《【公司規(guī)章制度模板】信息安全制度通用》由會員分享，可在線閱讀，更多相關(guān)《【公司規(guī)章制度模板】信息安全制度通用（6頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、 信息安全管理制度 1.目的 信息是企業(yè)存在和發(fā)展的重要基礎(chǔ)。為規(guī)范企業(yè)信息管理，保障信息安全，明確信息安全管理的程序、職責(zé)、義務(wù)和權(quán)限，特制定本制度。 2. 職責(zé) 2.1 網(wǎng)絡(luò)管理員（委外）：負(fù)責(zé)依公司的系統(tǒng)安全規(guī)定和部門業(yè)務(wù)要求，對網(wǎng)絡(luò)進(jìn)行維護(hù)管理、計算機維護(hù)及故障處理等，保證系統(tǒng)安全運行。 2.2 系統(tǒng)管理員（安全員）：負(fù)責(zé)策劃和制定公司信息安全策略、監(jiān)督安全規(guī)定的實施，提出改善要求，確保信息系統(tǒng)滿足公司業(yè)務(wù)安全要求。負(fù)責(zé)加解密授權(quán)管理、用戶申報、開通訪問授權(quán)和機房管理、數(shù)據(jù)備份。 3．定義與術(shù)語 3.1 公司信息分類： A. 技術(shù)信息：產(chǎn)品圖紙、制造技術(shù)

2、、主要存在于技術(shù)部。 B. 質(zhì)量信息：主要保存在質(zhì)管部。 C. 商務(wù)信息：主要存在于采購部、經(jīng)營部。 D. 財務(wù)信息：主要存在于財務(wù)部。 E. 人事信息：公司員工及為公司服務(wù)的特殊技能人才信息資料。 F. 密碼信息：個人登錄、開機密碼及IT管理員密碼。 G. 內(nèi)部運作其他信息：包括設(shè)備、基礎(chǔ)設(shè)施、工程等信息資料。 以上信息，根據(jù)信息秘密程度，分為可公開信息和保密信息。公司任何員工均不可將公司保密信息（文件）以任何方式傳遞、泄露給非授權(quán)人。 a. 公開信息：此類信息、文件可從公司公開渠道所獲取，如公司廣告、網(wǎng)站中所涉及的公司名稱、地址、經(jīng)營產(chǎn)品等。 b. 秘密信息：不可從公

3、開渠道所能獲取的信息，如產(chǎn)品技術(shù)文件，包括產(chǎn)品圖紙、客戶文件、工藝技術(shù)規(guī)范等；人事行政文件、管理程序和規(guī)范、生產(chǎn)經(jīng)營統(tǒng)計信息和其他記錄、文件等。 3.2信息管理風(fēng)險及危害 3.2.1 來自企業(yè)外的風(fēng)險 a. 病毒和木馬風(fēng)險 b. 黑客攻擊風(fēng)險 3.2.2來自企業(yè)內(nèi)的風(fēng)險 a. 文件外發(fā)傳輸，包括電子郵件、打印外發(fā)、傳真等。 b. 存儲設(shè)備的風(fēng)險，通過移動存儲介質(zhì)將文件資料拷貝出公司，包括帶有保密信息的存儲介質(zhì)維修泄密，如相機、U盤、硬盤等維修。 c. 即時通訊，如QQ截圖、FeiQ、MS LYNC、網(wǎng)絡(luò)飛鴿等。 3.2.3風(fēng)險行為 a. 上網(wǎng)行為風(fēng)險。接收病毒郵件、訪問不良

4、網(wǎng)站傳染病毒或安裝插件，導(dǎo)致泄密或電腦系統(tǒng)的崩潰。 b. 用戶密碼風(fēng)險。包括用戶密碼和管理員密碼。密碼泄漏可導(dǎo)致非授權(quán)人訪問或篡改、竊取信息資料。 c. 辦公/區(qū)域風(fēng)險。在辦公區(qū)域隨意堆放保密文件、公開談?wù)摴ぷ鲀?nèi)容導(dǎo)致泄密。 d. 機房設(shè)備風(fēng)險。主要包括服務(wù)器、UPS電源、網(wǎng)絡(luò)交換機等。這些風(fēng)險來自防 盜、防雷、防火、防水。機房故障，可能會損壞機房設(shè)施，造成業(yè)務(wù)中斷。 4．信息安全措施 4.1上網(wǎng)行為管制 根據(jù)各部門涉及的信息需求，由公司保密主管領(lǐng)導(dǎo)決定、公司信息技術(shù)管理員實施公司電腦上網(wǎng)授權(quán)，包括允許訪問網(wǎng)址、下載和安裝的軟件。電腦使用人員不

5、得自主下載、安裝非授權(quán)軟件。 各業(yè)務(wù)部門若需要查閱資料和其他目的需要查看特定網(wǎng)站或安裝軟件，需要由部門主管審查、保密主管領(lǐng)導(dǎo)批準(zhǔn)，方可由網(wǎng)絡(luò)管理員開通。 4.2 文件外發(fā)管制 需要拷貝公司的文件資料并帶出公司時，需要經(jīng)過授權(quán)人批準(zhǔn)，解密后方可帶出。 圖紙、資料等技術(shù)質(zhì)量類電子文件，如果需要外發(fā)，統(tǒng)一由解密權(quán)限人員解密后再外發(fā)。其中，若給委外加工方的技術(shù)文件，應(yīng)經(jīng)公司轉(zhuǎn)換，并消除客戶有關(guān)產(chǎn)品型號、編號等信息后方可外發(fā)。 授權(quán)解密人員對自己的解密文件進(jìn)行審查，并對解密行為負(fù)責(zé)，符合外發(fā)要求后方可解密外發(fā)。 4.3 計算機應(yīng)用軟件安裝與維護(hù) 根據(jù)工作性質(zhì)，公司統(tǒng)一規(guī)定允許安裝的應(yīng)用軟件

6、，并由系統(tǒng)管理員統(tǒng)一安裝。員工必須從共享于服務(wù)器中的應(yīng)用軟件及升級版本安裝，不得安裝網(wǎng)絡(luò)下載或其他渠道軟件版本。必須而共享軟件中沒有的，由計算機管理員負(fù)責(zé)安裝和升級。 系統(tǒng)管理員負(fù)責(zé)保證所安裝軟件的安全性。 4.4 計算機設(shè)備安全管理 4.4.1 采購、安裝與維護(hù)： 計算機及其他涉密數(shù)碼產(chǎn)品采購、安裝和使用，應(yīng)通過網(wǎng)絡(luò)管理員審查、主管領(lǐng)導(dǎo)批準(zhǔn)。任何人不得使用個人電腦、PAD、U盤等接入公司網(wǎng)絡(luò)。非網(wǎng)絡(luò)管理人員（包括外來維修人員）不得處置、維修公司電腦、硬盤和其他有涉密信息的數(shù)碼產(chǎn)品。產(chǎn)品維修及報廢處置應(yīng)建立維修處置記錄，相關(guān)人員簽名存檔。 電腦初始安裝由系統(tǒng)管理員負(fù)責(zé)，必須安裝規(guī)定的

7、安全軟件，以保證電腦安全運行。 計算機時鐘設(shè)置：必須設(shè)置成與internet同步，操作人員不得更改計算機日期和時間，以保證計算機文件信息的準(zhǔn)確性。 下班后所有不再使用的計算機，應(yīng)關(guān)閉主機電源，以防止意外。 發(fā)現(xiàn)由以下等個人原因造成硬件的損壞或丟失的，其損失由當(dāng)事人如數(shù)賠償：違章作業(yè)；保管不當(dāng)；擅自安裝、使用硬件和電氣裝置。 4.4.2 殺毒軟件： 統(tǒng)一由網(wǎng)絡(luò)管理員安裝殺毒軟件，并負(fù)責(zé)定期維護(hù)，包括升級以及故障處理。用戶使用的殺毒軟件和防火墻已經(jīng)設(shè)置好自動調(diào)度更新和病毒庫升級，每日定時殺毒，使用者也應(yīng)經(jīng)常手動掃描殺毒。非管理員不得修改防火墻和殺毒軟件設(shè)置。 4.4.3 信息資料備份

8、 涉及公司產(chǎn)品技術(shù)、質(zhì)量和財務(wù)等保密信息的，應(yīng)在數(shù)據(jù)服務(wù)器中保存?zhèn)浞菸募? 網(wǎng)絡(luò)管理員負(fù)責(zé)服務(wù)器安全運行，并維護(hù)和定期備份服務(wù)器文件。 員工離職時，須交回全部技術(shù)文件資料等保密文件，并經(jīng)部門負(fù)責(zé)人確認(rèn)。部門負(fù)責(zé)人聯(lián)系網(wǎng)絡(luò)管理員對該員工電腦進(jìn)行保密檢查，確保無泄密后簽字認(rèn)可。 4.4.4 密碼管理 每個員工擁有一個公司內(nèi)部計算機登錄帳戶和自己的密碼。使用者須妥善保管好自己的帳戶和密碼。帳戶及密碼設(shè)置后通知管理員備案。所有員工必須在所使用的計算機中設(shè)置開機密碼和屏幕保護(hù)密碼。為了保護(hù)公司的信息資產(chǎn)，設(shè)置密碼時應(yīng)注意：密碼至少有6個字符長；密碼必須包含以下任二部分：字母A-Z或a-z，數(shù)字0

9、-9，特殊字符，例如 $ ，-等。 員工密碼每三個月至少更新一次。 密碼包括： 開機密碼、郵箱登錄密碼、ERP登錄密碼。 USB Key管理：交由網(wǎng)絡(luò)管理員鎖到密碼箱保存。任何人不得將此帶出公司。 4.5 機房管理 參照《信息系統(tǒng)安全等級保護(hù)基本要求》GB/T22239-2008要求，由人力資源與行政辦負(fù)責(zé)公司網(wǎng)絡(luò)系統(tǒng)和計算機服務(wù)器（機房）管理。建立計算機機房出入、操作登記。 非授權(quán)人不得操作服務(wù)器。 為保護(hù)計算機及網(wǎng)絡(luò)系統(tǒng)安全，須滿足以下要求： a. 計算機房建筑接地電阻不大于4歐姆; b. 溫度 不高于30度；濕度 不大于70%; c. 電源：配置穩(wěn)壓器和過壓防護(hù)設(shè)備； d. 設(shè)置訪問用戶權(quán)限，并及時刪除廢除用戶； e. 服務(wù)器數(shù)據(jù)備份，每周五下午進(jìn)行備份。 5．記錄與支持性文件 5.1 加解密授權(quán)審批表 5.2 計算機及其他數(shù)碼產(chǎn)品登記表 5.3 主機（服務(wù)器）操作登記表 5.4 機房出入登記表 5.5 授權(quán)加解密人員保密承諾書 5.6 計算機初始配置要求 5.7 硬盤及其他存儲介質(zhì)領(lǐng)用（維修）登記