時(shí)刪除廢除用戶；e. 服務(wù)器數(shù)據(jù)備份，每周五下午進(jìn)行備份。5記錄與支持性文件5.1 加解密授權(quán)審批表5.2 計(jì)算機(jī)及其他數(shù)碼產(chǎn)品登記表5.3 主機(jī)（服務(wù)器）操作登記表5.4 機(jī)房出入登記表5.5 授權(quán)加解密人員保密承諾書5.6 計(jì)算機(jī)初始配置要求5.7 硬盤及其他存儲(chǔ)介質(zhì)領(lǐng)用（維修）登記